Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies. OK | Más información

Novedades sobre LOPD

PUBLICADA EL 31/05/2018 EN AESB
Novedades sobre LOPD

 ASPECTOS PRÁCTICOS DEL NUEVO REGLAMENTO EUROPEO DE PROTECCION DE DATOS (GDPR): EL CONSENTIMIENTO

Uno de los cambios más importantes del Nuevo Reglamento Europeo de Protección de Datos, es la forma de recabar el consentimiento para tratar los datos personales de los afectados (clientes, posibles clientes, empleados, participantes, socios, pacientes, candidatos, etc.) Este debe ser libre, informado, específico e inequívoco. Los requisitos para que un consentimiento sea válido son:
- Información específica: El consentimiento debe ser específico y basado en información adecuada. No es aceptable el consentimiento genérico sin especificar el propósito exacto de su finalidad. Además, el vocabulario empleado ha de ser entendible y concreto según la situación, en especial cuando nos dirigimos a menores de edad.
- Momento: El consentimiento debe darse antes de que comience el tratamiento.
- Elección activa: El consentimiento debe ser inequívoco. Debe ser una indicación activa de la voluntad del interesado y no debe dejar ninguna duda en cuanto a su intención.
- Libremente otorgado: El consentimiento sólo será válido si el interesado está en condiciones de ejercer una elección real y no hay riesgo de engaño, intimidación, coacción o consecuencias negativas importantes si el interesado no da su consentimiento.
Es decir, que ahora las autorizaciones deben de ser firmadas (en papel o documento electrónico) y ya no se admite el consentimiento tácito o por omisión.
Respecto al tratamiento de datos de menores de 13 años, además de lo descrito, se precisará el consentimiento de padres o tutores legales.
Además debemos facilitar la siguiente información del tratamiento a los interesados:
- Responsable del tratamiento: indicar los datos del responsable del tratamiento, es decir, de la empresa, autónomo o entidad que trata los datos.
- Fin del tratamiento: indicar la finalidad del tratamiento, por ejemplo, mantener una relación comercial mediante el envío de comunicaciones de nuestros productos o servicios.
- Criterios de conservación de los datos: que criterios vamos a seguir, por ejemplo, se conservarán mientras exista un interés mutuo para mantener el fin del tratamiento y cuando ya no sea necesario para tal fin, se suprimirán con medidas de seguridad adecuadas para garantizar la pseudonimización de los datos o la destrucción total de los mismos.
- Comunicación de los datos: indicar si los datos se comunicarán o no a terceros
- Derechos que asisten al interesado: los derechos de los interesados y nuestros datos de contacto para ejercer los derechos:
- Derecho a retirar el consentimiento en cualquier momento
- Derecho de rectificación, portabilidad y supresión de sus datos y a la limitación u oposición a su tratamiento
- Derecho a presentar una reclamación ante la Autoridad de control (agpd.es) si considera que el tratamiento no se ajusta a la normativa vigente.

Para saber más sobre el nuevo reglamento os recomendamos la lectura de la guía editada por la Agencia Española de Protección de Datos: Guía del Reglamento General de Protección de Datos para responsables de tratamiento, que adjuntamos en formato pdf.
INFORMACIÓN FACILITADA POR CONSULTORÍA LOPD.ES 


EL ANÁLISIS DE RIESGOS EN EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS


Tener documentado un análisis de los riesgos para los derechos de sus clientes, usuarios o de sus trabajadores es una de las principales obligaciones que a partir del día 25 de mayo asumen ya las empresas en materia de protección de datos de carácter personal
Este análisis no se aplica solamente en casos de un nivel de riesgo elevado, sino que todas las empresas deberían realizar uno, aunque sea básico. Como nos indica la nueva Guía de Análisis de riesgos editada por la Agencia Española de Protección de Datos “El análisis básico de riesgos es un análisis de mínimos que tiene como objetivo simplificar el proceso de análisis de riesgos en aquellas actividades de tratamiento con baja exposición al riesgo”.

Los datos tienen un ciclo de vida que deberá ser nuestro punto de partida para comprender su función dentro de la información que se utiliza en una empresa.

Este ciclo de vida de los datos se puede dividir en 5 principales etapas:
• Captura de datos
• Clasificación/Almacenamiento
• Uso/Tratamiento
• Transmisión a un tercero
• Destrucción

Teniendo en cuenta lo anterior, deberemos analizar los riesgos de los datos en cada una de estas etapas en las que se deben realizar las siguientes tareas:

• Documentar las actividades de tratamiento y realizar el obligatorio registro de actividades de tratamiento (artículo 30 del Reglamento Europeo de Protección de Datos).
• Describir que acciones realizamos en cada una de esas actividades de tratamiento

Aunque en realidad el nuevo Reglamento Europeo de Protección de Datos no contiene expresamente la necesidad de realizar dicho análisis de riesgos, es criterio de la Agencia Española de Protección de Datos que dicha obligación se encuentra implícitamente contenida en el artículo 32 así como en el Considerando 74 de dicha norma que nos indica que “...el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas que tendrán que tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.”
Especialmente relevante también es el Considerando 76 que nos indica que “La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.”.

Este análisis de riesgos se asimila a los ya conocidos por todos aquellos que trabajen con normas técnicas, especialmente la serie ISO 27000, pero como se nos indica en la mencionada Guía, introduce una nueva visión, donde el foco de atención no se centra en las amenazas para la Entidad sino en las que afectan a los derechos y libertades de los interesados, ya que “la evaluación de los riesgos debe ser el resultado de una reflexión sobre las implicaciones que los tratamientos de datos de carácter personal tienen sobre los interesados. Se trata de establecer hasta qué punto una actividad de tratamiento, por sus características, el tipo de datos a los que se refiere o el tipo de operaciones puede causar un daño a los interesados. Este enfoque implica estimar el daño y la tipología de daño que se puede producir sobre los interesados, por ejemplo, un daño material derivado de la vulneración de sus derechos y libertades”

Para realizar este análisis debe establecerse un proceso específico que tiene tres pasos fundamentales:

• Identificar amenazas
Estas amenazas pueden provocar riesgos a la privacidad o a la confidencialidad. De estos riesgos los primeros están más vinculados a vulneraciones de normas que garanticen derechos de los ciudadanos, mientras que los segundos se encuentran más propiamente dentro de lo que se conoce la seguridad de la información

• Evaluar los riesgos
Lo primero que tenemos que tener en cuenta es considerar todos los posibles escenarios en los cuales va a darse un riesgo. Después valoraremos el impacto de la exposición a la amenaza, junto a la probabilidad de que esta se materialice, pero para hacerlo correctamente esa valoración conllevará asignar tanto a la probabilidad como a dicha amenaza de una magnitud (por ejemplo alto, medio, bajo, o todavía mejor valorarla del 1 al 5 por ejemplo).


• Tratarlos riesgos hasta alcanzar el nivel de seguridad necesario
El objetivo de tratar los riesgos es disminuir el nivel de exposición de la empresa a estos aplicando salvaguardas, hasta situar el riesgo residual (el que queda después de aplicar las salvaguardas) en un nivel admisible.

De esta forma tenemos los aspectos fundamentales para aplicar las medidas que habrán de garantizar un nivel de seguridad adecuado al riesgo que es aquello que nos reclama la nueva normativa.
INFORMACIÓN CEDIDA POR: MCSYSTEM & ARALEGIS 



Compartelo en  
Todas las noticias en AESB

Todas las noticias en AESB