• Certificado de Calidad

    ISO 9001:2015 / ES-0395/2014
  • Grupo Líder

    En España

NUEVO REGLAMENTO DE PROTECCION DE DATOS

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituir. a la actual normativa vigente y pone como fecha límite el 25 de mayo de 2018. Este periodo de dos a.os tuvo como objetivo permitir que los estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos, lleven a cabo las acciones requeridas para implementar el R.G.P.D.

El principal fin de la nueva normativa europea es aportar un marco único comunitario para la protección de datos. Con esta nueva norma, se debe adquirir un mayor compromiso con la privacidad y la gestión de los datos.

NUEVAS OBLIGACIONES

CONSENTIMIENTO

Procurar el consentimiento inequívoco, y no tácito, del cliente para el uso de sus datos. Es decir, el cliente deber. realizar un acción afirmativa que nos permita tratar los datos, como por ejemplo poniendo un tick en una casilla o firmado un documento.

NOTIFICACION DE BRECHAS DE SEGURIDAD

Estaremos obligados a notificar una brecha o violación de seguridad si la misma afecta a datos personales y cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.

NUEVAS CLAUSULAS E INFORMACION

Hay que dar mayor información al cliente., le debe quedar claro qui.n trata sus datos, cómo los trata y por qué los trata. También incluir nuevas cláusulas de elección del proveedor que nos realiza un servicio.

DPO (DELEGADO DE PROTECCION DE DATOS)

Para ciertos tratamientos, que entra.en graves riesgos para los derechos y libertades de las personas, como los psicólogos, los detectives privados, los colegios, etc, podrá ser necesaria la existencia de un Delegado de Protección de Datos.

EIPD (EVALUACION IMPACTO EN LA PROTECCION DATOS PERSONALES)

Deberemos hacer un análisis previo de los riesgos que conlleva para las personas que dejan sus datos en él. En ciertos casos, debido al riesgo, este análisis previo deber tomar la forma de una Evaluación de Impacto en la Protección de Datos Personales (PIA).

 

 

 

 

COMO IMPLANTAR LA NORMATIVA

1.- FICHEROS

Se deben identificar los tratamientos que contengan datos de carácter personal, cada tratamiento se consideraría un fichero.

  • • Empleados
  • • Clientes o pacientes
  • • Proveedores
  • • Videovigilancia
  • • Usuarios web

Además se debe especificar la finalidad para que se usan esos datos.

2.- RECONOCIMIENTO DEL NIVEL DE SEGURIDAD APLICABLE

Una vez identificados los tipos de datos que tratamos deberemos analizar si ello implica un riesgo para esas personas, ya que no es lo mismo tratar solo un correo electrónico que una historia clínica. Por tanto, tenemos que establecer las medidas de seguridad que aplicaremos a los datos personales.

3.- EVALUACION DE IMPACTO

Como ya mencionamos con anterioridad, en ciertos casos, este análisis previo deberá tomar forma de EIPD, debido al tipo de datos tratados o el riesgo que puede suponer su tratamiento para los afectados.

Es obligatorio en los siguientes casos:

  • • Alto riesgo de derechos y libertades
  • • Evaluaci.n Sistem.tica
  • • Tratamiento a gran escala
  • • Uso de Tecnolog.as invasivas

4.- ELABORACION DEL DOCUMENTO DE SEGURIDAD

El Documento de Seguridad, es un documento en el cual se resume todo aquello relativo al tratamiento de datos personales dentro de la actividad profesional, como por ejemplo:

  • • Ficheros inscritos
  • • Contratos de encargo de tratamiento
  • • Empleados que acceden a los datos
  • • Sistemas de seguridad instalados
  • • Inventario de sistemas que tratan los datos, como ordenadores
  • • Registro de incidencias

5.- FORMACIÓN

El Responsable del Fichero, deber. tener una mínima formación en la materia que le permita tratar los datos conforme a la normativa.

6.- INFORMACION A LOS PROPIETARIOS DE LOS DATOS

Es necesario informar a los afectados por el tratamiento de, al menos:

  • • El nombre del responsable
  • • La legitimación para la recogida de los datos, es decir, el por qué podemos tratar sus datos
  • • Para que se usan
  • • Cómo ejercitar los derechos

7.- PLAZO DE CONSERVACION DE LOS DATOS

Una de las novedades que nos presenta el RGPD, es la necesidad de informar del plazo de conservación de los datos. Por desgracia no existe un plazo mínimo de conservación único, sino que dependiendo de la documentación que se trate ser. un periodo determinado u otro.

8.- REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO (NIVEL MEDIO/ALTO)

Posteriormente solo ciertas actividades que traten datos específicos deberán llevar a cabo un registro interno de estos ficheros. Este registro interno ser. conocido como Registro de las Actividades de Tratamiento.

No es obligatorio con menos de 250 empleados, salvo si son datos:

  • • Especiales (salud, origen .tnico, religioso…).
  • • Condenas e infracciones penales
  • • Riesgo para los derechos y libertades

SANCIONES EN PROTECCION DE DATOS RGPD

De esta forma, las sanciones se fundamentan seg.n la responsabilidad y capacidad de intervención, además del delito cometido y el grado de afectación.

Sanciones RGPD

El RGPD indica que los estados miembros adoptar.n todas las medidas necesarias para garantizar la correcta aplicación y cumplimiento del marco normativo aplicando sanciones efectivas, proporcionadas y disuasorias. Las multas administrativas se impondrán, en función de las circunstancias de cada caso en particular teniendo en cuenta: En España, se mantiene la distinción entre infracciones muy graves, graves y leves con la imposición de diferentes cuantías en función de:

  • • El carácter continuado de la infracción.
  • • La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
  • • Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  • • La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
  • • La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

 

  • El plazo de prescripción de las sanciones comenzar. a contarse desde el d.a siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción.