Entradas

facilita_rgpd

Una herramienta para cumplir con la nueva protección de datos

La Agencia Española de Protección de Datos ha puesto a disposición de las pymes, micropymes y autónomos que trabajen con datos personales de escaso riesgo la web Facilita RGPD, a través de la cual podrán obtener de forma sencilla la documentación necesaria para cumplir con la nueva normativa europea.

La Agencia Española de Protección de Datos (AEPD) ha presentado en los últimos días una nueva herramienta llamada Facilita RGPD. Se trata de un sitio web desde el que se ayudará a cumplir el nuevo Reglamento General de Protección de Datos (RGPD) a aquellas pymes y autónomos que trabajen con datos personales de escaso riesgo.

Desde la página, todo aquel empresario interesado tendrá que realizar un cuestionario online cuya duración ronda los 20 minutos. A través de éste podrá constatarse, para empezar, que los datos con los que se trata son de bajo riesgo. Pero también conocer y obtener los documentos mínimos indispensables para cumplir con el RGPD.

En él habrá que introducir información sobre la empresa: nombre, dirección, CIF, teléfono, etc. Y también sobre los tratamientos que realiza: clientes, empleados, curriculums de candidatos, etc. Una información que posteriormente se eliminará sin quedar registro de ella para que el test sea completamente anónimo.

Con todos los datos aportados, el programa generará prácticamente completada la documentación exigida para cumplir con la norma: el registro de actividades de tratamiento; la cláusula informativa; las cláusulas que deberían incluirse si la empresa contrata a un externo para la gestión de estos trámites; y un anexo con las medidas de seguridad mínimas. Un ‘papeleo’ esencial que no implica el cumplimiento automático del reglamento.

La norma en cuestión ha sido aprobada por el Parlamento Europeo y el Consejo Europeo y entró en vigor el 25 de mayo de 2016, aunque su cumplimiento obligatorio arrancará oficialmente el 25 de mayo de 2018. Tiene la aspiración de unificar los regímenes existentes sobre la materia de todos los Estados Miembros.

DIFERENCIAS CON LA LOPD

El actual reglamento, la Ley Orgánica de Protección de Datos, seguirá vigente hasta entonces, aunque las empresas tendrán que irse amoldando a las novedades que introduce el RGDP.

Por ejemplo, entra en juego el principio de responsabilidad (Accountability). Es decir, habrá que implementar mecanismos que permitan acreditar que se han adoptando todas las medidas necesarias para tratar los datos personales como exige la norma. Lo que implica que las organizaciones estarán obligadas a desarrollar políticas, procedimientos, controles, etc.

También aparecen los principios de protección de datos por defecto y desde el diseño. O lo que es lo mismo: habrá que adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.

Será en ese momento cuando la compañía deberá tener en cuenta el principio de transparencia: los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, además de más completos. Incluso se prevé que, con el fin de informar sobre el tratamiento de los datos, puedan utilizarse iconos normalizados.

POTENCIALES USUARIOS

Desde la AEPD se asegura que su registro supera ya los 4,6 millones de ficheros de titularidad privada inscritos. El 75% de ellos hacen referencia a tratamientos de bajo riesgo, es decir, nombres de clientes, de proveedores, nóminas, etc., entre otros aspectos. El 90% de sus responsables son pymes, potenciales usuarias de Facilita RGPD.

El propósito final de la Agencia es conseguir que la pequeña y mediana empresa cumpla con la norma sin que ello se convierta en una dificultad más en su día a día. De esta manera, la herramienta en cuestión se convierte también en punto de apoyo para que el pequeño empresario pueda conocer de forma sencilla las implicaciones y los cambios que supone esta nueva legislación.

Nuestro país es el único Estado europeo que ha puesto una aplicación de este tipo a disposición del público por lo que, en la próxima reunión del grupo de trabajo de esta materia  la AEPD ofrecerá este sistema al resto. Por otra parte, para aquellas pymes que manejan datos de mayor sensibilidad, la AEPD está desarrollando diferentes materiales que todavía no están a disposición general.

topsecret

Proteger la información sensible desde el primer momento

En un post anterior hablamos de la necesidad que tienen las empresas de elegir periódicamente entre guardar y custodiar información confidencial o destruirla. En éste trataremos sobre la importancia de plantearse la protección de datos y la privacidad desde el primer momento, es decir, desde el mismo instante en que se diseña un nuevo producto o servicio. Esto, por de pronto, supondrá dos importantes ventajas. En primer lugar, permitirá una mayor eficacia en la protección de los derechos de los afectados; y, en segundo término, evitará los importantes gastos que se pudieran derivar de un equivocado planteamiento inicial o de un mal uso de las tecnologías, que habría que reconducir posteriormente.

 

Unas de las herramientas más extendidas y útiles para asegurar la protección de datos desde el primer momento son las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos (PIAs por sus siglas en inglés: Privacy Impact Assessments), que se han desarrollado fundamentalmente en países anglosajones.

 

Pero, ¿cómo funciona una Evaluación de Impacto en la Protección de los Datos Personales (EIPD en español)? Pues bien, su función es analizar, en primer lugar, los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados. Y, una vez realizada esta tarea, el siguiente paso se centra en afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

 

Como apuntan desde la Agencia Española de Protección de Datos, la gran ventaja derivada de la realización de una EIPD en las etapas iniciales del diseño de un nuevo producto, servicio o sistema de información es que permite identificar los posibles riesgos y corregirlos anticipadamente, evitando los costes derivados de descubrirlos a posteriori, cuando el servicio está en funcionamiento o, lo que es peor, cuando la lesión de los derechos se ha producido. En estos casos no solo se incurre en costes económicos, sino también de imagen para la organización cuya reputación se ve afectada.

 

A continuación, resumimos los principales puntos a tener en cuenta para realizar correctamente un EIPD:

 

-La evaluación debe ser sistemática y estar orientada a revisar procesos de forma continua, más que a producir un informe final.

-Tiene que haber una clara y perfecta identificación de los responsables de las distintas tareas.

-Existe una primera fase de identificación y clasificación de la información para determinar los datos personales que se tratan y sus características.

-Es importante identificar quién y cómo tendrá acceso y tratará los datos personales.

-Todos los afectados (departamentos, socios, agentes externos…) pueden participar en el proceso y realizar aportaciones.

-Se describirán los controles que se implantarán para asegurar que sólo se tratan los datos personales necesarios para las finalidades definidas.

-El resultado se verá reflejado en un documento final, que no debe contener información confidencial.

trituradora

¿Almacenar o destruir documentos confidenciales?

Inmersos en la vorágine diaria, muchos empresarios no se dan cuenta de la gran cantidad de información y datos confidenciales que se van acumulando en la compañía, de forma innecesaria y peligrosa, una vez que ha pasado el plazo necesario u obligatorio de conservación. Hay que tener en cuenta que la Ley Orgánica de Protección de Datos (LOPD) obliga a proteger o destruir los documentos que contengan datos de carácter personal y, en caso de que no se haga, prevé severas sanciones. Pero es que, además, si esta documentación no se elimina completamente y, por ejemplo, se tira a la basura, puede terminar en manos de cualquier persona, incluida la competencia, con el perjuicio que esto conllevaría para el negocio.

 

Por otra parte, los consumidores y organizaciones son cada vez más conscientes de las garantías que pueden exigir en cuanto a protección de datos, y cada vez realizan más denuncias y reclamaciones relacionadas con ello. La última memoria de la Agencia Española de Protección de Datos apunta que en 2013 se recibieron 10.604 denuncias y reclamaciones presentadas ante este organismo. Entre los ámbitos de actividad con mayor número de actuaciones de investigación, se encuentra el sector de las telecomunicaciones (2.256 actuaciones previas iniciadas) seguido de las entidades financieras (1.566) y de la videovigilancia (918).

 

Algunas empresas se plantean si es rentable almacenar toda la información que poseen de forma indefinida; y la respuesta de los expertos es que no, ya que resulta demasiado caro y conlleva ciertas dificultades y riesgos. En caso de hacerlo, la ley obliga a almacenar la información siguiendo algunas pautas determinadas, como que los armarios y archivadores se encuentren en áreas de acceso protegido con puertas dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente; y que esas áreas permanezcan cerradas cuando no sea preciso acceder a los documentos. Y establece, por ejemplo, que los archivos deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación…

 

Sin embargo, destruir la información caduca es una tarea sencilla para una empresa. Puede realizarse en la misma oficina, utilizando máquinas trituradoras y reciclando posteriormente el papel; o encargarse externamente a una compañía que se dedique a ello. Lo realmente complicado es seleccionar los documentos que deben desaparecer, aunque algunas firmas especializadas en este tipo de tareas recomiendan destruir todos los documentos que contienen información personal o confidencial.

 

Es decir, fundamentalmente listas de clientes, historiales de personal y recursos humanos, números de cuentas y tarjetas de crédito, registros y declaraciones de impuestos, curriculum-vitaes, ofertas y concursos, listados de inventarios, tarifas, facturas incorrectas, informes, presupuestos, planes de marketing, información contable, cheques cancelados, registros de la Seguridad Social, informes médicos, solicitudes de empleo, nóminas, firmas, correo, historiales médicos…