Protección de Datos

Han pasado ya más de 25 años desde que en nuestro país se dictara la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), que fue la pionera en desarrollar el artículo 18.4 de la Constitución Española, estableciendo el contenido del derecho a la intimidad personal y familiar.

En todo este tiempo se han sucedido diversos cambios legislativos, cuyo mayor exponente fue la Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal (LOPD), que vino a actualizar el desarrollo del contenido del citado derecho fundamental con base en la directiva 95/46/CE del Parlamento Europeo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de los mismos entre empresas de la Unión Europea. En este sentido, es necesario indicar que el Derecho de la Unión Europea ha sido el eje fundamental sobre el que ha pivotado siempre nuestra legislación en esta materia, constituyendo un instrumento de armonización de las legislaciones nacionales.

El Reglamento General de Protección de Datos (RGPD – REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE)  constituye un hito en la normativa sobre la protección del derecho fundamental a la protección de datos personales, ya que estamos ante un verdadero instrumento vinculante, un Reglamento Europeo, que no necesita de actos de transposición como una Directiva, y que posee un efecto directo y de supremacía sobre el derecho nacional.

Este nuevo Reglamento es un hito también por su decidida firmeza, ya que es un texto jurídico muy exigente con las entidades que vayan a tratar datos de carácter personal, tanto en los deberes que les impone como en las consecuencias jurídicas que se prevén, que pueden llegar a sanciones de multa de hasta 20 millones de euros o un 4% de la facturación general anual.

El RGPD (o GDPR) supone un cambio de concepción hacia un sistema de responsabilidad activa o rendición de cuentas (accountability), propio de los sistemas anglosajones y que se ha traducido como compliance.

El RGPD ha entrado en efecto el pasado 25 de mayo de 2018, por lo que se hace imprescindible para las organizaciones estar ya en disposición de acreditar el cumplimiento de la normativa.

En España, el marco jurídico, está constituido por el artículo 18.4 de la Constitución que contempla que el Estado debe limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos, desarrollado por la recientemente aprobada Ley Orgánica 3/2018, de 5 de diciembre, sobre Protección de Datos de Carácter Personal y Garantía de Derechos Digitales (LOPDGDD), por lo que será necesario un esfuerzo extra de adaptación a la nueva normativa

En definitiva, el ordenamiento comunitario ha apostado por implantar una cultura del “Compliance” en materia de protección de datos, procurando estrategias preventivas y fomentando una cultura del cumplimiento, que sustituye los cumplimientos formales por una efectiva realización de los mandatos de la norma, que han de ser demostrables, y que se deben basar en una evaluación previa, rigurosa y específica, que además este basada en las nuevas exigencias acordes a los tiempos y tecnologías con las que convivimos como la nube y el internet de las cosas.

En nuestros proyectos seguimos una metodología del ciclo de Deming:

PDCA

CICLO DEMING

El alcance de nuestros proyectos dependerá del cliente concreto, ya que nuestros trabajos se adaptan absolutamente a cada problemática. En todo caso, siempre realizamos las siguientes actividades:

  • Realizar un análisis de protección de datos desde el diseño (Privacy by Design) y por defecto (Privacy by Default), detectando todas las posibles actividades de tratamiento de datos de su empresa.
  • Implementar un Registro de Actividades Tratamiento de Datos, que es uno de los documentos básicos que ha de llevar en su organización y que debe estar al día y actualizado.
  • Analizar si las medidas técnicas, organizativas y de seguridad aplicadas son suficientes en relación a la probabilidad de ocurrencia de una quiebra en la protección, así como en relación al impacto que dicha quiebra pueda tener, esto es, realizar un análisis de riesgos.
  • Adecuar los procedimientos de protección de datos:
  • Establecer procesos para el ejercicio de los nuevos derechos: portabilidad, derecho al olvido,
  • Diseñar nuevos formularios para el derecho de información de los interesados: página web, correos, formularios de toma de datos,…
  • Analizar los consentimientos de tratamientos de datos y en su caso recabar nuevamente, especialmente en los casos de consentimientos tácitos y consentimientos genéricos (no específicos para un tratamiento).
  • Asesorar en la adecuación del uso de cookies y del cumplimiento de la página web de la compañía, de conformidad con la normativa sobre servicios de la sociedad de la información y comercio electrónico (LSSICE).
  • Asesorar en la nueva normativa española de Protección de Datos y su aplicación en coordinación con el GDPR.
  • Asesoramiento en la designación, en su caso, del Delegado de Protección de Datos, valorando su vinculación interna o externa.
  • Asesoramiento en la implantación del principio Accountability o Responsabilidad Activa, de forma que se implementen procesos para obtener y conservar evidencias de los tratamientos y el cumplimiento de las obligaciones que impone en el GDPR.
  • Asesoramiento sobre la necesidad, en su caso, de realizar una Evaluación de Impacto de Protección de Datos (PIA) o una Evaluación de Riesgos Simplificada. Si del resultado del análisis hubiera que realizar una EIDP (PIA) esta se presupuestará de forma independiente, no estando incluida su realización en este presupuesto.
  • Conseguir una total penetración en la organización, de tal modo que se alcance un elevado nivel de sensibilización por parte del personal sobre la protección de este derecho fundamental.

Estamos certificados por el ISMS FORUM y el Data Privacy Institute como Data Pricacy Professional desde 2018, por lo que aportamos un plus de garantías y profesionalidad. También somos socios de las principales Asociaciones del sector de Protección de Datos, donde acudimos a formación continua y compartimos inquietudes y problemáticas conjuntas. Por último formamos parte del Catálogo de Emrpesas y Soluciones de Ciberseguridad del INCIBE (INSTITUTO NACIONAL DE CIBERSEGURIDAD)

Ofrecemos también el servicio de Delegado de Protección de Datos externo (DPO o DPD) realizando las siguientes funciones:

El DPO tiene las siguientes funciones:

  • Interlocución en la organización: reuniones con cuadros directivos
  • Supervisión de la observancia del RGPD:
    • recabar información para determinar las actividades de tratamiento;
    • analizar y comprobar la conformidad con la normativa de las actividades de tratamiento;
    • informar, asesorar y emitir recomendaciones al responsable o al encargado del tratamiento (pero no es responsable de aplicar las medidas técnicas y organizativas)
  • Elaboración del Registro de Actividades de Tratamiento y su mantenimiento.
  • Asesoramiento en la realización de la EIDP (pero no la elabora):
    • Asesora si se debe hacer o no, la metodología, si se hace internamente o subcontrata y propuesta de medidas para mitigar riesgos.
    • Asesora si se ha hecho correctamente y sus conclusiones. Recomendar no seguir con un tratamiento o consultar AC
  • Cooperar con la Autoridad de Control, esto es, con la Agencia Española de Protección de Datos y actuar como punto de contacto
  • Establecer prioridades, siempre atendiendo actividades de mayor riesgo
  • Indicar los ámbitos que deben ser objeto de una auditoria de protección de datos interna o externa, y colaborar con los auditores.
  • Asesoramientos cuando hay violación de la seguridad de los datos o cualquier otro incidente.
  • Impartir formación a los empleados de la organización y mandos directivos.
  • Informe anual de las actividades del DPD
  • Inspeccionar los procedimientos relacionados con LOPD/RGPD y emitir recomendaciones.
  • Se le debe dar acceso a los datos personales y procesos de tratamiento. (No se le puede negar so pretexto del deber de confidencialidad o secreto de los datos)
  • Documentar y comunicar inmediatamente a los órganos de administración y dirección del responsable TODA VULNERACIÓN RELEVANTE.
  • Actuar como “primera instancia” antes de la AEPD cuando el interesado reclame:
    • Plazo de resolución: dos meses a contar desde la recepción de la reclamación
    • Un mes, si la reclamación se la envía la AEPD, tras recibirla del afectado.
  • Comprobación de todos los formularios, cláusulas de información.
  • Revisión contratos de encargo de tratamiento
  • En general, cualquier cuestión de protección de datos: privacidad desde diseño. Debe Involucrarse desde las fases más tempranas y asistir regularmente a las reuniones directivas

¿Por qué debemos contratar un delegado de protección de datos externo?:

  • Porque tiene conocimientos muy especializados en una materia compleja
  • Porque normalmente si nombramos a alguien interno de la organización habrá un conflicto de intereses. (ej. responsable de RRHH, departamento jurídico, departamento de TI, seguridad, director general, Dir. Financiero, …En definitiva, no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales.
  • Porque puede haber conflicto de prioridades: debe tener asignado un tiempo mínimo, y no se deben posponer los problemas de protección de datos so pretexto de falta de tiempo.
  • Porque tiene autonomía e independencia: no recibe ninguna instrucción en lo que respecta al desempeño de dichas funciones.
  • Porque nadie internamente quiere asumir la responsabilidad que supone.
  • Porque el nombramiento interno supone otorgar a un empleado un estatus especial de protección, ya que el RGPD impide la rescisión injustificada del contrato motivada por las actividades del DPD, así como la destitución improcedente del miembro de la organización que realice las funciones del DPD, salvo que incurriera en dolo o negligencia grave en su ejercicio.
  • Porque si no se esta obligado a nombrarlo puede constituir una circunstancia atenuante de la responsabilidad en casos de sanción.