91 319 21 76 | 91 319 39 34 asesoria@tadisa.com

Ha llegado el momento de revisar que su empresa cumple el conjunto de obligaciones planteadas por el Reglamento General de Protección de Datos.

La necesaria actualización de la aplicación del Reglamento General de Protección de Datos (RGPD) sigue provocando todavía muchas dudas. Para afrontar correctamente las obligaciones impuestas por esta nueva normativa, es necesario entender que existe una serie de operaciones imprescindibles que cualquier empresa que realice tratamiento de datos de manera habitual tiene que tener al día.

Ante todo es esencial entender que el RGPD, además de dar a los usuarios de Internet las herramientas para poder hacer valer el conjunto de sus derechos en la Red, también hace hincapié en el principio de la responsabilidad proactiva de las empresas, que se deben adaptar y adecuar en cada momento al tipo de datos que manejan y los tratamientos que realizan.

Aunque el ajuste de las compañías a las imposiciones del reglamento puede llevar tiempo y provocar cambios importantes en la estructura de la propia empresa, es posible revisar, si los pasos efectuados son suficientes, adecuados y eficaces frente a las nuevas obligaciones.

Análisis de riesgo

Un programa estándar ya no vale para asegurarse de cumplir con el Reglamento General de Protección de Datos. Tanto es así, que en el caso del tratamiento de informaciones especialmente sensibles es necesario llevar a cabo un análisis de riesgos, así como una evaluación de impacto. Se trata de la vía más óptima para poder hacer un baremo de los posibles peligros y diseñar las medidas de seguridad adecuadas según su nivel.

Almacenamiento de los datos

A partir del 25 de mayo, los datos deberán ser almacenados siempre de manera anónima. Por lo tanto, las empresas deben adaptar el conjunto de sus sistemas para que el archivo de estas informaciones se realice de esta forma.

Obtención del consentimiento

Una de las principales novedades del RGPD es el cambio en la obtención del consentimiento de los interesados. El tratamiento basado en permisos tácitos ya no valdrá, sino que será necesario disponer de la autorización expresa, explícita y específica de los interesados. Por lo tanto, si no hay una declaración específica del usuario es necesario, al menos, una acción positiva mediante la cual manifieste su conformidad. Los responsables del tratamiento deben revisar los consentimientos que ya tienen para eliminar aquellos datos que ya no sean necesarios. Después, deberán recabar el consentimiento expreso de aquellos datos, para cuyo tratamiento se desee mantener el acceso. Como último, hay que modificar las cláusulas informativas de recogida del consentimiento para la futura información que se quiera guardar.

Ejercicio del derecho de los interesados

El RGPD introduce novedades en relación a los derechos de los usuarios, como los de portabilidad o el derecho al olvido. Los responsables del tratamiento deben comenzar a implementar sistemas y mecanismos -electrónicos en la medida de lo posible- a fin de facilitar a los interesados la capacidad de ejercer sus derechos ante cualquier infracción por parte de las compañías que traten su información personal.

Brechas de seguridad

Cuando haya cualquier problema de seguridad, hay que comunicar la incidencia a la Agencia Española de Protección de Datos, pero también a los propios interesados “cuando haya puesto en peligro sus derechos y libertades”.

Insuficientes esfuerzos de implementación

A pesar de la cercanía de entrada en aplicación del RGPD, las encuestas demuestran que son muchas las compañías que todavía no han hecho los deberes.  Hasta el momento, los sectores financiero y el tecnológico son los alumnos más aventajados, aunque las diferencias actuales en cumplimiento no vienen tanto por industrias concretas, sino por los perfiles de compañías. Los grupos con más actividad internacional comenzaron a adaptarse a finales de 2016, mientras que los enfocados al mercado doméstico les está costando más. Sin embargo, también hay que destacar que tan sólo un 5% de las empresas encuadradas en la industria financiera cuenta con procesos robustos para comprobar y actualizar regularmente los registros de datos, mientras que poco más de un quinto de ellas han adoptado procedimientos para permitir a los clientes responder fácilmente a su derecho de acceso, rectificación, borrado u objeción a sus datos. En el sector de la salud, se destaca que seis de cada diez empresas cuenta con políticas de privacidad que cubren algunas de las funciones habituales que realizan relacionadas con el procesamiento de datos personales, aunque sólo un 29% tiene un proceso estricto y riguroso para recolectar esa información. En el mundo de las tecnológicas, cuatro de cada diez aún no han incorporado planes rutinarios para asegurarse de que sus bases de datos están actualizadas.