NoBlue Spain, Gustavo Fernández Balbuena, 11 2D, 28002 – Madrid
914 347 576

GUÍA RGPD PARA EMPRESAS – PRINCIPALES NOVEDADES Y APLICACIÓN

#

A partir del 25 de mayo de 2018, será obligatorio cumplir con el Reglamento General de Protección de Datos (RGPD).

Las empresas que no lo hagan pueden recibir sanciones de hasta el 4% de la facturación global de la empresa o multas de hasta 20 millones de euros.

Aunque la legislación que más ruido está causando es la RGPD, las empresas deben tener en cuenta el cumplimiento de otros reglamentos, como la Directiva de Servicios de Pago -Payment Services Directive (PSD2) – que entra en vigor el 13 de Enero y afectará a los servicios de pago y nuevas empresas como las FinTech; y la Directiva NIS, aprobada en Julio de 2016 y en vigor desde agosto, para la seguridad de redes y sistemas de información, un primer paso en legislación sobre ciberseguridad. Quedan 17 meses para que los países miembros la incluyan en sus leyes nacionales y seis meses más para identificar a los operadores de servicios esenciales dentro de sus respectivos territorios.

El Reglamento General de Protección de Datos (RGPD) supone una gestión completamente distinta y más restrictiva a la que se viene aplicando actualmente y es imprescindible que las empresas y organizaciones la acaten. Su ámbito de aplicación es enorme, ya que no sólo incluye toda la Unión Europea, sino que mantiene también al Reino Unido una vez salga de la UE en 2019 (Brexit), ya que el RGPD se incorporará a la legislación británica. A diferencia de las normas de protección de los datos personales recogidas en la directiva 95/46/CE, el RGPD también afecta a las empresas de fuera de la UE que ofrezcan bienes o servicios a personas de la UE o que controlen su comportamiento dentro de la UE. Por ejemplo, afecta directamente a la transferencia de datos internacionales y a las empresas extranjeras que alojen sitios web accesibles para personas residentes en la UE.

Uno de los grandes cambios que se producirán es el principio de responsabilidad proactiva. El RGPD hace responsable de las violaciones de la seguridad de los datos personales no solo a la empresa que los recoge, sino también a cualquier tercero que los procese en su nombre. Ahora, las empresas finales serán las responsables de garantizar dicha protección, lo que implica “la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento”.

Los aspectos más relevantes del RGPD son:

  • Auditar y documentar

  • Obligación de auditar y documentar el estado del cumplimiento de la normativa en la empresa previo a la actualización de las políticas, protocolos y textos relativos al tratamiento de datos personales y su adecuación al reglamento.

Es necesario que el equipo auditor (interno o externo) lo formen profesionales del ámbito jurídico e informático (Artículo 25 de la RGPD)

Obligación de mantener registros que detallen las actividades de tratamiento, las peticiones de acceso de los interesados, las violaciones de seguridad, la forma de obtención de los consentimientos y las evaluaciones de impacto relativas a la protección de datos para empresas de más de 250 empleados, o aquellas en las que el tratamiento probablemente entrañe un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos, tales como información sobre la salud, la religión o la orientación sexual.

  • Consentimiento inequívoco y explícito.

    El Reglamento General de Protección de Datos requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito que permitía la normativa española. Por tanto, los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos si se obtuvieron respetando los criterios de este nuevo Reglamento, y los nuevos no podrán ser obtenidos a partir del famoso “soft opt-in”. Es decir, el usuario web, por ejemplo, deberá marcar la casilla en la que consiente expresamente que la información facilitada sea utilizada con fines comerciales y/o cedida a terceros.

Así mismo, el consentimiento no puede ser genérico, los datos sólo serán utilizados para el fin sobre el que se ha informado al usuario y en ningún caso podrán servir para otros tipos de tratamiento de datos. Serán necesarios consentimientos independientes.

  • Obligación de dar más información.

    Además de los datos requeridos por la LOPD (Artículo 5) que incluyen la finalidad del uso de los datos, destinatarios ficheros, obligación o no de la entrega y sus consecuencias, derechos del interesado e identidad del responsable, el Art. 31 de la RGPD exige la inclusión de: la base jurídica del tratamiento; el tiempo máximo que se mantendrán los datos; la identificación, si procede, del Delegado de Protección de datos; si habrá o no trasferencia internacional de datos; el derecho a presentar una reclamación; la existencia o no de decisiones automatizadas.

En relación a los derechos ARCO es necesario informar sobre los derechos de acceso, rectificación, supresión, limitación, portabilidad, y oposición

Durante este periodo transitorio las organizaciones deberían editar los avisos de privacidad de la web para adaptarlos al RGPD y estar preparados para incluirlos en contratos y formularios.

  • Análisis del riesgo.

    Todas las empresas sin excepción y los proyectos, ya sean comerciales, de creación de una página web, de desarrollo de entorno tecnológico, etc., deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad, garantizando que se utilizan las técnicas más avanzadas para impedir, bloquear o neutralizar potenciales ataques.

La empresa, además, debe establecer un sistema de vigilancia con revisiones periódicas y actualizando los sistemas de análisis para evitar la obsolescencia. Y, por último, garantizar que en todo momento los tratamientos de datos se ajustan a la normativa de protección de datos en vigor.

Es obligatorio comunicar a la AEPD, en el plazo de 72 horas desde su conocimiento, las violaciones de seguridad producidas. En el caso de que la violación se considere de alto riesgo para el interesado, la empresa tiene la obligación de comunicarlo directamente.

  • Evaluaciones de impacto sobre la protección de datos.

Hay determinadas empresas que por la naturaleza de los datos que manejan necesitarán una evaluación del impacto. Estas son, empresas que realicen una evaluación sistemática de aspectos personales basadas en un tratamiento automatizado, como la elaboración de perfiles, en base a los que se tomen decisiones con efectos jurídicos o que les afecten significativamente; empresas que realicen tratamiento a gran escala de las categorías especiales de datos o datos relativos a condenas e infracciones penales; empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

La diferencia entre la evaluación de impacto y el análisis de riesgo es que la primera se centra en medir el riesgo para los derechos y libertades de las personas físicas, en relación con la protección de datos; mientras que la segunda analiza las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.

  • Una nueva figura: El Delegado de Protección de Datos (DPO)

El Reglamento crea una nueva figura profesional, el Data Protection Officer, cuya responsabilidad es garantizar el cumplimiento.

Guía rápida para empresas del Reglamento General de Protección de Datos #RGPD https://noblue.es/blog/netsuite-rgpd #ProtecciónDeDatos #Privacidad - ¡Compártelo!

Powered by Vcgs-Toolbox

La AEPD se convierte en el primer regulador europeo de protección que datos crea que un marco de referencia para esta figura:

Los Delegados de Protección de Datos (DPO) se nombrarán en función de sus cualidades profesionales y en particular por sus conocimientos especializados de Derecho y práctica en materia de protección de datos, así como su capacidad para el desempeño de sus funciones (Art. 35 RGPD). El DPO podrá ser interno o externo, y aunque no necesariamente tiene que ser abogado, normalmente será un licenciado en derecho con más de 4 años de práctica en protección de datos. El DPO es de obligado cumplimiento para las empresas mencionadas en el punto de evaluación de riesgo, pero es recomendable que todas las empresas designen un responsable interno y contraten un servicio externo de consultoría especializada. Puedes consultar la “Guía del Reglamento General de Protección de Datos para responsables del tratamiento” publicada por la AEPD.

  • Certificaciones.

Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD. La certificación para el DPO se basará en un examen tipo test que exigirá un 75% de respuestas correctas y tendrá una vigencia de 3 años, respecto a las empresas certificadoras, su acreditación vendrá dada por una auditoria que ENAC realice de su actividad.

El Esquema de certificación de Delegados de Protección de Datos de la Agencia se estructura en tres partes: la AEPD como propietaria y responsable del esquema, ENAC como encargada de los requisitos que deben cumplir los certificadores y, finalmente, las propias entidades de certificación.

  • Contratos de Encargado del Tratamiento.

    Los Contratos de Encargados del Tratamiento, que las empresas mantienen con terceros para el tratamiento de datos de los que son responsables, también tendrán que ser actualizados para cumplir con el RGPD.

El contrato tiene que constar por escrito y deberá detallar las instrucciones del responsable al encargado en relación con las medidas de seguridad, el régimen de subcontratación, la confidencialidad y el destino de los datos tras finalizar la prestación del servicio.

La AEPD ha redactado las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento, donde incluye un modelo de contrato que debe personalizarse para adaptarlo al caso concreto.

A pocos meses de la entrada en vigor y la aplicación del RGPD las empresas deberían aprovechar para abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del Reglamento, y comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios.

Sanciones aparte, ninguna empresa que quiera ser competitiva puede quedar fuera del nuevo marco legal, y por tanto todas ellas deben empezar a trabajar inmediatamente en la adaptación de todos sus programas ERP a las múltiples novedades que trae consigo el nuevo reglamento.

Deben revisar todos los procesos y sistemas de tratamiento de datos de la empresa que tengan un impacto para la privacidad de usuarios, clientes y trabajadores. Junto a ello es importante la apuesta por herramientas que les faciliten las evaluaciones Privacy by Design & by Default; la elaboración de los registros de tratamiento y sistemas de seguimiento y que les sirvan de soporte en la implementación de procesos de responsabilidad proactiva por parte de la empresa.

huella_dactilar_para_protección de datos

En conclusión, el RGPD reafirma tres principios básicos relativos a los datos personales, que podrían resumirse en:

  • Protección de datos:

La recogida de datos debe ser específica, explícita y legítima, limitándose a lo necesario para el fin indicado.

Debe garantizarse la protección de los datos, el derecho al olvido, modificación, eliminación o rectificación de forma tan sencilla como para la recogida y almacenarse sólo el tiempo estrictamente necesario para el fin acordado.

Además, su almacenamiento y tratamiento deberá garantizar la seguridad, incluida la protección frente a pérdida, destrucción o daños, así como el acceso ilícito o no autorizado.

  • Tratamiento lícito: solo se considerará lícito si:

    • El interesado ha dado su consentimiento para el fin específico
    • Si los datos son necesarios para un contrato
    • Existe una obligación legal, como la declaración de impuestos
    • Son de interés público o en el ejercicio de poderes públicos
    • Son necesarios para proteger intereses legítimos salvo que prevalezcan los intereses, derechos fundamentales y libertades del interesado.
  • Transferencias internacionales:

    El RGPD mantiene los pasos marcados en la Directiva 95/46 y normativas nacionales de transposición. El RGPD contempla que la transferencia internacional solamente puede tener lugar fuera del EEE -Espacio Económico Europeo- si

    • Esta se realiza a países, territorios o sectores específicos u “organizaciones internacionales” que tengan reconocido un nivel de protección adecuado o
    • Hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino. Dichas garantías las debe ofrecer el exportador, ya sea responsable de tratamiento o encargado del mismo.
    • Excepcionalmente por motivos de necesidad vinculados al propio interés del titular de los datos o a intereses generales (sin garantías de protección).

texto_seguridad_nube

Puedes consultar la actual política de privacidad y seguridad aplicable a los productos que ofrece Oracle NetSuite. Muchas de estas políticas están disponibles en este enlace y en este otro y son un marco robusto de privacidad y seguridad aplicable también tras la entrada en vigor del RGPD. Por ejemplo, el Oracle Data Processing Agreement for Cloud incluye claras indicaciones de la intención y limitación de uso, se ajusta a los requerimientos de informar sobre brechas de seguridad, controles de seguridad e incorpora cláusulas relativas a la seguridad en la transmisión de datos internacionales.

Desde NoBlue estamos trabajando en adecuar los contratos y todos los mecanismos de recolección de datos personales para adaptarlos a la nueva normativa. Sin embargo, si durante ese proceso deseas conocer la situación de tus datos, puedes dirigirte a eva.caballero@noblue.es para retirar del consentimiento al tratamiento de tus datos personales; acceder a tus datos, así como a su rectificación o supresión («el derecho al olvido») por nuestra parte o por terceros que hayan podido tener acceso; a ser informado de la existencia de cualquier tratamiento automatizado de los datos personales (incluida la elaboración de perfiles); a la oposición a ciertos tipos de tratamiento, como por ejemplo el marketing directo o decisiones basadas únicamente en un tratamiento automatizado y a ser informado de cuánto tiempo se conservarán los datos personales.

La información contenida en el presente documento pretende ser solo una guía de consulta y no puede interpretarse como asesoramiento legal válido acerca del contenido, interpretación o aplicación de la RGPD, LOPD, NIS o cualquier otra normativa. Recomendamos a nuestros clientes contactar con la Agencia Española de Protección de Datos o una asesoría legal especializada para entender el alcance y aplicabilidad de la normativa y de cualquier ley o regulación relativa al procesamiento de datos personales, incluyendo el uso de servicios y productos de los distribuidores.

Si tiene cualquier duda adicional respecto a los productos y servicios ofrecidos por NoBlue y Oracle NetSuite, no dude en consultarnos.</b

banner suscripción newsletter

Related Posts

Leave a comment