Para finalizar con los ejemplos de políticas de protección de datos, no debemos olvidar la más importante.

Auditar y evaluar los riesgos es imprescindible para cualquier organización.

Es decir,

• debemos establecer los requisitos y procedimientos
• para la realización de evaluaciones periódicas de riesgos
• con el fin de salvaguardar la seguridad de la información
• y con el objeto de determinar vulnerabilidades
• e iniciar los procesos de corrección correspondientes.

En consecuencia, es necesario comprender el riesgo del tratamiento de los datos sensibles, por lo que el análisis de riesgo de datos incluye descubrir, identificar y clasificar ese riesgo.

De esta manera, los administradores de datos pueden tomar medidas tácticas y estratégicas para asegurar que los datos sean seguros.

En primer lugar debes considerar que las medidas necesarias se imponen de manera diferente en función de cada empresa.

No obstante, hay algunas precauciones que toda empresa debe tomar y que detallamos a continuación:

CHECKLIST DE AUDITORÍA

• Establece los procesos de documentación para el tratamiento de datos personales.
• Crea un directorio para las tareas de procesamiento de datos.  
• Crea vías de comunicación para las consultas de los clientes sobre protección de datos.  
• Evalúa si es necesario recurrir a un delegado de protección de datos.
• Adapta la declaración de privacidad de tu página a las nuevas regulaciones.
• Consulta con el jefe del departamento técnico y los delegados de protección de datos si las medidas técnicas actuales sobre protección de datos son suficientes. En algunas circunstancias será necesario recurrir a otras medidas o integrar mejor en la infraestructura de TI las ya existentes.
• Todos los datos personales recopilados que infringen la prohibición de asociación deben recabarse de otro modo y obtenerse de manera voluntaria.
• Si has recurrido a servicios externos para procesar datos personales para tu empresa, debes consultarles si los acuerdos celebrados son de conformidad con la reforma sobre protección de datos. Adapta los acuerdos a las nuevas exigencias.
• Comprueba la manera en que solicitas el consentimiento de tus potenciales clientes, tanto los que solicitan tus productos o servicios de la manera tradicional, como los que lo solicitan  en tu tienda online y adapta dichos procedimientos a las disposiciones del RGPD.
• Mantente actualizado sobre todo lo relativo al Reglamento ePrivacy. En el futuro podrás regular cómo los negocios online tratan con herramientas de análisis y de seguimiento.
• Si no estás seguro, busca asesoramiento profesional.

CONCLUSIÓN

Tal y como puede deducirse de la anterior lista ejemplificativa, el análisis de la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, cuyos datos personales son tratados por un responsable o un encargado, serán determinados en la definición de las políticas de protección de datos personales que resulten oportunas para asegurar los datos personales.

Este mismo análisis brindará conclusiones sobre la proporcionalidad de las políticas de protección de datos que deban ser adoptadas en cada caso, dado que cada responsable y encargado, y las actividades de tratamiento que cada uno realice, serán diferentes y diferenciables.

La entrada PROTECCIÓN DE DATOS.POLÍTICAS (VI) se publicó primero en Gestiona Abogados.

¿Qué es Privacy by design (PbD)?

Privacidad desde el diseño, o “Privacy by Design” es un concepto que la doctora Ann Cavoukian desarrolló en los años 90 para abordar los efectos cada vez mayores y sistémicos de las Tecnologías de la Información y la Comunicación, y de los sistemas de datos en red a gran escala.

En octubre de 2010, los reguladores de la Conferencia Internacional de Autoridades de Protección de Datos y Comisionados de Privacidad aprobaron por unanimidad una Resolución que reconoce la Privacidad por Diseño como un componente esencial de la protección fundamental de la privacidad. 

“El futuro de la privacidad no se puede asegurar únicamente mediante el cumplimiento de los marcos regulatorios; más bien, la garantía de privacidad idealmente debe convertirse en el modo de operación predeterminado de una organización”.

“Reemplazar el modelo existente de suma cero de uno / o con un paradigma de suma positiva (ganar / ganar) doblemente habilitado será esencial”.

¿Qué abarca PbD?

Privacy by Design se extiende a una trilogía de aplicaciones que abarca: 

• Sistemas informáticos 
• Prácticas comerciales responsables.
• Infraestructura en red. 

Los principios de privacidad por diseño pueden aplicarse a todos los tipos de información personal, pero deben aplicarse con especial vigor a datos confidenciales como información médica y datos financieros. 

La solidez de las medidas de privacidad implementadas tiende a ser proporcional a la sensibilidad de los datos.

Objetivos de PbD

Los objetivos de Privacidad desde el diseño son :

• garantizar una privacidad sólida
• obtener un control personal sobre la información personal
• obtener una ventaja competitiva sostenible

Los siete principios fundamentales

1. Proactivo no reactivo: preventivo no reparador

• El marco de Privacy by Design (PbD) se caracteriza por la adopción de medidas proactivas en lugar de reactivas. 
• Anticipa los riesgos y previene eventos invasivos de privacidad antes de que ocurran. 
• PbD no espera a que se materialicen los riesgos de privacidad, ni ofrece soluciones para resolver las infracciones a la privacidad una vez que han ocurrido.
• Su objetivo es identificar los riesgos y evitar que surjan daños. 
• En resumen, la Privacidad por Diseño viene antes, no después.

2. Privacidad como configuración predeterminada

• Todos podemos estar seguros de una cosa: ¡las reglas predeterminadas! 
• Privacy by Design busca ofrecer el máximo grado de privacidad al garantizar que los datos personales se protejan automáticamente en cualquier sistema de TI o práctica empresarial determinada, como opción predeterminada. 
• Si un individuo no hace nada, su privacidad permanece intacta. 
• No se requiere ninguna acción por parte del individuo para proteger su privacidad: ya está integrado en el sistema, de forma predeterminada.

3. Privacidad incrustada en el diseño

• Las medidas de privacidad están integradas en el diseño y la arquitectura de los sistemas de TI y las prácticas comerciales. 
• Estos no están incluidos como complementos, después del hecho. El resultado es que la privacidad se convierte en un componente esencial de la funcionalidad central que se entrega. 
• La privacidad es, por lo tanto, integral al sistema, sin disminuir la funcionalidad.

4. Funcionalidad completa: suma positiva, no suma cero

• Privacy by Design busca acomodar todos los intereses y objetivos legítimos de una manera positiva de «ganar-ganar», no a través del enfoque con fecha, suma cero (uno u otro), donde se hacen concesiones innecesarias. 
• Privacy by Design evita la simulación de falsas dicotomías, como privacidad frente a seguridad, lo que demuestra que es posible tener ambas.

5. Seguridad de extremo a extremo: protección completa del ciclo de vida

• La privacidad desde el diseño, que se integró en el sistema antes de que se recabara el primer elemento de información, se extiende de manera segura durante todo el ciclo de vida de los datos involucrados.
• Las medidas de seguridad estrictas son esenciales para la privacidad, de principio a fin. 
• Esto garantiza que todos los datos se recopilen, utilicen, retengan y destruyan de forma segura al final del proceso, de manera oportuna. 
• Por lo tanto, Privacy by Design garantiza una gestión integral y segura del ciclo de vida de la información, de extremo a extremo.

6. Visibilidad y transparencia: mantenerlo abierto.

• Privacy by Design busca asegurar a todas las partes interesadas que, independientemente de la práctica comercial o la tecnología involucrada, opera de acuerdo con las promesas y objetivos establecidos, y está sujeta a verificación independiente. 
• El sujeto de los datos es plenamente consciente de los datos personales que se recopilan y con qué propósito (s). 
• Todas las partes y operaciones de los componentes permanecen visibles y transparentes, tanto para los usuarios como para los proveedores. 
• Recuerda, confía pero verifica!

7. Respeto por la privacidad del usuario: manténgalo centrado en el usuario

• Por encima de todo, Privacy by Design requiere que los arquitectos y operadores mantengan los intereses de las personas en primer plano.
• Ofrecer medidas tales como valores predeterminados de privacidad sólidos, aviso apropiado y habilitación de opciones fáciles de usar. 
• El objetivo es garantizar la privacidad centrada en el usuario en un mundo cada vez más conectado. 
• Mantenlo centrado en el usuario.

Aplicación empresarial PbD .

Teniendo un enfoque más práctico, ¿qué va suponer esto para mi empresa?

Pues que a la hora de diseñar o contratar una plataforma o aplicación con incidencia en la privacidad deberemos tener en cuenta:

• Las necesidades especiales para proteger la información privada
• Aspectos técnicos
• Aspectos jurídicos

Con esto evitaremos tener que estar rediseñando los sistemas para adaptarlos a este ámbito, por lo que reduciremos los costes,  ya que puede resultar bastante caro tener que salvar errores después de que ya se ha diseñado o implementado el servicio o plataforma en la entidad.

¡Importante a tener en cuenta!

Las medidas que se adopten deberán ser proporcionales y en función de la sensibilidad de los datos que se pretenden recoger o tratar.

Esperamos que después de este post te haya quedado más claro lo que es uno de los principales principios del nuevo RGPD.

Pero si no es así, no te quedes con dudas, contáctanos en el Tlf 96 291 50 25  y cuenta con el asesoramiento experto de uno de nuestros abogados desde el primer minuto.

La entrada PRIVACY BY DESIGN (PbD).RGPD se publicó primero en Gestiona Abogados.

• Lo primero que tiene que hacer la empresa en su Registro de Actividades de Tratamiento es definir la  naturaleza, cualificación, funciones y competencias del Delegado de Protección de Datos (DPD o DPO en sus siglas en inglés).
• Una vez se ha decidido el nombramiento de un DPD, se debe incluir en el RAT  el documento de designación, a suscribir por las partes, tanto para el caso en que sea obligatorio contar con esta figura, como en el caso en que  la empresa determine la conveniencia de su designación, aunque no fuera obligatorio.
• Se recomienda documentar, en este Protocolo, la fundamentación jurídica que justifique tanto la obligatoriedad de la designación, como la no obligatoriedad de la designación del DPD en la empresa.
• En el caso de que la empresa designe al DPD, se debe notificar su nombramiento a la Agencia Española de Protección de Datos, por lo que se recomienda incluir en el Protocolo interno la fecha de comunicación a la AEPD, y anexar el justificante de la notificación realizada.

• En base a lo anterior, la Agencia Española de Protección de Datos (AEPD) ha puesto en marcha en su Sede electrónica un procedimiento para que las Administraciones Públicas y las entidades privadas obligadas a designar un Delegado de Protección de Datos (DPD) puedan comunicar este nombramiento, tal y como la normativa establece.

• El nuevo procedimiento para la comunicación del Delegado de Protección de Datos es un formulario online al que se accede con certificado electrónico, en cumplimiento del artículo 14 de la Ley 39/2015 , del Procedimiento Administrativo Común de las Administraciones Públicas.

• Se recomienda asimismo que la Memoria Anual que realice el DPD, así como cualquier documento o proceso interno que desarrolle, se anexen a este Protocolo.

¿Cuándo es necesario un delegado de protección de datos?

Atendiendo al art. 37, RGPD, el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala,
3.  las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (art. 9, RGPD) y de datos relativos a condenas e infracciones penales (art. 10, RGPD)

En casos distintos de los contemplados anteriormente, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.

A menos que sea obvio que una organización no está obligada a designar un DPO, los responsables del tratamiento de datos personales deben documentar el análisis interno realizado para determinar si necesita un DPO.

Cuando una organización designa un DPO de manera voluntaria se aplican los mismos requisitos establecidos en casos de designación obligatoria.

Esto no impide que una organización, que no desee designar un DPO de manera voluntaria y no está legalmente obligado a designar, contrate personal o consultores externos con tareas relacionadas con la protección de datos personales. En este caso, es importante garantizar que no haya confusión respecto a su título, estado, cargo y tareas. Debería quedar claro, en las comunicaciones dentro de la empresa, así como con las autoridades de protección de datos, las personas y público en general, que el título de esta persona, o consultor, no es un “DPO”.

Autoridad u Organismo público

El GDPR no define qué constituye una autoridad u organismo público. La UE considera que dicha noción debe determinarse con arreglo a la legislación nacional.

En tales casos, la designación de un DPO es obligatoria.

Una tarea pública puede ser llevada a cabo no sólo por parte de Autoridades u organismos públicos, sino también por otras personas físicas o jurídicas de derecho público o sectores tales como:

• Servicios de transporte,
• Suministro de energía,
• Infraestructuras viarias,
• Servicio público de radiodifusión,
• Vivienda pública o
• Profesiones reguladas.

Datos a gran escala

Otro supuesto en el que debe designarse un DPO es cuando el tratamiento de datos personales se realice a gran escala. El GDPR tampoco define lo que constituye gran escala.

De hecho, no es posible dar un número preciso, ni con respecto a la cantidad de datos procesados ni con el número de personas afectadas.

Esto no excluye la posibilidad de que con el tiempo, una práctica estándar pueda desarrollarse, para especificar en objetivos cuantitativos lo que constituye una «gran escala» para determinados tipos de actividades.

En cualquier caso, se recomienda que se tengan en cuenta los siguientes factores:

• Número de sujetos afectados, ya sea como número específico o como proporción de población relevante.
• Volumen de datos y / o el rango de diferentes elementos de datos que se están procesando.
• Duración o permanencia de la actividad de procesamiento de datos.
• Extensión geográfica de la actividad de transformación.

Ejemplos de procesamiento a gran escala:

• Procesamiento de datos de pacientes, en el curso regular de los negocios, por un hospital.
• Tratamiento de datos de viajes de personas que utilizan el sistema de transporte público de una ciudad (por ejemplo, tarjetas de viaje).
• Procesamiento de datos geográficos, en tiempo real, de clientes de una cadena internacional de comida rápida, para fines estadísticos, por un procesador especializado en la prestación de estos servicios.
• Gestión de datos de clientes, en el curso normal de los negocios, por una compañía de seguros o un banco.
• Procesar datos personales para publicidad conductual mediante un motor de búsqueda.
• Tratamiento de datos (contenido, tráfico, ubicación) por teléfono o proveedores de servicios de Internet.

Ejemplos que no constituyen tratamiento a gran escala:

• Procesamiento de datos de pacientes por un médico individual.
• Tratamiento por un abogado de datos personales relativos a condenas penales y delitos cometidos.

Monitoreo regular y sistemático

La noción de supervisión regular y sistemática de los datos tampoco está definida en el GDPR.

El concepto de «control del comportamiento de los interesados» incluye claramente todas las formas de seguimiento y elaboración de perfiles en Internet, incluso con fines de publicidad.

La UE interpreta “regular” como:

• En curso, ocurriendo a intervalos particulares, durante un período determinado.
• Recurrentes o repetidos en horarios fijos.
• Constante o periódicamente, teniendo lugar.

Interpreta que “sistemático” como:

• Ocurren según un sistema.
• Organización previa, organizada o metódica.
• En el marco de un plan general de recogida de datos.
• Realizado como parte de una estrategia.

Ejemplos

• Operar una red de telecomunicaciones;
• Prestación de servicios de telecomunicaciones;
• Elaboración de perfiles y puntuación para fines de evaluación de riesgos;
• Seguimiento mediante aplicaciones móviles;
• Programas de lealtad;
• Publicidad conductual;
• Seguimiento de datos sobre el bienestar, la aptitud física y la salud, a través de dispositivos portátiles;
• Circuito cerrado de televisión;
• Dispositivos conectados.

¿Quién puede ser DPD?

• El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos,  y a su capacidad para desempeñar las funciones indicadas en el artículo 39 RGPD
• El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

¿Qué funciones ha de cumplir un delegado de protección de datos?

El delegado de protección de datos tendrá como mínimo las siguientes funciones:

• a) informar y asesorar al responsable o al encargado del tratamiento,  y a los empleados que se ocupen del tratamiento, de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
• b) supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
• c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 RGPD
• d) cooperar con la autoridad de control;
• e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Obligatoriedad del DPD en las administraciones públicas

• En el artículo 37 RGPD se encuentra la obligación para las administraciones públicas que manejen datos personales de designar un DPD.
• Igualmente, el RGPD requiere que cuando el tratamiento de datos lo lleva a cabo una autoridad pública, la persona nombrada como DPD, debe acreditar «conocimientos especializados del Derecho y la práctica en materia de protección de datos». Además, debe también poseer un conocimiento sólido de las normas y procedimientos administrativos de la organización.

Fácilmente accesible desde cada establecimiento

• El RGPD permite a un grupo de empresas designar un único DPO siempre que sea “Fácilmente accesible desde cada establecimiento”.
• La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los datos.
• A fin de garantizar que el DPO, ya sea interno o externo, sea accesible, es importante garantizar que sus datos de contacto están disponibles de acuerdo con los requisitos del RGPD.
• El DPO debe estar en una posición tal que pueda comunicarse eficientemente con los sujetos de datos y cooperar con las autoridades de supervisión de que se trate. Esto también significa que esta comunicación debe realizarse en la lengua o las lenguas utilizadas por las autoridades de supervisión y los interesados.
• También puede designarse un único DPO para varias autoridades u organismos públicos, teniendo en cuenta su estructura organizativa y su tamaño.
• Dado que la entidad es responsable de una variedad de tareas, debe asegurarse de que un solo DPO puede llevarlas a cabo eficientemente.
• El DPO está obligado por el secreto o la confidencialidad con respecto a la realización de sus tareas.  Sin embargo, la obligación de secreto/ confidencialidad no prohíbe que el DPO se ponga en contacto y solicite asesoramiento de la autoridad supervisora.

Entidades obligadas a tener un DPD

Algunas de las entidades que están obligadas a la designación de un delegado de protección de datos son:

• Colegios profesionales y sus consejos generales
• Centros docentes
• Entidades que exploten redes y presten servicios de comunicaciones electrónicas
• Prestadores de servicios de la sociedad de la información
• Entidades de crédito
• Establecimientos financieros de crédito
• Entidades aseguradoras y reaseguradoras
• Empresas de servicios de inversión
• Distribuidores y comercializadores de energía eléctrica y de gas natural
• Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
• Entidades que desarrollen actividades de publicidad y prospección comercial
• Centros sanitarios
• Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
• Operadores que desarrollen la actividad de juego
• Quienes desempeñen las actividades de Seguridad Privada
• Aquellas empresas que no figuren en este listado pueden designar voluntariamente un delegado de protección de datos.

Gestiona Abogados

La entrada PROTOCOLOS (PARTE VII). Nombramiento del DPD se publicó primero en Gestiona Abogados.

Una Transferencia Internacional de Datos de carácter personal se produce cuando dichos datos son transmitidos fuera de las fronteras del Espacio Económico Europeo.  Dependiendo del país de destino, se requerirá la autorización previa de la autoridad de control. En España es la Agencia Española de Protección de Datos (AEPD).

¿Se puede realizar una T.I.D. si no lo autoriza la Autoridad de Control?

Si. En caso de que la transferencia internacional se realice a un país no autorizado por la autoridad de control, existen “normas corporativas vinculantes” o “contratos tipo” que harían posible la realización de estas transferencias.

En Gestiona Abogados estamos cualificados para la redacción y presentación de estas normas corporativas,  o contratos tipo, que nos van a permitir la realización de  transferencias internacionales, sin riesgos, y con las adecuadas garantías para los interesados en los datos de carácter personal.

Pincha aquí para saber más sobre las T.I.D..

El equipo de Gestiona Abogados está perfectamente capacitado para preparar todos los aspectos previos a realizar ante una transferencia internacional de Datos.

Pincha aquí si necesitas más información de en qué casos está permitido realizar una T.I.D.

La entrada TRANSFERENCIAS INTERNACIONALES DE DATOS (T.I.D) se publicó primero en Gestiona Abogados.

La entrada COMUNICACIÓN CON LA AUTORIDAD DE CONTROL se publicó primero en Gestiona Abogados.

La entrada RECLAMACIONES DE INTERESADOS se publicó primero en Gestiona Abogados.

No solo las grandes organizaciones recaban datos a diario que hay que saber gestionar y tratar, sino que también los autónomos y pymes tratáis a diario con este tipo de información. Lo hacéis cuando abrís fichas con los datos de vuestros clientes, cuando pedís vía telefónica información personal o cuando solicitáis la identificación de un cliente en vuestra página web.

Tipos de sanciones del RGPD

El régimen sancionador del RGPD es aplicable cuando el tratamiento de los datos de carácter personal que maneja la empresa, no se adecua a la norma . En su artículo 83.2 se especifica que las multas se establecerán en función a la infracción de que se trate.

Multas administrativas

Según la infracción, las multas administrativas que se contemplan pueden alcanzar de entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.

Para establecer la cuantía de las sanciones se atenderá al caso particular y se tendrá debidamente en cuenta:

1. La naturaleza, gravedad y duración de la infracción, estudiando la naturaleza, alcance o propósito de la misma, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
2. La intencionalidad o negligencia en la infracción.
3. Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.
4. El grado de responsabilidad del encargado del tratamiento de los datos, habida cuenta de las medidas técnicas u organizativas que hayan aplicado para salvaguardar la información.
5. Toda infracción anterior cometida por el responsable o el encargado del tratamiento.
6. El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.
7. Las categorías de los datos de carácter personal afectados por la infracción.
8. La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.
9. Que el responsable o el encargado de que se trate, en relación con el mismo asunto, ya haya sido sancionado, entre otras, con una advertencia o apercibimiento al cumplimiento de dichas medidas.
10. La adhesión a códigos de conducta o a mecanismos de certificaciónaprobados con arreglo al articulado del propio RGPD.
11. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Por poner algún ejemplo, ahora la cesión de datos a un prestador de servicios sin que se haya suscrito previamente el correspondiente acuerdo, con las medidas de seguridad necesarias y establecidas por el RGPD, que actualmente es castigado con hasta 300.000€, pasará a ser multado hasta con 10 millones de euros o un 2% del volumen de negocio total anual del año anterior.

Sanciones Penales

Esta nueva normativa también establece, por primera vez, la posibilidad de que los Estados miembro puedan instaurar sanciones penales por el incumplimiento del RGPD, trascendiendo la vía administrativa.

Indemnizaciones

Además, el afectado que haya sufrido daño y/o perjuicio, ya sea material o inmaterial, como consecuencia de una infracción de su articulado, tendrá derecho a recibir una indemnización del encargado o responsable del tratamiento de los datos.

El no ponerte al día con esta normativa puede traerte consecuencias muy negativas. En Gestiona Abogados podemos ayudarte.

La entrada ¿Sigues sin implantar el RGPD?: Las sanciones pueden llegar a los 20 millones de euros se publicó primero en Gestiona Abogados.

Cualquier estructura, esquema o modelo productivo que, durante la ejecución de sus actividades, demande datos personales a la vez que genera nueva información a partir de éstos, necesita contar con un sistema para detectar alteraciones en el acceso a sus bases.  Si se produce un acceso no autorizado a esos datos personales, que pueda comprometer la privacidad, se produce una brecha de seguridad.

¿Cómo debe ser ese sistema?

Tal sistema debe apoyarse en verificaciones periódicas y aleatorias, así como en herramientas informáticas pensadas para la protección. De igual forma, es fundamental un registro ordenado de las incidencias con toda la información posible (niveles de acceso, tipos de datos afectados, alcance de la información comprometida, etc.).

Obligación de notificar la brecha de seguridad

Si durante la evaluación de los sistemas, observamos que se han visto comprometidos derechos personales, se ha producido una brecha de seguridad, naciendo la obligación, en ese momento, de notificarlo a la AEPD, según lo impartido en el artículo 33 del RGPD: Guía para la notificación y gestión de brechas de seguridad

Plan de respuesta

Es por ello que, tan importante es contar con un sistema que detecte problemas de seguridad,como tener un plan de respuesta o actuación para resolver esos problemas de seguridad.

El plan de actuación debe contemplar modelos que categoricen las amenazas y generen acciones de contención. Es decir, un buen plan de actuación tiene como uno de sus ejes, evitar que aumente el daño causado por un acceso o uso fraudulento de los datos.

Defensa de los afectados

“Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”. (Artículo 82 RGPD).

Ninguna entidad pública o privada puede permanecer ajena a la nueva coyuntura. Vivimos una época donde toda la realidad es reducible a datos y donde todo se conecta con todo.

La mejor estrategia es contar e incorporar expertos o especialistas en la implementación de todo aquello que orienta el Reglamento. En Gestiona Abogados podemos ayudarle en todo lo que necesite.

La entrada ¿QUE HACER ANTE UNA BRECHA DE SEGURIDAD? se publicó primero en Gestiona Abogados.

Despachos de abogados, gabinetes de psicología o logopedia, clínicas de todo tipo (dentistas, podólogos, fisioterapia…), etc.

Este tipo de actividades, por norma general, estaban sujetas a realizar la auditoria de protección de datos cada 2 años.

Con la entrada en vigor de del RGPD, las auditorias y los niveles de seguridad (básico, medio y alto) desaparecen.

Sin embargo, esta figura ha sido sustituida por una evaluación de impacto (EIPD).

Un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede suponer para el derecho a la protección de datos de los afectados cuyos datos se tratan.

Como resultado de ese análisis, la gestión de riesgos mediante la adopción de las medidas necesarias para eliminar o atenuar en lo posible aquellos que se hayan identificado.

Análisis de riesgos de protección de datos

El objetivo del análisis de riesgos es determinar la probabilidad de que se produzcan situaciones no deseadas y su gravedad.

Por lo tanto, concretaremos y describiremos qué medidas se han previsto para los procesos clave del tratamiento que estamos evaluando.

Se deberá analizar también las diferentes medidas que se han previsto inicialmente para reducir los riesgos del tratamiento (en sus dos dimensiones: probabilidad y gravedad).

De esta forma, podemos valorar el nivel de riesgo inicial de las operaciones de tratamiento que se han diseñado.

Si no se toma ningún tipo de medida para mitigar la probabilidad y la gravedad de un potencial escenario de riesgo, es altamente probable que se produzca y, a priori, puede tener unas  consecuencias muy graves.

Finalidad de una EIPD

Sus siglas en inglés son PIA, que corresponden a Privacy Impact Assessment.

El objetivo de una EIPD es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dicho riesgo (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).

En consecuencia, las EIPD deben realizarse antes de iniciar las operaciones de tratamiento; siendo el primer paso la determinación de la necesidad (o no) de la propia evaluación de impacto.

Las evaluaciones de impacto  se deben realizar una sola vez, antes del comienzo de la actividad (o antes de la adaptación al RGPD, si la actividad ya ha comenzado), y únicamente en determinados casos.

El RGPD no especifica exactamente qué tipo de empresas deben pasarla, sino que da unas directrices para que cada país decida.

¿Cuándo debe realizarse una Evaluación de Impacto?

Es recomendable que en el momento de realizar un nuevo tratamiento se analicen los posibles riesgos que puede entrañar el mismo.

Las autoridades nacionales de protección de datos (APD), junto con el Comité Europeo de Protección de Datos, pueden proporcionar listas de casos en los que se exige una EIPD.

Esta debe realizarse antes del tratamiento y se considerará como una herramienta viva y no únicamente un ejercicio puntual.

Cuando existan riesgos residuales que no puedan mitigarse mediante las medidas aplicadas, deberá consultarse a la APD antes de iniciar el tratamiento.

No obstante, la nueva regulación europea establece que la EIPD  es obligatoria cuando se dé:

• Alto riesgo
• Evaluación sistemática
• Tratamiento a gran escala de datos especialmente protegidos
• Uso de tecnologías invasivas

Alto riesgo

Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas.

Por ejemplo en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto y alcance.

Evaluación sistemática

En el momento que, sistemáticamente, se evalúe aspectos personales de personas físicas basadas en un tratamiento automatizado

Es el caso de la elaboración de perfiles.

Tratamiento a gran escala de datos especialmente protegidos

Si se realiza un tratamiento a gran escala de las categorías especiales de datos del artículo 9, apartado 1 del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD.

Incluimos en este apartado también los datos personales relativos a menores.

Uso de tecnologías invasivas

Siempre que se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad.

Nos referimos a:

• Videovigilancia a gran escala
• Aeronaves no tripuladas (drones)
• Vigilancia electrónica
• Minería de datos
• Biometría
• Técnicas genéticas
• Geolocalización

Empresas obligadas a realizar una Evaluación de Impacto

Algunas de las entidades que tienen que realizar una evaluación de impacto son:

• Farmacéuticas
• Hospitales y clínicas
• Seguridad privada, vigilancia y control
• Comercializadoras de energía
• Empresas que realicen e-commerce
• Colegios

Continuando con la descripción de las circunstancias que obligan a hacer la evaluación de impacto, el Reglamento también establece que las autoridades de supervisión están obligadas a elaborar y publicar una lista con los tipos de operaciones de tratamiento que están sujetos a la exigencia de llevar a cabo una EIPD.

¿Cual es el papel del Delegado de Protección de Datos con respecto a las EIPD?

En primer lugar, hay que decir que el RGPD determina que cuando el responsable del tratamiento debe llevar a cabo una EIPD tiene que buscar el asesoramiento del DPO.

Bajo mi punto de vista, junto con la privacidad por defecto y desde el diseño, las evaluaciones de impacto en protección de datos es una de las herramientas que, bien aplicada y sobre todo en aquellos supuestos en que resulte obligatorio realizarlas, contribuye en gran medida a acreditar que la entidad cumple con el principio de responsabilidad proactiva (accountability) que exige el Reglamento.

Tarifas

No hay un precio definido ni cerrado para la contratación de una Evaluación de Impacto.

El precio dependerá del alcance que el sistema de información, producto o servicio tenga en relación con el tratamiento de los datos personales, así como las categorías de datos que se traten.

Si necesitas realizar una EIPD puedes solicitarnos una propuesta económica.

Consúltenos en el teléfono 962915025 o en el correo electrónico protecciondatoscertificado@gmail.com,  para que podamos darle una información más precisa.

La entrada Auditorías – Evaluaciones de Impacto se publicó primero en Gestiona Abogados.

Entre ellos, se incluye, la necesidad de nombrar un DPO cuando “el tratamiento lo lleve a cabo una autoridad u organismo público” (artículo 37.1.a  RGPD).

En las Entidades Locales, dicha obligatoriedad se extiende a sus entes dependientes de carácter público.

La obligación abarcaría a cualquier tipo de entidad dependiente, incluidas fundaciones y sociedades mercantiles,  en cuanto que son entidades responsables de prestar un servicio público.

Una vez reconocida la apuntada obligatoriedad de disponer de un DPO, debemos considerar dos aspectos distintos en cuanto a su configuración en las Entidades Locales:

1. Por un lado la obligación de nombrar un DPO, en todo caso, para las entidades de tipo provincial (Diputaciones, Consejos y Cabildos) y Ayuntamientos “grandes”; y en su caso para Ayuntamientos “medianos”.
2.  Y por otro lado la posibilidad de que las citadas entidades supramunicipales (y quizá otras, como Mancomunidades y Comarcales) puedan prestar el servicio de DPO de modo externo a todos los Ayuntamientos “pequeños” dentro de su ámbito, y en su caso, al resto.
3. En Gestiona Abogados prestamos el servicio con Delegados de Protección de Datos en la Administración Local y otras entidades responsables de prestar un servicio público.

La entrada También actuamos como Delegados de Protección de Datos en la Administración Local se publicó primero en Gestiona Abogados.