Introducción

El pasado 4 de mayo de 2016 se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE.

Si bien el citado texto entró en vigor el pasado 25 de mayo de 2016, sus requisitos no resultarán exigibles hasta el próximo 25 de mayo de 2018. A pesar del plazo transitorio de 2 años establecido hasta su efectiva aplicación, las numerosas novedades introducidas por el Reglamento ha propiciado que las autoridades de control en la materia aconsejen seguir de manera temprana un enfoque progresivo para la adaptación de los elementos afectados a los nuevos requisitos.

Adecuación al Reglamento Europeo (UE) 2016/679

Pallars 99, planta 4, oficina 4108018 BarcelonaTel.: +34 902 480 580Fax: +34 934 675 830

www.sia.es

Avda. de Europa, 2Alcor Plaza - Edificio B - Parque Oeste Alcorcón28922 Alcorcón - MadridTel.: +34 902 480 580Fax: +34 913 077 980

Problemática

La mayoría de los procesos de negocio existentes dentro de las organizaciones se sustentan, en gran medida, en el tratamiento de datos de carácter personal pertenecientes a diferentes colectivos de interesados.

La naturaleza de los riesgos a que se encuentra expuesto el tratamiento de los datos de carácter personal comporta la necesidad, no sólo de implantar inicialmente los requisitos legales, técnicos y organizativos establecidos por el marco regulatorio de referencia, sino también, y muy especialmente, de gestionar el mantenimiento de su cumplimiento efectivo a lo largo del tiempo. Algunos de los riesgos más representativos son los siguientes:

• Pérdida económica derivada del pago de sanciones impuestas por la autoridad de control, de indemnizaciones a particulares por la vía civil, de la pérdida de oportunidades de negocio por la inmovilización de sistemas, etc. Elementos todos ellos que podrían llegar a suponer el cese de actividad de una compañía.

• Daño a la imagen de marca provocada por la trascendencia pública de episodios tales como sanciones impuestas por la autoridad de control, violaciones de la seguridad de los datos, etc.

• Desconfianza de stakeholders, principalmente clientes y accionistas, lo cual podría traducirse en la pérdida de competitividad de una compañía.

Registro de tratamientos

Consentimiento expreso

Data Privacy Officer Responsabilidad proactivaViolaciones a la seguridad

Portabilidad de los datos

Cuantía de las sancionesDeber de información

Impacto a la privacidad

Enriquecimiento de la información a facilitar a los interesados cuando se recaben sus datos.

Ha de otorgarse mediante un acto afirmativo que refleje una manifestación de voluntad inequívoca. Pérdida de validezdel consentimiento tácito.

Aumento de la cuantía de las sanciones hasta 20 MM€ o 4% del volumen de negocio total.

Necesaria evaluación temprana de los riesgos asociados a tratamientos de datos de carácter personal que pretendan llevarse a cabo.

Facilitar a los interesados la transferencia directa de sus datos de un prestador de servicios a otro.

Mantenimiento de un inventario interno de tratamientos, desapareciendo la obligación formal de notificación de ficheros.

Obligación de notificación a laautoridad de control, así como a los interesados afectados. Sujeto a plazo.

Obligación de designar un rol con conocimientos especializados para el desempeño de una serie de funciones.

Existencia de mecanismos quepermitan acreditar el cumplimiento activo de las exigencias establecidas.

Prin

cipa

les n

oved

ades

Re

glam

ento

(UE)

201

6/67

9

Armonización Protección

Transparencia Burocracia

Obj

etiv

os

www.sia.es

Avda. de Europa, 2Alcor Plaza - Edificio B

Parque Oeste Alcorcón28922 Alcorcón - Madrid

Tel.: +34 902 480 580Fax: +34 913 077 980

Pallars 99planta 4, oficina 41

08018 BarcelonaTel.: +34 902 480 580Fax: +34 934 675 830

Descripción de la solución

Para afrontar el proceso de adecuación al Reglamento (UE) 2016/679 con plenas garantías de éxito, Grupo SIA propone una solución articulada en torno a los siguientes ejes fundamentales:

• Metodología alineada con estándares internacionales y directrices emanadas de organismos de referencia, tales como la Agencia Española de Protección de Datos o el Centro Criptológico Nacional y madurada a partir de las sinergias obtenidas de los numerosos proyectos/servicios realizados en materia de privacidad y protección de datos de carácter personal.

• Profesionales, al disponer de equipos multidisciplinares integrados por abogados especializados en los aspectos legales de las TIC, y consultores de seguridad expertos en tecnología. Dichos perfiles cubren una exigente línea-base de requisitos de titulación, capacidad, experiencia y certificación, lo que, sin duda, garantiza un excelente nivel de calidad de los trabajos realizados.

• Experiencia contrastada, al haberse realizado durante los últimos años más de una centena de proyectos/servicios en el ámbito de la privacidad y la protección de datos de carácter personal en grandes organizaciones, públicas y privadas, de diferentes y variados ámbitos competenciales y sectores de actividad respectivamente.

Servicios relacionados

AdecuaciónLOPD

ConcienciaciónPrivacidad

AuditoríaRegl. LOPD

Herramienta

Adecuación Regl. Europeo

Análisis deImpacto a laPrivacidad (PIA)

Data Privacy Officer (DPO)

Supervisión Encargados del Tratamiento

SATEL® Actuaciones y procesos AEPD

servicios asociados a la pdcp

Transición: establecimiento de infraestructura, planificación de

actividades y tratamiento de riesgos

Operación, control y seguimiento del servicio (resolución de peticiones,

actualización del marco normativo, defensa jurídica, etc.)

Regulación de transferenciasinternacionales

Definición de cláusulas y contratos

Evaluación de impacto a la privacidad (PIA)

Identificación y registro de tratamientos

Plan de recomendaciones

Definición de normativa interna(documento seguridad; roles y responsabilidades; procedimientos jurídicos)

Definición de contenidosformativos e impartición de sesiones

Evaluación de indicadoresclave (KPI)

Definición y diseño de material y contenidos de concienciación

Arranque: definición de Alcance, aspectos

preliminares y ANS

Devolución y finalización ordenada de actuaciones

Realización de entrevistas TI y negocio

Comprobaciones in-situ de sistemas, locales e instalaciones

de tratamiento

Búsqueda de antecedentes e

información preliminar

Evaluación de cumplimiento del marco

racionalizado de controles

E

Fase 2Adecuación

Fase 3Concienciación

Fase 4Mantenimiento

(SATEL)

Fase 1Análisis inicial

Adecuación Reglamento

(UE) 2016/679