RGPD

El 25 de mayo de 2018 entró en vigor el nuevo Reglamento General de Protección de Datos (RGPD), que establece requisitos estrictos y regula la forma en que se deben tratar y utilizar los datos personales de los residentes en la Unión Europea.

El RGPD es de obligado cumplimiento para todas aquellas personas, entidades u organizaciones, europeas o no, que dispongan de información personal de residentes en la Unión Europea. Su incumplimiento, además, se sanciona con multas considerables de hasta el 4% de la facturación anual mundial o de 20 millones de euros. Estas sanciones no contemplan ningún tipo de exclusión o excepción para las pequeñas empresas. Por supuesto, hay que contar también con los inevitables daños para la reputación.

Este nuevo reglamento, junto con la creciente importancia de la digitalización y de la información en general, es el principal motivo para poner mayor énfasis en la protección de los datos personales y la privacidad de los empleados, clientes, proveedores y socios comerciales.

¿Cumple su empresa con el RGPD?

Contacte con nosotros para averiguarlo

Conceptos de RGPD

Los datos personales pueden dividirse en dos categorías: datos personales y datos personales confidenciales (“Datos sensibles”), que requieren protección específica.

Por Datos Personales entendemos toda la información relacionada con un individuo, que puede ser utilizada de manera independiente o junto con otra información para contactar, ubicar o identificar a esa persona.

Algunos ejemplos de Datos personales:

  • Información de contacto (nombre, dirección, correo electrónico y número de teléfono).
  • Edad, sexo y nacionalidad.
  • Fecha de nacimiento, número del DNI o de la Seguridad Social y/o número de empleado.
  • Información sobre el salario y el registro de horas trabajadas.
  • Perfiles de usuario y registros electrónicos sobre el uso que hace un empleado de los recursos informáticos.
  • Información relacionada con los hábitos de compra de una persona.
  • Información sobre la ubicación de una persona.

Los Datos Sensibles, por su parte,  son datos personales que requieren una protección específica, porque revelan opiniones políticas, origen racial o étnico, información sobre la salud, creencias religiosas o filosóficas, afiliación sindical o información sobre la vida u orientación sexual. Los datos sensibles también incluyen datos genéticos y biométricos.

También se aplican requisitos estrictos al tratamiento de datos personales relacionados con crímenes y condenas judiciales. Dicho tratamiento debe realizarse siempre siguiendo los procedimientos internos de conformidad con la legislación aplicable.

Tratamiento de datos es cualquier operación que implique el uso de datos personales. Esta definición abarca, por tanto,  la recopilación, el almacenamiento, el uso, la modificación, la eliminación, la destrucción, la estructuración, la divulgación, la transferencia, la transmisión o cualquier otra forma de tener datos personales a su disposición.

Algunos ejemplos de tratamiento de datos:

  • Al contratar nuevos empleados, recopilamos, registramos y usamos sus datos personales y, por tanto, estamos haciendo tratamiento de datos.
  • La recopilación, registro y uso de datos personales con fines comerciales.
  • La recopilación y el uso de datos personales para ofrecer servicios de viaje a los empleados a través de una agencia de viajes.
  • El uso de datos personales para crear cuentas de usuario en los sistemas informáticos.

Principios Básicos del RGPD

Las empresas no sólo deben cumplir, sino que además deben demostrar que cumplen sus responsabilidades respecto al tratamiento de los datos: confidencialidad, seguridad, control…

Desde el mismo diseño del tratamiento de datos y durante todo el tratamiento de los mismos, deben adoptarse las medidas necesarias para su seguridad en función de su sensibilidad.

Los usuarios deben ser informados de forma clara, sencilla e inequívoca, del uso que se está dando a sus datos, garantizando en todo momento sus derechos sobre los mismos.

Normas Básicas del RGPD

Conlleva respetar los derechos de las personas a la privacidad y garantizar que no se hace un uso indebido y/o abusivo de sus datos personales.

Se pueden recopilar, utilizar o tratar datos personales sólo para fines específicos, explícitos y legítimos, justificados de forma objetiva. Por tanto, no se deben recopilar más datos personales de los que se necesitan para cumplir el objetivo del tratamiento. Una vez que los datos personales dejen de ser necesarios para el propósito del tratamiento, deben eliminarse o hacerse anónimos. Como consecuencia de lo anterior, nunca pueden ser usados de modo incompatible con el propósito original.

Por ejemplo: si tiene acceso a sistemas de TI que muestren los registros de actividad de un empleado, no debe consultar la información de sus colegas haciendo uso del acceso del que dispone en interés personal o para un fin distinto del original.

Hay que asegurar la calidad y exactitud de los datos personales, así como su permanente actualización. Por tanto, deben existir mecanismos para corregir cualquier inexactitud o incluso para suprimirlos en el menor plazo posible.

El tratamiento de datos debe garantizar la seguridad de los mismos, tomando las medidas adecuadas para proteger los datos personales y evitar un uso incorrecto, pérdida, divulgación o acceso no autorizado a éstos, cumpliendo con las obligaciones de confidencialidad.

Sólo es lícito el tratamiento de los datos en los siguientes casos:

  • Cuando el interesado da su consentimiento libre, inequívoco y explícito.
  • Cuando es necesario para la firma de un contrato.
  • Por obligación legal o interés público.
  • Para proteger intereses legítimos, salvo que prevalezcan los propios del interesado.

El uso de los datos debe cumplir con los principios de licitud, lealtad, transparencia, caducidad, proporcionalidad, integridad y confidencialidad establecidos.

Algunos ejemplos de finalidad legítima a la hora de tratar datos personales:

  • Recursos humanos y gestión interna o del personal.
  • Salud, seguridad e integridad, incluida la gestión de manejo de crisis y la salvaguarda de la seguridad e integridad del sector empresarial en el que opera la empresa.
  • Ejecución y cierre de acuerdos con clientes, proveedores y socios comerciales.
  • Ejecución del servicio de atención al cliente.

Se mantiene la prohibición, salvo en casos especiales, de enviar datos personales a países fuera de la Unión Europea que no tienen una protección adecuada.

Principales Novedades del RGPD

La información para los usuarios sobre los derechos y tratamientos que les afecten debe presentárseles de forma clara y sencilla. Entre otras novedades, destacamos las siguientes:

  • El derecho al olvido.
  • El derecho de portabilidad.

Se requiere una acción afirmativa clara y explícita por parte del usuario para confirmar su consentimiento para la recogida de datos. No son válidas, por tanto, las acciones por omisión. Tampoco se puede extrapolar a otros tratamientos distintos el consentimiento dado a uno concreto, necesitándose consentimientos independientes para cada uno de ellos. Por otra parte, la retirada del consentimiento debe ser tan fácil como su concesión.

Las violaciones del reglamento no sólo afectan a la entidad que recoge los datos, sino también a cualquier tercero que los procesa en su nombre.

Además, no sólo se aplica en la Unión Europea, sino que afecta a cualquier organización o entidad que haga tratamiento de datos de ciudadanos de la Unión Europea.

Las instituciones benéficas y ONGs se encuentran sujetas también al RGPD.

Análisis y Registros

Se deberán realizar análisis de riesgo de distinta profundidad según el tamaño de la empresa y la sensibilidad de los datos. Algunas empresas y organizaciones deberán mantener registros sobre la obtención de los consentimientos, las actividades de tratamiento, las incidencias de seguridad…

Protección de datos desde el diseño y por defecto

Se refiere a plantear medidas para la protección de los datos desde el mismo momento en que se diseña un tratamiento y durante toda la vida del mismo.

Notificación obligatoria

Cualquier violación del RGPD debe notificarse a las autoridades de control en un plazo máximo de 72 horas y, si entraña grave riesgo para el interesado, debe notificársele también a él sin dilación. Sin embargo, esta notificación al interesado no sería necesaria si los datos estuviesen protegidos con anterioridad a la vulneración de seguridad mediante medidas como el cifrado, que los hacen ininteligibles para terceros.

Delegado de Protección de Datos

La figura del Delegado de Protección de Datos, con conocimientos jurídicos y técnicos sobre la protección de datos, será obligatoria en autoridades y organismos públicos y en organizaciones que realicen tratamientos que requieran observación habitual y sistemática de interesados a gran escala o tratamientos a gran escala de datos sensibles.

¿Cómo podemos ayudarle desde Cordero y Asociados?

Como empresa de servicios informáticos desde 1988, estamos al día de las últimas tecnologías y trabajamos con los principales protagonistas del sector para ayudar a nuestros clientes a proteger sus datos y cumplir con las leyes. Por tanto, ofrecemos los siguientes servicios:

  • Análisis de riesgos de accesos físicos a la empresa, a la sala de servidores y equipos en general.
  • Análisis de riesgos de seguridad lógica que incluye entre otras:
    • Inventario de dispositivos y software autorizados y No autorizados.
    • Configuración segura de hardware y software en servidores, estaciones de trabajo, portátiles y dispositivos móviles.
    • Evaluación de vulnerabilidades y correcciones continuas.
    • Uso controlado de privilegios administrativos.
    • Mantenimiento, supervisión y análisis de registros de auditorías.
    • Protección de correo electrónico y explorador web.
    • Protección contra virus y malware.
    • Limitación y control de los puertos de Red, protocolos y servicios.
    • Copias de seguridad y Recuperación de Datos.
    • Configuraciones seguras para dispositivos de Red (firewalls, routers, switches…).
    • Control de acceso inalámbrico.
    • Supervisión y control de cuentas.
    • Evaluación y formación a los empleados sobre habilidades de seguridad.
    • Seguridad de Software de aplicación.
    • Gestión y respuesta ante incidentes.
  • Documentación para el cumplimiento del RGPD que incluye informe sobre lo realizado, mejoras a hacer, ejecución de las mejoras, registro de incidencias, mantenimiento y declaración de las incidencias si las hubiera a los afectados y a la Agencia de Protección de Datos.

Son las propias empresas las que deberán evaluar la sensibilidad de sus datos y decidir qué medidas adoptar para su correcto tratamiento. Deberán seguir sin excepción los siguientes pasos:

*Sólo empresas de más de 250 empleados o de menor tamaño que traten datos sensibles.

ESENCIA FUNDAMENTAL DEL RGPD

Se debe realizar el tratamiento de datos con la mejor opción para mitigar el riesgo, tomando las medidas adecuadas para proteger los datos personales y evitar un uso incorrecto, pérdida divulgación o acceso no autorizado a estos, cumpliendo con las obligaciones de confidencialidad.

El RGPD pone la responsabilidad en la prevención, de forma que una empresa será culpable únicamente cuando no halla puesto los medios oportunos para proteger sus datos.