El Reglamento UE 2016/679 General de Protección de Datos será aplicable a partir de mayo de 2018. Queda mucho o muy poco, según se mire. Aquellos que ya cuentan con una buena cultura de privacidad tienen mucho ganado. Los cambios se pueden hacer de forma paulatina y la Agencia Española de Protección de Datos ya nos ha dado algunas pistas e indicaciones.
A efectos prácticos, ¿qué podemos hacer? A continuación ofrecemos algunas indicaciones:
1.- Modificar los avisos legales y las cláusulas de información en la recogida de datos
Hay que incorporar los nuevos aspectos sobre los que el usuario debe ser informado:
- Base jurídica que legitima el tratamiento de datos.
- Tiempos de conservación.
- Destinatarios de los datos, incluyendo posibles transferencias internacionales.
- La identificación del Delegado de Protección de Datos si procede.
- Posibilidad de presentar una reclamación ante la Autoridad de Control (en nuestro caso, la Agencia Española de Protección de Datos).
2.- Ampliar el contenido y redacción de los contratos de encargo de tratamiento
Todas las relaciones con terceros que impliquen acceso a datos por parte de terceros son encargados de tratamiento. El nuevo Reglamento es más exhaustivo en su regulación que la legislación actual y la Agencia Española de Protección de Datos acaba de dar las pautas de su contenido. Los nuevos acuerdos deberían incluir ya esta estructura y poco a poco renovar los anteriores.
3.- Designar un Delegado de Protección de Datos (DPO- Data Protection Officer) en aquellos casos que sea obligatorio y también para los que sea aconsejable
El Reglamento no exige la designación en todos los casos pero en determinadas organizaciones, aunque no encajen en los supuestos contemplados, puede ser aconsejable la designación de una persona que coordine todos aquellos aspectos relacionados con la protección de datos. En próximos posts desarrollaremos este tema en detalle.
4.- Establecer un procedimiento de detección y notificación de brechas de seguridad
En cumplimiento del propio Reglamento, será necesario notificar las brechas de seguridad a la Agencia Española de Protección de Datos y a los usuarios en determinados casos. Para evitar las improvisaciones, será necesario contar con el procedimiento.
5.- Establecer un procedimiento para la realización de evaluaciones de impacto
Si un tratamiento de datos entraña un riesgo para la privacidad será necesario realizar una evaluación de su impacto antes de ponerlo en funcionamiento. El propio Reglamento establece las reglas y la Agencia Española de Protección de Datos publicó en su día una Guía que puede servir como referencia.
Igualmente, la Agencia Española de Protección de Datos ha incluido una lista de verificación para testar el cumplimiento del nuevo Reglamento: útil para detectar las áreas de trabajo y de mejora.
Ya estamos manos a la obra en muchas organizaciones. Tenemos tiempo pero debemos tomar conciencia de los tiempos de cada organización pueden exigir cierta “maduración” previa.
Seguiremos informando….
Comentarios
No hay comentarios