Saltar al contenido

protección de datos

La AEPD ayuda a las pymes a adecuarse al marco europeo en protección de datos

El día 28 de enero se celebra el Día europeo de la protección de datos. Por este motivo, la Agencia Española de Protección de Datos (AEPD) celebró en fechas próximas a la efeméride un acto global a través del que pretende animar a las pymes a adecuarse al nuevo Reglamento Europeo, que entró en vigor en el pasado mes de mayo y que será de obligatorio cumplimiento a partir de finales de mayo de 2018.

El 28 de enero es el día elegido para celebrar el Día de la protección de datos en Europa porque en esa fecha fue cuando se firmó el famoso Convenio 108, sobre el que se comenzó a gestar la protección de datos en toda la Unión Europea (a nivel comunitario).

El evento celebrado en enero por la AEPD se centró en la Incidencia del nuevo Reglamento Europeo de Protección de Datos en las pymes. La elección de este tema no fue arbitraria, ya que en España hay más de 3,5 millones de pequeñas y medianas empresas que deben acogerse de forma debida al nuevo marco legal.

La directora de la AEPD, Mar España, destacó la importancia de que una pyme lleve a cabo una correcta valoración del riesgo y la seguridad de los datos personales que se tratan en su empresa. De esta forma, asegura, la fidelidad será mayor, así como la competitividad.

Por su parte, el ministro de Justicia, Rafael Catalá, puso especial atención en la importancia que tienen los datos en la actualidad. El ministro habló de “materia prima” al referirse a los datos, indicando que son esenciales en gran parte de las empresas que operan en el país. De ahí la necesidad de que la protección sobre los mismos sea consecuente y adecuada.

La Jornada sobre la incidencia del nuevo marco europeo en las pymes

Durante la jornada se explicó la importancia de comenzar a acogerse de forma paulatina al nueva Reglamento Europeo de Protección de Datos. Esto implicará que cualquier pyme deba centrarse mucho más en la protección de los datos que maneja, estudiando sus necesidades en todo momento. Por ello, consideran obligatorio que se comiencen a tomar las medidas necesarias para que las pequeñas y medianas empresas españolas puedan garantizar todo lo que se marca en el reglamento, ya en vigor.

Para ello, los responsables de la Agencia Española de Protección de Datos pusieron de manifiesto la existencia de nuevos recursos y materiales que podrán facilitar la tarea a las pymes. Concretamente, se trata de una Guía del Reglamento para los responsables del tratamiento de datos de la empresa; una Guía para el cumplimiento del deber de informar; y unas Directrices para elaborar los contratos entre responsables y encargados de los datos.

A todo esto, la AEPD sumará un test, que podrá realizarse a través de la propia web de la agencia para que las pequeñas y medianas empresas españolas puedan adecuarse de forma óptima al nuevo marco europeo en materia de protección de datos. Los recursos mencionados anteriormente pueden obtenerse desde la web de la AEPD.

¿Deben los autónomos acogerse a la LOPD?

Partiendo de la base de que la Ley Orgánica de Protección de Datos (LOPD) se basa en garantizar el derecho a la protección de datos de carácter personal que afecten a personas físicas, es sencillo comprender que los autónomos también tienen la obligatoriedad de cumplir con el marco legal. No obstante, el carácter particular del negocio y el tipo de datos que en él se recojan es lo que definirá las necesidades en cuanto a esta ley.

El pasado 25 de mayo de 2016, se aprobó el Reglamento Europeo de Protección de Datos. Acogerse a este nuevo marco legal es obligatorio para los negocios y empresas de toda Europa. No obstante, el plazo que se ha establecido para adecuarse de forma integral a él finaliza el 25 de mayo del año 2018. Hasta esa fecha, es esencial acogerse, como mínimo, a la antigua Ley de Protección de Datos 15/1999.

Cualquier autónomo o empresa estará obligado a acogerse a la LOPD, siempre que dispongan de datos personales. Estos datos se caracterizan por la identificación de las personas.

Obligaciones de los autónomos frente a la LOPD

La Ley Orgánica de Protección de Datos de Carácter Personal, establece tres niveles de protección. Cada autónomo debe identificar los ficheros necesarios y otorgarles uno de estos niveles en función del tipo de datos que se manejen.

  • Nivel básico: datos de carácter identificativo.
  • Nivel medio: datos financieros, datos referentes a la personalidad o a las costumbres.
  • Nivel alto: datos ideológicos, de religión, de salud, razas o violencia de género, entre otros.

Para salvaguardar los datos personales es importante que exista un encargado de tratamiento. Esta figura es la que decide sobre el uso de los datos y controla que se siguen las obligaciones que establece la LOPD al respecto. En el caso de los autónomos que no tienen trabajadores a su cargo, serán ellos mismos los que deban velar y garantizar la protección de los datos.

Para acogerse a la Ley de Protección de Datos es importante que se sigan una serie de pasos. Además, el responsable de los ficheros tendrá que salvaguardar cualquier dato personal que se recoja en la empresa, apostando por los derechos ARCO que tienen todos los ciudadanos (acceso, rectificación, cancelación u oposición).

Cómo afecta la LOPD a los autónomos

La Ley Orgánica de Protección de Datos solamente afecta a las personas físicas. Esto significa, que ninguna empresa o autónomo está obligada a velar por la calidad y la protección de datos cuando se trata de personas jurídicas (empresas).

Son muchos los supuestos a los que pueden enfrentarse los autónomos en este sentido. El mejor consejo es contar siempre con un software específico para la LOPD o con expertos en la materia, capaces de asesorar al autónomo sobre cómo adecuarse perfectamente a la ley.

Cuando se trata de un autónomo que actúa como administrador de una sociedad, es importante que su empresa cuente con todas las medidas de seguridad necesarias que establece la LOPD. En el caso de autónomos que cuentan con trabajadores a su cargo, siempre estarán obligados a acogerse a la LOPD, porque tendrán que proteger los datos de sus empleados, así como los de sus clientes.

En el caso de autónomos profesionales, sin personal a cargo, es esencial estudiar bien la naturaleza de sus relaciones comerciales. Si sus proveedores o clientes son personas físicas, la obligatoriedad de acogerse a la ley es absoluta.

Cumplir con la Ley Orgánica de Protección de Datos es muy importante para evitar sanciones por parte de la Agencia Española de Protección de Datos. Estas multas varían significativamente, en función de si las infracciones son leves, graves o muy graves. Por ello, es tan importante contar con expertos en LOPD y evitar estos inconvenientes.

El nuevo Reglamento Europeo de Protección de Datos, además, pretende minimizar todos los trámites burocráticos para lograr que las adecuaciones a la ley, de empresas y autónomos sean más rápidas y óptimas. Además, establece algunas novedades de obligado cumplimiento para todos aquellos que manejen datos de carácter personal, como la Evaluación de Impacto en Protección de Datos o la creación de códigos de conducta que garanticen las buenas prácticas, en este sentido.

La Agencia Española de Protección de Datos en 2017

Son muchos los retos a los que se enfrenta la Agencia Española de Protección de Datos en 2017. A finales del año 2015, la AEPD presentó su famoso Plan Estratégico, que se dividía en cinco ámbitos de actuación. Se trata de algo más de 110 acciones que pretenden llevar a cabo durante los años siguientes a su publicación. La idea de la agencia es básicamente divulgar todas las novedades en materia de protección de datos, así como dar a conocer los derechos de los ciudadanos en este sentido.

Bloques en los que se divide el Plan estratégico de la AEPD

  • Prevención para una protección eficaz
  • Innovación y protección de datos
  • Una Agencia colaboradora, transparente y participativa
  • Una Agencia cercana a los profesionales y responsables de la privacidad
  • Una Agencia más ágil y eficiente

A través de estos cinco bloques, la Agencia Española de Protección de Datos pretende lograr la concienciación necesaria para que la normativa vigente se aplique en todos los sectores, tanto públicos como privados.

Según los propios responsables de la AEPD, casi la totalidad de las acciones previstas en dicho Pla Estratégico ya han sido puestas en marcha durante 2016. Aunque en este nuevo ejercicio tienen claro que prestarán mucha más atención a algunas de las cuestiones más importantes en materia de protección de datos.

Los nuevos pasos de la Agencia Española de Protección de Datos

Las bases de actuación de la Agencia Española de Protección de Datos pasan por trabajar de forma directa, tanto con los ciudadanos como con los responsables de tratamiento de las diferentes entidades. Lo más importante es conseguir que las empresas puedan adaptarse debidamente al Nuevo Reglamento Europeo de Protección de Datos, que ya ha entrado en vigor. No obstante, las empresas europeas tienen hasta el próximo mes de mayo de 2018 para adaptarse completamente al reglamento.

Obviamente, son muchas las dudas que surgen en este sentido y por ello la AEPD pretende trabajar junto a los responsables de tratamiento para que puedan solventar cualquier duda de la forma más rápida posible.

La AEPD tiene como objetivo principal convertirse en un organismo de participación, que resulte completamente eficaz para los ciudadanos y a las empresas.

Las pymes forman parte de uno de los puntos de actuación previstos por la Agencia Española de Protección de Datos para este 2017. La AEPD pondrá a disposición de estas pequeñas empresas todas las herramientas que les sean de utilidad para adaptarse debidamente al nuevo reglamento europeo.

Las nuevas tecnologías también van a ocupar la atención de la Agencia durante este año. De hecho, se trata de uno de los sectores más llamativos del reglamento de protección de datos puesto en marcha.

Por otra parte, la concienciación de la ciudadanía supone uno de los retos más importantes para la AEPD durante este año. Para ello, se llevarán actuaciones específicas, sobre todo a la hora de formar e informar a menores y adolescentes sobre la necesidad de proteger sus datos. También se van a centrar en explicar a los ciudadanos todo lo relativo al derecho al olvido o la forma en la que pueden realizar todo tipo de solicitudes ante la Agencia o las empresas que tratan con datos personales.

Características y consideraciones sobre los derechos ARCO

Los derechos ARCO (Acceso, Rectificación, Cancelación u Oposición) suelen suscitar numerosas dudas sobre su aplicación y significado. Se trata de unos derechos personales, que cualquier ciudadano puede ejercer en referencia al uso y tratamiento de sus datos personales por terceros. El Título III de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) es el que regula estos derechos tan importantes.

  • Derecho de Acceso: derecho de toda persona para obtener información acerca del uso que se están dando a sus datos de carácter personal. El origen de los datos, así como el tratamiento de los mismos debe de ser informado en todo momento al afectado.
  • Derecho de Rectificación: derecho del ciudadano a que se modifiquen o rectifiquen los datos que no sean correctos o estén incompletos.
  • Derecho de Cancelación: trata del derecho a excluir todos esos datos que no son óptimos o resulten exagerados para el tratamiento necesario. En el nuevo Reglamento Europeo de Protección de Datos se recoge el llamado “derecho al olvido”, que estaría en consonancia con este.
  • Derecho de Oposición: cualquier persona tiene derecho a oponerse a que sus datos personales sean tratados.

Principales características de los derechos ARCO

Pese a que los derechos ARCO son completamente independientes, es decir, que pueden ejecutarse por separado en todo momento, tienen unas características comunes que conviene conocer.

Lo más importante es que se trata de derechos personales. Esto significa que solo pueden ser ejercidos por la persona titular de los datos en cuestión, así como por su tutor o representante legal.  Obviamente, el responsable del fichero de datos podrá oponerse a facilitar información cuando el solicitante no quede debidamente acreditado.

Por su parte, el responsable del fichero está obligado a facilitar en todo momento el ejercicio de los derechos ARCO. Además, tiene que responder a las diferentes solicitudes en los plazos que marca la legalidad vigente.

En el caso de que no se atiendan debidamente estos derechos por los responsables del tratamiento de los datos personales será posible apelar a la Agencia Española de Protección de Datos. La AEPD estudiará el caso detenidamente y ofrecerá una resolución que garantice que el usuario tenga la posibilidad de ejercer sus derechos ARCO.

¿Cómo se ejercen estos derechos personales?

El procedimiento a llevar a cabo para ejercer los derechos ARCO es muy sencillo. El ciudadano debe solicitar al responsable del fichero ejercer su derecho de acceso, rectificación, cancelación u oposición. Para ello, tendrá que realizar una solicitud en la que se haga constar sus datos de filiación, así como un documento legal que acredite su personalidad. Es importante concretar la solicitud claramente, incluyendo cualquier documento que se considere relevante. A efectos de recibir comunicaciones es importante hacer constar un domicilio o una dirección de correo electrónico.

El responsable del fichero comprobará los datos aportados por el solicitante y debe contestar obligatoriamente en los plazos que dicta la ley.

¿Cuándo no se tienen en cuenta estos derechos?

Solamente debido a cuestiones de seguridad pública es posible que los derechos ARCO no sean tenidos en cuenta. Es decir, estos derechos están limitados en caso de que entren en conflicto con la seguridad del Estado, así como la prevención o averiguación de datos en el caso de que existan motivos penales.

Sanciones derivadas del incumplimiento

Impedir que los ciudadanos ejerzan estos derechos está estipulado como una sanción grave por parte de la AEPD. Esto significa que es posible la interposición de una multa que puede rondar desde los 40.000 hasta los 300.000 euros.

Ante cualquier posible limitación en el ejercicio de los derechos ARCO es importante reclamar ante la AEPD para que actúe de inmediato.

Cookies: qué son y la legalidad vigente

Si estás leyendo estas líneas sobre las conocidas cookies de Internet, seguro que has sido testigo de la cantidad de avisos que saltan continuamente durante la navegación en todo tipo de páginas web. Bien, pero… ¿Qué son las cookies?

Podríamos decir que se trata de un pequeño archivo informático que se almacena en el servidor de Internet que estás usando y puede contener información de varios tipos. La realidad es que las cookies no son ninguna novedad actual, sino que surgieron hace muchísimos años. El origen de estos archivos de Internet se establece en las tiendas online más antiguas.

Sabrás, si has comprado online alguna vez, que es posible mandar productos al carrito de la tienda y seguir navegando para continuar con el proceso de compra. Pues la única forma de poder tener artículos en el carrito y seguir comprando es mediante una cookie que se instala en el navegador para que este recuerde lo que hay en el proceso de compra online.

En principio, este tipo de cookies son muy necesarias y no aportan más información que la estrictamente oportuna para que la experiencia durante la navegación sea óptima. Pero el problema viene con el desarrollo de estos archivos y el uso que se les da en la actualidad.

¿Para qué se usan las cookies?

Uno de los usos de las cookies son los que ya hemos mencionado anteriormente. Además, resultan muy útiles para optimizar la experiencia del usuario en Internet. Para las redes sociales, son perfectas ya que al introducir la contraseña una vez e iniciar sesión en la misma, esta permanece abierta en todo momento, a no ser que la cerremos. Obviamente, esto facilita la navegación y evita que tengamos que andar escribiendo las contraseñas cada vez que pretendemos acceder a la red social en cuestión.

Por otra parte, están las conocidas como cookies publicitarias. Estos archivos son los que se convierten en los más complicados. Son capaces de almacenar información sensible de todo lo que hacemos durante nuestra navegación online. Y aquí es donde entra la Ley de cookies del año 2012. Estos archivos publicitarios permiten a las empresas online tener cierta información sensible del usuario a su disposición.

Seguro que en más de una ocasión has notado que tras ver algún producto a través de Internet, los anuncios que recibes en tu navegación van enfocados a este tipo de servicios o productos. Esto es porque las cookies publicitarias pretenden ofrecer publicidad personalizada, para aumentar las probabilidades de venta online.

El nacimiento de la ley respecto a las cookies

Fue en marzo del año 2012 cuando entro en vigor la ley relativa a las cookies. Lo que se pretende con ella es que el uso de estos archivos sea el adecuado. Por ello, es de obligado cumplimiento que los portales web informen al usuario del uso y tratamiento que se da a esas cookies.

No obstante, existen algunas cookies que no requieren autorización expresa por parte del que navega por Internet para ser usadas. Se trata de los archivos necesarios para el correcto funcionamiento de la web en cuestión. Es decir, todas las cookies que se utilizan para que la página web funcione debidamente, como las del carrito de la compra, no es necesario que se aprueben. Aunque sí que deben aparecer en los textos legales de la web.

Por el contrario, las cookies que permiten identificar o aportan información sobre los gustos del usuario deben de ser aceptadas en todo momento. Y estas son las que aparecen en las páginas web solicitando nuestra aceptación. Aceptarlas o no está en mano de cada persona.

Adaptación de una página web a la LOPD: pasos a seguir

La pasada semana explicamos la importancia de adaptar una web a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Ya comentamos los derechos y obligaciones que debe seguir cualquier negocio de base digital y tecnológica. Pero, ¿Cómo se debe de realizar esa adaptación? Obviamente, poner en manos de profesionales el proceso sería lo ideal. Para ello, el software de adaptación a la LOPD de TecnoLOPD es perfecto.

No obstante, es importante conocer los pasos que debe llevar a cabo cualquier portal online para estar debidamente adaptado a las exigencias de la Ley de Protección de Datos. Además, esto es primordial para evitar las posibles sanciones y multas de la Agencia Española de Protección de Datos. Teniendo en cuenta el nuevo Reglamento Europeo de Protección de Datos, cualquier negocio digital debe de proteger la información personal de todos los usuarios.

Cómo adaptar la web a la LOPD

  1. Informar de los ficheros

La ley vigente exige que cada página web informe debidamente a la AEPD de los ficheros en los que organizan los datos personales que recogen. Para ello, es necesario auditar el portal online y averiguar cuáles son esos ficheros. Esto es fundamental, ya que establecerá el nivel de protección a aplicar (alto, medio o bajo).

Cada fichero debe de cumplimentarse y notificarse a la Agencia Española de Protección de Datos. Para ello se puede recurrir a la presentación online o en papel.

Si tu página web recurre a las Transferencias Internacionales de Datos (fuera de la Unión Europea) es importante que lo notifiques a la AEPD de forma expresa.

  1. Textos legales obligatorios

La legalidad vigente se ha puesto muy dura frente a esta cuestión. Por ello, publicar los textos legales en cualquier negocio online es importantísimo. Se trata del aviso legal, la política de privacidad, la política de cookies y las condiciones de contratación. Toda la información que se aporta en estos textos debe de ser concisa y clara.

–          Política de privacidad: en este texto legal se debe de identificar al responsable de tratamiento de los datos que se recogen a través de la página web, además de todos los datos fiscales y de contactos de la empresa o persona que se esconde detrás de dicho portal. Hay que explicar cuál es el fin del tratamiento de los datos y especificar que esos datos serán debidamente protegidos. Aquí hay que incluir los famosos derechos ARCO, de acceso, rectificación, cancelación u oposición.

–          Las cookies: seguro que has visto infinidad de alertas de cookies en tus visitas a diferentes webs. La Ley exige que se informe al usuario de ello. En este texto legal se debe explicar qué son las cookies y solicitar la aceptación o no de las mismas. En otro artículo hablaremos más detenidamente de las cookies.

–          Aviso legal: se trata de uno de los textos fundamentales para cualquier entorno online. Se debe informar del uso de los datos y de las obligaciones específicas derivadas de la LOPD.

–          Condiciones de contratación: se trata de un complejo texto legal que solamente debe incluirse en el caso de que la página web venda productos o servicios. Aquí es importante especificar todas las condiciones de la compra, como el precio, gastos de envío, plazos de entrega y devolución, formas de pago, derechos y obligaciones del usuario, etc.

  1. Formularios online

La Ley de Protección de Datos especifica claramente la necesidad de que el usuario o cliente esté perfectamente informado sobre el uso que se dará a sus datos. Por ello, si se colocan formularios de contacto, que recogen datos online, habrá que pedir al usuario que acepte o deniegue el tratamiento de los mismos.

  1. Doble opt in

Se trata de la doble aceptación del usuario a la recogida de sus datos a través de registros y formularios online.

Básicamente estos son los pasos más característicos a la hora de adaptar una página web a la LOPD. No obstante, las necesidades pueden variar en función del tratamiento que se da a los datos o de las especificidades propias de cada portal online. Por ejemplo, si hay cesiones de datos con terceros, es imprescindible informar de ello. Por este motivo, la auditoría previa es tan importante.

*Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.

Adaptación de una página web a la LOPD I: derechos y obligaciones

Con el auge de las nuevas tecnologías y la creciente globalización tecnológica que estamos viviendo, proteger los datos de los usuarios que acceden a cualquier página web se convierte en una prioridad. La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), así como la Ley de Servicios de la Sociedad de la Información (LSSI) establecen unas condiciones necesarias y de obligado cumplimiento para todo aquel que recoja información de usuarios a través de cualquier servicio digital. Además, con la reciente aprobación del Reglamento Europeo en Protección de Datos, la normativa se vuelve mucho más restrictiva.

Tener una página web es muy común hoy en día. Casi cualquier empresa que ofrece productos o servicios cuenta con un portal online, a través del que se da a conocer. Esto ha obligado a las administraciones a establecer algunos requisitos indispensables para garantizar la privacidad de los usuarios que acceden a dichas páginas.

Adaptar una página web a la LOPD puede resultar una labor tediosa, pero es necesaria si se quieren evitar las sanciones que la Agencia Española de Protección de Datos (AEPD) puede establecer. Por ello, a veces es conveniente contratar a profesionales externos que realicen la adaptación de forma segura. En este sentido, el software de TecnoLOPD es una solución económica, fiable y rápida para la adaptación y mantenimiento de cualquier medio a la LOPD.

La finalidad de la adaptación de la página online a la LOPD

El fin último a la hora de adaptar una web a la Ley de Protección de Datos de Carácter Personal es, como su propio nombre indica, la protección de los datos de los usuarios. Estos datos se basan en información personal, que puede servir a la empresa a la hora de hacer sus ventas u ofrecer sus productos o servicios mediante comunicaciones electrónicas de diversa índole.

La simple recogida del correo electrónico de los usuarios, muy habitual en los formularios de suscripción, requiere que se tomen las medidas oportunas para salvaguardar toda la información de todo aquel que accede a la página web. Obviamente, si el portal online es un ecommerce, que realiza ventas a través de Internet, el nivel de protección debe de ser mucho más elevado. Hay que tener en cuenta que, en este tipo de negocios, se realizan transacciones económicas y esto conlleva unas obligaciones por parte del propietario de la página. Por ello, cualquier tienda online está obligada a prestar especial atención a la adaptación de su negocio a la LOPD, protegiendo siempre los datos de sus clientes de la forma más exhaustiva posible.

Todos los datos que se recogen de los usuarios deben de ser debidamente archivados en los ficheros oportunos que, obviamente, serán comunicados a la AEPD de forma óptima. Además, la página web tendrá la obligación de seguir toda la normativa vigente en cuanto a tratamiento de datos y, por supuesto, debe de informar y avisar al usuario de que su información se está almacenando con el fin concreto que tengan. Por ende, es importante que se informe correctamente de los derechos ARCO, es decir, los derechos de acceso, rectificación, cancelación u oposición.

En el próximo artículo explicaremos detalladamente los pasos a seguir para adaptar una página web a la Ley Orgánica de Protección de Datos (LOPD).

*Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.

Primer código de conducta de empresas online para la protección de datos

  • por

La entrada en vigor del nuevo Reglamento Europeo de Protección de Datos de Carácter Personal ya está dejando las primeras reacciones para garantizar su cumplimiento. Si bien es cierto que la obligatoriedad de su cumplimiento no se hará efectiva hasta dentro de unos meses, ya podemos hablar del primer código de conducta de empresas que proveen de servicios en la nube para satisfacer el nuevo marco europeo.

Fue el pasado mes de septiembre cuando CISPE (Cloud Infrastructure Services Provides in Europe) mostró a la opinión pública este código de conducta en materia de protección de datos, al que se han acogido ya veinte de las empresas que forman esta asociación. El compromiso que adquieren dichas empresas es el de no utilizar los datos de sus clientes con fines lucrativos, ni crear perfiles con ellos. Es decir, se comprometen a no comercializar dichos datos de ninguna manera para obtener réditos propios.

El Reglamento europeo de Protección de Datos deja claro que el usuario siempre será el propietario final de su información personal. O sea, él será el que tenga la decisión última sobre qué se puede hacer y qué no se puede hacer con sus datos personales. Además, esta nueva norma es especialmente sensible con los datos que se aportan a través de Internet. De ahí que este código de conducta sea un paso en firme muy importante para su cumplimiento.

Claves del código de conducta de Protección de Datos

Anticipándose al obligado cumplimiento del reglamento europeo, CISPE posibilita un entorno seguro para los datos personales. De esta forma, los clientes de cada empresa podrán procesar sus datos y exigir que se almacenen exclusivamente en servidores ubicados en países de la Unión Europea. Obviamente, esto supone una garantía de protección, ya que tendrán que someterse al marco europeo en todo momento.

Las empresas que ofrecen infraestructuras en la nube aseguran que no desean tener acceso a los datos de sus clientes, por ello facilitarán en todo momento la ubicación de las instalaciones en las que se almacenan dicha información. Así el cliente tendrá constancia en todo momento de cuál es la normativa que se debe aplicar en el tratamiento de los datos de carácter personal.

No obstante, CISPE asegura que no depende únicamente de ellos el cumplimiento del nuevo reglamento, ya que son sus clientes los que, en última instancia, deben de garantizar el correcto uso de los datos personales que se facilitan online.

Por ello, las redes sociales, aplicaciones o empresas que usan estos servicios en la nube tendrán que comprometerse para evitar alejarse de las bases de protección que establece el nuevo marco. Lo que sí pueden asegurar estas empresas es que la infraestructura que se pone al servicio del cliente es completamente segura y está óptimamente adecuada a lo que establece el reglamento europeo. Sin duda, este nuevo código de conducta de protección de datos es solo una de las primeras reacciones ante la nueva situación legal.

Evaluación de Impacto en Protección de Datos II: Fases

  • por

En la primera entrega sobre la Evaluación de Impacto en Protección de Datos (EIPD) nos dedicamos a definir el concepto y las claves básicas para llevarla a cabo. Hoy vamos a adentrarnos un poco más ante la obligatoriedad de establecer una EIPD adecuada para las empresas u organizaciones.

Las fases de la Evaluación de Impacto en Protección de Datos son varias. En primer lugar, hay que tener en cuenta qué aspectos debemos de tratar y cómo llegar hasta ellos. En el documento que la AEPD ha establecido para orientar a las empresas sobre esta EIPD se pueden leer todas las claves para crear una evaluación de impacto óptima. No obstante, aquí vamos a repasar los aspectos fundamentales.

Fases para la Evaluación de Impacto en Protección de Datos

  1. Análisis de la necesidad

En la entrega anterior sobre EIPD especificamos qué empresas u organizaciones deben acogerse a la Evaluación de Impacto en Protección de Datos. En esta fase inicial hay que realizar una pequeña reflexión para tener clara la necesidad de contar con una EIPD. En el caso de que el tratamiento de los datos no sea masivo o la empresa no necesite explotar los datos de terceros, es posible que la evaluación de impacto no deba de ser tan exhaustiva.

  1. Descripción del proyecto

En una segunda instancia es importante comprobar cuáles son los riesgos que podrán en jaque la privacidad de los datos de terceros. Aquí hay que estudiar bien los objetivos del negocio, quiénes serán actores implicados, qué categorías de datos se tratan, las tecnologías que se usan para ello y las comunicaciones con terceros, entre otros aspectos.

Una descripción detallada de los riesgos es fundamental para tener claros los aspectos que afectarán a la privacidad.

  1. Definir los riesgos

Con la información aportada en la fase anterior, es el momento de identificar claramente los riesgos en el tratamiento de los datos a los que se expone la empresa. Según el documento que presenta la AEPD, estos riesgos pueden ser de dos tipos:

–          Los que afectan a personas: riesgos que puedan vulnerar sus derechos.

–          Los que afectan a la empresa: aquellos que se derivan de no implementar una correcta política de protección de datos, en función de lo que dicta la legalidad vigente.

  1. Gestión de los riesgos

Tras identificar los riesgos, el paso siguiente para garantizar la correcta Evaluación de Impacto en Protección de Datos, será la gestión de los mismos. Para ello es imprescindible recurrir a consultas internas y externas con los actores implicados. Tras esto habrá que determinar qué tipos de controles y medidas se van a implementar.

  1. Analizar el cumplimiento de la norma

En esta fase de la EIPD hay que verificar que todo el contenido que se está desarrollando cumple debidamente con la legalidad. En este punto hay que tener en cuenta el sector para el que se está creando la evaluación de impacto, ya que es posible que los requisitos legales en cuanto al tratamiento de datos sean de mayor o menor nivel.

  1. Creación del informe final

En este informe hay que detallar debidamente los riesgos que se han encontrado, así como las recomendaciones para que su gestión y eliminación sea drástica. Este informe se debe enviar a la dirección de la empresa u organización. Además, la difusión, total o parcial, es importante.

  1. Implantar recomendaciones

Después de que la dirección de la empresa haya revisado completamente el informe elaborado, tendrá que tomar las medidas oportunas para su cumplimiento. Además, es fundamental que designe al responsable de la evaluación de impacto, para que garantice el cumplimiento de todo lo detallado en el informe final.

  1. Revisión constante

Tras todo el proceso de la Evaluación de Impacto, hay que analizar debidamente el resultado final. De esta forma se podrá comprobar la efectividad de todo el trabajo, así como si han aparecido riesgos nuevos. La actualización constante de dicha EIPD es fundamental para garantizar la protección de datos de terceros.

*Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.

Evaluación de Impacto en Protección de Datos I: claves y concepto

Con la reciente aprobación del Nuevo Reglamento Europeo de Protección de Datos, se han sumado algunas obligaciones que, hasta la fecha, no estaban contempladas en nuestra Ley Orgánica de Protección de datos. Una de estas novedades es la necesaria realización de una Evaluación de Impacto en Protección de Datos. Par explicar qué es esto y cómo debe de ponerse en práctica vamos a realizar una serie de artículos que nos faciliten las claves básicas para ello.

La propia Agencia Española de Protección de Datos (AEPD) ha diseñado un manual, disponible online, para llevar a cabo una Evaluación de Impacto (EIPD) consensuada y acertada. La base de esta necesidad radica en los cambios a los que nos enfrentamos, con la alta participación de las nuevas tecnologías en la vida cotidiana. Los datos de carácter personal alcanzan valores económicos nunca antes vistos y esto obliga a las empresas e instituciones a no salirse ni un ápice del marco legal establecido.

Definición de la Evaluación de Impacto en Protección de Datos

Para dejar claro qué es esto de la Evaluación de Impacto es interesante comenzar por definir el concepto. Según la propia AEPD, se trata de un análisis exhaustivo de los riesgos que puede aportar un servicio o producto en cuanto a la protección de datos personales de los usuarios. Pero la cosa no queda ahí, ya que además de analizar ese impacto es importante crear tips para una gestión óptima, que permitan identificar los riesgos y tomar las medidas oportunas para eliminarlos de raíz.

Una de las ventajas de realizar una EIPD radica en el ahorro económico. Obviamente, realizar la Evaluación de Impacto previa evitará tener que realizar un proceso tedioso sobre un negocio ya creado. Además, en el marco del nuevo Reglamento europeo de Protección de Datos esto es obligatorio, por lo que anticiparse puede evitar sanciones y multas por parte de la AEPD.

La obligación de realizar una EIPD

El artículo 35 del famoso Reglamento Europeo, de obligada aplicación en toda la UE, habla precisamente de esta obligación de realizar una Evaluación de Impacto en Protección de Datos personales. Pero, ¿quién está obligado a ello? Bien, pues cualquier empresa o negocio que cuente con un tratamiento de los datos que presenten un riesgo elevado en cuanto a derechos y libertades de las personas.

El responsable de tratamiento, en colaboración con el delegado de protección de datos, será el encargado de realizar esta EIPD y garantizar las gestiones oportunas para salvaguardar los datos personales. Además, uno de los puntos clave es la obligatoriedad de seguir un sistema de observación de forma constante, que garantice que los datos están debidamente protegidos.

El resultado final de la Evaluación de Impacto debe de ser un completo documento en el que se detallen todas las especificidades exigidas por el nuevo reglamento, que la AEPD apoya completamente. Este documento debe de distribuirse y publicitarse para que los usuarios tengan pleno conocimiento del tratamiento que se dará a sus datos personales.

 

*Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.