Plan para el cumplimiento del nuevo Reglamento de Privacidad de la UE 2016/679
La Privacidad: de un costo a un recurso valioso
El año 2017 es el año de preparación para la transición del Código de Privacidad al Nuevo Reglamento Europeo sobre el tratamiento de datos personales (GDPR). El nuevo reglamento ya está en vigor desde el 25 de mayo de 2016 y se aplicará plenamente a partir del 25 de mayo de 2018. Esto significa que incluso los tratamientos ya realizados deberán ajustarse al GDPR antes del próximo 25 de mayo de 2018.
Real Comm te ofrece apoyo legal come tecnològico
La nueva normativa tiene como objetivo armonizar la disciplina entre los Estados miembros en materia de privacidad y está destinada a desarrollar el mercado único digital a través de la creación y promoción de nuevos servicios, aplicaciones, plataformas y software. Las empresas tienen la carga de implementar inmediatamente actividades de ajuste al nuevo marco normativo.
El Nuevo Reglamento Europeo (GDPR) introduce varios cambios con respecto al Código de Privacidad, que aún está en vigor. De hecho, el GDPR establece la nueva figura profesional del DPO (Delegado de Protección de Datos), obligatoria para las entidades que tratan volúmenes significativos de datos, y nuevos deberes y responsabilidades para el responsable del tratamiento de datos. Entre estos, se encuentra la obligación de mantener un Registro de Actividades de Tratamiento. Además, el GDPR considera escenarios de diseño que deben respetar desde el principio el enfoque de una actividad de tratamiento (privacidad por defecto, privacidad por diseño, evaluación de impacto de privacidad).
El GDPR introduce nuevas reglas: prevé una nueva forma de transferencia de datos personales a países terceros y establece nuevos procedimientos en caso de pérdida de datos. El GDPR ha establecido un comité europeo para la protección de datos que tiene la tarea de aplicar políticas congruentes y coherentes con la creciente difusión de las redes sociales y la nube (como sistema de almacenamiento y tratamiento de datos).
El objetivo común del legislador y del Garante para la protección de datos personales es simplificar los cumplimientos del responsable del tratamiento de manera que pueda obtener ventajas concretas de la nueva normativa.
De hecho, la adopción correcta de medidas simples para la protección de datos personales puede contribuir a hacer más eficiente la organización de la empresa y reducir significativamente los riesgos potenciales a los que se expone en el mercado. Por lo tanto, es necesario adoptar las mejores prácticas que pueden mejorar no solo la imagen de la empresa desde el punto de vista de la responsabilidad social, sino también la capacidad de negocio con los mismos costos incurridos, aumentando la confianza de usuarios y consumidores en la seriedad y fiabilidad de la empresa.
Algunas de las novedades introducidas pueden implicar cambios significativos en la organización de la empresa y, en algunos casos, inversiones de naturaleza tecnológica. Por lo tanto, es necesario preparar una planificación hecha de evaluaciones y análisis para no estar desprevenidos cuando entre en vigor el GDPR.
Cómo abordar las novedades del GDPR:
- Valorar las soluciones ya adoptadas en la empresa, en armonía con la obligación de conformidad (compliance) al GDPR;
- Elegir el método más adecuado para enfrentar las novedades del GDPR, evaluando el tipo de datos personales tratados, los riesgos de cada tratamiento específico y el tipo de empresa;
- Adoptar medidas técnicas y organizativas que:
- Garanticen la completa correspondencia con los requisitos exigidos por el GDPR;
- Permitan al Responsable del tratamiento demostrar que el tratamiento es conforme al GDPR;
- Estén en conformidad con Códigos de Conducta certificados.
Para garantizar la conformidad con el GDPR, las empresas deben:
- Identificar y formalizar los roles y responsabilidades para el tratamiento de datos personales y para su protección; gestionar un Registro de Tratamientos, a revisar y actualizar cuando sea necesario;
- Evaluar los impactos y riesgos de cada tratamiento específico para la empresa, considerando también las medidas de protección actuales, y proceder a una evaluación periódica (PIA);
- Identificar y planificar los proyectos de adaptación al Nuevo Reglamento Europeo (ámbito, recursos, tiempos), valorando soluciones y competencias ya disponibles en la empresa: definir las medidas de seguridad (técnicas y organizativas) adecuadas en relación con la evaluación del riesgo;
- Gestionar los planes de remediación (plan de remediación) de las medidas de seguridad no adoptadas; gestionar el proceso de privacy by design en los nuevos tratamientos introducidos;
- Evaluar la oportunidad de adoptar mejores prácticas de mercado (estándares, marcos, normas ISO, etc.) para asegurar la eficacia y eficiencia de las soluciones;
- Gestionar el registro de incidentes;
- Evaluar el impacto económico para la conformidad con el GDPR.
IlEs deseable, además de necesario, intervenir inmediatamente con planes de adaptación efectivos al GDPR posiblemente antes del II semestre de 2017 respecto a la inminente fecha límite:
- Antes del III trimestre de 2017, realización del Documento de conformidad con el D.Lgs 196/2003 con plan de adaptación al GDPR;
- Antes del IV trimestre de 2017, realización del Master Plan GDPR;
- Antes del I trimestre de 2018, realización de Proyectos de Adaptación al GDPR.
Real Comm te acompaña en este delicado camino.
Real Comm te proporciona apoyo tanto legal como tecnológico para guiarte en el complejo escenario actual y para obtener una protección adecuada de los datos en la fase de adquisición, tratamiento, transferencia y eliminación. Real Comm ofrece un servicio que permite a ti y a tu empresa comprender las obligaciones impuestas por el GDPR en materia de protección de datos (data protection), planificar los cumplimientos, implementar las medidas necesarias y monitorearlas a lo largo del tiempo. Real Comm te apoya en la adaptación a las obligaciones introducidas por el nuevo Reglamento Europeo (GDPR) en materia de data protection, en vista de su plena aplicabilidad en mayo de 2018.
Principales aspectos tratados en las intervenciones de asesoramiento y apoyo:
- Definiciones y conceptos básicos del Nuevo Reglamento Europeo (GDPR) y diferencias con el actual Código de Privacidad;
- Novedades organizativas y metodológicas del GDPR (Capítulo IV): los procedimientos que, en general, hacen lícito el tratamiento;
- La Privacidad y las nuevas condiciones del consentimiento;
- El Responsable del tratamiento y el Encargado del tratamiento: obligaciones y responsabilidades;
- La seguridad de los datos personales (Data Protection) y Protection Impact Assessment (PIA);
- Los principios de Privacy by design y Privacy by default;
- La nueva figura del Data Protection Officer (DPO): tareas, responsabilidades y duración;
- La violación de datos personales (Data Breach);
- El Registro de Actividades de Tratamiento;
- Gestiòn de Logs
- Cómo planificar la adaptación al GDPR: conformidad con el Código de Privacidad en la perspectiva de la entrada en vigor del GDPR.
- Recordatorio de algunas Disposiciones Generales del Garante:
- El uso del ordenador en la empresa;
- Los sistemas de videovigilancia en la empresa;
- Las reglas del marketing;
- El sitio web de la empresa y los tratamientos con internet.
Destinatarios de las intervenciones de asesoramiento y apoyo:
- Responsables de Personal, Responsables y empleados de ICT, empleados del Departamento Legal de empresas y entidades públicas, Responsables de Marketing, Titulares y Responsables del tratamiento, consultores, administradores de sistemas, abogados, contadores;
- Todos aquellos que han nombrado un Responsable Externo del Tratamiento;