Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
-
Upload
nunsys-sl -
Category
Technology
-
view
394 -
download
0
Transcript of Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
2
REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS
El pasado 14 de abril de 2016, el Parlamento Europeo aprobó el nuevo Reglamento General de
Protección de Datos 2016/679, renovando y sustituyendo la anterior Directiva 95/46/CE que
había quedado ya obsoleta teniendo en cuenta el tratamiento de datos efectuado por el
crecimiento de las nuevas tecnologías.
De esta manera, este nuevo texto unifica en toda la Unión Europea la regulación en cuanto a la
protección de los datos personales, avanzando así en la defensa, garantías y libertades de los
datos personales de los ciudadanos europeos, alcanzando una homogeneidad en su
protección, otorgando a los ciudadanos un mayor control sobre sus propios datos y reforzando
la seguridad que conceden tanto empresas como organismos públicos.
Dicho Reglamento entrará en vigor a los 20 días tras su publicación en el Diario Oficial de la
Unión Europea si bien sus disposiciones resultarán de aplicación directa a todos los EE.MM.
pasados dos años desde su publicación, esto es, el próximo 25 de mayo de 2018, y por tanto,
formarán parte de nuestro Ordenamiento sin necesidad de que sea traspuesto por una norma
nacional.
Esto no quiere decir que durante ese periodo de dos años no haya que hacer nada; todo lo
contrario. Ese periodo de adaptación es el que se entiende necesario para completar las
exigencias y compromisos que garantizarán la protección de los datos en las organizaciones
(como prueba del nuevo principio de “responsabilidad o accountability” introducido en el
Reglamento).
ASPECTOS A TENER EN CUENTA
Si bien es cierto que la aprobación del Reglamento incorpora novedades significativas y nuevos
elementos que mejoran la protección y privacidad de los datos, quienes actualmente se
encuentren cumpliendo la normativa vigente en materia de Protección de Datos ya tendrán un
importante camino hecho sobre el que seguir construyendo.
Es esencial que, durante estos dos años, se empiece a planear en las organizaciones de qué
manera se va a enfocar la adaptación y cumplimiento con respecto al Reglamento, puesto que
se introducen nuevos procedimientos a los que habrá que enfrentarse en cuanto a
transparencia o derechos de los interesados. Ello requerirá que las organizaciones revisen
tanto los criterios de gobierno utilizados como el tratamiento de los datos que realizan.
3
Conviene recordar que, no obstante a esta adaptación progresiva, la normativa actualmente
vigente y que por tanto no estamos exentos de cumplir, continúan siendo la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos, y el Real Decreto 1720/2007 por el que
se aprueba su Reglamento de Desarrollo.
¿QUÉ MEDIDAS INCORPORA EL REGLAMENTO?
Conviene destacar las siguientes novedades:
OBTENCIÓN DE
CONSENTIMIENTO
INCORPORACIÓN DE
NUEVOS DERECHOS
REFORZAMIENTO DE
DEBERES
ÁMBITO DE APLICACIÓN
Será necesario un consentimiento inequívoco, libre y
revocable como requisitos sólidos para proceder al
tratamiento de los datos personales de los interesados,
mediante una acción afirmativa clara.
Junto a los Derechos ARCO, se incorporan:
- Derecho de supresión (Derecho al olvido): El
interesado podrá retirar el consentimiento prestado
al responsable, teniendo éste que suprimir los datos
considerados innecesarios para su finalidad, en
buscadores.
- Derecho a la portabilidad de los datos: El interesado
podrá transferir, sin oposición a otro proveedor, los
datos que hubiese facilitado a un responsable.
Se amplían los deberes de transparencia e información que
debe prestarse al titular de los datos en virtud del
tratamiento de sus datos acerca de la finalidad, los
destinatarios o el tiempo que serán conservados.
Junto a su aplicación lógica para tratar datos en actividades
establecidas en la UE, el Reglamento también será aplicable en
aquellos casos en que el tratamiento de datos personales se
realice por parte de un responsable o encargado establecidos
fuera de la UE, y siempre que se refiera a la oferta de bienes y
servicios, o cuando esté relacionado con la observación de su
comportamiento.
4
REGISTRO INTERNO
Se elimina el requisito de la inscripción de ficheros ante la
AEPD (a excepción de compañías con más de 250
empleados); si bien cada organización tendrá que llevar un
registro interno y por escrito del tratamiento de datos que se
realice en las actividades que desempeña.
EVALUACIÓN DE
IMPACTO (PIA)
PRINCIPIO DE
RESPONSABILIDAD
DELEGADO DE
PROTECCIÓN DE DATOS
(DPO)
PRIVACY BY DESIGN /
BY DEFAULT
Las organizaciones como responsables, deberán realizar
evaluaciones de impacto cuando las actividades que vayan a
realizar puedan suponer un riesgo para el tratamiento de
datos.
Dicha evaluación será obligatoria en ciertos casos, como
cuando se traten datos de categoría especial a gran escala. En
caso de que la evaluación concluya un riesgo alto en el
tratamiento, el responsable deberá comunicarlo a la
autoridad de control.
Por tanto, las medidas de seguridad vendrán impuestas por
el tipo de tratamiento que se realice, como del análisis previo
realizado
Aquellos que traten datos personales tendrán que establecer
políticas de protección o controles adecuados e
implementados a cada uno de ellos, demostrando que dichos
procedimientos cumplen con las exigencias que el
Reglamento contempla.
Se designará un Data Protection Officer siempre que:
- El tratamiento lo lleve a cabo una autoridad pública.
- Las actividades realizadas por empresas u otras
entidades que consistan en un tratamiento masivo
de datos personales que requiera una observación
habitual y a gran escala por parte de sus titulares.
- Cuando se efectúen tratamientos sobre categorías de
datos especialmente protegidos.
Las empresas estarán obligadas a tener en consideración la
normativa, con carácter previo al tratamiento de datos
personales, estableciendo un cumplimiento efectivo (privacy
by design), y del mismo modo, tratando exclusivamente los
datos que sean necesarios para los fines específicos (privacy
by default).
5
NOTIFICACIÓN DE
VIOLACIONES DE
SEGURIDAD
El responsable del tratamiento (o el encargado a éste)
notificará a la autoridad de control, a más tardar 72h
después, la violación de seguridad sufrida y que constituya un
riesgo para la protección de los datos personales.
En dicha comunicación deberá describirse, como mínimo y
entre otras, la naturaleza de la violación o las consecuencias
y medidas a adoptar.
Si dicho fallo implicase un alto riesgo para los derechos y
libertades de las personas, deberá ser comunicado al
interesado.
6
OTRAS NOVEDADES
Códigos de Conducta
Datos
Canon
Delegado de Protección
de Datos
Certificaciones
Sanciones
Se promoverá que las organizaciones posean Códigos de
Conducta adaptados a su estructura, contribuyendo en
la correcta aplicación del Reglamento.
Se considerarán datos especialmente protegidos (nivel
alto), los datos genéticos y los biométricos.
El responsable podrá incorporar un canon debido a los
costes administrativos derivados de la respuesta ante el
ejercicio de los derechos ARCO por parte del interesado.
En determinados casos será obligatorio su
nombramiento, como figura independiente para
informar, asesorar, así como supervisar el cumplimiento
del Reglamento dentro de la organización, teniendo que
reportar al superior directo del responsable.
Con la intención de demostrar el cumplimiento de lo
dispuesto en el Reglamento, se crearán mecanismos de
certificación y sellos y marcas en materia de protección
de datos (Sello Europeo).
Aumentan las posibles sanciones, pudiendo llegar hasta
el 4% de la facturación general anual o a los 20M€.
7
FAQ´S
¿Qué consideraciones deben tener en cuenta las empresas con respecto al tratamiento de
datos con la incorporación del Reglamento?
El Reglamento afronta cuestiones tan novedosas como el principio de responsabilidad
proactiva o accountability, la creación de perfiles o la seudonimización de datos, así como la
consideración como datos sensibles de los biométricos y los genéticos.
También incorpora la evaluación de impacto sobre las operaciones de tratamiento, se amplía
el ámbito de aplicación territorial del Reglamento y la privacidad por defecto y por diseño.
¿Qué implica la incorporación del derecho al olvido?
Supone que, al tener los interesados reconocido este derecho, podrán solicitar que se
supriman y dejen de tratar sus datos cuando ya no sean necesarios para los fines para los que
se recabaron.
¿En qué modo se refuerzan los deberes de información y consentimiento por parte del
interesado?
El papel del responsable y encargado del tratamiento es cada vez de mayor peso, y es por ello
que deberá facilitar al interesado información que garantice un tratamiento de datos lícito y
leal. Esta información podrá transmitirse en combinación con unos iconos que ofrezcan, de un
modo fácil y claro, información sobre las condiciones del tratamiento.
¿Es obligatorio designar un Delegado de Protección de Datos (DPO)?
La figura del Data Protection Officer, que introduce el Reglamento con la finalidad de velar por
el cumplimiento legal, si bien es un instrumento voluntario para el responsable y encargado
(salvo excepciones), es una figura necesaria para el control y supervisión en el tratamiento.
Este carácter necesario, si bien no exime a la organización del cumplimiento y responsabilidad
en cuanto al tratamiento de los datos, se ocuparía de las cuestiones sobre la protección de los
datos y la privacidad.
Dejará de ser voluntario en los casos en que cualquier organización procese datos
especialmente protegidos de forma masiva (datos de nivel alto), o necesiten una observación
habitual y sistemática de interesados a gran escala (profiling, investigaciones de mercado); se
cuente con más de 250 trabajadores; o hablemos de instituciones públicas.
La diferencia principal con respecto al antiguo Responsable de Seguridad, es que el DPO será
designado en virtud de sus cualidades y aptitudes profesionales junto con los conocimientos
legales y prácticos en materia de protección de datos, pudiendo ejecutar las obligaciones que
el Reglamento entraña.
8
¿Hay que seguir realizando inscripciones de ficheros ante la Agencia Española de Protección
de Datos?
Sí. Es importante recordar que tanto la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (LOPD) como el Real Decreto por el que se aprueba
el Reglamento de Desarrollo de la Ley Orgánica 15/1999 (RDLOPD) siguen siendo de aplicación
hasta nueva orden. Por tanto, habrá que esperar a que el legislador o las autoridades de
control se pronuncien y decidan cuáles son los nuevos pasos a seguir.
Por el momento, las obligaciones que recogen ambas normativas no desaparecen, si bien,
durante el plazo de dos años que concede el Reglamento General de Protección de Datos para
que sus disposiciones resulten de aplicación las organizaciones tendrán que adaptarse.
Desaparecerá la obligación de la inscripción de ficheros, ya que se ha optado por que cada
organización lleve a cabo un registro y control interno y por escrito del tratamiento de datos
personales que llevan a cabo, el cual podrá ser dispuesto por parte de la Agencia como
autoridad inspectora.
NUNSYS
Expertos en Consultoría de Tecnologías de la Información
El departamento de Consultoría de Nunsys ha llevado a cabo exitosamente la implantación en
los últimos años de más de 50 empresas en toda España en normativa de Seguridad de la
Información (ENS, ISO 27001, LOPD, PIC, etc.).
De ente ellas, se ha dado apoyo a aquellas que han optado a la certificación externa y con un
porcentaje de un 100% de éxito lo han obtenido (avalado por diversos Organismos de
Certificación). Asimismo Nunsys ha certificados sus procesos Auditoría y Consultoría de
Seguridad de la Información y Gestión de servicios TI, Calidad y Medio Ambiente bajo la norma
ISO 27001, ISO 20000, ISO 9001 e ISO 14001.
El departamento de Consultoría Nunsys está formado por expertos con amplísima experiencia
en el campo de la seguridad de la información. Sus profesionales están acreditados con
certificaciones internacionalmente reconocidas, entre
otras: APEP Certified Privacy, ISO 27001 Lead Auditor,
Certified Information Security Manager (CISM) o
Certified Information Systems Auditor (CISA).
Es por todo ello que desde NUNSYS prestamos
asesoramiento especializado para que, durante el
proceso de adecuación, tanto empresas como
organismos públicos, se adapten a las exigencias y retos
que plantea el Reglamento Europeo de Protección de
Datos y así compartir nuestra experiencia y mejor
práctica en este campo.
Óscar Silla – Consultor área Seguridad y Gobierno TIC
Javier Torres – Abogado y Consultor Derecho NN.TT.