CUMPLIR EL RGPD o GDPR
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE de protección de datos de carácter personal (GDPR o RGPD), que entró en vigor en el año 2016, empezará a exigirse su cumplimiento el 25 de mayo de este año.
Para llevar a cabo el cumplimiento del reglamento europeo las empresas deberán establecer un plan determinado para conseguir llegar a tiempo a la fecha de aplicación del reglamento sin ser infructuosa toda la labor realizada para adecuarse al GDPR.
Entre los diferentes elementos que deberían incorporase en este plan para el cumplimiento del reglamento europeo, está la vinculación global de toda la empresa y en concreto las áreas o departamentos que tratan datos personales, junto con el compromiso de la dirección de la empresa para conocer y dirigir este plan de acción. Se deberán designar a las personas o equipos dentro de la empresa que se dedicarán a implantar el reglamento, y contar con personas externas a la organización que aporten el conocimiento y experiencia en los novedosos contenidos y exigencias del GDPR. Y sobre todo, dentro el programa de cumplimiento del reglamento, se deberá elaborar un calendario de plazos e hitos, asignar los roles a los diferentes partícipes en estos trabajos, y aportar recursos, medios e infraestructura para llevar a buen puerto dicho plan.
En cuanto a la concreción y globalización del plan en las entidades con un extenso número de centros e instalaciones, tanto nacionales como extranjeras, a parte de la coordinación de todas ellas a la hora de establecer las políticas generales sobre el tratamiento de los datos, deberá analizarse cada uno de los lugares donde se implantarán las medidas para el cumplimiento, con el fin de evitar que por la peculiaridad del tratamiento de los datos personales llevado a cabo en cada centro o área, no se consiga la implantación o la efectividad de las medidas establecidas globalmente.
Por otro lado, y dado que el tratamiento de los datos personales ya viene regulado por normativas que se han tenido que implantar y cumplir, como es el caso de la LOPD. Y teniendo en cuenta que muchas de las medidas que exige el GDPR ya se establecen en la normativa actual. En el plan que se elabore para el cumplimiento del nuevo reglamento, se deberá tener en cuenta todo lo implantado en cumplimiento de la normativa vigente, y en su caso modificarlo o adecuarlo a las novedades que exige el reglamento europeo.
En cuanto a los pasos y etapas que deberá incluir el plan que pretenda elaborar la empresa para cumplir el GDPR, se debe tener en cuenta las características de la empresa, y en concreto su actividad. No siendo igual el nivel de exigencia del reglamento para una u otra empresa, ya que muchas medidas a cumplir serán exigidas por el tipo de datos personales tratados y los riesgos para los derechos y libertades de las personas, que vendrán en muchos casos determinados por la forma y los medios con los que se tratan estos datos.
En cualquier caso, el plan elaborado para cumplir el reglamento europeo si debería incluir, como una de las primearas acciones, la localización de todos los tratamientos de datos llevados a cabo, identificando los datos personales utilizados, los fines del tratamiento y los destinatarios de los datos. Y también las fuentes de recogida, los sistemas donde se almacenan o procesan y los usuarios que acceden a estos datos.
A partir de esta identificación de los tratamientos, deberá determinarse la licitud de cada uno de ellos, que podrá ser, bien por el consentimiento, una relación contractual, una ley o el interés legítimo de la empresa. Teniendo en cuenta que ya no es válido el consentimiento tácito, y que para distintos tratamientos de datos habrá que pedir consentimientos específicos para cada uno de ellos. Y junto la licitud de los datos, y el resto de principios del GDPR, también se deberán tomar medidas para cumplir con el principio de proactividad, que obliga a que la empresa esté en disposición de poder demostrar que cumple el reglamento europeo, aparte de cumplirlo.
Luego se deberá acometer la revisión de todos los textos, leyendas y cláusulas utilizadas para informar del tratamiento de los datos personales, y adecuar éstos a las nuevas exigencias de transparencia establecidas por el GDPR, teniendo en cuenta que esta información se debe facilitar con un lenguaje claro y sencillo. Incorporando a la información que ya se venía facilitando a las personas titulares de los datos, la identidad del delegado de protección de datos si se exige su nombramiento, el tiempo de conservación de los datos y la base que legitima el tratamiento, entre otros.
Deberán revisarse los procedimientos establecidos para atender los derechos de acceso, rectificación, cancelación y oposición, incorporando los nuevos derechos recogidos en el reglamento europeo de limitación del tratamiento y portabilidad, y revisarse la forma de gestionar los derechos en cuanto a los plazos y el canal de recepción y contestación de éstos, ya que el nuevo reglamento lo modifica en relación con la LOPD.
A la hora de revisar las responsabilidades para las empresas que traten los datos como responsables del tratamiento o como encargados del tratamiento, se deberá tener en cuenta que las medias y procedimientos que se implanten deben ir encaminadas a garantizar y demostrar que los tratamientos de datos se realizan de conformidad con el GDPR. Teniendo en cuenta en todo momento que el nivel y número de estas medidas estará determinado por el riesgo para los derechos y libertades de las personas cuyos datos se estén manejando. Y valorando que el momento de implantar estas medidas no será en el instante del tratamiento de los datos personales sino antes de iniciar estos tratamientos, dado que los medios que vayan a utilizarse para tratar los datos deberán, desde el diseño y por defecto, cumplir los principios de protección de datos.
Deberá revisarse también las relaciones que tenga la empresa con los encargados del tratamiento que accedan a los datos por la prestación de un servicio, ya que solo podrá elegirse a los encargados que ofrezcan garantías suficientes a la hora de aplicar las medidas para el cumplimiento del RGPD. Analizando también los acuerdos y contratos de servicios firmados con los encargados del tratamiento, para adecuar las cláusulas a las nuevas exigencias del reglamento europeo de protección de datos. Sin dejar de lado la revisión de las transferencias internacionales de datos, bien por la prestación de un servicio o bien por la comunicación de estos datos a entidades extranjeras.
Dado que se elimina la obligación de notificar los ficheros en el registro de la Agencia Española de Protección de Datos, no con ello se suprime la obligación de mantener un registro de los tratamientos que se llevan a cabo. Por lo que será una misión también a la hora de establecer el plan del cumplimiento del GDPR, la elaboración del registro de actividades del tratamiento. Pudiendo servir este registro como punto de partida para localizar y determinar cuáles son los tratamientos de datos que se vienen realizando en la empresa para poder llevar a cabo la implantación de todas las nuevas exigencias del reglamento.
En cuanto al apartado referente a la seguridad de los datos, el GDPR ya no establece niveles predeterminados se seguridad según el tipo de datos tratados, sino que deberá cada entidad valorar cuales son los riesgos existentes para los derechos y libertades de los titulares de los datos, y a partir de aquí implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar este nivel de seguridad determinado según el riesgo. Teniendo en cuenta que para valorar este riesgo deberán medirse las posibles consecuencias en el caso de pérdida, alteración, destrucción o tratamiento ilícito de los datos personales.
Se podrá acometer una revisión de las medidas organizativas y técnicas que se tengan implantadas hasta el momento y completarlas, teniendo en cuenta este riesgo para los datos personales. Como por el ejemplo el registro de incidencias, que debería incluir, como una adecuación al GDPR, un procedimiento de notificación de violaciones de seguridad a la Agencia Española de Protección de Datos, cuando dichas brechas de seguridad supongan un riesgo para los derechos y libertades de las personas. O en su caso la comunicación de dicha violación de seguridad a los titulares de los datos, cuando pueda suponer esta brecha un alto riesgo para sus derechos y libertades.
No debe olvidarse en el plan que acometa el cumplimiento del reglamento europeo, que determinados tratamientos de datos no podrán realizarse sin más, si no que habrá que realizar una evaluación de impacto previa, para determinar si éstos suponen un alto riesgo para los derechos y libertades de las personas, teniendo en cuenta los fines, contexto y alcance de estos tratamientos. Y si tras la realización de esta evaluación de impacto, se determina que existe un alto riesgo para los derechos y libertades de las personas, se deberá consultar a la Agencia Española de Protección de Datos, o en su caso a los propios afectados. Pudiendo la Agencia asesorar a la empresa sobre cómo llevar a cabo este tratamiento, limitarlo, prohibirlo o ejecutar cualquier otro poder que le otorga el GDPR.
En cuanto a las personas designadas en la empresa para cumplir el RGPD, como pueden ser los responsables de cada uno de los tratamientos, los responsables de seguridad, los equipos de supervisión o control de las medidas, etc. También deberá nombrarse a un Delegado de Protección de Datos (DPD), cuando se traten datos de categoría especial o se realice este tratamiento a gran escala, entre otros. Pudiendo ser este DPD alguien interno de la propia empresa o externo, quien llevará a cabo las funciones de supervisión y asesoramiento en el cumplimiento del reglamento, con libertad absoluta y sin responsabilidad por el incumplimiento del GDPR por parte de la empresa.
La planificación del cumplimiento del reglamento deberá tener en cuenta, que aparte de adoptar medidas para cumplir las exigencias del GPDR, la empresa debe poder probar en cualquier momento que cumple y que muchas de las medidas que tiene que implementar, vendrán determinadas por el riesgo que supone para los derechos y libertades de las personas físicas, los tratamientos de datos que se lleven a cabo en la empresa.