Todo sobre protección de datos

Una vez que hayas descubierto las novedades que ha supuesto la entrada del RGPD, ya sea los nuevos términos que introduce el Reglamento o bien los nuevos derechos para los interesados (https://eurodato.com/la-videovigilancia-en-el-puesto-de-trabajo/) ahora te vamos a desvelar más concretamente los detalles y curiosidades sobre la protección de datos.

¿En qué puede ayudarte la AEPD y en qué no?

En primer lugar, debemos recordar que la AEPD es la entidad encargada de velar por tus derechos y ante la cual puedes dirigirte para reclamar en caso de que el responsable del tratamiento no te responda o bien consideres que te responde inadecuadamente, y de hecho, la propia AEPD pone a tu disposición modelos específicos para facilitar el ejercicio de tus derechos ante el responsable del tratamiento.

En segundo lugar, se trata de una entidad que además pone a tu disposición un servicio de atención al ciudadano en el que puedes obtener más información, resolver alguna duda o bien formular consultas. Incluso puedes denunciar incumplimientos o infracciones de la normativa de protección de datos adjuntando tus pruebas a la AEPD.

Para el caso de seas el responsable del tratamiento de datos, la Agencia pone a tu disposición una herramienta de ayuda para la buena adecuación al RGPD.

No obstante, aunque es cierto que la AEPD te ofrece una gran cantidad de información y guías de ayuda para un buen cumplimiento de la normativa, hay una serie de cuestiones en las que no puede interferir:

  • NO puede tramitar tus reclamaciones en relación con tus derechos de acceso, rectificación, limitación, oposición, supresión, portabilidad y oposición al tratamiento de decisiones automatizadas si previamente no te has dirigido a la entidad responsable o si no ha transcurrido el plazo legalmente previsto para que te responda (un mes normalmente).
  • NO puede atender tus reclamaciones sobre una presunta vulneración del tratamiento de tus datos personales si no especificas los motivos concretos de la solicitud o no hay ningún tipo de indicio que no dé paso a una correcta investigación.
  • NO puede entrar a conocer de aquellos asuntos en los que exista discrepancias con el prestador de servicios sobre las tarifas contratadas, servicios utilizados o importes facturados así como peticiones de devoluciones de importes indebidamente cobrados ya que estas situaciones no suponen, por si mismas, una vulneración de la normativa de protección de datos.
  • NO está legitimada para resolver asuntos sobre solicitudes de indemnizaciones derivadas del tratamiento de tus datos personales, puesto que es a los Tribunales a los que les corresponde dicha facultad.
  • Tampoco entrará en aquellos asuntos en los que se realicen tratamientos de datos de fallecidos no amparados por la normativa de protección de datos.

¿Qué debo hacer para adecuarme realmente al RGPD?

La AEPD diferencia entre el sector privado y las Administraciones Públicas para establecer las actuaciones que deben llevar a cabo para estar correctamente adecuados a la normativa.

En cuanto a las Administraciones Públicas se refiere, deben:

  • Designar a un Delegado de Protección de Datos si es obligatorio o si se asume voluntariamente.
  • Elaborar el registro de actividades del tratamiento.
  • Analizar las bases jurídicas del tratamiento
  • Efectuar un análisis de riesgos.

En el sector privado, debe realizarse por aquella entidad que no pueda utilizar la herramienta que pone a su disposición la AEPD:

  • Revisar las medidas de seguridad en función del análisis de riesgos realizado.
  • Establecer mecanismos y procedimientos de gestión de quiebras de seguridad.
  •  Llevar a cabo  una evaluación de impacto de la protección de datos para aquellos casos en que sea necesario.
  • Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.
  • Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.
  • Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.
  • Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.
  • Confeccionar e implantar políticas de protección de datos.

¿Qué es el Registro de actividades de tratamiento?

Los encargados y responsables del tratamiento de datos personales tendrán la obligación de mantener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. El art.30 RGPD regula que respecto a los responsables:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

Respecto a los encargados:

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;

b) las categorías de tratamientos efectuados por cuenta de cada responsable;

c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.

No obstante, las organizaciones de menos de 250 trabajadores estarán exentas de configurar este registro de actividades a no ser que se trate de tratamientos que puedan suponer un riesgo para los derechos y libertades de los interesados. En la práctica esta excepción no suele aplicarse dado que todos los tratamientos de datos pueden suponer un riesgo para los derechos de los interesados aunque sea ocasional.

¿Qué es el análisis de riesgo del RGPD?

Los responsables y encargados deben llevar a cabo una valoración del riesgo de sus tratamientos con el fin de determinar qué medidas aplicar, según los tipos de tratamientos, los datos del mismo, el número de interesados afectados y la cantidad y variedad de tratamientos que realice una misma organización.

El análisis de riesgo debe responder a las siguientes cuestiones:

  • ¿Se tratan datos sensibles?
  • ¿Se incluyen datos de una gran cantidad de personas?
  • ¿Incluye el tratamiento la elaboración de perfiles?
  • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
  • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
  • ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
  • ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?

Si la respuesta  es negativa, la organización no realiza tratamientos que generen un elevado nivel de riesgo y que, por tanto, no debe poner en marcha las medidas previstas para esos casos, pero si por el contrario las respuestas suelen ser afirmativas significa que podría derivarse un riesgo del tratamiento.

¿En qué consiste la denominada evaluación de impacto?

La evaluación de impacto a la que se refiere el RGPD es la herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos.

El RGPD, en su artículo 35, regula los casos en los que es necesario llevar a cabo una evaluación de impacto:

  • Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares;
  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  • Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10;
  • Observación sistemática a gran escala de una zona de acceso público.

¿Qué es una quiebra de seguridad?

El RGPD define las violaciones de seguridad de los datos, las denominadas «quiebras de seguridad», incluyendo todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, ya se trate de daños materiales o inmateriales.

El RGPD establece que cuando se produzca la quiebra de seguridad, el responsable debe notificarla:

1.- A la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella. La notificación ha de incluir un contenido mínimo:

a) la naturaleza de la violación

b) categorías de datos y de interesados afectados

c) medidas adoptadas por el responsable para solventar la quiebra

d) si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados. Además, los responsables deben documentar las quiebras de seguridad sufridas.

2.- A los afectados en los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los mismos, de forma que la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

Esperamos que después de esta lectura hayas comprendido un poco más los detalles del RGPD. Recuerda que si quieres refrescar los términos o conceptos básicos que introduce el Reglamento, puedes visitar el resto de entradas del blog o contactar con nosotros en redes sociales.

Post a Comment

1