NOTICIA

Incibe ayuda a las empresas a prepararse para la inminente entrada del RGPD

11/05/2018 - Incibe
El próximo día 25 de mayo comenzará a aplicarse la nueva normativa relativa a la privacidad, el RGPD, y para apoyar a las pymes, el Instituto Nacional de Ciberseguridad (Incibe) ha publicado un nuevo servicio, RGPD para pymes.

Para ayudar a las pymes en el cumplimiento de los requisitos de seguridad del nuevo Reglamento General de Protección de Datos (RGPD), Incibepublicará un nuevo servicio, RGPD para pymes, que espera facilitarles la tarea de abordar la nueva normativa. En él se podrán encontrar los siguientes apartados:

  • ¿Tengo que cumplir?: consulta si afecta a tu empresa y qué ventajas tiene cumplir el RGPD.
  • ¿Cómo cumplo?: cinco pasos que te llevarán a garantizar el cumplimiento y algunos consejos según los riesgos de los tratamientos que realices.
  • Organización: cómo has de adecuar tus procedimientos y políticas para garantizar la privacidad.
  • Tecnología: qué herramientas y servicios van a ayudarte a cumplir, verificarlo y demostrarlo.

Principios de la protección de datos

Aquellos principios en los que se basa la protección de datos personales del nuevo RGPD y que han de cumplir los responsables de tratamiento, son los siguientes:

  1. Principio de licitud, lealtad y transparencia. Los datos personales no pueden ser recogidos de forma fraudulenta, desleal o ilícita. El tratamiento será lícito si cumple con alguna de las condiciones del art. 6 del RGPD. Además, el responsable debe facilitar al interesado toda la información sobre el tratamiento de forma concisa, transparente, inteligible y de fácil acceso.
  2. Principio de limitación de la finalidad. Los fines para los que se recogen los datos personales deben ser determinados, explícitos y legítimos, y no serán tratados ulteriormente de forma incompatible con esos fines. No son fines incompatibles: el archivo en interés público, la investigación científica e histórica o los estadísticos, aunque podrán aplicarles garantías específicas, como anonimizarlos o, en algunos, casos seudonimizarlos.
  3. Principio de minimización de datos. Los datos deben ser adecuados, pertinentes y limitados a los fines para los que se recogen. En este sentido, se podrán seudonimizar, es decir, tratar de manera que ya no puedan atribuirse al interesado sin utilizar información adicional que estará separada y protegida.
  4. Principio de exactitud de datos. Los datos han de ser exactos, correctos y completos, suprimiéndose o rectificándose, sin dilación, los que no estén actualizados o sean inexactos. El interesado tiene derecho a solicitar la rectificación de sus datos al responsable, que tendrá 1 mes para hacerlo.
  5. Principio de limitación del plazo de conservación de los datos, es decir, sólo deben ser mantenidos, de forma que se permita la identificación, durante el tiempo necesario para los fines del tratamiento. Además, se ha de informar al interesado, al tiempo de recoger los datos, de este plazo de conservación o de los criterios para determinarlo.
  6. Principio de integridad y confidencialidad, es decir, los tratamientos han de garantizar la seguridad adecuada de los datos, aplicando medidas técnicas u organizativas (en base a un análisis de riesgos) apropiadas para: la protección contra el tratamiento no autorizado o ilícito y la protección contra su pérdida, destrucción o daño accidental.

Checklist de responsabilidad proactiva

A todo esto hay que añadir que el responsable del tratamiento será también responsable del cumplimiento de los principios anteriores y además debe ser capaz de demostrarlo (responsabilidadproactiva).

Y para hacer más fácil la responsabilidad proactiva hay una serie de preguntas clave para el cumplimiento aplicables a todas las pymes.

  • ¿Realizas una actividad comercial en la UE o tratas datos personales en la UE o sobre personas que se encuentren  en la UE? Si es así, esto te afecta, has de ser responsable proactivamente, es decir, hacer un análisis de riesgos de privacidad, tomar las medidas adecuadas y verificar que puedes demostrar que garantizas la privacidad.
  • ¿Tratas datos de categorías especiales o a gran escala, es decir, son tratamientos de alto riesgo? Verifica si tratas datos de categorías especiales o a gran escala. Si es así debes seguir la guía de la AEPD para realizar una Evaluación de Impacto en la protección de datos personales.
  • ¿Tienes menos de 250 empleados y no realizas tratamientos de alto riesgo? Si es así cumple con FACILITA, en caso contrario, tanto si tienes más de 250 empleados como si realizas tratamientos de alto riesgo, has de llevar un Registro de actividades.
  • ¿Haces tratamientos a gran escala? Si la respuesta es afirmativa: nombra un DPD, es decir, un delegado de protección de datos y firma con él un contrato siguiendo la guía de la AEPD. También has de firmar contratos con terceros si les encargas el tratamiento en todo o en parte.
  • ¿Estás preparado por si tienes una brecha de seguridad con riesgo para la privacidad? Actualiza tus procedimientos para notificar, en un plazo máximo de 72 horas a las autoridades y sin dilación a los interesados.

Palabras clave:

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual