UNA APROXIMACIÓN SOBRE CÓMO PUEDEN LOS DESPACHOS Y EMPRESAS ABORDAR LA PROTECCIÓN DE DATOS

25 de noviembre de 2018

El pasado 25 de mayo de 2018 entró en vigor la nueva normativa de Protección de Datos, a través de un Reglamento de la Unión Europea, que es de obligado cumplimiento por todos los países. En estos momentos, se está tramitando una Ley en el Parlamento español que sustituya a la normativa actual, adecuándose al reglamento europeo.

El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas, teniendo en cuenta las circunstancias propias de cada empresa. Es de aplicación obligatoria para los datos de carácter personal (que estén en una nube, en un ordenador o en papel, etc.), tanto si es por recogida, conservación, consulta, utilización u otro tratamiento de esos datos.

regulation-3246979_640

Seguro que la mayoría de las empresas son conocedoras del cambio del pasado 25 de mayo de 2018, pero una vez pasados los primeros días y perdido el “miedo a la nueva situación”, habremos ido perdiendo fuerza en la adaptación y el control.

Por tanto, es el momento de hacer una reflexión sobre si hemos hecho todos los cambios necesarios. En concreto, tendremos que revisar:

  1. Si todos los datos personales que tenemos (y de los que hacemos uso) se sustentan en un interés legítimo y/o tenemos el consentimiento expreso del interesado.

Por ejemplo: hay que ver todas las direcciones de correos electrónicos a los que enviamos masivamente con contenidos informativos y al mismo tiempo publicitario, newsletter y, en general, cualquiera que se aparte del ámbito estricto del suministro de servicios a cada cliente.

  1. Si las cláusulas informativas en los documentos de recogida de datos, pies de correos electrónicos, formularios de la página web y sus políticas de privacidad y aviso legal, avisos de cámaras de videovigilancia, etc., se ajustan a los derechos de los interesados previstos en el RGPD.
  2. Si los tratamientos de los datos que estén externalizados se sustentan en un contrato de tratamiento de datos que vincule al encargado respecto del responsable.
  3. Si en el proceso de evaluación y mitigación de riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable de tratamiento ha previsto las medidas técnicas y organizativas apropiadas a fin de garantizar un nivel de seguridad adecuado al riesgo y poder demostrar que el tratamiento es conforme al RGPD.
  4. Si se ha documentado mediante un registro de actividades para cada uno de los tratamientos identificados, que habrá de contener el análisis de los riesgos, las cláusulas informativas a incluir en los formularios de solicitud de información, el documento a anexar en cada uno de los contratos de prestación de servicios y un anexo con recomendaciones sobre medidas de seguridad aplicables a los tratamientos de datos personales, permite al responsable de tratamiento establecer un enfoque proactivo en el tratamiento de datos personales y abordar con garantías la adecuación del despacho al RGPD.
  5. Si estamos obligados a nombrar a un Delegado de Protección de Datos (DPD o DPO) y, en caso afirmativo, si se comunicó este nombramiento a la Agencia Española de Protección de Datos (AEPD)

matrix-2883622_640Como resumen, la relación con el cliente o proveedor está sustentada en un contrato, por lo que se pueden seguir enviando facturas, albaranes, notificaciones, correos, etc, basados en ese contrato.

Para enviarles algo fuera de la relación contractual que mantengamos (publicidad de otros productos no contratados, etc), lo mejor es recabarles el consentimiento y, sobre todo, en caso de duda, abstenernos de enviar nada. Si la información que se tiene es de una empresa, no sería información personal en relación con el Reglamento de Protección de Datos.

Importante, no hay que olvidarse de los archivos en papel. Esta normativa no se dirige exclusivamente a archivos informáticos, lo que ocurre es que hoy día este tipo de archivos (informáticos) son mayoría en las empresa, y esto hace que se nos olvide establecer protocolos de actuación en relación con la conservación, acceso, destrucción, etc, de la documentación en papel que contiene datos personales.

 

Fotos: TheDigitalArtist y geralt

Un pensamiento en “UNA APROXIMACIÓN SOBRE CÓMO PUEDEN LOS DESPACHOS Y EMPRESAS ABORDAR LA PROTECCIÓN DE DATOS

  1. Además, del “Consentimiento”, base legal tradicional de tratamiento y del “Interés Legitimo”, una de las nuevas, el RGPD introduce mas bases legales de tratamiento que son convenientes revisar y adaptar a cada caso. Es uno de los primeros pasos necesarios.

    Luego, recordad que es necesario en todos los casos un Análisis de Riesgos, para poder establecer las medidas técnicas y organizativas que exige el RGPD, es el nuevo enfoque de la privacidad basado en riesgos. En algunos casos, habrá que hacer una Evaluación de Impactos (EIPD), con la misma finalidad.
    Cada despacho aunque presten servicios similares, tendrá sus propios riesgos en consecuencia sus especificas medidas a adoptar y a comunicar a sus Encargados de Tratamiento.

    Atentamente,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>