El RGPD explicado en dos minutos

El RGPD explicado en dos minutos

El RGPD explicado en dos minutos, aunque la fecha límite para la aplicación del RGPD (Reglamento General de Protección de Datos) se haya fijado para finales de mayo de 2018 y que de aquí a entonces se puedan hacer adaptaciones, es más que recomendable tomar ya algunas acciones concretas para cumplir con esta ley que revoluciona la recogida y el tratamiento de datos.

El RGPD explicado en dos minutos

Índice Artículo

Aquí tienes 4 acciones concretas para estar casi listo para el RGPD.

1 – Enumerar todos los datos personales recogidos y tratados en la empresa

El RGPD ha redefinido lo que son los datos «personales «, es decir, los que pueden identificar a una persona: «una persona identificable es aquella que puede ser identificada directa o indirectamente (…), en particular mediante un identificador, como un nombre, un número de identificación, datos de localización o un identificador en línea, o uno o varios elementos propios de su identidad física, fisiológica, genética, mental, económica, cultural o social»

Si la empresa recoge (internamente -por ejemplo, con fines de RRHH- o externamente) datos que permiten identificar a una persona (dirección, correo electrónico, apellidos, nombre, ubicación, pero también una simple dirección IP), ya sea directamente o a través de un proveedor de servicios, debe empezar por enumerar todas las acciones de recogida de datos y el tratamiento que se realiza.

Para cada recogida o tratamiento, es necesario saber:

  • qué se recoge o se trata (qué datos exactamente)
  • de donde se recuperan los datos
  • dónde se almacenan los datos
  • para quién o qué se tratan los datos

 

2 – Compruebe que los datos que recoge o procesa son sólo los que necesita

Este punto es uno de los más delicados del RGPD. De hecho, la ley exige que sólo se recojan los datos que se necesitan para la empresa. En la práctica, sin embargo, a menudo se recogen más datos de los necesarios.

En primer lugar, antes de saber exactamente cómo se aplicará el RGPD en la práctica, es necesario saber exactamente si los datos que recogemos o tratamos son los que necesitamos para nuestro negocio o si recogemos o tratamos otros datos.

3 – Revisar los contratos de los subcontratistas que tratan o transmiten datos

Los subcontratistas de una empresa a los que afecta el RGPD pueden ser proveedores de servicios informáticos (alojamiento, seguridad, copias de seguridad, etc.) o proveedores de marketing, comunicación, mantenimiento, etc.

Si, por la naturaleza de su trabajo, estos proveedores de servicios tienen acceso a los datos personales de la empresa, hay que asegurarlos y, en particular, cambiar la naturaleza del contrato con ellos.

El nuevo reglamento europeo conduce a una lógica de responsabilidad de todos los actores implicados en el tratamiento de datos personales(estén o no establecidos en la UE ), siempre que los datos se refieran a residentes europeos.

Se imponen obligaciones específicas a los transformadores, que deben ayudar a los responsables del tratamiento en sus esfuerzos por garantizar el cumplimiento.

La ley exige «garantías suficientes en cuanto a la aplicación de medidas técnicas y organizativas apropiadas para asegurar que el tratamiento cumple los requisitos del presente Reglamento y garantiza la protección de los derechos del interesado» (artículo 28 del RGPD).

Así, los contratos con los subcontratistas deben mencionar la realidad de las disposiciones del artículo 28 del RGPD(artículo específico para los subcontratistas) con, en particular:

  • el objetivo y la duración del servicio realizado por cuenta del cliente
  • el tipo de datos personales que está tratando en nombre de su cliente
  • las categorías de interesados
  • sus obligaciones y derechos como controlador
  • El compromiso del encargado del tratamiento de informar inmediatamente de cualquier fuga de datos.

También es aconsejable poner por escrito las instrucciones dadas al encargado del tratamientopara probar su buena fe, si es necesario, y esto implica describir con precisión las operaciones de tratamiento que se le solicitan.

Además, el encargado del tratamiento debe indicar si utiliza o no subcontratistas(y si es así, además de permitirlo o no, hay que pedirle que garantice que les ha impuesto las disposiciones del GDPR).

El encargado del tratamiento también debe garantizar que sus herramientas, aplicaciones y servicios cumplen con el RGPD, especialmente en lo que respecta a la cantidad de datos recogidos, el alcance de su tratamiento, el tiempo de conservación y el número de personas que tienen acceso a ellos.

En este último punto, los empleados del subcontratista deben estar sujetos a una obligación de confidencialidad.

4 – Garantizar el respeto de los derechos de las personas afectadas por sus datos personales (acceso, rectificación, portabilidad, supresión)

Según el RGPD, cualquier persona cuyos datos personales estén en una empresa tiene varios derechos.

Acceso y rectificación :
– Derecho de acceso a la información y derecho de rectificación.

Portabilidad:
– Derecho a obtener los datos en un formato estructurado, de uso común y legible por máquina-
Derecho a transferir los datos directamente a un nuevo responsable del tratamiento.
Derecho de oposición
– La persona puede oponerse en cualquier momento al tratamiento de sus datos, incluida la elaboración de perfiles –
El responsable del tratamiento debe informar al interesado de su derecho de oposición «a más tardar en el momento de la primera comunicación con el interesado»;
Cabe señalar que, en relación con el derecho de oposición, el responsable del tratamiento debe evaluar el derecho del interesado a que no se traten sus datos y también debe tener en cuenta los motivos legítimos para continuar el tratamiento a pesar de la oposición

La decisión de continuar debe ser motivada.
Además, si el tratamiento es «necesario para el cumplimiento de una misión de interés público», los interesados no pueden oponerse con éxito.

 

Si te gustó El RGPD explicado en dos minutos, no te pierdas Los derechos de autor