El Nuevo Reglamento de Protección de Datos entrará en vigor el 25 de mayo. Estará presente en todas las empresas y son muchas las dudas y las consultas y por eso queremos aportar una guía básica con los aspectos fundamentales.

 
1º.- Establecer los flujos de datos de la sociedad. Se requiere una revisión de los procesos de protección de los datos; no sólo sobre las personas capacitadas para la utilización de los datos, sino las que tienen acceso a los mismos dentro de la organización de la empresa.

2º.- Documentar e identificar la base legal de los tratamientos de datos.  El interés real de este nuevo Reglamento consiste en la redacción de contratos que permita a la empresa tener los datos, así como un consentimiento expreso de aquél a quien pertenece esos datos. No existe un cambio sustancial respecto a la actual Ley Orgánica de Protección de Datos.

3º.-  Revisar los consentimientos ya obtenidos. Solo tendrán legitimación suficiente los tratamientos de datos basados en el consentimiento inequívoco, con independencia del momento en el que se haya obtenido.

4º.- Adaptar el derecho de información. Tanto las condiciones del tratamiento de los datos como la respuesta al ejercicio de los derechos de los interesados deben ser informados de forma transparente y de fácil acceso, con un lenguaje claro y sencillo, dentro del marco de la obligación de proporcionar la información legal.

5º.- Realizar una evaluación de impacto. El tratamiento de los datos se ha convertido en una materia de alto riesgo, por lo que ha de efectuarse de forma correcta, sin equivocaciones y con controles de evaluación.

6º.- Nombrar a una persona como delegado de protección de datos. ¿Es necesario este cargo? Entiendo que la designación de una persona, que puede
ser propia de la plantilla, daría confort a la empresa, pues alguien supervisaría a través de un test de debida diligencia sobre la materia de la protección de datos.

7º.- Revisar los contratos entre el responsable de los datos y el encargado de su tratamiento. Todos los contratos vigentes tienen la obligación de adaptarse a este Reglamento. El tratador de los datos debe estar certificado por una agencia o adherido a un sistema que garantice que usa los datos de una forma correcta y adecuada al contenido del Reglamento. En última instancia, el responsable es el representante legal.

8º.- Cumplir con los nuevos derechos de los interesados. Además de los tradicionales derechos, se recogen otras clases de derechos tales como el del ejercicio, el de la limitación de tratamiento o el de portabilidad.

9º.- Diseñar un registro de actividades de tratamiento. Como ya no existe la obligación de rellenar y declarar los modelos de ficheros a la Agencia Española de Protección de Datos (AEPD), se recomienda a las sociedades que diseñen un registro propio de actividades de tratamiento que permita organizar los nuevos ficheros de datos que se han generado, clasificado por tipos y con especificaciones.

10º.- Establecer medidas de seguridad y control. El nivel de seguridad no dependerá sólo del tipo de datos sino también de otras variables en  función a un análisis de riesgo previo, que hasta ahora no se ha exigido. Las sociedades se forzarán a realizar estudios previos de impacto en la privacidad, cuando se trate implantar nuevas actividades que constituyan riesgo para la protección de datos.

11º.- Notificar las quiebras de seguridad. La realidad que encuentran las compañías es el intrusismo en sus bases de datos y por ello deben hacer una valoración del riesgo de quiebra. Se está preparando un formulario estándar para hacer estas notificaciones a nivel comunitario.

12º.- Proteger los datos de los clientes por diseño o por defecto. Los responsables de tratamiento deben adoptar, desde el inicio del mismo, las medidas suficientes para protegerlos. Cuando sea un nuevo tratamiento que  está en curso, deberá contar con un análisis de protección de datos antes de su puesta en funcionamiento. Asimismo, el nivel de protección de los datos, por defecto, será el más alto.

13º.- Demostrar el cumplimiento. La adopción de políticas internas sobre tratamiento de datos y privacidad y mecanismos de control que aseguren dicho compliance.

14º.- Sancionar por no adopción de las nuevas obligaciones. Uno de los grandes hitos de este Reglamento es la utilización de sanciones sobre las sociedades que no se adapten a las nuevas obligaciones. Se han endurecido llegando hasta los 20 millones de euros o, tratándose de una empresa, el 4% del volumen del negocio total anual global, optándose por la mayor cuantía.

15º.-  Definir los agentes que participan en los procesos de protección de datos:  (i) El responsable del tratamiento que es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal; (ii) el encargado de tratamiento que es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal que son responsabilidad del responsable del tratamiento; (iii) el responsable de privacidad que es la persona que trabaja en la empresa y que, aparte de su cargo, también es designada para coordinar todos los aspectos relacionados con la adecuación de las actuaciones de la entidad en materia de protección de datos; (iv) el delegado de protección de datos es un profesional con conocimientos especializados de la normativa y práctica en materia de protección de datos (interno o externo), cuyas funciones  son la de ayudar al responsable o al encargado de tratamiento  de manera independiente y que una vez nombrado,  se comunican sus datos a la AEPD