Adaptación de Entidades al cumplimiento de la Ley Orgánica de Protección de Datos 3/2018 y el Reglamento Europeo de Privacidad 679/2016 desde Las Palmas de Gran Canaria

Adaptación RGPD

La adaptación del RGPD requiere de unos sencillos requisitos que te ayudaremos a superar. En Overdata Consulting somos expertos. Confía en nosotros. Trabajamos en toda Las Palmas de Gran Canaria.

¿Cómo debe cumplir su entidad la actual normativa en concepto de privacidad?

Las empresas tienen en sus manos y tratan una gran cantidad de datos, de clientes, proveedores o de empleados, por lo que también tienen que adaptarse a la nueva normativa.

Las principales actuaciones que deben realizar en su entidad para adaptarse al RGPD y la LOPDGDG son:

Realizar un Registro de actividades de tratamiento

Lo primero que deben tener en cuenta es qué tipo de datos se manejan en la empresa y qué cantidad. En ese registro deben incluir la siguiente información:

  •  Tipo de datos almacenados
  •  Finalidad
  •  Legitimización
  •  Política de almacenamiento de esos datos
  •  Si se realizan cesiones o transferencias internacionales
  •  Medios a través de los que se realiza el tratamiento
Este registro de actividades de tratamiento se debe mantener siempre actualizado. Los tratamientos más habituales en las asociaciones son:
  •  Clientes
  •  Proveedores
  •  Contabilidad
  •  Recursos Humanos
  •  Currículos
  •  Videovigilancia

Para ello es necesario realizar un registro de actividades de tratamiento que debe mantenerse actualizado. Este documento puede ser solicitado en caso de tener alguna inspección por la AEPD. Normalmente deberá constar en formato físico, aunque también es válido en formato electrónico.

Firmar los contratos con terceros

Cada vez que contratan una gestoría para llevar los temas fiscales o laborales esta entidad realiza ciertas gestiones en su nombre. O si tienen una empresa informática que realiza el mantenimiento de los equipos en la asociación. Estos son los Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, deben disponer de una lista de esas empresas externas con las que tienen contacto y asegurar que también cumplan la normativa obligatoria.
Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

¿Qué tiene que incluir ese contrato?

Como mínimo debe establecerse:
  •  objeto, la duración, la naturaleza y la finalidad del tratamiento,
  •  tipo de datos personales,
  •  categorías de interesados, y
  •  obligaciones y derechos del responsable.a

Incluir los textos legales en la página web

Si operan online, deben incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:
  •  Aviso legal
  •  Política de privacidad
  •  Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web.

En él debes incluir:
 Nombre del Titular
  •  CIF / NIF
  •  Dirección
  •  Email
Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a la página web o mostrar publicidad dinámica.

Por tanto, si su web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

Política de privacidad

Es importante revisar la política de privacidad de la empresa y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrán que informar expresamente de:
  •  existencia de un tratamiento de los datos que se le están solicitando,
  •  finalidad,
  •  destinatario o destinatarios de aquella información,
  •  legitimación para el tratamiento,
  •  plazo de conservación de los datos,
  •  identidad y dirección del responsable del tratamiento de los datos y
  •  posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienen que asegurarse de que esta nueva versión se publique en la web.

Solicitar el consentimiento a los clientes

Además de actualizar la política de privacidad, su asociación debe tener el consentimiento expreso de todos sus clientes para poder tratar sus datos.

En la empresa debes contar con un formulario (virtual, si la captación de datos se realiza vía web, o en papel, para el resto de los casos) solicitando el consentimiento para el tratamiento (máxime si se van a tratar datos sensibles).

En él deben informar claramente de:

  •  datos del responsable del tratamiento (su entidad),
  •  finalidad concreta del tratamiento,
  •  tiempo que se conservarán,
  •  destinatarios si los hay (¿se ceden los datos a otras entidades?),
  •  transferencias de datos internacionales si se realizan,
  •  derechos de los afectados y cómo se pueden exigir estos y
  •  datos del Delegado de Protección de datos (si la entidad debe contar con uno o así lo ha decidido).
Uno de los fines principales del RGPD es que las personas físicas sean mucho más conscientes de qué información disponen las empresas/entidades de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.

¿Y cómo se hace?

Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

Firmar los contratos con los empleados

Es posible que en la entidad tengan contratados empleados.

Los empleados tienen acceso a toda la información que maneja la empresa y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la entidad para garantizar la protección de los datos personales.

En las empresas los empleados disponen de un correo electrónico para comunicarse entre ellos, con clientes o proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

Realizar un Análisis de riesgos

En la empresa deben también realizar un análisis en el que valoren los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones:
  •  tipo de datos
  •  naturaleza de los datos
  •  medios de tratamiento
  •  cesiones 
  •  transferencias internacionales y
  •  número de interesados afectados
Además, si el riesgo resultara ser especialmente alto deberán realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados.

Dependiendo de la actividad de la empresa es posible que se almacenen datos sensibles de sus clientes, como datos de salud, políticos o sindicales. En ese caso necesitan realizar la Evaluación de impacto debido a que, por el tipo de datos que maneja, existe un riesgo alto para los derechos y libertades de los afectados.

Tras estos análisis deberán implementar unas medidas de seguridad adecuadas.

Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa/entidad, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en la asociación, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Nombrar un DPD (si se considera necesario).

Para la mayoría de las empresas no es obligatorio nombrar un Delegado de Protección de datos, ya que no están dentro de los supuestos en los que así lo exige el RGPD.

En cualquier caso, cada empresa deberá analizar si en su caso procede el nombramiento del DPO, porque realicen un tratamiento a gran escala de categorías especiales de datos personales, por ejemplo, o porque así lo decidan voluntariamente para asegurar el buen cumplimiento de la norma.

Si buscas una Consultoría de Privacidad y Protección de Datos,  Overdata Consulting

© 2019 Overdata Consulting Todos los derechos reservados
Producido por PA Digital