El nuevo Reglamento General de Protección de Datos es de obligado cumplimiento desde mayo de 2018; esto quiere decir que toda persona, ya sea física o jurídica, que realice tratamientos de datos personales se encuentra dentro de su ámbito de aplicación.
Para entenderlo un poco mejor, definiremos dos términos esenciales: tratamiento y datos personales.
- Por tratamiento de datos nos referimos a cualquier operación o conjunto de operaciones realizadas sobre datos personales (recogida, registro, conservación, utilización, comunicación, supresión, destrucción, etc.).
- Y por dato personal entendemos cualquier información relativa a una persona física, identificada o identificable, por la cual pueda determinarse, directa o indirectamente, su identidad (por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural, social u otros elementos propios de su identidad).
Cualquier persona jurídica (sociedad, asociación, fundación, etc.) o persona física (autónomo, empresario individual, etc.) realiza tratamientos de datos personales. Los más habituales suelen ser los de: clientes, trabajadores, proveedores, videovigilancia, currículums, página web...
¿Y qué hay que hacer para cumplir con la nueva normativa en Protección de Datos Personales?
A diferencia de la normativa anterior, ya no nos vemos obligados a adoptar una serie de medidas de seguridad previstas en un “catálogo” ni nos vemos obligados a registrar los ficheros en la Agencia Española de Protección de Datos. Ahora lo que tenemos que hacer es un Análisis de Riesgos sobre los tratamientos de datos que realizamos y en base al resultado, implantar las medidas de seguridad que sean más apropiadas y que garanticen que van a proteger los derechos y libertades de los interesados.
Además del Análisis de Riesgos, el Reglamento nos obliga, entre otras cosas, a:
- Tener un Registro de las Actividades de Tratamiento
- Desarrollar un procedimiento para notificar las violaciones de seguridad a la Agencia y a los interesados
- Tener un Registro de las incidencias
- Desarrollar políticas sobre protección de datos
- A informar de manera más clara a los interesados
- A obtener los consentimientos a través de una declaración o acción positiva (adiós a los consentimientos tácitos)
- A poder demostrar que cumplimos con el Reglamento
- A regularizar la relación con los Encargados a través de un contrato
- A conservar los datos durante un plazo determinado
- A dar respuesta a los derechos de los interesados
- A nombrar a un Delegado de Protección de Datos (sólo para algunos casos)
- A realizar una Evaluación de Impacto (sólo en algunos supuestos)
Otra de las novedades que aporta el nuevo Reglamento Europeo de Protección de Datos Personales, es la posibilidad de, mediante mecanismos de certificación, demostrar que en tu empresa o asociación existen garantías adecuadas de protección de datos y acreditar el cumplimiento de las obligaciones establecidas en el Reglamento.
Hoy en día, la única norma internacional certificable que incluye la Protección de Datos de carácter Personal es la ISO 27001, que trata de asegurar la protección de toda la información que se maneja en una empresa.
Los beneficios que se obtienen con la certificación internacional son muchos. Además de los citados anteriormente de poder demostrar y acreditar que cumples con el Reglamento y ofreces garantías suficientes, mejorarás la reputación de tu empresa, conseguirás más clientes y beneficios, evitarás brechas de seguridad, el mercado confiará más en ti, etc.
La adaptación al Reglamento no es tarea sencilla, además de requerir tiempo, se necesita un mínimo de conocimiento sobre la Protección de Datos Personales. Dependiendo de los tratamientos que se realicen y de los datos que se traten la ayuda de un profesional no sólo es aconsejable, sino necesaria.