Implantación de la normativa vigente en protección de datos

ADAPTACIÓN AL SISTEMA DE PROTECCIÓN DE DATOS PARA DAR CUMPLIMIENTO AL REGLAMENTO (UE) 2016/679 Y A LA LO 3/2018 DE PROTECCION DE DATOS Y GARANTÍA DE LOS DERECHOS DIGITALES

La Protección de Datos de carácter personal es una materia que nace fruto de la creciente preocupación que a nivel europeo se deriva de la continua vulneración de derechos fundamentales provocada por la manipulación y el abuso incontrolado de la información sobre personas.

Actualmente la regulación legal con la que contamos tiene una vocación de protección global de la información de carácter personal, independientemente del soporte que la contenga.

Por eso, con el objetivo de dar cumplimiento a esta finalidad de regulación integral del tratamiento de la información sobre personas, la LOPD establece que todo aquel que ostente la titularidad de un fichero, entendiendo por éste un conjunto de datos de carácter personal sobre personas identificadas o identificables, estará obligado a respetar una serie de disposiciones a fin de no vulnerar el derecho a la intimidad de los afectados.

Por ese motivo, toda persona, física o jurídica, que en el ejercicio de su actividad profesional o económica se halle en poder de un conjunto de datos referidos a personas se verá en la necesidad de dar efectivo cumplimiento a las medidas de seguridad adecuadas al tipo de información que trate, procediendo a la legalización, legitimación y adecuación organizativa y técnica, que la normativa vigente exige a todo responsable de una base de datos, en el soporte en que sea, so pena de incurrir en una de las muchas infracciones tipificadas en la normativa vigente y deber soportar una de sus (sin duda, desmesuradas) sanciones.

ADAPTACIÓN DE LA EMPRESA A LA NORMATIVA DE PROTECCIÓN DE DATOS

Un sistema de adaptación global a toda la normativa vigente de protección de datos de carácter personal, consistiría, en primer lugar, en el estudio del tratamiento general de la información de la sociedad: tipología de la información, forma de la entrada de los datos, personas de quien se recibe, salidas de datos, comunicaciones, cesiones, colaboraciones que impliquen flujo de información, mantenimiento de soportes documentales o automatizados, sistemas de seguridad, aplicaciones informáticas, usuarios que acceden a la información, organización de los datos, accesos restringidos o libres, medidas de seguridad empleadas en el tratamiento de la información, uso de cámaras de video vigilancia, página web, uso del correo electrónico, usos comerciales de los datos, y demás cuestiones que pudieran afectar al seguimiento de la legislación en materia de protección de datos. Este análisis se podrá realizar mediante una reunión presencial o bien la implementación de un formulario breve de cuestiones, según la tipología de la empresa y la facilidad del cliente.

A través de esta auditoría de información, se deberá poder tener conocimiento, además, de los procedimientos de captación de datos de carácter personal, comunicaciones, cesiones o tratamientos realizados por terceros con la finalidad de completar las obligaciones documentales impuestas por la normativa vigente en Protección de Datos.

Una vez finalizada las auditoria, se procederá a la plena adaptación a la normativa, que contempla las obligaciones que se detallan a continuación.

Registro de actividades de tratamiento

Una vez detectados los tipos de información que se mantienen en la empresa, la finalidad a la que se destinan, la forma de tratamiento y almacenamiento y la existencia de cesionarios o encargados del tratamiento, se procederá a registrar dichos tratamientos atendiendo a los fines del tratamiento, descripción de categorías de interesados y de categorías de los datos personales, categoría de destinarios a quien se comuniquen los datos personales, incluidos destinatarios de terceros países u organizaciones internacionales, transferencias internacionales, si fuera el caso, plazos previstos para la supresión de las diferentes categorías de datos, así como las medidas técnicas y organizativas de seguridad adoptadas y se deberá actualizar con las modificaciones que procedan.

Documentación de control del sistema de protección de datos implementado

En virtud de lo establecido en la normativa vigente, se establecen una serie de medidas que requieren la confección y seguimiento de diferentes registros. Asimismo, se deberán incorporar los documentos de registro y control exigidos por el Reglamento (UE) General de Protección de Datos:

  • Registro de Comunicación de Brechas de seguridad a la Autoridad por fallos de seguridad que ponga en riesgo derechos de los afectados.
  • Registro de incidencias de seguridad en la empresa

 

Legalización de las entradas de datos

Cualquier entrada de información debe ser comunicada a su titular de manera que pueda dar su consentimiento, informado, expreso e inequívoco, al tratamiento para la finalidad para la que ha sido recogida, informando de los derechos que le asisten y de la identidad del Responsable del fichero, siguiendo las exigencias del Reglamento (UE) 2016/679 de Protección de Datos.

Redacción de las solicitudes de consentimientos expresos para el tratamiento de datos, según los diferentes grupos de afectados e interesados (trabajadores, colaboradores externos, personal en prácticas, candidatos puestos de trabajo, potenciales clientes, etc.)

Inserción de cláusulas generales en los diferentes medios de envío de la empresa tales como e-mail, newsletters, papel de carta, libros de registro, presupuestos, contratos de prestación de servicios, etc.

Queda dentro de la legalización del sistema de Protección de datos, las acciones de toma de datos a través de la Web Informativa de la empresa, mediante la inserción de las cláusulas informativas y de solicitud de consentimiento para el tratamiento de la información que los usuarios introduzcan.

 

Legalización de las salidas de datos

Con carácter general, sólo pueden realizarse las cesiones, comunicaciones o acceso por parte de terceros que respondan a la finalidad para la que los datos fueron obtenidos, y en todo caso debe instrumentalizarse legalmente, según el supuesto en el que nos encontremos.

  • Redacción de documentos de confidencialidad en las cesiones de datos, sin que exista tratamiento posterior.
  • Redacción de documentos de confidencialidad en los casos de acceso por parte de terceros a los locales de la empresa o a los soportes con información
  • Redacción de contratos personalizados con los Encargos de tratamiento, en aquellos casos de cesiones con una finalidad de prestación de servicios que requiere tratamiento posterior de la información, atendiendo a las exigencias de la nueva normativa.

 

Análisis de riesgo para la identificación de medidas de seguridad

Se llevará a cabo un análisis de los riesgos que cada actividad o tratamiento pueda entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

El análisis de riesgo se configura como la metodología para evaluar el impacto en la privacidad de un proyecto, política, programa, servicio, producto o cualquier iniciativa que implique el tratamiento de datos personales y, tras haber consultado con todas las partes implicadas, tomar las medidas necesarias para evitar o minimizar los impactos negativos.

A partir de este análisis donde se pueden valorar los riesgos reales a los que se enfrenta la empresa para garantizar la confidencialidad, integridad, seguridad y recuperación de la información, conociendo los recursos con los que cuenta y su organización, se podrá determinar en un Informe las Medidas de Seguridad que le son aplicables o bien las correcciones a realizar en las ya implementadas.

Ejercicio de los derechos de protección de datos: modelos y formas de respuesta en cada supuesto.

  • Entrega de los impresos oficiales para el ejercicio de los derechos ARCO de protección de datos y explicación de los mismos, así como establecimiento de rutinas para la atención del derecho de portabilidad y del derecho al olvido.
  • Manual explicativo al personal susceptible de atención al público con las instrucciones de los pasos a seguir en caso del ejercicio de un derecho por parte de un cliente o proveedor, según el caso y el derecho que se pretenda ejercitar.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Leave a Reply:

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *