Las entidades deben cumplir con las medidas más adecuadas según el riesgo que suponen los datos que tratan
Obligación de llevar un registro de actividad de tratamiento de datos
El Reglamento Europeo de Protección de Datos apuesta por la responsabilidad proactiva por parte de las organizaciones a la hora de implementar las medidas de seguridad adecuados para la correcta protección de los datos de la entidad.
En base a este principio, establece la necesidad de llevar registros de actividad del tratamiento de datos con el fin de poder demostrar el efectivo cumplimiento de la normativa. Además, la legislación recoge que, con respecto a estos registros, cada entidad los deberá mantener bajo su responsabilidad.
Les principales informaciones, entre otros, que deben contener estos registros de actividad son las siguientes:
- Identificación de los datos de contacto de la persona responsable del tratamiento y del delegado / a de protección de datos.
- Finalidad del tratamiento.
- Descripción de las categorías de los interesados / as y de los datos que dispone la entidad.
- Categorías de destinatarios / as de los datos.
- Aprende a pronunciar Transferencias internacionales de datos, en caso de que exista.
Relacionado con este registro de actividad, se debe tener en cuenta que desaparece la actual obligación deinscribir los ficheros en la Agencia de Protección de Datos, prevista en la Ley 15/1999.
Necesidad de realizar evaluaciones de impacto
La nueva legislación establece que las entidades realicen evaluaciones de impacto en materia de protección de datos cuando se considere que las operaciones de tratamiento de las mismas pueden suponer un alto riesgo para los derechos y libertades de las personas.
Este riesgo, sobre todo, se refiere a aquellas situaciones en que los datos son especialmente sensibles y cuando se utilizan nuevas tecnologías para su tratamiento.
La evaluación de impacto consiste en un análisis de los riesgos que se pueden derivar del propio tratamiento de los datos que hace la entidad y que pueden afectar su protección. Además, a consecuencia de este análisis, se deben tomar las medidas necesarias para eliminar estos riesgos, o al menos, reducirlos.
Las principales cuestiones a tener en cuenta a la hora de realizar la evaluación de impacto son las siguientes:
- Análisis en profundidad del proyecto teniendo en cuenta los datos a tratar, los flujos de información y la tecnología utilizada para su tratamiento.
- Identificación de los riesgos para los datos personales y qué daños se producirían.
- Determinación de las medidas a adoptar para eliminar o disminuir el riesgo.
- Elaboración de un informe final con los riesgos y las medidas a incorporar.
- Asegurarse de que el tratamiento cumple con los requerimientos legales establecidos.
- Asignación de los recursos necesarios para implementar las medidas adecuadas.
- Revisión de los sistemas de tratamiento para comprobar la efectividad del resultado de la evaluación de impacto.
Notificación de las violaciones de seguridad
Otra novedad del Reglamento es la notificación a la Agencia de Protección de Datos de todos aquellos errores de seguridad cometidos.
Hasta ahora, la normativa sólo requería llevar un control deincidencias interno para poder llevar un registro de las brechas de seguridad que se hubieran producido y sus consecuencias.
Actualmente, aunque se deben seguir estableciendo los procedimientos internos necesarios para canalizar las posibles violaciones o brechas de seguridad y establecer las medidas adecuadas para su reparación, el Reglamento Europeo establece la obligación para el o la responsable del tratamiento de notificar todos los fallos de seguridad a la AEPD en un plazo máximo de 72 horas.
Hay que tener en cuenta que, en caso de que la violación de seguridad afecte o implique un riesgo para las interesados, también se les deberá notificar.
Esta función deberá asumir la figura del de Delegado / a de protección de datos (DPO) y, en su defecto, la persona encargada de coordinar el cumplimiento de la normativa de protección de datos dentro de la entidad.
Disponer de un delegado / a de protección de datos
La legislación establece la figura del delegado / a de protección de datos, el o la que tiene como función actuar como garante del cumplimiento de la normativa de protección de datos dentro de la entidad.
No todas las entidades deben disponer de esta figura, sino que está pensada, sobre todo, para los organismos o empresas públicas, para aquellas entidades que hagan un tratamiento de datos a gran escala y requieran una observación habitual y sistemática, y también para a las organizaciones que dispongan de datos especialmente sensibles o relativas a condenas o infracciones penales.
El DPO puede ser una persona interna de la organización o bien se podrá realizar una contratación externa pero, en todo caso, la persona que ha de desarrollar esta tarea debe tener conocimientos sólidos de derecho y de protección de datos, ya que se trata de una persona experta en la materia que debe velar por la coordinación y control de la normativa.
Sus funciones principales son las siguientes:
- Informar y asesorar al responsable del tratamiento de datos de sus obligaciones para cumplir con la normativa.
- Supervisar la implementación y aplicación de la legislación vigente.
- Llevar un control de la documentación y comunicaciones de las violaciones de seguridad.
- Gestionar las solicitudes de ejercicio de derechos por parte de los interesados / as.
- Supervisar la realización de la evaluación de impacto.
- Ser el punto de contacto con la autoridad de control en cuanto al tratamiento de datos.
- Realizar formación al personal de la entidad.
Nuevas sanciones
La nueva legislación prevé diferentes tipos de sanciones que pueden ser: advertencias, solicitudes de atención al ejercicio de los derechos de los interesados / as, limitaciones en el tratamiento y multas administrativas.
Una de las cuestiones más relevantes en la regulación europea es la cuantía de las sanciones económicas.
Hasta ahora, con la LOPD 15/1999, las sanciones en materia de protección de datos podían ir desde 900 € hasta 600.000 €.
A partir del 25 de mayo de 2018, la cuantía de las sanciones se ha elevado substancialmente. Pueden alcanzar 20 millones de euros o al 4% del volumen total de negociación de la organización que ha incompleto amb la normativa.
Si hay dudas sobre la regla de protección de datos, el equipo jurídico de la Asociación de Apoyo resuelve a través del servei en línia d’assessorament.
Informació relacionada:
Descobreix les claus del nou reglament de protecció de dades
Sanciones e inspecciones en matèria de protecció de dades
Autor: Suport Associatiu
Publicado en Xarxanet