Background Image
Table of Contents Table of Contents
Previous Page  2 / 8 Next Page
Information
Show Menu
Previous Page 2 / 8 Next Page
Page Background

RJ

osdatospersonalessonlamate-

ria prima más importante del

sigloXXIparacualquierempresa

y el ReglamentoGeneral dePro-

tección de Datos de la Unión

Europea, GDPR para los profesionales del

sector por sus siglas en inglés, supone un

cambiodecriterioen la formadeorganizar y

documentar unas buenas prácticas en la

gestiónde los datos personales.

La LOPD y su Reglamento nos obligaban a

realizar una foto fija del estado de la protec-

cióndedatos en laempresaenunmomento

determinadoyelGDPR,porelcontrario,nos

obliga a realizar una gestióndinámica ypro-

activa del tratamiento de los datos persona-

les. Ahora lo importante ya no es el fichero

que contenía los datos, sino el tratamiento

quedemosaesosdatos.Toda ladocumenta-

ción se realiza alrededor del tratamiento de

datos, indicando quién los trata, cómo los

obtiene, cómo losgestionaycómo losprote-

ge, y todobajouncriterio jurídicoquedeno-

minamosPRIVACYBYDESING,quesignifica

que cualquier tratamiento de datos lo hare-

mos estudiando cómo afectará a la privaci-

dad del titular de los datos.

EnPrivacidadDigital Abogadoshemosdise-

ñado el proceso en cinco sencillos, pero la-

boriosos pasos y pensando que hay un paso

previodenombraruninterlocutorúnicoque

lidereelproyectodeadaptaciónenlaempre-

sa, que enmuchos casos será elDelegadode

ProteccióndeDatos (DPO).

Primero. - Cartografiar el tratamiento de

datos:consisteenconocerenprofundidadel

negocio, latipologíade losdatos, losficheros

sobre losque se trabajay los tratamientosde

datos que se realizan. Puede equivaler al

antiguo documento de seguridad del

RD.1720/2007.Comportahacerunprofundo

estudiodelasituacióndepartida,incluyendo

departamentos de la empresa, sistemas in-

formáticos, personas que tratan los datos,

tantointernascomoexternas(encargadosde

tratamiento).Lamejormaneradeelaborarel

mapa es respondiendo a seis sencillas pre-

guntas: QUÉ datos tenemos, PORQUÉ los

tenemos, DÓNDE los guardamos, A QUIEN

los cedemos, HASTA CUÁNDO los guarda-

mos y CÓMO los protegemos.

El resultado de este estudio sobre la privaci-

dad en la empresa será un listado de activi-

dadesde tratamientoconsusflujosdedatos

y las medidas de seguridad que los prote-

gen.

Segundo.- Actuaciones Prioritarias: hemos

dedeterminarquéactuacioneshaydeafron-

tarinmediatamenteylamásimportanteserá

establecer unas finalidades claras en la ob-

tención de datos personales, evitar captar

datos excesivos que luego nos penalicen al

implantar medidas de seguridad, redactar

nuevas cláusulas de consentimiento o lega-

lizar los consentimientos no adaptados al

GDPR y nuevos protocolos de ejercicio de

derechoscomoeldeportabilidad,derechoal

olvidoo limitacióndel tratamiento. Jurídica-

mente hemos de establecer claramente la

base legal por la cual tratamos datos perso-

nales,porqueluegonospermitiráacogernos

al nuevo principio de interés legítimo al tra-

tamiento. Un robusto informe legal en este

puntonos evitarábastantes problemas enel

futuro, al igual queunanuevacláusula infor-

mativa, clara, extensa y con los contenidos

queordenaelnuevoGDPRqueentraenvigor

el 25 demayo de 2018.

Tercero. - Mapa de riesgos: todos los trata-

mientos han de tener un informe sobre los

riesgosquecomportanpara laprivacidadde

las personas y el conjunto de informes crea-

ránunmapaderiesgosdondeevaluamosqué

tratamientos son más o menos peligrosos y

debamos corregir su implantación o aplicar

nuevasmedidas de seguridad. Además, una

serie de empresas han de tener, obligatoria-

mente una Evaluación de Impacto, llamado

PIA (Privacy Impact Assestment), que deter-

mine si ese tratamientoestáajustadoadere-

cho,cumplelanormaynoesperjudicialpara

los derechos y libertades de sus titulares.

Aquellas empresas que tengan que efectuar

evaluacionesdeimpactoensustratamientos,

también estarán obligadas a nombrar un

DelegadodeProteccióndeDatos(DPO),que

eslapersonaquevigilaráelcumplimientode

lanormaenlaempresa.Entreotrasempresas,

losbancos, hospitales, aseguradoras, opera-

doras de telefonía, empresas de energía y

telecomunicación, operadores de internet o

empresas de marketing y publicidad están

obligadasatenerenplantillaobienacontra-

tar un profesional externo que ejerza de

DPO.

ElDPOhade ser unprofesionalmuy cualifi-

cadoyconhondaexperienciaenprotección

de datos, y será la profesión jurídica más

buscada en los próximos meses dada la es-

casez de profesionales.

Cuarto.-Organización:diseñaremosnuevos

protocolos de atención a los particulares,

canalesdequejas,atencióndelaspeticiones

de ejerciciode los nuevos derechos, comoel

derecho al olvido, concienciación y forma-

ciónde los trabajadores implicados yvíasde

comunicacióneinformacióndelaspolíticas

deprivacidadde la empresa, quemejoren la

reputación online (a mejor reputación me-

jores ventas, no lo olvidemos). Establecere-

mos protocolos de comunicación de inci-

denciasalaautoridaddecontrolyprotocolos

de recuperación.

Quinto. - Documentación: El GDPR no nos

obliga a aplicar una serie de medidas, sino

quenosobligaaqueseamosproactivosenla

protección de la privacidad. En inglés se de-

nomina accountability, o principio de res-

ponsabilidad. Por tanto, de todo nuestro

trabajo anterior, hemos de dejar pruebas y

evidencias,actasdereunionesyactuaciones,

modelosdecláusulasycontratos,protocolos,

comunicaciones a la Agencia, cursos, ma-

nuales. Sólo así podremos probar que nues-

trapolíticadeprivacidadescorrectayhemos

adaptadonuestraempresaonuestrocliente

al nuevoGDPR.

OBLIGACIÓNEMPRESARIALCONELREGLAMENTO

EUROPEODEPROTECCIÓNDEDATOS

Detodonuestro

trabajoanterior

hemosdedejar

pruebasy

evidencias,actas

dereunionesy

actuaciones,

modelosde

cláusulasy

contratos,

protocolos,

comunicaciones

alaAgencia,

cursos,

manuales.Sólo

asípodremos

probarque

nuestrapolítica

deprivacidades

correcta

L

Jesús Soler PUEBLA

Abogado de PrivacidadDigital Abogados

2

Especial Jurídico

Martes. 10 de octubre de 2017

• LA RAZÓN