Los principales hitos para adaptarse al nuevo Reglamento que entra en vigor el próximo 25 de mayo son los siguientes:
I. Designación del Responsable o Delegado de Protección de Datos (DPD)
Aunque el Delegado de Protección de Datos sólo es obligatorio -aparte de para las administraciones públicas- para las empresas que tratan datos sensibles o a gran escala, cualquier compañía puede asumirlo voluntariamente.
En caso de no ser necesario se debe designar a la/s persona/s responsables del tratamiento para coordinar la adaptación. También se puede externalizar.
II. Elaboración del Registro de Actividades de Tratamiento
La obligatoriedad de inscribir los ficheros en la Agencia será sustituida el 25 de mayo por la de un Registro de Actividades de Tratamiento.
Se ha de tener en cuenta su finalidad a la hora de tratarlos, detallando artículo 30.2 RGPD el contenido del Registro de Actividades que el encargado de tratamiento debe llevar. Se tendrá que revisar los tratamientos de datos que la asesoría realiza y en una segunda fase revisar las nuevas obligaciones que el RGPD impone al responsable del tratamiento y que se deben incluir en el registro de actividades como son:
– Atención a los derechos de las personas y las garantías que se le dan para ejercerlos.
– Notificación de una quiebra de seguridad de los datos personales a la autoridad de control y a los interesados.
III. Realización de Análisis de Riesgos
Los riesgos, en el caso de las personas físicas, se pueden diferenciar en dos grandes grupos:
IV. Revisión medidas de seguridad
Dependiendo de los resultados del análisis de riesgos, para cada uno de los que se identifiquen deberán establecerse tantas medidas de seguridad como sean necesarias para garantizar un nivel de seguridad y control adecuado que reduzca la exposición al riesgo.
Ejemplo de medidas de Seguridad
Tipología de riesgo | Riesgo | Medidas de seguridad |
---|---|---|
Integridad de los datos personales | Modificación o alteración de datos personales no intencionada |
Segregación de funciones mediante perfiles de acceso Controles de monitorización de amenazas en red |
Disponibilidad de los datos personales | Pérdida o borrado no intencionado de datos personales | Copias de seguridad Almacenamiento en dos ubicaciones diferentes |
Confidencialidad de los datos personales | Acceso no autorizado a los datos personales |
Mecanismos de control de acceso Segmentación de la red |
Garantizar el ejercicio de los derechos de los interesados | Ausencia de procedimientos para el ejercicio de derechos | Procedimientos y canales para el ejercicio de derechos |
Fuente: Agencia Española de Protección de Datos
V. Implantación de mecanismos y procedimiento de notificación de quiebras de seguridad
Cuando se produzca una quiebra de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.
Esta notificación incluirá la naturaleza de la violación, las categorías de datos y de interesados afectados, las medidas adoptadas por el responsable para solventar la quiebra y, en su caso, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados.
VI. Evaluación de Impacto en la Protección de Datos
A partir de los resultados del análisis de riesgos habría que realizarla. No obstante, en principio las asesorías no están obligadas a hacerla, pues se considera obligatoria cuando exista:
Desde Espacio Asesoría no disponemos de un servicio gratuito de asesoramiento, por lo que su comentario solo podrá ser respondido por otros lectores.
Si necesita una respuesta profesional, le recomendamos realice su pregunta desde el siguiente enlace, desde donde podrá establecer un contacto privado con un abogado.
Tu comentario ha sido enviado para ser revisado antes de ser publicado.