¿Qué deben hacer las empresas para adaptarse a la nueva normativa de protección de datos?

Como es bien sabido ya a estas alturas, el próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD).

Y la pregunta que se hacen muchas empresas es ¿qué debemos hacer para adaptarnos a la nueva normativa?

Como regla general, las empresas deberán realizar las siguientes tareas para adaptarse al RGPD y nueva LOPD:

  • Designar Delegado de Protección de Datos en los casos en que estén obligadas a contar con esa figura.
  • Elaboración de un Registro de Actividades del tratamiento que incluya la información obligatoria establecida en el RGPD que, entre otra, es: datos identificativos del responsable del fichero y del Delegado de Protección de Datos en caso de que la empresa lo precise, finalidad del tratamiento, descripción del tipo de datos personales tratados, etc.
  • Elaboración de un Análisis de Riesgos. Se trata de realizar una valoración del riesgo de los tratamientos de datos que realiza la empresa, a fin de poder establecer qué medidas de seguridad deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de: el tipo de tratamiento, la naturaleza de los datos, el número de interesados afectados, la cantidad y variedad del tratamiento llevado a cabo por el cliente.
  • Establecer las Medidas de Seguridad necesarias a la luz del resultado del Análisis de Riesgos.
  • Elaboración de un Protocolo de Notificación de Violaciones de Seguridad. Debe establecerse cómo actuará la empresa y qué pasos seguirá en caso de que se produzca la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
  • Realizar una Evaluación de Impacto sobre la Protección de Datos. Esta evaluación deberá llevarse a cabo con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
  • Adecuar los formularios de derechos de información de los titulares de los datos personales que la empresa va a tratar, es decir, redactar los consentimientos informados que deberán firmar los afectados. Con la nueva normativa los consentimientos deben otorgarse de forma expresa.
  • Establecer mecanismos y procedimientos de ejercicio de derechos. Se trata de articular los procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos de acceso, supresión, limitación, oposición y portabilidad.
  • Adaptación de los contratos con los encargados del tratamiento (proveedores de servicios que tienen acceso a datos personales). Con la nueva normativa aparecen nuevas exigencias y nuevas responsabilidad entre el responsable del fichero y el encargado del tratamiento, por lo que, todos los contratos de prestación de servicios deben adaptarse a las nuevas obligaciones en cuanto a protección de datos se refiere.
  • Revisión y en su caso, redacción de la Política de Privacidad de la web. De acuerdo al nuevo RGPD las políticas de privacidad de las web deben facilitarse por capas. Una primera capa de información básica que debe ir enlazada a una segunda capa de información adicional.
  • Documentar todo lo anterior mediante un Protocolo de Protección de Datos o Documento de Seguridad. Documento que recogerá qué tipos de datos recoge la empresa, qué hace con ellos y qué medidas de seguridad adopta para protegerlos. Se trata de una especie de protocolo de seguridad en relación al tratamiento de datos personales por parte de la empresa.

Cambios en las Políticas de Privacidad de las páginas web

La entrada en vigor del Reglamento Europeo de Protección de Datos va a suponer a las empresas realizar muchos cambios en cuanto al tratamiento de los datos personales de sus clientes.

Uno de los cambios más llamativos o más visuales es el que van a sufrir las Políticas de Privacidad de las páginas web ya que, el Reglamento Europeo de Protección de Datos exige que el deber de información hacía el titular de los datos sea mucho más completo. De forma que, las empresas deberán cambiar sus cláusulas de protección de datos en los formularios de recogida de datos personales, las políticas de privacidad web, así como, como cualquier otro documento o medio donde se recojan datos personales.

¿Qué información deberá añadirse en las Políticas de Privacidad web?

Hasta la fecha, la Ley Orgánica de Protección Datos de Carácter Personal establecía que en el momento de recoger los datos personales de una persona física se le debía informar de los siguientes extremos (artículo 5):

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Seguir leyendo

Datos personales de una persona fallecida

Hasta la fecha, la normativa española de protección de datos personales no establecía quién podía y qué se podía hacer en relación a los datos personales de una persona fallecida. Nos teníamos que remitir al derecho común. Bueno, mejor dicho «tenemos que» acudir al derecho común ya que, a fecha, es la normativa que por ahora está en vigor.

No obstante, la nueva Ley Orgánica de Protección de Datos, actualmente en proyecto de ley, sí que recoge quién y cómo se pueden gestionar los datos personales de una persona fallecida.

Así, en su artículo 3 se establece:

1. Los herederos de una persona fallecida que acrediten tal condición mediante cualquier medio válido conforme a Derecho, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.

Como excepción, los herederos no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.

2. El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste y, en su caso su rectificación o supresión.

Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos.

3. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada.

En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el párrafo anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo

Seguir leyendo

Las funciones del Delegado de Protección de Datos (DPO)

La reciente aprobación del Reglamento Europeo de Protección de Datos va a suponer grandes cambios sobre la aplicación de la normativa en materia de protección de datos, uno de estos cambios, es la aparición de una nueva figura: el Delegado de Protección de Datos o DPO por sus siglas en inglés («Data Protection Officer»).

¿Cuáles son las funciones del Delegado de Protección de Datos (DPO)?

El artículo 39 del Reglamento Europeo de Protección de Datos establece:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.

d) cooperar con la autoridad de control.

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Seguir leyendo

¿Cuándo es obligatorio contratar a un Delegado de Protección de Datos (DPO)?

Tras la reciente aprobación y entrada en vigor del Reglamento Europeo de Protección de Datos, de directa y obligada aplicación dentro de dos años, nos encontramos con algunos cambios significativos a nivel de protección de datos, entre ellos, nos encontramos con la figura del Delegado de Protección de Datos o DPO (sus siglas en inglés – «Data Protection Officer»), figura que no existía hasta la fecha.

Dicha figura viene regulada en los artículos 37 a 39 del precitado Reglamento.

¿Cuándo se tiene que contar con la presencia de un Delegado de Protección de Datos (DPO)?

Según establece el artículo 37.1 del Reglamento Europeo de Protección de Datos:

El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Así, todos los organismos públicos estarán obligados a contar con la ayuda de un Delegado de Protección de Datos (DPO), eso sí, el Reglamento posibilita que un conjunto de organismos dispongan de un único DPO teniendo en cuenta su estructura organizativa y tamaño.

Seguir leyendo

Delegado de Protección de Datos (DPO)

El Data Protection Officer (DPO) o Delegado de Protección de Datos (su traducción al castellano) es la nueva figura contemplada en la propuesta del Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos (Reglamento General de Protección de Datos).

Dicho Reglamento Europeo de Protección de Datos, que será de aplicación directa para todos los estados miembros de la Unión Europea, aun no ha sido aprobado, pero todo parece indicar que cuando lo haga (prevista su aprobación para el 2016) lo hará contando con la figura del Delegado de Protección de Datos que vendrá a ser semejante a la del Responsable de Seguridad, que tenemos actualmente.

¿Dónde se regula la figura del Delegado de Protección de Datos (DPO)?

La figura del DPO viene recogida en los artículos 35 a 37 de la propuesta de Reglamento General de Protección de Datos.

¿Cuándo será obligatorio contar con un Delegado de Protección de Datos (DPO)?

Será obligatorio designar un Delegado de Protección de Datos (DPO) en los siguientes casos:

Seguir leyendo