www.entelgy.com

RGPDLas 8 claves para entender el nuevo Reglamento de Protección de Datos

RGPDReglamento General de Protección de Datos

www.innotecsystem.com

www.entelgy.comwww.innotecsystem.com

RGPDLas 8 claves para entender el nuevo Reglamento de Protección de Datos

Índice

¿Qué es el deber de información y el encargo de tratamiento?

Responsabilidad proactiva, privacidad desde el diseño y por defecto

Inscripción de ficheros / Registro de actividades

¿Cómo son ahora los derechos de los titulares?

La actual base legal de los tratamientos

Análisis de riesgos y medidas de seguridad

¿Quién es el Delegado de Protección de Datos (DPD)?

Nuevas sanciones por incumplimiento

RGPD

4

5

6

7

8

9

11

12

2

El nuevo Reglamento General de Protección de Datos (RGPD) supone un cambio radical en la concepción y el tratamiento de los datos. A día de hoy, quedan muchas lagunas por cubrir en la aplicación práctica del nuevo Reglamento. ¿Quieres convertirte en un experto en la materia?. Te acercamos las 8 claves fundamentales para que no tengas problema en adaptarte a la nueva norma.

El 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD). Aunque tiene similitudes con la norma anterior (LOPD), hay una serie de importantes cambios que exigen la actualización de los procedimientos de las empresas. Aunque aún quedan algunas “lagunas” podemos adelantar la complejidad y responsabilidad del nuevo Reglamento. No podemos dejar de tener en cuenta que la legislación española en protección de datos es una de las más avanzadas, incluso sirvió de referencia para los legisladores europeos. En España, los profesionales de la protección de datos están acostumbrados, por tanto, a unos niveles de exigencias altos en esta materia.

Pese a ello, hay cambios importantes, y por ello, hay que actualizarse, comprender la naturaleza de sus cambios y materializarlos en la práctica, en el día a día. ¿Estás preparado para el cambio?

RGPD

www.entelgy.com

La confianza de vivir (ciber) seguro

www.innotecsystem.com

RGPDLas 8 claves para entender el nuevo Reglamento de Protección de Datos

¿Qué es el deber de información y el encargo de tratamiento?Hay dos cambios fundamentales. De hecho, la Agencia Española de Protección de Datos ha sacado guías para ellos, y, con pequeñas dudas, se pueden implementar perfectamente: las nuevas cláusulas del deber de información y los contratos de acceso a datos por cuenta de terceros.

• En cuanto a las cláusulas, aparte de identificar al responsable y aspectos relacionados con los derechos de los titulares, se han ampliado considerablemente los puntos a informar en las cláusulas, entre otros: base jurídica del tratamiento, intención de realizar transferencias internacionales, datos del delegado de protección de datos (si lo hubiere) y elaboración de perfiles.

• En cuanto al encargo del tratamiento, el contenido de los contratos también se amplía considerablemente. Basta con comparar el art. 12 de la LOPD con el art. 28 de RGPD para comprobar cómo se suman nuevos elementos; por ejemplo: el encargado de atender las solicitudes de los derechos de los titulares, la firma de compromisos de confidencialidad por parte del personal del encargado y, en general, un deber de colaboración del encargado de tratamiento con el responsable mucho más extenso que lo establecido en la anterior Ley. Igualmente, se exige un mayor deber de diligencia a la hora de escoger encargados de tratamiento y se utilizan nuevos mecanismos para comprobarlo.

Para demostrar que los encargados o subencargados ofrecen las garantías exigidas por el RGPD, estos podrán adherirse a códigos de conducta o certificarse dentro de los esquemas previstos por el RGPD

1.

4

2. Responsabilidad proactiva, privacidad desde el diseño y por defectoCon la aplicación del nuevo Reglamento surgen nuevos principios que, aunque no existieran en la LOPD, el espíritu y el nivel de exigencia de dicha Ley implicaba el cumplimiento de los mismos. Ahora, para subrayarlo, se ha dejado por escrito.

La Responsabilidad proactiva se refiere al deber del Responsable y Encargado de tratamiento de demostrar que, efectivamente, cumple con el RGPD. Recordemos que con la LOPD el peso del consentimiento del titular de los datos, así como la carga de demostrar ante la Agencia el cumplimiento de las obligaciones legales, correspondía al Responsable. Pero para España este principio no es tan novedoso.

La privacidad desde el diseño se refiere a que todo sistema de tratamiento de datos debe buscar su adecuación a la normativa desde las etapas más tempranas. Pero también ha de hacerlo durante todo el proceso del tratamiento. La privacidad por defecto se refiere a que dichos sistemas deben configurarse de la forma más restrictiva posible para respetar la intimidad de las personas, siendo la persona la que decida mostrar que aspectos de su información quiere hacer públicos.

5

www.entelgy.com

La confianza de vivir (ciber) seguro

www.innotecsystem.com

RGPDLas 8 claves para entender el nuevo Reglamento de Protección de Datos

Inscripción de ficheros / Registro de actividadesAntes se trataba de inscripción de ficheros con la respectiva publicación de los mismos en el registro de la Agencia Española de Protección de Datos. Ahora se suprime esa obligación y se sustituye por un registro de actividades interno.

La Ley anterior sólo exigía la obligación para el responsable del fichero. Ahora es una obligación tanto para el responsable como para el encargado de tratamiento. A priori esta obligación se contempla para responsables con más de 250 empleados, sin embargo, hay supuestos adicionales tan genéricos, que en la práctica casi todas las empresas tienen que llevar a cabo un registro de estas características.

En cuanto al contenido del registro de actividades es muy similar a la de la inscripción de ficheros. Basta con comparar el formulario NOTA de la Agencia con el art. 30 del RGPD.

3.

6

4. ¿Cómo son ahora los derechos de los titulares?Aparte de los derechos conocidos como ARCO (acceso, rectificación, cancelación -ahora llamado supresión- y oposición), el RGPD contempla nuevos derechos que deben ser atendidos. Ahora hemos de prestar especial atención al derecho de limitación de tratamiento, al derecho de portabilidad y al derecho al olvido (una expresión online del derecho de cancelación).

Estos nuevos derechos, sin duda, merecen un estudio pormenorizado aparte. Sin embargo, es importante mencionar que antes los plazos de atención de los derechos ARCO eran: 1 mes para el derecho de acceso y 10 días para los otros. Ahora, con el RGPD, el plazo para atender cualquiera de los derechos (antiguos y nuevos) se estandariza en un mes.

Acce

soRe

ctific

ación

Canc

elació

nOp

osici

ón

LOPD

Acce

soRe

ctific

ación

Canc

elació

nOp

osici

ón

RGPD

Limita

ción

de tr

atam

iento

Porta

bilida

d

Olvid

o

Plazos de atención:

• Acceso: 1 mes

• Rectificación, Cancelación y Oposición: 10 días

Plazos de atención:

• Todos los derechos: 1 mes

7

www.entelgy.com

La confianza de vivir (ciber) seguro

www.innotecsystem.com

RGPDLas 8 claves para entender el nuevo Reglamento de Protección de Datos

La actual base legal de los tratamientosDe igual manera, ahora encontramos un mayor ímpetu en la base legal de los tratamientos. La LOPD recogía el consentimiento como base legal principal; el resto de casos eran excepciones que validaban el tratamiento de datos sin necesidad de obtener el consentimiento del titular de los datos. Ahora, con el RGPD, se recogen las mismas bases legales, pero no como excepciones, sino como bases legales claramente diferenciadas:

• Consentimiento.• Relación contractual.• Intereses vitales del interesado o de otras personas.• Obligación legal para el responsable.• Interés público o ejercicio de poderes públicos.• Intereses legítimos prevalentes del responsable o de terceros a los

que se comunican los datos.

5.

8

6. Análisis de riesgos y medidas de seguridadEsta es, sin lugar a duda, el aspecto menos desarrollado por el RGPD en comparación con la LOPD (mejor dicho, su Reglamento). El Reglamento de la LOPD basaba la aplicación de medidas de seguridad en el tipo de dato, (básico, medio o alto) y tipificaba para cada nivel las medidas de seguridad a adoptar.

No había dudas al respecto. Estaba completamente regulado. Ahora, al basar la aplicación de las medidas de seguridad en el riesgo de un tratamiento y no en el nivel de dato, se han generado muchas dudas.

Para analizar el riesgo de un tratamiento hay múltiples recomendaciones: acudir a métodos tradicionales de análisis de riesgos (la herramienta Pilar ya tiene uno propio para el RGPD) y en caso de empresas pequeñas acudir al programa Facilita de la Agencia (que más que un análisis de riesgo es un triple cuestionario). Entre lo complicado de la herramienta Pilar y lo sencillo del programa Facilita, hay una amplia y difusa escala de grises, que ha de definir la Agencia para aclarar un poco el tema.

Recientemente, han sido publicadas dos guías de la Agencia Española de Protección de Datos (Guía de Análisis de Riesgo y la Guía de Evaluación de Impacto en la Protección de Datos). Se tratan de dos modelos de análisis de riesgo (uno sencillo, “análisis de riesgo propiamente dicho”, para tratamientos de bajo riesgo) y la Evaluación de Impacto de Privacidad (para tratamientos de alto impacto).

En el análisis de riesgo básico para tratamientos de bajo riesgo, se contemplan dos etapas: identificar los riesgos y tratarlos. Se obvia la fase intermedia de evaluación de riesgos, ya que son considerados todos de bajo riesgo.

9

www.entelgy.com

La confianza de vivir (ciber) seguro

www.innotecsystem.com

RGPDLas 8 claves para entender el nuevo Reglamento de Protección de Datos

En la Evaluación de Impacto de Privacidad, si se prevén las tres etapas propias de un análisis de riesgo completo: Identificar, valorar y tratar el riesgo.

Igualmente, la Evaluación de Impacto de Privacidad, exige un seguimiento posterior con la elaboración de un Informe de conclusiones y de un Plan de acción.

En cuanto a las medidas de seguridad variarán en función del riesgo apreciado en el tratamiento. La Agencia recomienda el Esquema Nacional de Seguridad para los Organismos Públicos y la ISO 27.000 para el sector privado. Creemos que la ISO 27000 es excesiva para las pequeñas empresas, y recordemos que en España el 85% de las empresas pertenecen a esta clasificación. Habrá, pues, que esperar a que se aclare este punto también.

Aunque en las recientes guías publicadas en la Agencia se hacen mención a determinadas medidas de seguridad; son medidas de seguridad obvias y típicas de seguridad de la información, pero no hay una enumeración de las mismas que den seguridad jurídica a la hora de implantarlas y saber si son o no suficientes.

Finalmente, estos análisis de riesgos, toman en cuenta medidas de seguridad para proteger la información tanto en soportes automatizados como manuales, pero establece un catálogo mucho más amplio de riesgos asociados a los derechos y deberes fundamentales de las personas, que afectan ya no a la seguridad de los sistemas de información, sino a la implantación de requisitos legales y acciones organizativas para evitar determinados riesgos, lo cual supone un cambio de concepción importante en lo que son los análisis de riesgo tradicionales.

10

7. ¿Quién es el Delegado de Protección de Datos (DPD)?El Delegado de Protección de Datos, es una nueva figura, especialista en derecho de protección de datos, que se crea al lado de las figuras del responsable y del encargado del tratamiento de los datos.

Se trata de una figura nueva con sus funciones delimitadas, pero hay dudas acerca de los supuestos en los que debe nombrarse un DPD. La enumeración de los 3 supuestos que hace el RGPD es ambigua, poco concisa y utiliza conceptos difusos como “gran escala” o “tratamiento sistemático”, términos que a día de hoy requieren de seguridad y solidez jurídica.

No obstante, existe un anteproyecto de nueva LOPD donde se hace una enumeración positiva sobre qué Responsables sería necesario nombrar. Actualmente, faltaría aprobar este anteproyecto de Ley e ir viendo el devenir de las recomendaciones de la Agencia en este aspecto.

11

www.entelgy.com

La confianza de vivir (ciber) seguro

www.innotecsystem.com

RGPDLas 8 claves para entender el nuevo Reglamento de Protección de Datos

Nuevas sanciones por incumplimientoEl nuevo régimen sancionador del RGPD es algo a tener en cuenta, ya que en la reforma se prevén importantes cambios. El primero es un incremento cuantioso del importe de las multas a aplicar. Dependiendo de los distintos tipos de infracciones del Reglamento, las multas serán mucho mayores. El fin de esta medida es evitar las denominadas “infracciones rentables”.

De esta manera, el artículo 83 del RPGD plantea la posibilidad de sancionar las infracciones con multas administrativas de 10 y 20 millones de euros. Si se trata de una empresa, la multa podría suponer a la cantidad equivalente al 2 ó 4% como máximo del volumen de negocio total (refiriéndose al anual global del ejercicio financiero anterior).

Así, por ejemplo, la comunicación de los datos al prestador de servicios sin suscribir el correspondiente acuerdo de encargo de tratamiento en la forma establecida, podría ser sancionada con la suma máxima de 10M de euros o un 2% del volumen de negocio total anual del ejercicio anterior.

La obligación de indemnizar impuesta por el RGPD, afectará a todos los responsables que hayan intervenido en el tratamiento, en caso de que el referido tratamiento no cumpla con lo establecido en el RGPD. Y, por supuesto, también a los encargados cuando hayan incumplido las obligaciones impuestas por el RGPD a los mismos, o en los casos en los que incumplan las instrucciones que les hayan sido proporcionadas por los responsables.

8.

12

entelgy.com

Argentina | Brasil | Chile | Colombia | España | México | Perú

@entelgy

© 2018, Grupo Entelgy. El presente documento, así como los contenidos, diseños y servicios que lo integran son propiedad y se encuentran bajo el control de Entelgy, estando protegidos sin limitación alguna por las leyes de propiedad industrial e intelectual españolas, así como por los diferentes tratados internacionales que sean aplicables. Igualmente son de titularidad de Entelgy las marcas, rótulos, signos distintivos o logos de Entelgy que aparecen en el documento, y como tal están debidamente registrados.

Entelgy

Orense, 7028020 Madrid+34 914 251 111

Avda. Llano Castellano, 4328034 Madrid+34 917 281 504

Avda. Carrilet, 3 Edificio D08902 L’ Hospitalet de Llobregat - Barcelona+34 936 245 273

Entelgy Ibai

Nervión, 348001 Bilbao+34 944 231 104

Polígono Empresarial Inbisa-GamarraAvda. Olmos, 1Zona D 2, Oficina 801013 Vitoria - Gasteiz+34 945 069 465

Portuetxe, 5320018 Donostia - San Sebastián+34 944 231 104

Entelgy Brasil

Avda. Angélica, 22614ª andar, Conjuntos 41 a 4601227-200 - São Paulo/SP BRASIL+55 11 4097-9200

Avda. Rodrigo Fernando Grillo, 207Araraquara - São PauloBRASIL

Entelgy Chile

Avda. Andrés Bello 2777 Oficina 504Las Condes - SantiagoCHILE+562 2 480 28 00

Entelgy Colombia

Carrera 13 # 98 – 70Of. 301 y 302 Edificio OchicBarrio El ChicoBogotá - COLOMBIA+57 601 89 68+57 601 78 33

Entelgy México

Torre ReformaPaseo de la Reforma, 483, piso 14Colonia Cuauhtémoc06500 CDMX – México+52 1 (55) 7316 2106

DCL Consultores

Avda. Llano Castellano, 4328034 Madrid+34 917 281 504dclconsultores.com

InnoTec

Avda. Llano Castellano, 4328034 Madrid+34 917 281 504innotecsystem.com

Entelgy Perú

Avda. Alfredo Benavides, 768Centro Empresarial El ReductoDistrito MirafloresLima - PERÚ+51 1 644 01 51

@innotecsystem @DCLConsultores

linkedin.com/company/entelgy

blog.entelgy.com

innotecsystem.com@InnoTecSystem

linkedin.com/company/innotec-system

BrasilChile

Perú

Colombia

España

México

Argentina

InnoTec System