Reglamento General de Protección de Datos – RGPD

Reglamento General de Protección de Datos

Reglamento General de Protección de Datos – RGPD

El pasado miércoles 9 de Mayo de 2018 participe en un desayuno de trabajo con una empresa que dispone de una solución de digitalización certificada y que gracias en parte a mi auditoria consiguió en 3 semanas el sello de Homologación de Digitalización de Facturas certificada la Agencia Tributaria. En este caso me invitaron para realizar una charla de los principales cambios del nuevo Reglamento General de Protección de Datos UE 2016/679 (RGPD en adelante). Como auditor RGPD y en próximamente DPD (Delegado de protección de datos), quisiera aprovechar para comentar en este email alguno de los contenidos que presente.

Reglamento General de Protección de DatosReglamento General de Protección de Datos

El RGPD aporta diferentes cambios que todos vamos adecuando en nuestras empresas y que ayudamos, como auditores, a aquellos que nos contratan. Quisiera subrayar algunos conceptos y cambios respecto del viejo ya modelo LOPD:

  1. Las empresas tienen que demostrar que han realizado o están realizando actividades y aplicando medidas para analizar por ejemplo los riesgos, pasamos de un enfoque reactivo a un enfoque proactivo.
  2. Deber de información al interesado que almacenamos los datos bien con consentimiento u obligación, periodo que almacenaremos la información (uno o dos años), basado en el principio de calidad del dato, comunicar al afectado si viene por un tercero el dato, comunicarle en un mes que has recibido el dato (por ejemplo un curriculum que nos llega de un tercero).
  3. Obligatoriedad de disponer del consentimiento del afectado para un fin concreto.
  4. Los derechos de los afectados como el de acceso no basta con enviar una visualización sino una copia, apareciendo nuevos conceptos de derechos como el de portabilidad.
  5. Evaluación del impacto sobre la protección de datos. Sustituye las antiguas auditorias pero ahora no solo son sobre las medidas organizativas y técnicas sino es mas amplio. Por ejemplo si estamos informando adecuadamente.
  6. El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas.
  7. Transparencia e información a los interesados
  8. El RGPD establece la figura del Delegado de Protección de Datos (DPD) en algunos casos.
  9. Los datos solo podrán ser comunicados fuera del Espacio Económico Europeo bajo ciertas restricciones.
  10. El RGPD requiere que los responsables hagan esfuerzos razonables, teniendo en cuenta la tecnología disponible, para verificar que, para los niños menores de la edad que se fije como límite, el consentimiento se ha dado o se ha autorizado por los padres o tutores del menor

El artículo 32 del RGPD es la disposición principal que requiere medidas técnicas para proteger los datos. Aunque proporciona ejemplos de medidas y controles de seguridad, el artículo no proporciona una guía detallada sobre lo que debe hacer para lograrlo. En cambio, el RGPD obliga a las empresas a analizar las mejores prácticas y recomendaciones existentes, como ISO 27001.

Como auditor ISO27001 utilizamos este estándar porque nos proporciona un excelente punto de partida para alcanzar los requisitos técnicos y operativos necesarios para evitar una violación de datos bajo el Reglamento General de Protección de Datos (RGPD). Una compañía que ha implementado ISO 27001 ya ha hecho al menos la mitad del trabajo para lograr el cumplimiento de la RGPD al minimizar el riesgo de una violación.

El RGPD establece que las organizaciones deben adoptar políticas, procedimientos y procesos adecuados para proteger los datos personales que poseen.

Conclusiones

Si aún no ha adaptado su empresa al RGPD contacte conmigo y le asesoraré de una forma pragmática adecuando la colaboración al tamaño de su organización, tipología de datos de carácter personal que maneja y sus procesos, tecnología, webs, etc

Luis Vilanova Blanco. Auditor CISA y RGPD.

606954593

rgpd@luisvilanova.es