Espacio Asesoría

LEFEBVRE
Acceso clientes
  • Jurídico
Redactado por: Redacción Espacio Asesoría
17 de mayo de 2018

Cambios necesarios para adaptarse al GDPR/RGPD

El nuevo Reglamento establece una serie de cambios imprescindibles en el tratamiento de los datos personales que tienen las asesorías. Por tanto, habrá que adecuar sus formularios a los nuevos derechos, tales como la portabilidad y el derecho al olvido, así como cambiar los mecanismos y procedimientos para el ejercicio de los mismos. Además se deberá adaptar la política de privacidad a través de los diferentes medios y formatos que se utilicen para recabar información.

​​

Los principales hitos para adaptarse al nuevo Reglamento que entra en vigor el próximo 25 de mayo son los siguientes:

 

I. Designación del Responsable o Delegado de Protección de Datos (DPD)

Aunque el Delegado de Protección de Datos sólo es obligatorio -aparte de para las administraciones públicas- para las empresas que tratan datos sensibles o a gran escala, cualquier compañía puede asumirlo voluntariamente.

En caso de no ser necesario se debe designar a la/s persona/s responsables del tratamiento para coordinar la adaptación. También se puede externalizar.

 

II. Elaboración del Registro de Actividades de Tratamiento

La obligatoriedad de inscribir los ficheros en la Agencia será sustituida el 25 de mayo por la de un Registro de Actividades de Tratamiento.

Se ha de tener en cuenta su finalidad a la hora de tratarlos, detallando artículo 30.2 RGPD el contenido del Registro de Actividades que el encargado de tratamiento debe llevar. Se tendrá que revisar los tratamientos de datos que la asesoría realiza y en una segunda fase revisar las nuevas obligaciones que el RGPD impone al responsable del tratamiento y que se deben incluir en el registro de actividades como son:

– Atención a los derechos de las personas y las garantías que se le dan para ejercerlos.

– Notificación de una quiebra de seguridad de los datos personales a la autoridad de control y a los interesados.

 

III. Realización de Análisis de Riesgos

Los riesgos, en el caso de las personas físicas, se pueden diferenciar en dos grandes grupos:

  • Riesgos asociados a la protección de la información: Acceso ilegítimo a los datos o pérdida de datos.
  • Riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados: Uso ilegítimo de datos personales o la posibilidad de que el responsable no pueda atender el ejercicio de los derechos que el RGPD reconoce al titular de los datos porque la organización no tiene correctamente implementados y operativos los procedimientos correspondientes.

 

IV. Revisión medidas de seguridad

Dependiendo de los resultados del análisis de riesgos, para cada uno de los que se identifiquen deberán establecerse tantas medidas de seguridad como sean necesarias para garantizar un nivel de seguridad y control adecuado que reduzca la exposición al riesgo.

Ejemplo de medidas de Seguridad

​Tipología de riesgo Riesgo Medidas de seguridad
Integridad de los datos personales Modificación o alteración de datos personales no intencionada

Segregación de funciones mediante perfiles de acceso

Controles de monitorización de amenazas en red
Disponibilidad de los datos personales Pérdida o borrado no intencionado de datos personales Copias de seguridad Almacenamiento en dos ubicaciones diferentes
Confidencialidad de los datos personales Acceso no autorizado a los datos personales

Mecanismos de control de acceso

Segmentación de la red
Garantizar el ejercicio de los derechos de los interesados Ausencia de procedimientos para el ejercicio de derechos Procedimientos y canales para el ejercicio de derechos

Fuente: Agencia Española de Protección de Datos

 

V. Implantación de mecanismos y procedimiento de notificación de quiebras de seguridad

Cuando se produzca una quiebra de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.

Esta notificación incluirá la naturaleza de la violación, las categorías de datos y de interesados afectados, las medidas adoptadas por el responsable para solventar la quiebra y, en su caso, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados.

 

VI. Evaluación de Impacto en la Protección de Datos

A partir de los resultados del análisis de riesgos habría que realizarla. No obstante, en principio las asesorías no están obligadas a hacerla, pues se considera obligatoria cuando exista:

  • Alto riesgo (para los derechos y libertades de las personas físicas)
  • Evaluación sistemática (cuando se evalúen aspectos personales de personas físicas basadas en un tratamiento automatizado, p.ej. perfiles)
  • Tratamiento a gran escala de datos especialmente protegidos (p. ej. condenas e infracciones penales )
  • Uso de tecnologías invasivas (videovigilancia, datamining, biometría, etc …)

 

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).​ 



Mide la implantación del RGPD con el compliance data analyzer

  • Jurídico

Cambios necesarios para adaptarse al GDPR/RGPD

El nuevo Reglamento establece una serie de cambios imprescindibles en el tratamiento de los datos personales que tienen las asesorías. Por tanto, habrá que adecuar sus formularios a los nuevos derechos, tales como la portabilidad y el derecho al olvido, así como cambiar los mecanismos y procedimientos para el ejercicio de los mismos. Además se deberá adaptar la política de privacidad a través de los diferentes medios y formatos que se utilicen para recabar información.

17/05/2018
Redactado por: Redacción Espacio Asesoría
0 comentarios
Contenido relacionado
  • Jurídico
10/05/2018

Qué deben saber tus clientes del nuevo GDPR/RGPD

A partir del próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD o GDPR de sus siglas en inglés), que es aplicable a los negocios y profesionales desde el momento en el que disponen de datos personales de proveedores, clientes o personas de contacto en general. Conforme al mismo, deberás obtener el consentimiento explícito de tus clientes para tener sus datos, a los que tendrás que explicar, de forma clara, su uso y los derechos que tiene sobre los mismos.

Esta noticia está directamente relacionada con nuestro producto
La base de datos jurídica más completa con todos los Mementos del área fiscal incluidos.
¡Solicitar una prueba gratuita sin compromiso!
Destacado
Solicita una prueba gratuita de nuestros productos
Libro recomendado
Memento Social 2024 Ir a la tienda
Infografías recomendadas
  • Jurídico
Ley de Vivienda
  • Civil
Primeros pasos en caso de fallecimiento
  • Laboral
El despido nulo. Infografía
Eventos
03 mayo
Viernes 03 de mayo Curso elearning Plan de retribución flexible o “a la carta”
13 junio
Jueves 13 de junio Curso Inteligencia Artificial para la Gestión de Personas. Aprende a explotar todo el potencial de la IA y mejora tus RR.HH. (Ciclo de 3 webinars)
30 mayo
Jueves 30 de mayo Congreso IA Derecho y empresa (virtual)
Publicaciones más recientes
Memento Salario y Nómina 2024
Memento Práctico Derecho de la Economía Digital 2024-2025
Memento Familia (Civil) 2024-2025
Memento Transmisiones 2024
Destacado