Perkins Human Media

Periodo de Transición en Protección de Datos. Implicaciones Prácticas

Logotipo Agencia Española Protección de DatosEl 25 de mayo de 2016 apertura un periodo de transición en Protección de Datos con Implicaciones Prácticas. La aprobación del nuevo Reglamento General de Protección de Datos -2016/679- (el Reglamento en adelante) marca nuevas directrices que serán de obligado cumplimento a partir del 25/05/2018.

Tanto entidades europeas y por traslado la propia Agencia Española de Protección de Datos –la Agencia en adelante- llama a que las organizaciones vayan convergiendo sus procesos en esta materia. La nueva normativa lleva implícito una gestión distinta a como la tenemos configurada la actual.

Siguiendo la estrategia de la propia Agencia, las implicaciones prácticas, se basan en los siguientes aspectos:

1. Consentimiento:
El nuevo Reglamento prescinde del llamado consentimiento tácito  y requiere de las personas de las que se realice tratamiento lo presten de manera inequívoca o con una clara acción afirmativa.

Para toda aquella entidad que haya obtenido el consentimiento del afectado antes de la entrada en vigor del Reglamento, el mismo será válido si se aplicaron los criterios fijados por el propio reglamento.

Por último en este sentido, sólo será legitimo el consentimiento para el tratamiento aquel que esté basado en el consentimiento inequívoco, con independencia de cuando se haya obtenido.

2. Información.
gdprEn este sentido se trata de qué hacer en cuanto a las cláusulas informativas utilizadas antes de mayo de 2018 cuando el reglamento ya sea de obligado cumplimiento.

Las entidades tienen dos años para ir convergiendo en este aspecto. Desde este punto de vista existen varias estrategias.

Esas entidades podrán proporcionar esa información sin que represente costes o esfuerzos excesivos utilizando las Nuevas Tecnologías en cuanto a comunicaciones.

Por tanto es aconsejable que los responsables de ficheros o responsables de tratamiento adapten sus políticas informativas a lo dispuesto por el reglamento.

3. Evaluaciones de impacto sobre la protección de datos.
Tiene como objetivo minimizar los riesgos que un tratamiento de datos diseña para los ciudadanos. Es de obligada consideración para ciertos tratamientos teniendo carácter precedente a la puesta en marcha de los mismos.

La Agencia, en consideración, argumenta que no se debería de esperar a que estas evaluaciones resulten obligatorias, es decir, posponerlas a dos años. Considera que esta herramienta debería de considerarse en este tiempo de concordancia.

El beneficio de uso de esta metodología hay que encontrarlo en la mejora de las condiciones cuando sea requerido en obligatoriedad a alguna de ellas. Por otro lado ya no sólo se aseguran el cumplimiento del futuro reglamento, sino además de la actual legislación en este contexto.

4. Certificación
Este concepto, para el Reglamento, le es de sumo interés en cuanto a la implantación de esquemas de certificación aperturándose posibilidades para su gestión. Este componente obviamente entrará en el juego de estándares y por tanto de normalización.

¿Quién puede  otorgar estas certificaciones?

  1. Las Autoridades de Protección de Datos (tanto individual como colectivamente) desde el Comité Europeo.
  2. Entidades debidamente acreditadas

En el caso de que se opte por esta última, la acreditación puede llevarla a cabo las propias autoridades o entidades autorizadas previstas en la normativa europea sobre normalización y certificación.

La Agencia, en este sentido, aboga porque la certificación se encargue a entidades especializadas debidamente acreditadas como por ejemplo la Entidad Nacional de Acreditación  (ENAC) que en este caso cuenta con la participación de la propia Agencia.

5. Delegado de Protección de Datos (DPD). Certificación
Motivo de Proteccion de DatosEsta figura, nueva en nuestro país, es uno de los requerimientos del Reglamento. No obstante se hace necesario, antes de proseguir, definir quién es el DPD y que competencias tiene.

Podemos definir al Delegado de Protección de Datos como la persona con capacidad y experiencia que se designa por un dirigente con competencia o por una empresa para revisar, examinar y evaluar con coherencia los resultados del tratamiento de datos de carácter personal en una entidad (institución gubernamental) o empresa con el propósito de informar o dictaminar acerca de estos, realizando las observaciones y recomendaciones necesarias para mejorar su eficacia y eficiencia en su desempeño.

En cuanto a sus competencias:

Entre las funciones atribuidas al Delegado de Protección de Datos están:

  • Analizar cómo la empresa realiza la recogida, tratamiento y cesión de datos personales.
  • Capacidad para trabajar en equipo.
  • Capaz de prestar atención a los detalles.
  • Capaz de trabajar sin supervisión.
  • Clasificar y conservar la documentación
  • Conocimientos tecnológicos
  • Experto en métodos de seguridad de la información
  • Habilidades de lectura y escritura.
  • Habilidades en informática.
  • Aptitudes prácticas.
  • Tratar registros con precisión.
  • Meticuloso y metódico
  • Observador.
  • Organizado y Conciso.
  • Prepara herramientas de apoyo a las empresas en materia de Protección de Datos para formación del personal
  • Registra y analiza resultados de las mediciones de cumplimiento realizadas.
  • Responsable de los tests de control de cumplimiento normativo
  • Supervisa las respuestas dadas por la autoridad de control a las solicitudes presentadas.
  • Defensa jurídica de la empresa en caso de procedimientos sancionadores.

¿Cuándo es obligada la figura del Delegado para el Responsable del Fichero o Encargado del Tratamiento?

  • Administraciones públicas, organizaciones y empresas que cuenten con más de 250 trabajadores.
  • Empresas que, aunque tengan menos de 250 trabajadores, realicen tratamientos de datos a gran escala (lo que se conoce como fenómeno Big Data)
  • Entidades o empresas que manejen datos especialmente protegidos como son los datos de salud, religión, creencias, afiliación sindical o vida sexual. También se incluye el tratamiento de datos de localización o de menores.

Esta figura debe ser nombrada en función de sus cualificaciones profesionales, teniendo muy en cuenta sus conocimientos en cuanto a protección de datos. No obstante, el reglamento, no hace explícito cuáles deben de ser esas cualificaciones profesionales ni tampoco el modo en que podrán demostrarse ante las organizaciones que deban incorporar esta figura.

La propia Agencia no considera, como requisito, establecer un sistema de certificación de Delegados de Protección de Datos como exigencia para el desempeño de esta actividad.

Sí en cambio, para ser riguroso, la Agencia establece que haya rigor en la reunión de requisitos que permitan que las entidades que los reciban puedan tener un razonable grado de certeza sobre lo que reflejan.

Así mismo la Agencia está valorando la posibilidad de promover la aplicación de la acreditación de entidades de certificación de profesionales con arreglo a estándares ya establecidos. ENAC sería quien lo llevaría a cabo de modo que serviría para constatar que la entidad emisora de los títulos lo haga de acuerdo a unos determinados procedimientos y requisitos.

Hay que aclarar, por la propia agencia, que en ningún caso se excluyen a profesionales con formación procedente  de centros no acreditados o sin una formación no específica pero con experiencia profesional puedan desempeñar las funciones de Delegado si su currículo así lo demuestra.

6. Relación entre delegado y encargados
En este sentido el Reglamento presta especial atención al vínculo entre ambos por medio del contrato de prestación de servicios preceptivo. Por tanto este documento determina las obligaciones entre ambas partes.

En el caso de España ya converge en gran medida con los requisitos exigidos, no obstante hay diferencias entre ésta y el Reglamento en relación a los requisitos fijados. En caso contrario, no se estaría trasladando a los encargados las obligaciones que el Reglamento específicamente prevee.

En este compás de tiempo, desde la aprobación del Reglamento hasta su entrada en vigor definitiva a dos años, debería de tenerse en cuenta dicho tiempo para trabajar paralelamente en dos sentidos.

  • Revisar los contratos existentes, con disposición a prolongarse en el tiempo,  y readaptarlos conforme a Reglamento.
  • Comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesario.

La Agencia en colaboración con las Delegadas autonómicas, están trabajando en unas recomendaciones para los contratos de encargos, no en sí en el documento propiamente, puesto que éstos requieren de aprobación por parte del Comité Europeo de Protección de Datos –que aún no se ha establecido-.

7. Herramientas para PYMES y Herramientas sectoriales.
Las PYMES contarán con herramientas de tipo on-line que traten datos de bajo o muy bajo riesgo, de manera que se pueda constatar de una manera sencilla que se encuentra en esa situación y, a la vez,  disponer de una lista de medidas que tiene que implantar en función de su nivel de riesgo.

Igualmente se desarrollará herramientas para entidades que su nivel de riesgo sea mayor –Clínica, Hospitales, Hermandades, etc.- y que incluirá un apartado dedicado a las medidas de seguridad que deben de implantarse.

Nota: si aún no le queda claro estas implicaciones se le recomienda la lectura del siguiente artículo de la AEPD: El Reglamento de Protección de Datos en 12 preguntas.

Imágenes: @ de su autor / Publicación
Fuente: AEPD.

 

WP to LinkedIn Auto Publish Powered By : XYZScripts.com