Es evidente que cada vez los ciudadanos están tomando una mayor consciencia sobre la privacidad y la protección de datos de carácter personal en el campo de las nuevas tecnologías, impulsado, por un lado, por la evolución de la sociedad de la información y la tecnología y, por otro lado, por las iniciativas de las instituciones públicas tanto estatales como europeas, produciéndose una importante revolución mediante la aprobación del nuevo reglamento europeo que sustituye a una directiva que databa del año 1995 y que, vista la evolución de la sociedad actual, se antojaba del todo obsoleta e insuficiente.
Bien jurídico a proteger: La privacidad.
El derecho a la intimidad personal es un derecho fundamental que por supuesto está recogido en nuestra Constitución, así como en la Carta de los Derechos Fundamentales de la Unión Europea.
Podemos definir privacidad como ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión. Ligado a la privacidad aparece la protección de las personas físicas en relación con el tratamiento de datos personales, es decir, el adecuado control por parte de los ciudadanos de aquellos datos que quieren que se utilicen y aquellos que no quieren que se utilicen.
¿Qué empresas u organizaciones afecta esta normativa?
Esta nueva regulación es más exigente para la empresas y entidades que tratan datos personales, lo cual, unido a esa mayor consciencia por parte de los ciudadanos hace que se deba tener una mayor atención a esta materia sino se quiere incurrir en responsabilidades tanto sancionadoras como civiles. Concretamente, bajo nuestro criterio, deberán tener especial diligencia en el cumplimiento de esta materia las empresas o entidades que:
A) Traten datos incluidos como categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos de identificación, datos de salud y vida u orientación sexual).
B) Aquellas que traten datos a gran escala. Aquí podríamos incluir desde redes sociales, a compañías tecnológicas, de analítica web, big data o videovigilancia masiva.
C) Aquellas que realicen transferencias internacionales de datos. Como por ejemplo, empresas de terceros países fuera de la UE pero que operen en la UE y con personas residentes en la UE, especialmente empresas que operen en el ámbito tecnológico y de internet.
D) Empresas que obtengan datos mediante cesiones de datos de otras entidades (entidades financieras, de recobro, publicidad, etc.)
En las empresas que se puedan incluir en el apartado anterior, bajo nuestro criterio es donde se va a centrar la actividad sancionadora e inspectora por parte de las autoridades de control europeas, puesto que hasta ahora los abusos en materia de privacidad llevados a cabo por empresas tecnológicas de fuera de la UE era flagrante.
Por lo tanto, se trata de una regulación moderna que fundamentalmente va dirigida al ámbito tecnológico y esa gran potencia económica que es internet y todo lo que allí ocurre; no obstante, los autónomos y empresas que no estén incluidas en los puntos anteriores, también deberán cumplir la normativa y por supuesto no deberán descuidarla, si bien el riesgo a nivel sancionador, inspector o de denuncias por parte de los interesados es menor.
En este sentido, para aquellos autónomos y empresas, que también deben cumplir con los dictados de esta normativa, pero cuyo ámbito de operación no reside de forma fundamental en internet y que no tratan categorías especiales de datos, la Agencia Española de Protección de Datos ha puesto a disposición la herramienta FACILITA mediante la cual se puede hacer una adaptación a la normativa de forma sencilla, gratuita y efectiva mediante la aplicación de todo lo que el documento final que se obtiene indica. Es una opción recomendable para pequeñas y empresas y autónomos que no quieren destinar recursos económicos a esta materia. En cambio, si hablamos de empresas u organizaciones más grandes esta herramienta será claramente insuficiente sobretodo porque esta temática va íntimamente ligada a la seguridad de la información.
Te dejamos el enlace para que accedas a FACILITA y a su vídeo explicativo . No dudes en visitar la página de la Agencia Española de Protección de Datos que tiene recursos muy útiles y gratuitos.
¿Qué tareas esenciales deben desarrollar las empresas o entidades públicas y/o privadas?
En primer lugar, debe señalarse que las tareas a desarrollar en una empresa u organización dependen fundamentalmente de su tamaño, de su organización interna, de su tipo de actividad, y de los datos que trate, por lo que las tareas a realizar no serán siempre las mismas, instaurándose en el nuevo RGPD a diferencia de la legislación anterior el principio de responsabilidad proactiva o accountabilty, según el cual, cada entidad tendrá que impulsar a su propia iniciativa las tareas, medidas de seguridad y controles necesarios para cumplir con la normativa europea de protección de datos y para velar por la seguridad de su información. No obstante, vamos a aventurarnos con aquellas más relevantes y/o comunes:
1. Actualización de toda la documentación y cláusulas de la empresa u organización. La transparencia informativa a la hora de recabar y tratar datos personales es ahora mayor y por lo tanto y por lo tanto deberán modificarse y ampliarse la cláusulas donde se recojan datos personales. (fichas de cliente, formularios de contacto, etc..) También, lo contratos con los encargados de tratamiento ahora son más extensos y rigurosos, cuestión que también deberá modificarse.
2. Análisis sobre la necesidad u obligatoriedad de designar un delegado de protección de datos DPO. Hay empresas que estarán obligadas a designar un delegado de protección de datos o incluso, en caso de grupos de empresa con varias sedes o empresas con nacionalidad fuera de la UE deberán designar varios. Por otro lado, aquellas entidades que no estén obligadas a designar un DPO podrán hacerlo voluntariamente, mostrando su compromiso con el cumplimiento de la normativa en materia de privacidad. El DPO podrá ser interno o externo, si bine nosotros entendemos que no tiene sentido una figura del DPO que no esté el día a día de una organización empresarial. A su vez dicho DPO podrá estar asesorado a nivel jurídico y a nivel técnico.
3.Elaboración de un registro de actividades de tratamiento. Deberá contener la tipología de datos que se traten, su fuente jurídica, si existen transferencias internacionales y finalidades, entre otros datos que se indican en la normativa. Deberá estar actualizado en todo momento.
4. Realización de un análisis de riesgos. Fruto de la aplicación del principio de accountability las entidades deberán realizar un análisis de los riesgos que puedan existir en su organización para la privacidad, debiendo corregir aquellos más importantes y estableciendo sus propios mecanismos de control. El análisis de riesgos deberá estar documentado.
5. Evaluación de Impacto. Hay que determinar en qué casos será obligatorio realizarla. Está íntimamente ligado con el principio desde el diseño y por defecto. Podría definirse la evaluación de impacto como un estudio previo y documentado al lanzamiento de un determinado producto o servicio respecto a sus implicaciones en materia de privacidad.
6. Implantación de todas las medidas de seguridad derivadas del análisis de riesgos. Habrá que determinar las medidas de seguridad a implantar de acuerdo con el nivel de riesgo que se haya decidido aceptar dentro de la empresa. En este apartado habrá que determinar el sistema de seguridad de la información que se quiera implantar (ENS, ISO 27001,etc..) y en su caso destinar los recursos técnicos a tal efecto.
7. Auditoría. Hay que establecer los mecanismos de seguimiento, control y auditoría en materia de privacidad. En virtud del principio de proactividad, el nuevo reglamento no determina un período concreto en el que exista una obligación de realizar un auditoría, sino que será la empresa u organización la que defina cada cuánto tiempo debe efectuarse.
En resumen, con la aprobación del nuevo Reglamento Europeo de Protección de Datos las tareas en materia de privacidad implica una atención continua por parte de las empresas y organizaciones, debiendo tenerse en cuenta además que la evolución de la tecnología es constante y que habrá que estar preparados para adaptarse a ella.
Contrata a un despacho de abogados especialista.
Cumple con todos los requisitos normativos.
Obtén seguridad jurídica.
Evita sanciones.
En Insitu Abogados aconsejamos que se tenga muy presente la normativa de protección de datos, sobretodo en empresas u organizaciones que traten categorías especiales de datos así como empresas del ámbito tecnológico (redes sociales, marketing online, desarrollo de apps, desarrollo de software, comercio electrónico,etc…) puesto que, la aprobación de la nueva legislación en la materia es un declaración de intenciones del control más exhaustivo de las intromisiones en los tratamiento de datos de la ciudadanía que se va a llevar en la UE.
Nosotros entendemos que la implantación y adaptación de una empresa a la normativa de protección de datos no es un hecho puntual, sino que es algo que debe formar parte de la empresa y organización de forma continua, debiendo ser mejorada de forma constante.
Además, consideramos que debe afrontarse como algo positivo, que mejorará la la gestión de la información en una empresa u organización, así como su reputación y seguridad para evitar ataques informáticos.
Es lógico que se susciten muchas dudas en esta materia, desde si debo tener o no un DPO, si una determinada empresa tiene que realizar una evaluación impacto, etc.. En Insitu Abogados ofrecemos un asesoramiento de calidad, completo y personalizado para facilitar que las empresas, organizaciones y administraciones públicas cumplan la normativa en materia de privacidad.
Ponte en contacto con nosotros en el Tfno. 881252160 o en info@insitu-a.com y analizaremos tus necesidades en esta materia de protección de datos para ofrecerte un presupuesto.