+34 881 819 799

El 4 de mayo de 2016 se aprobó el Reglamento General (UE) 2016/679 de Protección de Datos (RGPD) que entra en vigor el 25 de mayo de 2018 y que supone que los usuarios deben tener un mayor control sobre sus datos de carácter personal. La norma contiene importantes novedades como un nuevo régimen sancionador; nuevos derechos para los usuarios (derecho al olvido; derecho de portabilidad); el derecho a obtener una indemnización por los daños o perjuicios causados al titular de los datos; surge la figura del DPO (Delegado de Protección de Datos o Data Protection Officer); aplicación del concepto ventanilla única y una nueva regulación de los datos de los menores.

En virtud de esta normativa, se realiza este Registro de Actividades el cual se dirige principalmente a todo el personal que dentro de la organización accede, debido a sus funciones laborales u de otra índole, a datos de carácter personal.

Al conjunto de Actividades de Tratamiento, programas, soportes, sistemas y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal, se aludirá de forma indistinta como sistemas de información de la empresa.

1. ANÁLISIS DE RIESGOS

El análisis de riesgos constituye el paso previo a la realización de la evaluación de impacto de la protección de datos personales, y consiste en realizar un análisis de los tratamientos de datos personales, atendiendo especialmente a los ciclos de vida de los datos, sus usos previstos, las finalidades para las que se tratarán, las tecnologías utilizadas y la identificación de los usuarios que accederán a ella. El objeto de este análisis es conocer los riesgos, reales o posibles, existentes para la privacidad.

A grandes rasgos, puede determinarse que los riesgos pueden ser de dos tipos; los que afectan a los interesados, y los que afectan a la organización. • El riesgo que puede afectar a los interesados cuyos datos son tratados se concreta en la posible violación de sus derechos, la pérdida de información necesaria o el daño causado por una utilización ilícita o fraudulenta de sus datos. • El riesgo que puede afrontar una organización viene determinado por no haber implantado una correcta política de protección de datos o por haberlo hecho de forma descuidada o errática, sin poner en marcha mecanismos de planificación, implantación, verificación y corrección eficaces.

El RGPD condiciona la adopción de las medidas de responsabilidad activa al riesgo que los tratamientos puedan suponer para los derechos y libertades de los interesados. Se maneja el riesgo de dos maneras: • En algunos casos, prevé que determinadas medidas solo deberán aplicarse cuando el tratamiento suponga un alto riesgo para los derechos y libertados (por ejemplo, Evaluaciones de impacto sobre la Protección de Datos). • En otros casos, las medidas deberán modularse en función del nivel y tipo de riesgo que el tratamiento conlleve (por ejemplo, con las medidas de Protección de Datos desde el Diseño o con las medidas de seguridad).

Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de: • los tipos de tratamiento, • la naturaleza de los datos, • el número de interesados afectados, • la cantidad y variedad de tratamientos que una misma organización lleve a cabo.

El análisis deberá dar respuesta a cuestiones como las que se exponen a continuación: • ¿Se tratan datos sensibles? • ¿Se incluyen datos de una gran cantidad de personas? • ¿Incluye el tratamiento la elaboración de perfiles? • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes? • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades? • ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data? • ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?

2. EVALUACIÓN DE IMPACTO DE LA PROTECCIÓN DE DATOS (EIPD)

La aplicación del RGPD no debe entenderse como la necesaria obligación de realizar la evaluación de impacto de todos los tratamientos que hasta la fecha se vinieran realizando sino que será necesario atender a las especificidades concretas de cada tratamiento.

La Evaluación de Impacto en la Protección de Datos Personales una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos.

El RGPD prevé que las Evaluaciones de Impacto se lleven a cabo “antes del tratamiento” en los casos en que sea probable que exista un alto riesgo para los derechos y libertades de los afectados. Ello implica que el mandato del Reglamento no se extiende a las operaciones de tratamiento que ya estén en curso en el momento en que comience a ser de aplicación.

Sin embargo, sí debiera realizarse una Evaluación cuando, en una operación iniciada con anterioridad a la aplicación del Reglamento, se hayan producido cambios en los riesgos que el tratamiento implica, en relación con los producidos en el momento en que el tratamiento se puso en marcha.

Este cambio en los riesgos puede derivar, por ejemplo, del hecho de que se hayan empezado a aplicar nuevas tecnologías a ese tratamiento, de que los datos se estén usando para finalidades distintas o adicionales a las que se decidieron en su momento, o de que se estén recogiendo más datos, o datos diferentes, de los que en principio se utilizaban para el tratamiento.

No hay que olvidar, que la Evaluación de Impacto (EIPD) es una herramienta con carácter preventivo que debe realizar el Responsable del Tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.

El resultado de la EIPD se debe tener en cuenta, necesariamente, a la hora de tomar las decisiones de la viabilidad o no de llevar a cabo el tratamiento de los datos.

3. QUE DEBE INCLUIR LA EVALUACIÓN DE IMPACTO.

A la hora de realizar la Evaluación de Impacto, se debe disponer de una metodología que considere los requerimientos exigidos en su artículo 35.7 del RGPD, donde se establece que deberá incluir como mínimo:

• Una descripción sistemática de la actividad de tratamiento prevista.

• Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.

• Una evaluación de los riesgos.

• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

4. METODOLOGÍA PATRA REALIZAR UNA EVALUACIÓN DE IMPACTO.

Una EIPD se compone de una serie de fases que convergen hacia un único objetivo, proporcionar una visión detallada de la gestión de los riesgos relativos a la protección de datos que se realiza durante el ciclo de vida de los datos asociados a las actividades de tratamiento para poder garantizar los derechos y libertades de las personas físicas.

La ejecución de una EIPD implica la consideración de varios factores que permitan establecer una ruta de trabajo, las fases y pasos a seguir para poder realizarla de una forma adecuada. Antes de realizarla, debemos considerar los siguientes factores:

¿Quién debe estar involucrado? (Recursos necesarios y el equipo de trabajo involucrado en la ejecución). o Es necesario definir quién va a realizar la Evaluación y que figuras o personas se van a involucrar en la ejecución de la misma (por ejemplo, La realizará el Responsable del Tratamiento, con el asesoramiento del DPD y del Responsable de Seguridad de la información).

¿Qué tareas se deben realizar y cómo? (Metodología, actividades a desarrollar e hitos temporales asociados) o Una EIPD puede constar de varias fases, por tanto, es importante tener claro cuáles son cada una de las fases y los objetivos y tareas que se deben conseguir en cada una de ellas.

¿Qué y cómo documentar el proceso llevado a cabo? (Documentación de análisis, conclusiones y plan de acción) o La documentación de las tareas, análisis y evaluaciones realizadas, así como las conclusiones obtenidas, deben ser documentadas. Es importante mantener trazabilidad de las acciones realizadas y disponer de una base que justifique las conclusiones o decisiones tomadas.

Esta METODOLOGÍA se compone de 3 secciones diferenciadas que, a su vez, se desglosan en diferentes tareas:

1. Contexto:

Describir el ciclo de vida de los datos: Descripción detallada del ciclo de vida y del flujo de datos en el tratamiento. Identificación de los datos tratados, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad de tratamiento.

Analizar la necesidad y proporcionalidad del tratamiento: Análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.

2. Gestión de riesgos:

Identificar amenazas y riesgos: Identificación de las amenazas y riesgos potenciales a los que están expuestos las actividades de tratamiento.

Evaluar los riesgos: Evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.

Tratar los riesgos: Respuesta ante los riesgos identificados con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable que permita garantizar los derechos y libertades de las personas físicas.

3. Conclusión y validación:

Plan de acción y conclusiones: Informe de conclusiones de la EIPD donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas y, si procede, el resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD.

Adicionalmente a estas fases, es recomendable que exista un proceso de supervisión y revisión de la implantación o puesta en marcha del nuevo tratamiento con el objetivo de garantizar la implantación de las medidas de control descritas en el Plan de acción.

Esquema de la Evolución de impacto

Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO). Equipo de Trabajo.

La obligación, en su caso, de realizar la Auditoría corresponde al Responsable de Tratamiento, y para ello se recomienda la creación de un equipo o grupo de trabajo interdisciplinar que se encargue de obtener la información necesaria para un correcto desarrollo de la EIPD.

Hay que hacer hincapié en que dicho equipo, para que pueda tener éxito en su labor, debe contar con el apoyo y el compromiso de la alta dirección de la organización, ya que sin ellos es muy difícil que sus tareas se puedan desarrollar adecuadamente.

No existen reglas fijas sobre quién debería participar en el grupo o liderarlo, pues dependerá mucho de la organización de que se trate, su tamaño, estructura, etc., así como del proyecto que se vaya a evaluar.

En el Apartado 2 del Artículo 35 del Reglamento General (UE) 2016/679 de Protección de Datos dice:

“El responsable del tratamiento recabará el asesoramiento del Delegado de Protección de Datos (DPD), si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos”.

Es importante destacar que el DPD no es una figura de obligado nombramiento en todos los casos. El RGPD establece los supuestos en los cuales se considera obligatorio disponer de DPD. Sin embargo, las organizaciones que llevan a cabo tratamientos que, por su número o por sus características, impliquen un cierto grado de complejidad, deberían contar con el asesoramiento técnico adecuado para estar en condiciones de cumplir con el RGPD y poder demostrarlo. Por ello, resultaría recomendable que estas organizaciones designen un DPD que pueda proporcionar este asesoramiento.

En cualquier caso, sí se pueden ofrecer unas directrices sobre quiénes no podrían faltar en el mismo:

El Responsable de Tratamiento ( Responsable de Dirección o un representante –con capacidad de decisión) El Responsable de Seguridad El Delegado de protección de datos (DPD) o la persona que ejerza esta responsabilidad (o el asesor externo al que se le haya confiado esta misión). Representantes cualificados del departamento TIC y de las áreas o departamentos a los que más afecte el proyecto dentro de la organización.

Las multas administrativas que se contemplan pueden alcanzar de entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.

Tipos de sanciones del RGPD

El régimen sancionador del RGPD es aplicable cuando el tratamiento de los datos de carácter personal que maneja la empresa, no se adecua a la norma. En su artículo 83.2 se especifica que las multas se establecerán en función a la infracción de que se trate. Y es que, a diferencia de la actual LOPD no existe una tipología establecida de infracciones en leves, graves o muy graves. Para establecer la cuantía de las sanciones se atenderá al caso particular y se tendrá debidamente en cuenta:

1. La naturaleza, gravedad y duración de la infracción, estudiando la naturaleza, alcance o propósito de la misma, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.

2. La intencionalidad o negligencia en la infracción.

3. Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.

4. El grado de responsabilidad del encargado del tratamiento de los datos, habida cuenta de las medidas técnicas u organizativas que hayan aplicado para salvaguardar la información.

5. Toda infracción anterior cometida por el responsable o el encargado del tratamiento.

6. El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.

7. Las categorías de los datos de carácter personal afectados por la infracción.

8. La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.

9. Que el responsable o el encargado de que se trate, en relación con el mismo asunto, ya haya sido sancionado, entre otras, con una advertencia o apercibimiento al cumplimiento de dichas medidas.

10. La adhesión a códigos de conducta o a mecanismos de certificación aprobados con arreglo al articulado del propio RGPD.

11. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Por poner algún ejemplo, ahora la cesión de datos a un prestador de servicios sin que se haya suscrito previamente el correspondiente acuerdo, con las medidas de seguridad necesarias y establecidas por el RGPD, que actualmente es castigado con hasta 300.000€, pasará a ser multado hasta con 10 millones de euros o un 2% del volumen de negocio total anual del año anterior.

Otras novedades del RGPD

Esta nueva normativa establece, por primera vez, la posibilidad de que los Estados miembro puedan instaurar sanciones penales por el incumplimiento del RGPD, trascendiendo la vía administrativa.

Además, el afectado que haya sufrido daño y/o perjuicio, ya sea material o inmaterial, como consecuencia de una infracción de su articulado, tendrá derecho a recibir una indemnización del encargado o responsable del tratamiento de los datos.