Esta nueva regulación será directamente aplicable a todas aquellas entidades (i) que estén involucradas en el proceso de tratamiento de datos de ciudadanos de la UE o (ii) que estén radicadas en la UE y traten cualquier tipo de dato de carácter personal. Debiendo, dichas entidades cumplir con nuevas obligaciones que impone el RGPD.
En caso de incumplir dichas obligaciones, el RGPD impone sanciones que pueden llegar, según lo estipulado en el artículo 83, hasta 20.000.000,00 euros o el 4% de la facturación mundial de las entidades (la mayor de las dos cantidades).
Novedades RGPD
- Registro de actividades de tratamiento;
- Consentimiento expreso;
- Medidas de seguridad a aplicables a los tratamientos que se realizan;
- Notificación de violaciones de seguridad;
- Designación de un Delegado de Protección de Datos en determinados casos;
- Derechos ARCO + olvido + portabilidad;
- Códigos de conducta del sector;
- Transferencias internacionales de datos;
- La graduación de las nuevas sanciones puede oscilar entre los 10 000 000 EUR y 20 000 000 EUR o bien entre el 2% y el 4% de la facturación total de la empresa sancionada, dependiendo de la gravedad.
Actualiza tu empresa al RGPD
- Actualiza tu página web a la normativa;
- Implementación del RGPD a nivel empresa. El proceso de adecuación al RGPD consta de las siguientes fases:
Fase 1: Identificación del estado actual de las obligaciones en materia de protección de datos
En la Fase 1 se llevarán a cabo las actividades necesarias para identificar las obligaciones establecidas por el RGPD que no son cumplidas por la empresa. De esta manera se fijan las directrices que se deberán seguir durante el proceso de adecuación. Dichas actividades serán, entre otras:
- Reunión con el responsable de seguridad de los ficheros de datos y los directores de cada uno de los departamentos;
- Análisis de las obligaciones legales con respecto al RGPD y la normativa española vigente;
- Grado de cumplimiento con respecto a la LOPD y RLOPD;
- Identificación de normas sectoriales que pudieran ser de aplicación;
- Análisis de los procedimientos internos aprobados hasta la fecha;
- Elaboración de checklist para evaluar el nivel de riesgo asociado a cada obligación; y
- Guías y recomendaciones que considerar en nuevos proyectos.
Fase 2: Registro de actividades de tratamiento y evaluación de riesgos
Una vez identificado, en la Fase 1, cada uno de los tratamientos de datos de carácter personal y los sistemas y gestión de seguridad de la información que realiza la empresa, se elabora un informe, en la Fase 2, para determinar el grado de riesgo asociado a cada uno de los tratamientos y sistemas y gestión de la seguridad de la información (en adelante, "SGSI") en relación con el cumplimiento del RGPD.
Las etapas para elaborar dicho informe son:
INVENTARIO DE DATOS Y DETERMINACIÓN DEL GRADO DE IMPORTANCIA
- Procesos internos en los que se tratan datos de carácter personal;
- Bases de datos que tratan datos personales;
- Sistemas utilizados para el tratamiento de datos personales;
- Plazos de conservación, cancelación y destrucción de los datos personales;
- Finalidades de los tratamientos.
INVENTARIO DE SISTEMAS Y GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
- Control de acceso físico;
- Gestión de soportes;
- Control de accesos lógicos;
- Copias de seguridad;
- Continuidad del negocio;
- Vulneraciones técnicas;
- Comunicaciones.
Fase 3: Análisis de los riesgos, evaluaciones de impacto y estudio de las medidas a implantar
Tras la redacción del informe de los tratamientos de datos personales realizados, del SGSI y el riesgo e impacto asociados a cada uno de ellos, se deberá analizar cómo disminuir dicho riesgo.
Según lo establecido en el artículo 35 del RGPD, dependiendo del riesgo asociado a cada tratamiento, el análisis deberá realizarse de manera diferente.
En el caso de tratamiento que por su naturaleza entrañe un alto riesgo se deberán realizar las Evaluaciones de Impacto en la Protección de Datos (en adelante, "EIPD"). Es decir, un análisis más profundo, que deberá ser plasmado en un informe.
Una vez realizados los EIDP, y junto a los demás tratamientos y los SGSI se procede a identificar el grado de cumplimiento con respecto a las obligaciones establecidas en el RGPD. Por cada incumplimiento se deberán implementar medidas en relación con el principio de responsabilidad proactiva que aseguren de forma razonable el cumplimiento de la normativa. Para determinar las medidas a adoptar se tomarán, entre otras, las siguientes consideraciones:
- Análisis de las medidas organizativas, jurídicas y tecnológicas ya implementadas;
- Nivel de cumplimiento con respecto al RGPD y anteproyecto de LOPD;
- Protección de datos desde el diseño y por defecto;
- Derechos del interesado;
- Procedimiento para proceder a la notificación de violaciones de seguridad de los datos a la Agencia Española de Protección de Datos;
- Identificación de las medidas a implementar para adecuar el nivel de cumplimiento y;
- Análisis GAP.
Fase 4: Adecuación
Tras establecer todas las medidas necesarias para el cumplimiento del RGPD, se procede a realizar un plan de adecuación. Dicho plan está constituido por todos aquellos procedimientos, protocolos y documentación que la empresa deberá seguir para cumplir con el RGPD. Las actividades que se llevarán a cabo para entregar dicha documentación son:
- Redacción de todos los procedimientos de tratamiento y protocolos a seguir;
- Redacción de política de privacidad para la página web;
- Elaboración de todas las cláusulas de protección de datos que se deberán incluir en los contratos;
- Normas técnicas necesarias para la aplicación efectiva del sistema de cumplimiento;
- Redacción del documento de seguridad.
Fase 5: Plan de Formación
- Asesoramiento en la aplicación de medidas que dependan directamente de de la empresa;
Con el objetivo de establecer un cumplimiento completo de la normativa en materia de protección de datos, se ejecutarán planes de formación, ya sean de forma presencial o virtual, que buscan la correcta implantación de todas las medidas en el tratamiento de datos personales y en las obligaciones derivadas del RGPD.
Cysae y Docxpresso te ofrecen
Cysae junto a Docxpresso te ofrecen la posibilidad de actualizar tu página web a la normativa vigente en materia de privacidad y servicios de la información y la implementación del RGPD en tu empresa.
- Establecer un protocolo para que los clientes autoricen explícitamente el uso de sus datos.
- Redacción de nuevas cláusulas con trabajadores: deber de secreto y contrato de confidencialidad.
- Redacción de contratos con acreedores externos que tengan acceso a datos confidenciales.
- Revisión de sistemas de información y establecimiento de canales seguros para el tráfico interno de los datos en una empresa (contraseñas, usuarios, privilegios, seguridad informática, etc.).
- Evaluación de Impacto: Análisis de Flujos de Información en la empresa, personal con autorización e identificación de brechas de seguridad.
- Delegado de Protección de Datos (DPO). Cysae asumirá parte de las funciones del DPO.
No dudes en ponerte en contacto con nosotros para comenzar con el proceso de adaptación: cysae@cysae.com