Protecci��n de datos: quedan (solo) cuatro meses para ponerse al d��a

Un repaso a los deberes que tienen las empresas que quieran cumplir con el Reglamento europeo de Protecci��n de Datos

Madrid - 24 ene 2018 - 12:13CET

Quedan (solo) cuatro meses para la aplicaci��n directa del Reglamento europeo de Protecci��n de Datos, el 25 de mayo de 2018. Es decir, para que se aplique su r��gimen sancionador (porque ��en vigor�� est�� desde el 25 de mayo de 2016).

Como los malos estudiantes, la mayor��a de empresas espa?olas (y no digo nada de la? Administraci��n) no han hecho los deberes y ahora se acuerdan de Santa B��rbara, o de Santo Dato, cuando ya se escuchan los primeros truenos.

El pr��ximo domingo, 28 de enero, se conmemora el D��a Europeo de Protecci��n de Datos y es tambi��n Santo Tom��s de Aquino, patr��n de los Estudiantes. Por eso, este a?o queremos dedicar este d��a a esos malos estudiantes del RGPD.

M��s informaci��n

El destape de Espa?a en protecci��n de datos

As�� va a cambiar la forma en la que las empresas gestionan tus datos

A continuaci��n se exponen las tareas m��nimas que hay que realizar para llegar al d��a del ��examen��, al menos, dando la impresi��n de que se ha intentado cumplir las obligaciones esenciales del RGPD (aunque sea para aprobar por los pelos).

Dichas tareas est��n basadas, obviamente, en el propio RGPD y en las distintas gu��as y herramientas, que ha ido publicando la Agencia Espa?ola de Protecci��n de Datos, para facilitar el cumplimiento de aqu��l, especialmente por las PYMEs.

Lista de Tareas

1. Identificar si la empresa est�� en un sector de riesgo

Para empezar, lo primero es descartar que la empresa est�� en un sector de alto riesgo (por las categor��as de los datos personales y los tipos de tratamientos):

1. Sanidad

2. Solvencia patrimonial y cr��dito

3. Generaci��n y uso de perfiles

4. Actividades pol��ticas, sindicales o religiosas

5. Servicios de telecomunicaciones

6. Seguros

7. Entidades bancarias y financieras

8. Actividades de servicios sociales

9. Publicidad

10. Videovigilancia masiva

2. Hacer un ��inventario�� de todos los datos que maneja la empresa

Revisar todas las bases de datos y ficheros y distinguir los datos personales (los asociados a una persona f��sica, identificada o identificable) de los que no lo son.

3. Hacer una clasificaci��n de esos datos por categor��as

Distinguir los datos personales normales de las categor��as especiales de datos personales (datos personales especialmente sensibles y, por tanto, protegidos):

1. Datos que revelen origen ��tnico o racial

2. Datos de opiniones pol��ticas

3. Datos de convicciones religiosas o filos��ficas

4. Datos de afiliaci��n sindical

5. Datos gen��ticos

6. Datos biom��tricos (que sirvan para identificar a alguien)

7. Datos de salud f��sica o mental

8. Datos relativos a la vida sexual o a la orientaci��n sexual

9. Datos relativos a condenas o infracciones penales

10. Geolocalizaci��n

4. Hacer una lista de todos los tratamientos de datos, seg��n su finalidad

Hay que saber en qu�� tratamientos se utiliza cada uno de los datos personales y cu��l es la finalidad de los mismos, para saber si son tratamientos de riesgo:

1. Hacer o analizar perfiles

2. Hacer publicidad y prospecci��n comercial masiva a potenciales clientes

3. Explotaci��n de redes p��blicas

4. Proveedor de servicios de internet

5. Gesti��n de asociados o miembros de partidos pol��ticos

6. Gesti��n de asociados o miembros sindicatos

7. Gesti��n de asociados o miembros de iglesias o comunidades religiosas

8. Gesti��n de otras entidades pol��ticas, sindicales, religiosas o filos��ficas

9. Gesti��n, control sanitario o venta de medicamentos

10. Historial cl��nico o sanitario

5. Comprobar que se tiene consentimiento expreso y espec��fico

Para poder no s��lo tratar, sino incluso tener un dato personal, se debe tener el consentimiento expreso (no vale t��cito) y espec��fico (para cada uso) del titular.

6. Comprobar que se est�� amparado por un inter��s leg��timo o inter��s general

En el caso de que no se tenga el consentimiento expreso y espec��fico del titular, s��lo se podr��n tener y tratar los datos si existe un inter��s leg��timo o base legal.

7. Comprobar que se ha informado a los titulares de los datos

El reglamento europeo aumenta el deber de informaci��n y de transparencia de los responsables de los tratamientos de datos hacia los titulares de dichos datos.

8. Garantizar el ejercicio de los derechos de los titulares sobre sus datos

El RGPD a?ade a los tradicionales derechos ARCO de los titulares de los datos (acceso, rectificaci��n, cancelaci��n, oposici��n) los de portabilidad y limitaci��n.

9. Adoptar medidas de seguridad y elaborar el documento de seguridad

Implantar diligentemente medidas de seguridad (organizativas y tecnol��gicas) adecuadas al riesgo del tratamiento y plasmarlas en un documento de seguridad.

10. Hacer una evaluaci��n de riesgos de los tratamientos

Evaluar los riesgos para los derechos fundamentales (especialmente, el honor y la intimidad) en aquellos tratamientos y sectores en que existe un elevado riesgo.

Para nota: el Delegado de Protecci��n de Datos y la Oficina del DPD

Aunque no todas las empresas (especialmente, las PYMEs) est��n obligadas a nombrar un Delegado de Protecci��n de Datos, sin duda es conveniente poder contar con esa figura, que acompa?e y supervise las tareas que hay que realizar.

En el caso de que no sea obligatorio ni posible (especialmente, para una PYME) contar con un Delegado de Protecci��n de Datos en exclusiva, puede nombrarse un DPD en las asociaciones sectoriales, para asesorar a todos sus asociados.

En cualquier caso, es importante distinguir entre el Delegado de Protecci��n de Datos y la Oficina del Delegado de Protecci��n de Datos, porque, en realidad, el Delegado de Protecci��n de Datos es el Jefe de la Oficina de Protecci��n de Datos.

En este sentido, tanto la figura individual del Delegado de Protecci��n de Datos como la Oficina de apoyo al Delegado de Protecci��n de Datos, pueden estar en la empresa o la asociaci��n sectorial o prestarse externamente, como un servicio.

Quedan solo cuatro meses y hay muchos deberes que hacer. Es hora de ponerse las pilas e intentar recuperar el tiempo perdido (dos a?os, para ser exactos). As�� que, a Santo Tom��s y a Santo Dato rogando y con el mazo dando.

Tu suscripci��n se est�� usando en otro dispositivo

?Quieres a?adir otro usuario a tu suscripci��n?

A?adir usuario Continuar leyendo aqu��

Si contin��as leyendo en este dispositivo, no se podr�� leer en el otro.

?Por qu�� est��s viendo esto?

Flecha

Tu suscripci��n se est�� usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripci��n a la modalidad Premium, as�� podr��s a?adir otro usuario. Cada uno acceder�� con su propia cuenta de email, lo que os permitir�� personalizar vuestra experiencia en EL PA?S.

En el caso de no saber qui��n est�� usando tu cuenta, te recomendamos cambiar tu contrase?a aqu��.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrar�� en tu dispositivo y en el de la otra persona que est�� usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu�� los t��rminos y condiciones de la suscripci��n digital.