¿Qué deben hacer las empresas para adaptarse a la nueva normativa de protección de datos?

Como es bien sabido ya a estas alturas, el próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD).

Y la pregunta que se hacen muchas empresas es ¿qué debemos hacer para adaptarnos a la nueva normativa?

Como regla general, las empresas deberán realizar las siguientes tareas para adaptarse al RGPD y nueva LOPD:

  • Designar Delegado de Protección de Datos en los casos en que estén obligadas a contar con esa figura.
  • Elaboración de un Registro de Actividades del tratamiento que incluya la información obligatoria establecida en el RGPD que, entre otra, es: datos identificativos del responsable del fichero y del Delegado de Protección de Datos en caso de que la empresa lo precise, finalidad del tratamiento, descripción del tipo de datos personales tratados, etc.
  • Elaboración de un Análisis de Riesgos. Se trata de realizar una valoración del riesgo de los tratamientos de datos que realiza la empresa, a fin de poder establecer qué medidas de seguridad deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de: el tipo de tratamiento, la naturaleza de los datos, el número de interesados afectados, la cantidad y variedad del tratamiento llevado a cabo por el cliente.
  • Establecer las Medidas de Seguridad necesarias a la luz del resultado del Análisis de Riesgos.
  • Elaboración de un Protocolo de Notificación de Violaciones de Seguridad. Debe establecerse cómo actuará la empresa y qué pasos seguirá en caso de que se produzca la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
  • Realizar una Evaluación de Impacto sobre la Protección de Datos. Esta evaluación deberá llevarse a cabo con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
  • Adecuar los formularios de derechos de información de los titulares de los datos personales que la empresa va a tratar, es decir, redactar los consentimientos informados que deberán firmar los afectados. Con la nueva normativa los consentimientos deben otorgarse de forma expresa.
  • Establecer mecanismos y procedimientos de ejercicio de derechos. Se trata de articular los procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos de acceso, supresión, limitación, oposición y portabilidad.
  • Adaptación de los contratos con los encargados del tratamiento (proveedores de servicios que tienen acceso a datos personales). Con la nueva normativa aparecen nuevas exigencias y nuevas responsabilidad entre el responsable del fichero y el encargado del tratamiento, por lo que, todos los contratos de prestación de servicios deben adaptarse a las nuevas obligaciones en cuanto a protección de datos se refiere.
  • Revisión y en su caso, redacción de la Política de Privacidad de la web. De acuerdo al nuevo RGPD las políticas de privacidad de las web deben facilitarse por capas. Una primera capa de información básica que debe ir enlazada a una segunda capa de información adicional.
  • Documentar todo lo anterior mediante un Protocolo de Protección de Datos o Documento de Seguridad. Documento que recogerá qué tipos de datos recoge la empresa, qué hace con ellos y qué medidas de seguridad adopta para protegerlos. Se trata de una especie de protocolo de seguridad en relación al tratamiento de datos personales por parte de la empresa.

¿Cambios en los contratos con nuestros proveedores a causa del nuevo Reglamento General de Protección de Datos?

Es sabido que a partir del próximo 25 de mayo, con la aplicación del nuevo Reglamento General de Protección de Datos  se avecinan grandes cambios.

Uno de esos “grandes” cambios son las cláusulas que deberán contener los contratos entre el responsable del fichero y el encargado del tratamiento. Recordemos que el encargado del tratamiento es el prestador de servicio que, en función del servicio que presta, puede tener acceso a datos personales del responsable. Por ejemplo una gestoría laboral, la empresa de hosting, o la empresa que gestiona nuestro CRM.

Hasta la fecha el artículo 12 de la LOPD establecía qué información debía contener el contrato entre el responsable del fichero y el encargado del tratamiento. Información que en la mayoría de casos podía incluirse en una única cláusula dentro del contrato de prestación de servicios. Pero ahora, con el nuevo Reglamento General de Protección de Datos se exige una información mínima que difícilmente podrá incluirse en una única cláusula.

Seguir leyendo