Cumplimiento del RGPD y LOPDgdd

Su empresa maneja base de datos, desde las más básicas: clientes, proveedores, personal, nóminas, selección de personal, hasta otras de mayor complejidad, recuerde que la ley le obliga a proteger dichos datos.

Todas las empresas españolas que traten datos de carácter personal, sin excepción, están obligadas a este marco legal.

Y la Agencia Española de Protección de Datos (AEPD) es la encargada de velar por el cumplimiento de la legislación sobre la protección de datos, controlando su aplicación, atendiendo las peticiones y reclamaciones de los afectados y, en caso necesario, ejerciendo su potestad sancionadora.

Este nuevo marco de protección de datos incide en la defensa de la intimidad y privacidad de los ciudadanos y consumidores, a los que reconoce un conjunto de derechos y a la empresa unas obligaciones:

  • Deber de información al interesado: Se deberá ampliar la información que se da a los interesados, con avisos de tratamiento de datos más detallados y específicos, como por ejemplo los datos de contacto del DPO, la legitimación para la recogida de los datos, etc.

  • Derechos de los interesados: Permitir a los interesados el acceso, rectificación, supresión o derecho al olvido, oposición, limitación al tratamiento y portabilidad de los datos. Además, los interesados van a disponer de mayor decisión sobre el tratamiento de sus datos, podrán rechazar el tratamiento de toma de decisiones de manera automática, así como cierto tipo de elaboración de perfiles.

  • Llevar un Registro de Actividades de Tratamiento con relación a los datos personales.

  • Política de Privacidad y Seguridad: Implantación de medidas de seguridad de índole técnica y organizativa necesarias para garantizar la seguridad de los datos tratados.

  • Responsabilidad Proactiva: Las entidades, tanto responsables como encargadas de tratamiento están obligadas a demostrar que sus actividades de tratamiento cumplen con los principios recogidos en el RGPD.

  • Privacidad desde el Diseño: Las entidades deberán diseñar sus procesos y sistemas pensando en la protección de los datos.

  • Notificación de Violaciones de Seguridad: Los ataques que sufran las entidades y produzcan una vulneración de los datos o su seguridad, deben ser notificados a la Autoridad Competente en un plazo máximo de 72 horas. Además, si estamos hablando de datos críticos también se deberá de informar a los afectados.

  • Delegado de Protección de Datos (DPO): El nuevo marco de responsabilidad proactiva que inculca el Reglamento General de Protección de Datos hace necesaria la aparición del Delegado de Protección de Datos, como máximo responsable dentro de la entidad de las actividades de tratamiento y como punto de contacto con la Autoridad de Control.

  • Análisis de Riesgos: La realización de análisis de riesgos es imprescindible para analizar antes del inicio de cada nuevo tratamiento todas las implicaciones para la seguridad de los datos, así como, el cumplimiento estricto de la normativa. El DPO supervisará dicha elaboración.

  • Encargado del Tratamiento: Firmar contratos con los terceros que intervengan en el tratamiento de los datos personales, tales como proveedores de servicios o empresas de alojamiento.

  • Formación a empleados: Formación a los empleados de la empresa para cumplir con lo estipulado en el RGPD.

    • Sin embargo, la falta de precisión en términos y situaciones hace que su aplicación sea difícil y que las empresas y profesionales afectados tengan que adoptar medidas organizativas, técnicas y legales para evitar cualquier tipo de sanción.