El nuevo Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) entró en vigor en 2016 y comenzará a aplicarse a partir de mayo de 2018. De esta forma, las compañías disponen de algo más de un año para adaptarse a la normativa pero la Agencia Española de Protección de Datos (AEPD)recomienda comenzar a implementarla y es que debemos tener en cuenta que establecer los procesos adecuados así como adaptar la filosofía o mentalidad correcta en toda la organización requiere tiempo y esfuerzo.
Con el objetivo de acercarnos al GDPR, destacamos algunas de sus principales novedades:
1. Consentimiento de los interesados
El nuevo texto obliga a modificar las políticas de privacidad en lo referente a la recogida de datos personales. El consentimiento deberá ser libre, específico, informado e inequívoco mediante declaración o clara acción informativa (el silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento). Así mismo, el responsable del tratamiento de los datos deberá poder probar que el titular consintió dicho tratamiento.
2. Registro de actividades de tratamiento de datos
Deberá establecerse y documentarse un procedimiento por el cual los responsables del tratamiento llevarán un registro de las actividades en la materia efectuadas. Dicho registro contendrá información relativa al tipo de información personal que se recoge, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad del tratamiento y las medidas técnicas y de seguridad adoptadas por la organización, entre otros aspectos.
3. Procedimiento ante quiebras de seguridad
Todas las violaciones de seguridad que se produzcan relacionadas con datos personales deberán ser notificadas a la autoridad de control sin dilación indebida (a más tardar 72 horas después de que se haya tenido constancia de la violación).
4. Evaluaciones de impacto
La norma exigirá implementar una metodología (Privacy Impact Assesment) que permita evaluar los riesgos en el tratamiento de datos personales y adoptar las acciones pertinentes para paliar los mismos.
5. Designación del delegado de protección de datos (DPO)
Será necesario designar a un delegado de protección de datos (DPO) externo o interno en función del volumen de datos gestionados o por las categorías especiales de éstos. Esta figura se encargará de supervisar y asesorar al encargado del tratamiento en materia de protección de datos personales, así como de ejercer de nexo con la autoridad de control.
6. Plan de formación al personal de la compañía
Se deberá impartir al personal de la compañía y documentar a efectos probatorios, formación en materia de tratamiento y protección de datos personales.
Desde el departamento de Compliance de Metricson, los expertos en materia de protección de datos y privacidad trabajamos para que las empresas conozcan y puedan implementar todas las novedades en materia de protección de datos creando marcos seguros de trabajo.