Entradas

facilita_rgpd

Una herramienta para cumplir con la nueva protección de datos

La Agencia Española de Protección de Datos ha puesto a disposición de las pymes, micropymes y autónomos que trabajen con datos personales de escaso riesgo la web Facilita RGPD, a través de la cual podrán obtener de forma sencilla la documentación necesaria para cumplir con la nueva normativa europea.

La Agencia Española de Protección de Datos (AEPD) ha presentado en los últimos días una nueva herramienta llamada Facilita RGPD. Se trata de un sitio web desde el que se ayudará a cumplir el nuevo Reglamento General de Protección de Datos (RGPD) a aquellas pymes y autónomos que trabajen con datos personales de escaso riesgo.

Desde la página, todo aquel empresario interesado tendrá que realizar un cuestionario online cuya duración ronda los 20 minutos. A través de éste podrá constatarse, para empezar, que los datos con los que se trata son de bajo riesgo. Pero también conocer y obtener los documentos mínimos indispensables para cumplir con el RGPD.

En él habrá que introducir información sobre la empresa: nombre, dirección, CIF, teléfono, etc. Y también sobre los tratamientos que realiza: clientes, empleados, curriculums de candidatos, etc. Una información que posteriormente se eliminará sin quedar registro de ella para que el test sea completamente anónimo.

Con todos los datos aportados, el programa generará prácticamente completada la documentación exigida para cumplir con la norma: el registro de actividades de tratamiento; la cláusula informativa; las cláusulas que deberían incluirse si la empresa contrata a un externo para la gestión de estos trámites; y un anexo con las medidas de seguridad mínimas. Un ‘papeleo’ esencial que no implica el cumplimiento automático del reglamento.

La norma en cuestión ha sido aprobada por el Parlamento Europeo y el Consejo Europeo y entró en vigor el 25 de mayo de 2016, aunque su cumplimiento obligatorio arrancará oficialmente el 25 de mayo de 2018. Tiene la aspiración de unificar los regímenes existentes sobre la materia de todos los Estados Miembros.

DIFERENCIAS CON LA LOPD

El actual reglamento, la Ley Orgánica de Protección de Datos, seguirá vigente hasta entonces, aunque las empresas tendrán que irse amoldando a las novedades que introduce el RGDP.

Por ejemplo, entra en juego el principio de responsabilidad (Accountability). Es decir, habrá que implementar mecanismos que permitan acreditar que se han adoptando todas las medidas necesarias para tratar los datos personales como exige la norma. Lo que implica que las organizaciones estarán obligadas a desarrollar políticas, procedimientos, controles, etc.

También aparecen los principios de protección de datos por defecto y desde el diseño. O lo que es lo mismo: habrá que adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.

Será en ese momento cuando la compañía deberá tener en cuenta el principio de transparencia: los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, además de más completos. Incluso se prevé que, con el fin de informar sobre el tratamiento de los datos, puedan utilizarse iconos normalizados.

POTENCIALES USUARIOS

Desde la AEPD se asegura que su registro supera ya los 4,6 millones de ficheros de titularidad privada inscritos. El 75% de ellos hacen referencia a tratamientos de bajo riesgo, es decir, nombres de clientes, de proveedores, nóminas, etc., entre otros aspectos. El 90% de sus responsables son pymes, potenciales usuarias de Facilita RGPD.

El propósito final de la Agencia es conseguir que la pequeña y mediana empresa cumpla con la norma sin que ello se convierta en una dificultad más en su día a día. De esta manera, la herramienta en cuestión se convierte también en punto de apoyo para que el pequeño empresario pueda conocer de forma sencilla las implicaciones y los cambios que supone esta nueva legislación.

Nuestro país es el único Estado europeo que ha puesto una aplicación de este tipo a disposición del público por lo que, en la próxima reunión del grupo de trabajo de esta materia  la AEPD ofrecerá este sistema al resto. Por otra parte, para aquellas pymes que manejan datos de mayor sensibilidad, la AEPD está desarrollando diferentes materiales que todavía no están a disposición general.

trituradora

¿Almacenar o destruir documentos confidenciales?

Inmersos en la vorágine diaria, muchos empresarios no se dan cuenta de la gran cantidad de información y datos confidenciales que se van acumulando en la compañía, de forma innecesaria y peligrosa, una vez que ha pasado el plazo necesario u obligatorio de conservación. Hay que tener en cuenta que la Ley Orgánica de Protección de Datos (LOPD) obliga a proteger o destruir los documentos que contengan datos de carácter personal y, en caso de que no se haga, prevé severas sanciones. Pero es que, además, si esta documentación no se elimina completamente y, por ejemplo, se tira a la basura, puede terminar en manos de cualquier persona, incluida la competencia, con el perjuicio que esto conllevaría para el negocio.

 

Por otra parte, los consumidores y organizaciones son cada vez más conscientes de las garantías que pueden exigir en cuanto a protección de datos, y cada vez realizan más denuncias y reclamaciones relacionadas con ello. La última memoria de la Agencia Española de Protección de Datos apunta que en 2013 se recibieron 10.604 denuncias y reclamaciones presentadas ante este organismo. Entre los ámbitos de actividad con mayor número de actuaciones de investigación, se encuentra el sector de las telecomunicaciones (2.256 actuaciones previas iniciadas) seguido de las entidades financieras (1.566) y de la videovigilancia (918).

 

Algunas empresas se plantean si es rentable almacenar toda la información que poseen de forma indefinida; y la respuesta de los expertos es que no, ya que resulta demasiado caro y conlleva ciertas dificultades y riesgos. En caso de hacerlo, la ley obliga a almacenar la información siguiendo algunas pautas determinadas, como que los armarios y archivadores se encuentren en áreas de acceso protegido con puertas dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente; y que esas áreas permanezcan cerradas cuando no sea preciso acceder a los documentos. Y establece, por ejemplo, que los archivos deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación…

 

Sin embargo, destruir la información caduca es una tarea sencilla para una empresa. Puede realizarse en la misma oficina, utilizando máquinas trituradoras y reciclando posteriormente el papel; o encargarse externamente a una compañía que se dedique a ello. Lo realmente complicado es seleccionar los documentos que deben desaparecer, aunque algunas firmas especializadas en este tipo de tareas recomiendan destruir todos los documentos que contienen información personal o confidencial.

 

Es decir, fundamentalmente listas de clientes, historiales de personal y recursos humanos, números de cuentas y tarjetas de crédito, registros y declaraciones de impuestos, curriculum-vitaes, ofertas y concursos, listados de inventarios, tarifas, facturas incorrectas, informes, presupuestos, planes de marketing, información contable, cheques cancelados, registros de la Seguridad Social, informes médicos, solicitudes de empleo, nóminas, firmas, correo, historiales médicos…