A escasas semanas de que entre en vigor de forma obligatoria el nuevo Reglamento General de Protección de Datos, considerado también como la LOPD 2018, sólo el 35% de las empresas han puesto en marcha las acciones y mecanismos necesarios para su completa implantación. Estos datos reflejan tanto la dejadez como las dificultades que muchas organizaciones están encontrando para afrontar una normativa que les exige un cambio de perspectiva tan radical a la hora de manejar datos personales en relación a la que han venido desarrollando hasta el momento.
Es obvio, que aquellas empresas que hasta el momento no se hayan puesto manos a la obra no van a llegar al 25 de mayo con todas las garantías de cumplimiento. Pero esta fecha no ha de entenderse como una línea de meta, sino más bien como una de salida, por lo que sería conveniente que iniciasen la planificación y puesta en marcha lo antes posible.
Con el objetivo de facilitaros la tarea, a continuación se detallan 6 claves que os ayudarán a afrontar la adaptación de vuestra empresa al nuevo Reglamento:
- Analizar los riesgos
Una de las principales novedades del RGPD es la introducción de un nuevo enfoque desde el que abordar la protección de los datos personales. Mientras que en la ya casi obsoleta LOPD la metodología para proteger los datos se basaba en una lista cerrada de medidas a implantar en función del tipo de dato tratado, el enfoque de riesgos introducido por el Reglamento permite desarrollar un sistema mucho más flexible, orientable y adaptable a cada organización, ya que se da la libertad de diseñar e implantar las medidas de seguridad que sean necesarias en función de los riesgos específicos que amenacen a cada institución.
En este sentido, y aunque todas las empresas han de realizar un análisis de riesgos de manera obligatoria, la profundidad y complejidad de ese análisis variará en función de los datos tratados y de los riesgos asociados a esos tratamientos.
Para los tratamientos considerados de escaso o muy bajo riesgo, bastará con utilizar la herramienta Facilita de la AEPD, que tras un breve test nos generará un informe con una serie de acciones a llevar a cabo para estar en condiciones de cumplir con la normativa.
En aquellos casos en los que no sirva esta herramienta (la mayoría), será necesario hacer un análisis de riesgos “manualmente”, para lo que podéis ayudaros en las guías de la AEPD al respecto (Análisis básico de riesgos y Evaluación de Impacto del Tratamiento).
- Identificar y documentar la legitimación del tratamiento
Un aspecto esencial para cumplir con el RGPD es llevar a cabo y ser capaz de demostrar la licitud en el tratamiento de los datos. Debemos plantearnos y analizar si todos los tratamientos que llevamos a cabo tienen una base legal que los justifique y si contamos con los medios para demostrarlo. En la mayoría de las empresas, esta legitimación se va a justificar con dos bases jurídicas: el consentimiento del interesado y la necesidad de ejecución de un contrato. Por ello, es fundamental que se redacten adecuadamente los modelos de consentimiento, que se lleve a cabo una política de información exhaustiva y que se archiven todos los contratos con clientes y proveedores.
- Registro de actividades del tratamiento
A pesar de que, en teoría, el registro de actividades de tratamiento sólo será exigible a determinadas empresas (aquellas que, por ejemplo, empleen a más de 250 trabajadores), es altamente recomendable que se lleve a cabo por todas, ya que es el elemento que sustituye al registro de ficheros y, por tanto, un elemento esencial para acreditar el cumplimiento.
La Guía Práctica de Análisis de Riesgos de la AEPD incluye un apartado de orientación para la elaboración del registro.
- Elaborar e implantar procedimientos internos
Podemos destacar dos procedimientos internos esenciales que nos ayudarán a cumplir con las imposiciones del RGPD.
En primer lugar, el procedimiento de notificación de brechas de seguridad. Para ello, debemos diseñar un flujo y un medio de comunicación con el Delegado de Protección de Datos o aquella persona que esté encargada de gestionar los incidentes de seguridad de los datos.
Adicionalmente, se diseñará un procedimiento para que los interesados puedan ejercer sus derechos ante la empresa.
El elemento esencial para un funcionamiento exitoso de estos procesos internos es una formación adecuada y exhaustiva a todos los miembros de la empresa, asegurándonos de que conocen sus obligaciones, cómo tienen que actuar en cada caso y los medios que utilizar.
- Revisar las relaciones con encargados de tratamiento
El RGPD trae consigo una revolución en las relaciones entre responsables y encargados de tratamiento.
Primero, debemos empezar a valorar las garantías en relación a la privacidad que nos ofrecen las empresas a las que vamos a derivar algún servicio en el que tenga acceso o trate datos de los que somos responsables.
Tal empresa no sólo ha de cumplir con el RGPD, sino garantizar la seguridad de aquellos datos que les vamos a ceder para que lleven a cabo el servicio encargado. Esa garantía se deberá plasmar en un contrato por escrito que incluya las cláusulas obligatorias del artículo 28.3 del Rglamento.
Por último, tendremos que supervisar periódicamente que los encargados están cumpliendo con su palabra y, por lo tanto, están poniendo todos los medios necesarios para proteger nuestros datos.
- Medidas de ciberseguridad
Una vez que desde el punto de vista organizativo y jurídico hemos llevado a cabo todas las acciones que nos permitan una gestión adecuada y legítima, debemos implantar diseñar e implantar todas las medidas de ciberseguridad que sean oportunas para eliminar o, al menos, reducir los riesgos que identificamos durante el análisis.
Algunos ejemplos de qué tipo de medidas podrían implantarse son: actualización constante de dispositivos y sistemas, antivirus, firewall o cortafuegos, copias de seguridad periódicas o cifrado de datos.
En definitiva, el RGPD impone a las empresas nuevos retos a los que hay que hacer frente. Aunque obviamente la adaptación completa al Reglamento incluye otros aspectos adicionales a los aquí reflejados, estas 6 claves concentran las medidas principales que debemos llevar a la práctica para poder cumplir con las nuevas obligaciones.
