El nuevo Reglamento Europeo de Protección de datos (RGPD), exige a las organizaciones la obligación de garantizar la seguridad de los datos de carácter personal, aplicando las medidas necesarias para evitar cualquier daño, Responsabilidad proactiva y respondiendo por todos los daños que sufran esos datos. Para ello es importante entender los siguientes puntos ya que nos ayudaran a implantar de forma correcta los cambios necesarios en nuestra organización.

9 claves para entender cómo funciona el nuevo Reglamento General de Protección de Datos

1. El deber de información y el encargo de tratamiento:

Son dos de las modificaciones más importantes. Los responsables podrán certificarse dentro de los esquemas previstos por el RGPD para demostrar que son capaces de ofrecer las garantías que exige el reglamento.

  • Las cláusulas: Como novedad, también se debe informar acerca de la base jurídica de tratamiento, los datos del delegado de protección de datos si este existe, la intención de realizar transferencias internacionales y la elaboración de perfiles. Se mantienen con respecto a la normativa anterior la identificación del responsable y los derechos de los titulares.
  • Encargo de tratamiento: Se amplía el contenido de los contratos, que ahora deben incluir la atención de las solicitudes de los derechos de los titulares, la firma de los compromisos de confidencialidad por el personal del encargado y un deber de colaboración del encargado de tratamiento con el responsable, de manera más extensa que la ya antigua LOPD.

2. Responsabilidad proactiva, privacidad desde el diseño y por defecto:

El responsable y encargado de tratamiento de los datos está obligado a prevenir los daños y a demostrar que la empresa cumple con lo establecido en el reglamento. Para ello es preciso medir la privacidad desde dos puntos de vista:

  • Privacidad desde el diseño: todo sistema de tratamiento de datos debe adaptarse al RGPD desde las primeras fases de un proyecto y que abarque el desarrollo completo del mismo.
  • Privacidad por defecto: los sistemas de tratamiento de datos deben configurarse de la forma más restrictiva posible para respetar la intimidad de las personas. Con un especial foco en la gobernanza de los datos, ya que son los usuarios los que deben decidir aquellos aspectos de su información que quieren hacer públicos.

3. Inscripción en los ficheros y registro de actividades:

Se sustituye la obligación de inscribir los ficheros en la Agencia Española de Protección de Datos (AGPD) por la de disponer de un registro de actividades. Cada compañía debe describir con detalle qué datos recoge, con qué fin los trata, a quién los comunica, si los transfiere a terceros países, cómo preserva su seguridad, portabilidad de los mismos y cuándo podrá suprimirlos.

4. Nuevos derechos de los titulares:

Los derechos ARCO (acceso, rectificación, cancelación y oposición) se mantienen, mientras que se añaden algunos más con especial complicación técnica: limitación de tratamiento, portabilidad y derecho al olvido. Los plazos también cambian, ya que, si con la LOPD el plazo de atención del derecho de acceso era de un mes y para el resto de 10 días, la nueva normativa unifica el plazo de atención a 1 mes para todos los derechos.

5. Consentimiento inequívoco del interesado:

Una de las novedades del RGPD deja claro que se deberá recabar el consentimiento a través de una clara acción afirmativa o manifestación libre de voluntad que no deje lugar a dudas. Los elementos más destacables son:

Puntos clave:

  • Facilidad para el interesado prestar su consentimiento como revocarlo.
  • Se deberá recabar el consentimiento por cada finalidad de tratamiento distinta que se realice.
  • Se deberá poder demostrar que hemos obtenido el consentimiento del interesado (prueba fehaciente).

¿Cuándo se ha de recabar el consentimiento?

Siempre se deberá contar con él, salvo en los siguientes supuestos:

  • Cuando sea necesario para la ejecución de un contrato en que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
  • Cuando sea necesario para el cumplimento de una obligación legal.
  • Cuando sea necesario para satisfacer un interés legítimo del responsable del tratamiento, un interés vital o un interés público

¿Qué sucede con los consentimientos otorgados anteriormente (LOPD)?

Si se facilitaron cumpliendo los parámetros actuales en RGPD no será necesario, en caso contrario existen varias opciones:

  • Volver a solicitárselos.
  • Valorar si el tratamiento puede apoyarse en otra base legal, como, por ejemplo, el interés legítimo.

6. Actual base legal de los tratamientos:

Mientras que la LOPD recogía el consentimiento como base legal principal y el resto de casos eran excepciones, ahora son bases legales claramente diferenciadas el consentimiento, la relación contractual, los intereses vitales del interesado o terceras personas, la obligación legal para el responsable, el interés público o el ejercicio de poderes públicos.

7. Análisis de riesgos y medidas de seguridad:

El RGPD basa la aplicación de las medidas de seguridad en el riesgo a la hora de tratar la información. Para analizarlo debe tenerse en cuenta la naturaleza de los datos, el número de afectados y la cantidad y variedad de tratamientos de la información que realice la empresa.

8. Nueva figura del Delegado de Protección de Datos, DPD o DPO (por sus siglas en inglés):

Es una de las grandes novedades y uno de los mayores quebraderos de cabeza que se crea junto a las ya existentes de responsable y encargado del tratamiento de los datos. Sus funciones se orientan a garantizar el cumplimiento del reglamento y asesorar al responsable del tratamiento de datos, muy en la línea de la actuación realizada por el Compliance Officer.

El RGPD en su redacción actual no excluye de esta obligación a ningún tipo de empresa u organización por su número de empleados (se eliminó la referencia a los 250 empleados), siendo obligatorio en tres supuestos concretos:

  • Autoridad u organismo público
  • La actividad principal del responsable o encargado requiera tratar datos de forma habitual y analítica.
  • Tratamiento a gran escala de datos especialmente sensibles (ideología, etnia, afiliación sindical, salud…) o relativos a infracciones penales.

9. Nuevas sanciones por incumplimiento:

La cuantía de las multas se amplía de forma sustanciosa para evitar lo que se conoce como las “infracciones rentables”. Por ello, el artículo 83 del RPGD habla de que es posible cifrar las sanciones administrativas con cantidades de hasta 20 millones de euros. Si hace referencia a una empresa, la multa podría ascender hasta el 4% del volumen de facturación, en base al anual global del ejercicio financiero anterior.

¿Existe algún seguro que pueda cubrir el riesgo al incumplimiento de la RGPD?

Actualmente el mercado asegurador ha analizado el perjuicio económico que puede producir un incidente relacionado con los datos, están creando nuevas coberturas relacionadas con el nuevo reglamento en sus productos de Ciberriesgo, para poder ayudar hacer frente problemas derivados de estos incidentes.

¿Cómo funciona?

En el supuesto que tengamos un incidente de seguridad (ya sea un ataque, fuga o accidente) en sus sistemas de información o recursos informáticos. La activación del seguro asumiría el coste que se pudiera generar, por ejemplo, por la paralización o cese de negocio, pérdidas de clientes, recuperación de reputación, consecuencias legales e indemnizaciones por la publicación de datos personales e información confidencial. Además, se cubren los gastos de honorarios de expertos en seguridad informática, peritos informáticos, legal o comunicación.

Coberturas más destacadas en Ciberriesgo

  • Servicio de gestión de incidentes prestado por especialistas para asesorar, coordinar y gestionar la respuesta en caso de sufrir una vulneración de datos, fallo de seguridad o amenaza de extorsión.
  • Reclamaciones de terceros. Ya sea por la vulneración de sus datos, fallos de seguridad que afecten a un tercero o por una reclamación por daño moral en internet que se haya producido a raíz de ataques en nuestros canales digitales. Por ejemplo, sanciones del órgano regulador (AGPD) relativas al nuevo reglamento (RGPD)
  • Pérdida de beneficios en caso de interrupción del negocio como resultado de un ataque cibernético externo o interno.
  • Recuperación de datos. En caso de pérdida o daño de datos, nuestros colaboradores te ayudarán a restaurar la información dañada y a recuperar tus sistemas para que trabajes con normalidad.
  • Extorsión cibernética. Servicios necesarios para desbloquear y gestionar una amenaza de extorsión.
Contacta con nuestros especialistas
Hablemos sobre tus necesidades.