Cómo funciona GDPR: el Reglamento General de Protección de Datos de la Unión Europea

25 de mayo de 2018: esta es la fecha que tienen marcada en rojo muchas empresas a nivel mundial porque es el límite establecido para poder adaptarse al nuevo Reglamento General de Protección de Datos de la Unión Europea. Esta normativa, mundialmente conocida por las siglas GDPR (General Data Protection Regulation) y por RGPD en España, está obligando a modificar ciertos aspectos en materia de seguridad de las empresas.

gdprEl GDPR está diseñado para otorgar mayor control a las personas sobre sus datos personales y establecer unas reglas comunes en toda Europa. Las empresas fuera de la UE estarán sujetas a esta normativa cuando lleven a cabo actividades de tratamiento de datos personales de individuos que residan en la UE.

El 50% de las compañías internacionales afirma que será complejo aplicar estas reglas, a menos que implementen cambios significativos en su forma de trabajar, una situación que puede conducir al nombramiento de un Delegado de Protección de Datos (DPO) en muchas de ellas.

El incumplimiento de este nuevo reglamento acarrea un importante incremento de las sanciones que podrán alcanzar hasta los diez millones de euros, o un dos por ciento de la facturación global anual del ejercicio financiero anterior, en caso de infracciones en materia de medidas técnicas y organizativas para la protección de datos, mantenimiento de registros, notificación de violaciones de seguridad de los datos personales y obligaciones de evaluación de impacto relativa a la protección de los mismos.

¿Qué legislación aplica a día de hoy en España?

Todas las organizaciones españolas que traten o almacenen datos de carácter personal deben cumplir hasta el día 25 de mayo de 2018 con la legislación vigente en materia de protección de datos:

  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
  • Real Decreto 1720/2007, de 21 de diciembre, Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (RLOPD).

Por otro lado, disponemos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de datos personales de las personas físicas y a la libre circulación de estos (Reglamento General de Protección de Datos).

Este reglamento recoge las directrices del Parlamento Europeo a las cuales deberán adecuarse las normativas en materia de protección de datos de cada uno de los países miembros de la Unión Europea.

Por ello, en España se presentó en junio de este año un anteproyecto de Ley para adecuar dicha legislación vigente al nuevo reglamento europeo. Aunque aún está pendiente de ser aprobado, establece las líneas a seguir en materia de datos de carácter personal.

¿Qué medidas de seguridad debemos aplicar?

A diferencia de la filosofía de la legislación española en la cual se establecía un listado de medidas dirigidas a las organizaciones dependiendo del tipo de datos que manejasen, la nueva legislación establece una forma de actuar totalmente diferente.

Cada organización es distinta y está afectada por diferentes amenazas. Por ejemplo, un hospital no presenta las mismas amenazas y el mismo nivel de riesgo que una pequeña consulta médica. Sin embargo, con el espíritu de la anterior legislación, debían aplicar el mismo conjunto de medidas de seguridad al tener ambos datos de salud.

Por ello, no se establece un catálogo prefijado de medidas a aplicar, sino que las organizaciones deberán evaluar los riesgos a los cuales están sometidas las actividades de tratamiento de datos, y decidir qué medidas van a aplicar para garantizar su seguridad. Es decir, cuando vayamos a realizar un cambio en el tratamiento de los datos en cualquiera de sus ámbitos (técnico, organizativo…) habrá que pensar en las implicaciones en materia de seguridad y qué medidas vamos a aplicar para asegurar su correcta protección.

Únicamente la legislación española, plasmándolo en el anteproyecto de ley, indica que las organizaciones de ámbito público deberán cumplir con las medidas indicadas en el Esquema Nacional de Seguridad. El resto de las organizaciones, además de cumplir con sus normativas sectoriales, puede elegir las medidas de seguridad que desee, aunque es recomendable basarse en estándares de seguridad reconocidos como la ISO 27001.

En líneas generales, las medidas para cumplir con el RGPD deben incluir:

  • Seudonimización y/o cifrado de datos personales
  • Capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas de forma continua
  • Capacidad de restaurar la disponibilidad y el acceso a los datos de forma puntual tras un incidente técnico o físico
  • Introducción de un proceso para realizar pruebas y evaluar la efectividad de estos sistemas periódicamente

¿Qué pasos podemos ir dando para adecuarnos?

  • Realizar un registro de actividades de tratamiento de datos para que nos sirva de base a la hora de saber de qué tipo de información disponemos
  • Nombramiento de un Delegado de Protección de Datos (DPO) en el caso que sea necesario
  • Realización de un análisis de riesgos para identificar las amenazas a las que están sometidos los datos de carácter personal.
  • Selección de medidas de seguridad a aplicar a los datos y los sistemas en base a los riesgos identificados
  • Modificación de cláusulas en los formularios de recogida de datos, adaptándolos para obtener el consentimiento explícito para las diferentes finalidades. Este aspecto es clave en el nuevo reglamento europeo que obliga a requerir el consentimiento de la persona cuyos datos son tratados (el consentimiento, para esta la ley, se define como “toda manifestación de voluntad libre específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos personales”).

La Agencia Española de Protección de Datos está publicando guías para ayudar a las empresas a realizar las tareas de adecuación y dichas guías son accesibles desde su página web:
Guías de la Agencia Española de Protección de Datos

Entre esta documentación, se encuentra la Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento publicada por la Agencia Española de Protección de Datos el 26 de enero de 2017 y donde se incluye una lista de verificación que pretende ayudar a las organizaciones a llevar a cabo una valoración de su situación frente a las principales obligaciones del GDPR.

Independientemente de materiales como estos y debido a la complejidad de ciertas tareas, siempre es recomendable dejarse asesorar por profesionales en materia de seguridad y con experiencia en la implantación del GPDR.

Fuentes:
https://www.ibm.com/analytics/us/en/technology/general-data-protection-regulation/

Leave a Reply

¿Quieres conocer lo último en tecnología y marketing?

¿Quieres conocer lo último en tecnología y marketing?


You have Successfully Subscribed!