Si trata datos personales, cruza datos obtenidos de los interesados con otros disponibles de otras fuentes o está tratando grandes cantidades de información (Big data), debe de tener claro que gestionar la información de otros le exigirá a partir de mayo de 2018, fecha en la que estará plenamente vigente el nuevo Reglamento General de Protección de Datos de ámbito europeo (RGPD), revisar los sistemas de registro de consentimiento y en consecuencia los modelos o formularios diseñados conforme la LOPD ahora vigente.
Sepa, además, que el consentimiento debe ser informado, específico e inequívoco, proporcionando información clara y entendible a los usuarios. No pudiéndose deducir dicho consentimiento del silencio o de la inacción de los ciudadanos, por lo que se requiere de una acción positiva que indique el acuerdo de los interesados.
Precisamente si hay algo que ha puesto en relieve el nuevo Reglamento es que el papel se ratifica ya como una brecha importante para una buena organización de la información, siendo la digitalización un paso ineludible para una mayor eficiencia, mejor control y lograr una mayor seguridad de la datos.
Encontrar la información que necesite será clave para responder con celeridad al borrado de la información personal, pero también contar con un buen sistema de almacenamiento y clasificación que evite copias o impresiones de documentos confidenciales o dificulte la portabilidad de esos mismos datos.
Veamos cuáles son los puntos más importantes de la nueva normativa:
1.- Quién y cuando debe informar
En el nuevo Reglamento recae este cometido sobre el Responsable del Tratamiento de los datos en la empresa. Además, la información se debe poner a disposición de los interesados en el momento que se soliciten los datos, “previamente a la recogida de los datos o el registro, si ésta se obtiene directamente del interesado”. Si los datos se recaban sin autorización del interesado, en el caso de ser una fuente de carácter público, por ejemplo, el responsable deberá comunicar la existencia de estos datos en el plazo de un mes desde que se obtuvieron los datos, en la primera comunicación con el interesado, o antes de que sus datos se hayan comunicado a los interesados.
2.- Dónde y cómo informar
Los procedimientos de recogida de información pueden muy variados, desde formularios en papel, entrevista telefónica, navegación, formularios web, registro de aplicaciones móviles… En todo caso, la normativa establece que la información debe proporcionarse con “lenguaje claro, sencillo, de forma concisa, transparente, inteligible y de fácil acceso”. Se introduce unos requisitos adicionales que endurecen el procedimiento de recogida de información, como, por ejemplo, establecer de forma clara cuáles son los plazos o criterios de conservación de la información que se maneja.
3.- Análisis de riesgo y evaluaciones de impacto
Las compañías deben prepararse para realizar análisis de riesgo y evaluaciones de impacto, esto contempla tanto la naturaleza, como el ámbito, el contexto y fines del tratamiento de datos, con énfasis en el riesgo que este tratamiento entraña para los derechos y libertades de las personas. El Reglamento se orienta al denominado “Principio de responsabilidad proactiva” que obliga a la adopción de medidas técnicas y organizativas que no solo garanticen la correcta aplicación del Reglamento, sino que, además, puedan demostrar su eficacia ante las autoridades y los interesados. Se amplia la obligación de comunicar las brechas o incidentes de seguridad tanto a los afectados y Agencia de Protección de Datos, como a todos los operadores del mercado que traten con datos de carácter personal en un plazo de 72 horas en vez de las 24 horas anteriormente obligadas.
4.-Derecho al olvido y portabilidad
Es necesario tener la capacidad de eliminar datos cuando dejen ser necesarios a la finalidad con los que se recabaron. Es lo que se llama derecho al olvido de los ciudadanos, que también incide en los ámbitos en los que el usuario retire su consentimiento o que se haya recogido de forma ilícita. En este punto es muy importante que las empresas cuenten con unos buenos sistemas de clasificación de la información, ya que deberán responder rápidamente al borrado de la información con carácter personal. Igualmente que una buena gestión documental favorece a una mejor localización y eficiencia en de la información.
5.- Delegado de Protección de Datos
No bastará con nombrar a un Responsable de Seguridad que garantice la salvaguarda y el control de esta información, sobre todo en empresas de más de 250 trabajadores, donde se instaura la obligatoriedad de implantar la figura del Delegado de Protección de Datos. Su misión: ser el encargado de salvaguardar y tener el control de los datos en la empresa asesorando sobre las líneas de trabajo a seguir en el tratamiento, pero sobre todo será el perfil indicado para cooperar con la autoridad y actuar como interlocutor ante el órgano competente. Su designación no eximirá a la empresa de responsabilidad sobre lo que se haga con los datos de terceros, ni mucho menos del cumplimiento de las normas del propio RGPD, por lo que las organizaciones de menor tamaño se verán forzadas a establecer un protocolo aún mayor en el tratamiento de estos datos, más allá de la existencia de fichero, su finalidad, o la posibilidad de ejercer el derecho de acceso, rectificación cancelación y oposición. Para el resto de las compañías, aquellas que no lleguen a esa cifra de 250 trabajadores, la normativa introduce como instrumento “voluntario” esta figura, aunque con excepciones que convienen tener claro. Por tanto, estarán obligadas aquellas compañías que en el ejercicio de su actividad realicen un seguimiento sistemático y periódico de los datos personales, bien para la monitorización o la investigación de mercados, con lo que también deberán asumir su contratación. Por ejemplo: manejar datos crediticios o de solvencia patrimonial y análisis de riesgos, entre otros, determinan ya la naturaleza de datos “especialmente protegidos”, por lo que se impondrá la necesidad de identificar a un responsable y en estos casos, también la presencia del Delegado de Protección de Datos. A esta figura se le exigirá cualidades profesionales acreditadas, “con conocimientos especializados en legislación y con capacidad suficiente para ejecutar los cometidos contemplados en el Reglamento”.
La AEDP está desarrollando herramientas que facilitan el cumplimiento del nuevo Reglamento a responsables y encargados de los datos. Entre estas herramientas la Agencia Española promete la próxima implementación de un recurso online orientado a pymes que realicen tratamientos de bajo o muy bajo riesgo y para más tarde se anuncian soluciones orientadas a las pymes que trabajen con datos que conllevan niveles de riesgo mayor.
Para ampliar información puede consultar varías guias elaboradas y actualmente disponibles en la web de la Agencia de Protección de Datos.
En el Grupo Korporate Technologies le ayudamos a mantener más segura la información en su empresa. Consulte nuestro amplio abanico de soluciones y productos.