El RGPD en 2018
Como habrás oído en estos últimos meses, a partir del 25 de mayo de 2018, el nuevo RGPD europeo se aplicará en España de manera simultánea al resto de normas en materia de protección de datos: LOPD + RGPD.
Para poder cumplir con el Reglamento deben ser tenidos en cuenta algunos requisitos entre los que destacamos los siguientes:
Protección de datos legal e informática
Como deber principal, tendremos que auditar el estado en el que se encuentra el cumplimiento de la normativa de protección de datos en nuestra empresa. Debemos realizar esto antes de actualizar las políticas, los protocolos y los textos relativos al tratamientos de datos personales.
En el artículo 25 se determina qué tipo de medidas técnicas y organizativas se deben implementar de forma personalizada para cada empresa. Por tanto, para dar cumplimiento a esta norma, el equipo auditor debe estar formado por:
- Profesionales del ámbito jurídico especializados en protección de datos.
- Profesionales informáticos especializados en seguridad informática.
La auditoría de protección de datos ya sea interna o externa, deberá contar con perfiles informáticos que tengan conocimientos teóricos y prácticos actualizados de seguridad informática para poder auditar de forma real los sistemas implementados.
La AEPD ha publicado este documento: Guía del Reglamento General de Protección de Datos para responsables de tratamiento.
Deber de información
Además de lo que exige la ley actual LOPD, el nuevo RGPD determina algunos datos mas que deben ser facilitados en el momento de recabar datos personales.
- La finalidad de la acción
- Los destinatarios ficheros
- La obligación o no de la entrega
- Los derechos del interesado
- La identidad del responsable
- La base jurídica del tratamiento
- El tiempo máximo que se mantendrán los datos
- La identificación, si procede, del Delegado de Protección de datos
- Si habrá o no transferencia internacional de datos
- El derecho a presentar una reclamación
- La existencia o no de decisiones automatizadas.
Así como la LOPD también se modifican los derechos conocidos como ARCO, pasando de ser Acceso, Rectificación, Cancelación y Oposición a Acceso, Rectificación, Supresión, Limitación, Portabilidad, y Oposición.
Análisis de riesgo
Sin excepción, todas las empresas deben analizar las vulnerabilidades informáticas y potenciales riesgos de seguridad lógica con el objetivo de implementar soluciones informáticas que impidan, bloqueen y eliminen los posibles ataques.
En este proceso deben implementarse las medidas de seguridad avanzadas que sean capaces de impedir o bloquear los ataques informáticos actuales.
Debido a que este reglamento exige la actualización constante de las medidas y al aumento de los delitos informáticos, el análisis de riesgo debe ser una actividad usual en nuestra empresa debiendo establecer un sistema de vigilancia haciendo revisiones periódicas y evolucionar a la vez que la tecnología.
En los artículos 25 y 32 del RGPD se recogen que las medidas de seguridad tendrán que ser adecuadas al riesgo que exista sobre los distintos ficheros, por lo que se hará necesario que las empresas lleven a cabo un análisis de riesgo.
Entonces, ¿Qué tengo que hacer para adecuar mi empresa al RGPD?
Pues en primer lugar, concierta una cita con profesionales jurídicos e informáticos para realizar la auditoria que explicamos en el post. También podrás informarte en tu proveedor de servicios sobre si se cumplen los requisitos y si no, empezar a poner en marcha el proceso de actualización y adaptación al nuevo RGPD.
El RGPD será aplicable a partir del 25 de mayo de 2018. Infórmate de las necesidades de tu empresa que aún estás a tiempo.