Jornada GDPR en CIC sobre la nueva ley de protección de datos
Desde CIC nos complace comunicar que junto a Tech Data y Microsoft estamos volcados en la organización de una jornada divulgativa relacionada con el GDPR y que se celebrará en nuestras instalaciones el próximo 15 de marzo. Para conocer más detalles ponte en contacto con nosotros a través del siguiente correo electrónico: [email protected] , indicando en el asunto “Jornada GDPR”.
Con la llegada del nuevo reglamento de la ley de protección de datos la UE trata de hacer comprender a las empresas la responsabilidad que han de asumir frente al nuevo reglamento y que, en base a ello, las compañías procedan a replantear sus procesos de seguridad, privacidad y tratamiento de los datos personales. Las compañías se tienen que dar cuenta que los datos personales de los ciudadanos europeos son propiedad de los mismos y que ahora son ellos los que tienen el control.
El reglamento de la nueva ley de protección de datos (GDPR)
Transparencia. Las empresas han de informar a los interesados sobre qué tipo de datos de carácter personal están tratando, con qué finalidad, por cuánto tiempo y con quién lo comparten. Además, la información relativa a las políticas de seguridad de cada organización ha de tener un carácter claro y simple, empleando un lenguaje accesible para todos.
Responsabilidad Proactiva. Las organizaciones han de asumir la responsabilidad frente al nuevo reglamento europeo de protección de datos, y con ello aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y demostrar que el tratamiento es conforme con el RGPD.
Principio de protección desde el diseño y por defecto. Las empresas han de garantizar que sus productos, servicios y/o actividades que requieran tratamiento de datos personales cumplen con el GDPR desde su etapa más temprana.
¿Cuáles son con al nueva ley de protección de datos de los derechos más destacados de los ciudadanos europeos, cuyos datos están sometidos a procesos de tratamiento?
- Dar el consentimiento explícito (no tácito como hasta ahora) , así como saber para qué fines se están utilizando sus datos, y de igual modo poder retirar el consentimiento en cualquier momento de forma fácil.
- Derecho al acceso. Los sujetos de los datos tienen el derecho a saber qué tipo de sus datos personales se están procesando por una organización, en qué momento fueron recogidos, con qué fin y con quién se comparten.
- Derecho al olvido. Consiste en otorgar a los sujetos el derecho de que sus datos se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos y tratados.
- Derecho de rectificación. El usuario podrá obtener del responsable de tratamiento la rectificación con relación a sus datos inexactos o desactualizados que le conciernan. O en su caso, solicitar que se completen los datos incompletos.
- El derecho a la limitación del tratamiento, este derecho ofrece restringir el tratamiento mientras sea necesario.
- El derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles.
- Portabilidad de los datos: los interesados tienen el derecho a solicitar sus datos en un formato electrónico legible para transferirlos a un sistema diferente.
- Derecho a reclamar ante la Autoridad de control
¿Cuáles son los retos empresariales ante la llegada del nuevo Reglamento Europeo de Protección de Datos?
Las empresas han de conocer y atender de modo adecuado los derechos que tienen los interesados cuyos datos están siendo sometidos al tratamiento. La ley de protección de datos (GDPR) establece que el plazo para atender los derechos de los interesados es de un mes máximo, este plazo puede verse ampliado según las circunstancias y la lógica de la justificación. La atención de los derechos ha de ser gratuita, excepto en determinados casos que se puede solicitar un pago, como puede ser el caso en el que la solicitud tenga carácter repetitivo.
- El consentimiento: a partir de mayo las empresas podrán contactar solo a aquellas personas que les hayan dado su consentimiento previo para ello, además el reglamento dicta que el consentimiento ha de ser una manifestación de voluntad libre, específica, informada e inequívoca mediante el cual el interesado acepta el tratamiento de sus datos para fines establecidos. A su vez, las empresas han de asegurar a los interesados que la acción de retirar el consentimiento sea igual de sencilla que darlo.
- Capacidad de garantizar la disponibilidad, integridad, confidencialidad de los datos y la invulnerabilidad de los sistemas.
- Garantizar la minimización de los datos, es decir, recopilar el mínimo de datos, sólo los estrictamente necesarios para los fines con los que fueron recogidos.
- Garantizar el derecho al olvido: los encargados del tratamiento de datos deberán de eliminar los datos de sus bases cuando el interesado solicite ejercer su derecho al olvido, y además será necesario asegurarse de que no se envíen más comunicaciones a esa persona.
- Asegurar la capacidad de respuesta garantizando la disponibilidad y el acceso a los datos tras un incidente.
- Protección de los datos mediante la seudonimización de los datos (cifrado de datos).
- Evaluación de la política de Cookies para lograr el cumplimiento con lay de protección de datos.
- Llevar un registro de las actividades del tratamiento.
- Promoción de los Códigos de Conducta.
- Notificación de violaciones de seguridad de los datos en un plazo de 72 horas.
- Implementación de medidas tecnológicas y legales con el fin de garantizar la seguridad de los datos.
- Contratación de un Delegado de Protección de Datos (DPO). Se exige su designación en determinados supuestos, no obstante, es una actuación recomendable.
- Será obligatorio realizar evaluaciones de Impacto de Privacidad, también conocidas como Privacy Impact Assessments (PIAs) para aquellas organizaciones que tratan datos considerados de alto riesgo para los derechos y libertades de las personas.
En definitiva, son muchos los aspectos a evaluar por las compañías y ello supone un reto para todas las organizaciones en proceso de preparación ante la llegada del RGPD. Para cumplir con la nueva regulación se hace necesario adoptar una estrategia relativa a los datos personales que garantice la seguridad y la privacidad de la información.