¿Tu empresa cumple con la Ley de Protección de Datos?

La Agencia Española de Protección de Datos se ha mostrado abrumada por el volumen de notificaciones que está recibiendo por incumplimiento de la nueva normativa europea GDPR.

La implantación de la Regulación General de Protección de Datos (GDPR) cabría esperar que las empresas del país se hubieran adaptado completamente a ella, sobre todo porque en España ya contábamos con el precedente de la LOPD. Sin embargo, la Agencia Española de Protección de Datos (AEPD), al igual que las demás autoridades europeas, no cesa de recibir notificaciones y quejas por incumplimiento de la normativa.

Tanto es así, que la AEPD ha presentado en julio una nueva herramienta para ayudar a evaluar los riesgos referentes a la protección de datos y de este modo implantar un plan efectivo que ayude a cumplir con la nueva Ley. Gestiona EIPD guía a los responsables o encargados del tratamiento de los datos para que realicen una adecuada gestión de los mismos, mostrándoles los requisitos de cumplimiento normativo y posibles medidas destinadas a mitigar los riesgos.

Esta herramienta está destinada sobre todo a empresas que realizan tratamientos de alto riesgo, como puede ser la industria sanitaria, las pymes que utilicen datos biométricos o las agencias que procesan datos masivos. Así, se complementa con la herramienta Facilita RGPD, que se creó para ayudar a las compañías que realizan tratamientos de bajo riesgo.
La mayoría de las empresas españolas se han centrado en cumplir con el consentimiento, aunque no todas lo han hecho de la forma adecuada, ya que el consentimiento explícito de GDPR tiene muchas diferencias con el que se utilizaba con la antigua LOPD. Sin embargo, cumplir con la normativa europea es mucho más que eso, pues la nueva Ley debe entenderse no como una reforma de la LOPD, sino como una nueva concepción, en la que se protege el dato desde antes de recogerlo.

Las empresas que entiendan esta nueva concepción podrán tomarla como una ventaja diferencial, ya que con GDPR y con los escándalos de privacidad de las grandes empresas, los usuarios empiezan a buscar opciones diferentes que se centren en cuidar su privacidad.

Checklist: los puntos clave para cumplir con GDPR

La Asociación AUSAPE reúne diez puntos clave para cumplir con GDPR. Desde el registro de actividades del tratamiento de los datos hasta las transferencias de datos internacionales. Los explicamos a continuación:

Registro de actividades del tratamiento

Para cumplir con GDPR es necesario que todas las actividades referentes al tratamiento de los datos estén debidamente registradas. Así, habrá que determinar los tratamientos que se están llevando a cabo a partir de los que ya se han notificado a la AEPD y los que estén actualmente en proceso.

Consentimientos no tácticos

Una vez tengamos realizado el registro de todos los tratamientos que se están realizando en nuestra compañía, será necesario averiguar bajo qué bases se están manejando los mismos. Es decir, si ha sido por consentimiento, contrato, ley, interés legítimo… Si existen tratamientos de datos basados en el antiguo consentimiento tácito, habrá que volver a pedir el consentimiento, ya que en GDPR éste ha de ser explícito y bien informado.

Información muy clara y sencilla

Los formularios y las leyendas por defecto que tanto se repetían por Internet ya no son válidas, por lo que se deben revisar todos estos documentos en papel, formularios web, contratos y otros elementos utilizados para la recogida de datos. Para que cumplan con GDPR tienen que estar escritos con un lenguaje sencillo y claro, explicado primero en un breve resumen y luego ampliado en bloques de tratamiento, y nunca de forma global.

Derechos

Los clásicos derechos ARCO de la LOPD han sido ampliados, por lo que será necesario actualizar los procedimientos que se llevaban a cabo anteriormente para garantizarlos según GDPR. Ahora, los ciudadanos tienen derecho a ser informados, a restringir el procesamiento, a la portabilidad de sus datos, a la supresión y a la toma de decisiones con respecto a la toma de decisiones automatizada.

Cumplimiento proactivo

Con GDPR las empresas tienen que cumplir con el principio de responsabilidad activa. Para ello, deberán establecer políticas y procedimientos por defecto y desde el principio. Es decir, que deben ser conscientes de los riesgos de los tratamientos que realizan para poder proteger adecuadamente los datos y los derechos y libertades de las personas durante el tratamiento de los mismos.

Análisis de riesgos

Un análisis de los riesgos ayudará a cumplir con el principio de responsabilidad activa. Según los resultados de este examen, las empresas deberán establecer las medidas organizativas y técnicas que sean necesarias para garantizar los derechos y libertades de los usuarios.

Evaluaciones de impacto

Las compañías que realizan tratamientos de alto riesgo están obligadas a realizar evaluaciones de impacto para determinar si los medios, la necesidad y la proporcionalidad no suponen un riesgo para los derechos y libertades de los interesados, pues de lo contrario deberían ponerse en contacto con la AEPD. Para este paso, será muy útil la mencionada herramienta Gestiona EIPD.

Delegado de protección de datos

GDPR obliga a designar un Delegado de Protección de Datos (DPO, por sus siglas en inglés) a las administraciones públicas y a las empresas privadas que gestionan datos masivos o utilizan la observación de personas por medios físicos (video vigilancia) o informáticos, como por ejemplo con el uso de herramientas de marketing que controlan los clics de los usuarios.

Además, con la actualización de la LOPD, en España también están obligados a designar un DPO que garantice el cumplimiento de la protección de datos los colegios profesionales, los centros docentes, las empresas de telecomunicaciones y prestadores de servicios a la sociedad de la información, las entidades bancarias y compañías de seguros, las compañías de energía, electricidad y gas; los responsables de ficheros de morosos, los responsables de los ficheros regulados por la ley de prevención de blanqueo de capitales, las agencias de publicidad que elaboren perfiles de usuarios, los centros sanitarios, las entidades que realicen informes comerciales de personas físicas, los operadores de juego online, las empresas de seguridad privada y las federaciones deportivas que traten datos de menores de edad.

Transferencias internacionales de datos

Cuando se realicen transferencias internacionales de datos deberán tenerse en cuenta las nuevas condiciones de GDPR para exportar datos fuera de la Unión Europea. Por ejemplo, si se trata de un país con protección equiparable, si hay garantías en la transferencia o si existe alguna excepción que incluya la normativa.

Con estos diez puntos, una empresa debería estar preparada para cumplir con la normativa europea de protección de datos y, a su vez, con la nueva LOPD.