RGPD: Reglamento General de Protección de Datos. HST te ayuda

De la mano de Eva Cullerés, la asesora en protección de datos de HST, os dejamos el artículo que publicó el mes de noviembre en la revista MAGAZINE LLEIDA, donde nos explica el nuevo RGPD y como cumplir con las obligaciones que tienen las empresas en cuanto a protección de datos.

En la empresa HST hace más de 18 años que nos dedicamos a asesorar a empresas en el ámbito de la informática, de la seguridad y de la protección de datos. Trabajamos en todo momento para que el cliente de HST tenga en sus manos todo un abanico de recursos para mejorar su rendimiento mediante la tecnología y lo dotamos de las herramientas necesarias para optimizar sus resultados, así como garantizar la seguridad informática de sus sistemas .

Hay que saber que el RGPD (Reglamento General de Protección de Datos) es la normativa vigente sobre el tratamiento y seguridad de los datos personales. Las empresas, organizaciones, entidades, autónomos … que traten con datos personales deben consultar y cumplir correctamente con la normativa.

Los principales objetivos del Reglamento General de Protección de Datos

• A nivel europeo, intentar proteger a las personas y que tomen el control sobre sus datos personales.
• Reforzar los derechos de cada persona (información, accesos, eliminación de datos, modificaciones, derecho al olvido, limitación, portabilidad y derecho a no ser objeto de una decisión basada únicamente al tratamiento automatizado).
• Crear una ley única para toda la UE y que se produzca por igual.
• Modificar la manera en la que s’autoregularà y verificará el tratamiento de datos.

Como dice el RGPD, uno de los objetivos es proporcionar más seguridad y control a los consumidores sobre su información personal. Por este motivo, se han ampliado los derechos de los afectados

¿Cuáles son estos derechos?

• Derecho a rectificar los datos proporcionados. Por ejemplo, cuando éstas estén incompletos o sean inexactas.
• Derecho a borrar los datos. Es tan simple como que el consumidor revoque su consentimiento para que la empresa las utilice.
• El derecho de oposición al tratamiento de los datos.
• Derecho a conocer para qué se utilizan los datos, el plazo de conservación de estos así como su finalidad.

Una vez se metan en práctica estos derechos, hay que saber que, el particular en el momento que facilita sus datos personales a una organización, debe dar el consentimiento explícito y separado del resto de cumplimientos así como también de cada uno los tratamientos que se realizarán de nuestra información. Por ejemplo, como ciudadano podemos indicar al banco que puede tratar nuestros datos para cumplir con el contrato que tenemos con ellos, pero no para realizar acciones comerciales.

Otro aspecto es cuando queremos denegar unos permisos, debe ser tan fácil como aceptarlos. Siempre con excepciones y, entre otras cosas, el ciudadano podrá solicitar de forma sencilla a la organización que los trata, qué datos personales tiene sobre él, para que los tiene y su modificación si no son correctos. La empresa debe permitir al ciudadano solicitar su eliminación en determinados casos y informarle si sus datos se utilizan para tomar decisiones automatizadas, como las utilizadas para predecir el rendimiento en el trabajo, la situación económica o cuestiones de salud, pudiendo denegar esta toma de decisiones automáticas.

Finalmente, el derecho a la portabilidad permitirá a los ciudadanos exportar en un formato estructurado los datos personales que tenga una organización para transmitirla a otra. Cuando un ciudadano ejecuta alguno de sus derechos, las organizaciones dispondrán de un período de tiempo definido para hacerlas efectivas. En general, el RGPD mujer de plazo un mes, ampliable según el caso por otros dos más.

¿Cómo me afecta como empresa?

Si eres una empresa que almacena o procesa información de carácter personal de ciudadanos de la Unión Europea, entonces estás obligada a cumplir con el nuevo RGPD.

¿A qué nos referimos exactamente con información de carácter personal?

El RGPD considera datos de carácter personal toda aquella información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo perteneciente a personas físicas identificadas o identificables. Es decir, datos que nos permitan identificar a un particular. Normalmente en una empresa hay datos identificativos como el nombre, apellido y DNI de nuestros clientes, de los propios trabajadores y de proveedores. Estos datos son datos de carácter personal. Así pues, si tienes una empresa y tratos con este tipo de información deberás cumplir con el nuevo reglamento.

¿Qué cambios ha de aplicar la empresa con el nuevo Reglamento?

El nuevo reglamento supone un mayor compromiso para tu empresa respecto a la protección de datos. Estas son algunas de las nuevas obligaciones que se deben cumplir:

• Registro de actividades de tratamiento de datos: El responsable de tratamiento (es decir, la empresa) debe tener documentado un registro de actividades de tratamientos de los datos, que a diferencia de la LOPD, no se debe inscribir ni notificar a la Agencia Española de Protección de Datos.
• Contrato con terceros (encargados del tratamiento): El RGPD define el encargado como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trata datos personales por cuenta de nuestra empresa. Se deberá regular mediante un contrato este acceso a nuestros datos para estos encargados del tratamiento. En este contrato se establecerán todos los puntos que exige el RGPD. Unos ejemplos de encargados de tratamiento podrían ser la gestoría o el proveedor de software.
• Cláusulas: Habrá redactar las cláusulas informativas en cuanto a protección de datos porque cumplan con la nueva normativa. Tenemos el deber de informar.
• Consentimiento expreso: Se elimina el consentimiento tácito. El consentimiento tácito significa que no hay necesidad de firmar o manifestar verbalmente la aceptación de algo. El RGPD requiere que el interesado preste el consentimiento al tratamiento de sus datos mediante una declaración inequívoca o una acción afirmativa clara. A los efectos del nuevo Reglamento, las casillas ya marcadas, el consentimiento tácito o la inacción no constituyen un consentimiento válido. Como consecuencia, todas las empresas deberán revisar sus cláusulas en esta materia y rehacerlas.
• Comunicación de violaciones de seguridad: Se deberán notificar los fallos de seguridad en la Agencia Española de Protección de Datos (AEPD) en un plazo límite de 72 horas.
• La incorporación del Delegado de Protección de Datos: Esta nueva figura viene de la mano del RGPD. Tiene como objetivo garantizar el cumplimiento del Reglamento, al igual que controlar que la gestión y el tratamiento de los datos que realice la empresa se realice de forma adecuada. Cabe destacar que no todas las empresas están obligadas a tener un Delegado de Protección de Datos.
• Elaboración de análisis de riesgos: Todas las empresas deben garantizar que están en condiciones de cumplir con las reglas, derechos y garantías que el Reglamento establece, así como prevenir problemas futuros que puedan perjudicar la reputación de la empresa. Por este motivo será necesario realizar este análisis.
• Medidas de seguridad: Establecer e implementar las medidas de seguridad necesarias según el riesgo detectado en cada tratamiento de datos.
  Habrá implementar medidas básicas a nivel informático, como sistemas de copia de seguridad, antivirus, etc

¿Qué pasa si como empresa no cumplo con el nuevo Reglamento General de Protección de Datos?

Todo dependerá de la gravedad del artículo que se vulnere, pero si que es cierto que las sanciones son elevadas. La sanción podría llegar hasta los 20.000.000 € (o el 4% del volumen de negocio anual global del ejercicio anterior).

Descárgate el artículo del mes de noviembre de la revista Magazine Lleida, donde cada mes publicamos un artículo del sector tecnológico

HST adaptamos tu empresa en el RGPD y te asesoramos en el ámbito de protección de datos y seguridad informática.

Tanto si eres un autónomo como una pyme, te ayudaremos a cumplir la normativa y asegurar los datos con un servicio a tu medida.