logo
05.03.2018
CÓMO ADAPTARSE AL NUEVO REGLAMENTO EUROPEO DE PROTECCION DE DATOS

AECTA, contando con la colaboración de AUREN CONSULTORES, ha organizado una jornada en la que se analizó el Reglamento Europeo de Protección de Datos (RGPD) y los cambios que deben introducirse en el Sistema de Protección de Datos para adaptarse a dicho Reglamento, así como las principales modificaciones previstas en la nueva Ley Orgánica de Protección de Datos (LOPD).


El ponente D. Miguel Sánchez Masegosa, Gerente de Auren, y con más de 18 de años de experiencia en implantación y auditorías de sistemas de protección de datos, impartió una sesión en la que además de dar a conocer las principales novedades del RGPD y los cambios que se avecinan, expuso a los asistentes un plan de acción para que las empresas pudieran ponerse al día y adecuar su actual sistema a los nuevos requisitos.


El nuevo RGPD será directamente aplicable y de obligado cumplimiento el 25 de mayo de 2018. Esta norma nace con la clara vocación de garantizar la aplicación de los derechos y libertades de las personas físicas en relación con el tratamiento de datos de carácter personal para que se realice de manera coherente y homogénea en todos los Estados miembros. 


En la jornada se indicó que, aunque no se llegará a aprobar el proyecto de la nueva LOPD en España antes del 25 de mayo, el nuevo Reglamento Europeo sería de obligado cumplimiento, por lo que deberemos tener en cuenta, entre otras, las siguientes cuestiones:


1. Disponer de un registro de tratamientos realizados que viene a sustituir la obligación de inscripción de ficheros en la AGPD


2. Realizar una Evaluación de impacto relativa a la protección de datos y un análisis de los riesgos. A partir de ello deberán establecerse las medidas organizativas y técnicas necesarias.


3. Obligación de notificación, de las violaciones de seguridad que afecten a datos personales, por parte del Responsable a la Autoridad de Control en un plazo de 72 horas.


4. Designar un Delegado de Protección de Datos (DPD) cuando proceda. Este DPD podrá pertenecer a la propia entidad o ser externo, si bien deberá ser designado atendiendo a sus cualidades profesionales, y conocimientos y práctica en materia de protección de datos.


5. Aplicar los principios del RGPD y derechos de los ciudadanos, tales como como la Transparencia, Información, el derecho al olvido, limitación del tratamiento, portabilidad de los datos y oposición a tomar decisiones individuales automatizadas, incluida la elaboración de perfiles.


Se trataron aspectos como la obligación que tienen las entidades a ser más activas y constantes en el cumplimiento de la legislación de protección de datos y de demostrarlo, y a lo que Miguel Sánchez denominó: “la empresa debe demostrar su debida diligencia con el cumplimiento de la protección de datos y la implantación de las medidas de seguridad adecuadas al nivel de riesgo determinado”.


Los aspectos anteriormente citados, junto con los nuevos cambios que introduce el Reglamento y la complejidad de algunos de ellos, como la privacidad desde el diseño y por defecto y las evaluaciones de impacto, hacen necesario el ir realizando ya acciones de cara a poder garantizar un adecuado cumplimiento del Reglamento a su entrada en vigor. Para ello, la figura del DPD, así como los asesores expertos en privacidad de datos personales en los casos que sea necesario, es de gran relevancia para acometer este objetivo.


Para cerrar la sesión, D. Miguel Sánchez, expuso un plan de acción valido para cualquier empresa, para adecuarse al nuevo reglamento, partiendo de los ficheros inscritos en la AGPD y del documento actual de seguridad, y que consiste en:


1. Revisar si todos los ficheros están legitimados y se dispone del consentimiento.


2. Actualizar las coletillas de todos los formularios para adecuarlas al RGPD


3. Hay un máximo de cuatro años para actualizar los contratos con los encargados de tratamiento según el modelo publicado por la AGPD


4. Realizar un análisis de riesgos y EIPD para determinar las medidas de seguridad a implantar.


5. Confeccionar un registro de actividades de tratamiento.


6. Actualizar el documento de seguridad a la actual normativa


7. Nombrar, si procede, un Delegado de Protección de Datos, sea interno o externo.