El pasado 25 de mayo de 2018 entró en vigor el nuevo Reglamento General de Protección de Datos (RGPD), con las siguientes novedades:
- Los ficheros desaparecen
- Las medidas de seguridad se establecen en función del riesgo detectado
- Debe de haber una mayor transparencia en la información
- Aparecen novedades como la portabilidad, la limitación y el olvido
- Nuevas exigencias a las garantías de nuestros encargados de tratamiento
- Entra en juego el delegado de protección de datos
- Certificación para evidenciar el cumplimiento de la normativa
Es recomendable contratar los servicios de un/a experto/a formado/a en el nuevo reglamento para que realice un servicio que cumpla con los requisitos legales. Por ello, el paso más importante es el proceso de recopilación de información.
Es muy importante destacar que para analizar los tratamientos e identificar las actividades de una organización, es necesaria la visita de un experto en las instalaciones. El/la técnico/a especializado realizará un diagnóstico inicial e informará al responsable de la empresa de las deficiencias identificadas y las medidas a aplicar para que cumpla con el nuevo RGPD.
Existen muchas consultoras que no auditan a la empresa mediante una visita in situ, y el servicio que realizan consiste básicamente en el envío de un cuestionario a la organización, y con los datos obtenidos, elaborar la documentación de la entidad al nuevo RGPD. Pero este modo de trabajar no es aconsejable, porque no se alcanza el nivel de detalle en la gestión de la información que se pudiera alcanzar con una visita, y sobretodo, no se asesora lo suficiente a la empresa, para llegar al adecuado nivel de detalle, que permita realmente analizar todos los entresijos del tratamiento de datos personales de la empresa.
El/la técnico/a tiene que observar todo el ciclo de vida de la información que está en poder de la empresa, y analizar todos los datos personales que son tratados en cada departamento de la empresa, desde su entrada, la forma de tratarlos, las personas que tiene acceso, la forma de comunicar dichos datos, y las entidades a las que se le comunican, así como el modo de eliminación. En definitiva, el/la experto/a analizará cada paso y establecerá unas pautas para que la organización haga un uso adecuado y actualizado de los datos de carácter personal.
No cumplir con el nuevo RGPD significa que habrá duras sanciones para cualquier entidad que tenga tratamiento con datos personales. Las multas administrativas pueden alcanzar hasta los 10.000.000 millones de euros o 2% del volumen de negocio global del último año por vulneración de las obligaciones del responsable y del encargado, vulneración de las obligaciones de certificación o vulneración de las obligaciones de control. En cambio 20 millones de euros o 4% del volumen de negocio anual global del último año por vulneración de los principios básicos de tratamiento, vulneración de los derechos de los/as interesados/as, transferencia a terceros países o incumplimiento de una resolución.
