Camino al “GDPR Readiness”: los cinco factores que impactan significativamente a las empresas

1 febrero, 2019 | GDPR Legal | , , ,

Desafíos para cumplir  con los requisitos de cumplimiento

Las labores para cumplir con ciertas normativas son, sin duda, tediosas y desalentadoras para algunas empresas. De hecho, el cumplimiento se ve como un objetivo en constante movimiento que puede volverse abrumador si las empresas lo permiten. A pesar de la necesidad de negocio y normativa, las empresas pueden verse inclinadas a evitar proyectos de cumplimiento, dada la compleja combinación de actividades, requisitos cambiantes y expectativas diversas. Por lo tanto, no es sorprendente que una parte importante de las organizaciones todavía estén luchando para cumplir con los requisitos de cumplimiento del RGPD y la reciente LOPD y GDD.

En este sentido, de acuerdo con el resultado de una encuesta realizada por  ISACA en 2018 a 600 profesionales legales, de tecnología de la información y privacidad en los Estados Unidos, el Reino Unido y algunos otros países de la UE, solo el 20 por ciento de estas organizaciones se consideraban compatibles con el RGPD. Aunque se espera que esta cifra mejore en 2019, la encuesta subraya la complejidad para comprender los requisitos de la nueva normativa y también para cumplirlos posteriormente.

Hay varios factores que pueden afectar al camino para cumplir con los requisitos del RGPD, y en particular los más significativos son:

La complejidad de la legislación: Comprender los requisitos y su impacto en el negocio requiere una combinación de competencias tecnológicas, de privacidad y legales que no siempre están disponibles dentro de la organización.  Es por ello que se requiere en muchos casos asesoramiento experto en la materia para encajar los requisitos de la normativa en la propia organización y entender el alcance pero principalmente se requiere un cambio de mentalidad que suponga tener conciencia de la importancia de la materia, así como de las consecuencias que pueden derivarse ante un incumplimiento en materia de protección de datos.

Escasez de recursos: las organizaciones tienen que invertir una gran cantidad de tiempo y de recursos humanos, técnicos, financieros y de infraestructura para implementar, ejecutar y mantener el cumplimiento en materia de protección de datos. Hace poco se publicaba el dato que las compañías de “Fortune Global 500” gastarán aproximadamente 7.8 mil millones de dólares (entre todas ellas) para cumplir con la nueva normativa RGPD. Si bien esta cifra para las organizaciones más pequeñas es menor, el coste para movilizar sus recursos y administrar las actividades para el cumplimiento (como ejemplo la revisión de contratos de terceros, el desarrollo de nuevos formularios de consentimiento, o la adquisición de nuevas herramientas de software), sigue siendo significativo.

Baja madurez previa en materia de privacidad: Antes del RGPD, la gran mayoría de entidades carecían de ciertas medidas que estuviesen ya implantadas en sus operaciones, procesos, políticas o procedimientos, y que ahora son requisitos obligatorios. De hecho, se vio que la mayoría de los proyectos de adecuación de muchas organizaciones aún estaban desarrollando sus avisos y políticas de privacidad, formularios de consentimiento y otros documentos requeridos días antes de la fecha límite del 25 de mayo de 2018. Y como resultado de dejar las cosas para ultima hora, tenemos el bajo nivel de adecuación en las medidas implantadas.

Concienciación y comprensión. Las organizaciones pueden haber leído y/o escuchado mucho sobre el RGPD, pero a menudo carecen de conocimientos clave y de un entendimiento al detalle de los requisitos necesarios para lograr su total adecuación. En esta tarea, las compañías deben desarrollar las responsabilidades de concienciación y capacitación de aquellos de los que depende el éxito de su cumplimiento.

Adjudicación de la responsabilidad. La adecuación al RGPD no sólo compete al departamento de IT y no solo consiste en una única o varias soluciones informáticas mágicas sino a la implantación de una serie de medidas técnicas, legales y organizativas que hacen necesario el uso de una metodología que no pierda de vista toda la complejidad del proyecto.

En definitiva, podemos decir que el RGPD  está transformando la forma en que operan las organizaciones y la forma en que se realizan las transacciones comerciales.

La legislación impacta el ecosistema organizacional al completo. A pesar del desafío, las organizaciones deben adoptar un programa de cumplimiento sólido que tenga en cuenta las personas, los procesos, los procedimientos, las políticas, los sistemas y los servicios que interactúan o se relacionan con el procesamiento de datos personales. Para la adecuación es necesario un programa de cumplimiento marcando los hitos de la ruta para alcanzar los objetivos requeridos de evaluar la preparación del RGPD e implementar medidas técnicas y organizativas adecuadas para garantizar el cumplimiento. Y de esta manera superar los obstáculos de cumplimiento y adecuarse a los requisitos de la normativa, con la plena comprensión de que es un viaje continuo y no un destino. Además, durante este proceso, las organizaciones experimentan una serie de beneficios al adoptar un programa de cumplimiento sólido, como mejorar la confianza del cliente, tener mayores oportunidades comerciales y una postura de privacidad saludable.

Equipo Govertis.

Logotipo de Govertis

KEEP READING

Los datos de contacto de profesionales en la LOPD y GDD

18 enero, 2019 | DPD DPO | , ,

El pasado 5 diciembre de 2018, el Boletín Oficial del Estado publicó la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. Aunque el Reglamento 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016 fuese aplicable en todos los estados miembros desde el pasado 25 de mayo, esta nueva Ley Orgánica nos ha dado luz en multitud de asuntos que quedaron en interrogante tras la publicación del Reglamento. Uno de ellos, a tenor del artículo de hoy, es aquel relacionado con el tratamiento de los datos de carácter personal de profesionales por cualquier entidad y su regulación actual.

En primer lugar, cabe aclarar que este concepto no es ni mucho menos nuevo y ya fue regulado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que excluyó de su ámbito de aplicación los referidos a personas jurídicas y empresarios individuales. Esta exclusión, patente en los artículos 2.2 y 2.3, tenía su limitación precisamente en que tan solo se tratase de datos de profesionales como su nombre, apellidos, cargo, email corporativo o teléfono de empresa.

El RGPD trajo dudas

 El RGPD no trajo claridad respecto a este tema pues no excluye de manera expresa el tratamiento de datos de empresarios individuales o contactos profesionales relativos a personas jurídicas. Esto provocó que se entendiese que los datos mencionados deben considerarse datos personales siempre que hagan alusión a una persona identificada o identificable.

Esta incertidumbre que ha durado algo más de dos años, ha sido finalmente solventada por la entrada en vigor de la nueva LOPD y GDD que hace mención especial al tema que nos incumbe en su artículo 19, Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales. El tratamiento de datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica estarán habilitados bajo la base jurídica del artículo 6f) del RGPD, es decir, el interés legítimo del Responsable del tratamiento, siempre y cuando se cumplan los siguientes requisitos:

  • Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
  • Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

Por lo tanto, el legislador español ha seguido con el criterio ya existente en la LOPD de 1999 y, afortunadamente para el tejido empresarial español, este tratamiento de datos tan habitual en el día a día queda amparado por un interés legítimo de la entidad.

 

KEEP READING

Publicación de la nueva LOPD y GDD

14 diciembre, 2018 | GDPR Legal | , , ,

Tras su aprobación por el Pleno del Senado, el pasado jueves, 6 de diciembre, se publicó en el BOE la nueva la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD y GDD), norma que deroga a la anterior Ley Orgánica de Protección de Datos de 1999, y enlaza con el Reglamento General de Protección de Datos (RGPD). Puedes acceder a la norma aquí.

Una de las novedades principales incorporada en la nueva norma ha sido la introducción de un nuevo Título, que se incluye en el nombre a la Ley, el de “Garantía de los derechos digitales”, en el que se incorporan diecisiete nuevos derechos, entre los que podríamos destacar el derecho a la neutralidad de Internet, derecho de acceso universal a Internet, derecho a la seguridad digital, derechos relativos a los menores en el ámbito digital, ciertos derechos como la rectificación, olvido etc.  en el entorno digital, la regulación de derechos digitales en el ámbito laboral (entre los que destaca el derecho a la desconexión) así como el reconocimiento específico del derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos.

Además, La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. En el ámbito de internet se podrá optar, específicamente, por un sistema de información por capas, como venía haciéndose hasta ahora, pero eso sí, se permite que sólo se informe en la información básica de la identidad del responsable del tratamiento, las finalidades del tratamiento y la manera de ejercitar los derechos ARSOPL.

En el caso del sector privado, uno de los puntos más novedosos, es la posibilidad de denunciar de forma anónima dentro de los sistemas internos de denuncias y que hasta ahora no había sido permitido por la AEPD.

También existen novedades relacionadas con el sector público. De un lado, se ha incorporado una disposición adicional relativa a las medidas de seguridad en el sector público, relativa al Esquema Nacional de Seguridad, mediante la cual el cumplimiento del ENS equivale a una gestión de la seguridad adecuada al riesgo, cumpliéndose con ello la obligación de implantar medidas de seguridad adecuadas, en cumplimiento del art 32 de RGPD. En lo que respecta al registro de actividades de tratamiento, se establece la obligación para las Administraciones Públicas de hacerlo público por medios electrónicos.

Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos sistemas.

Equipo de Govertis 

Logotipo de Govertis

KEEP READING

Novedades de la nueva Ley Orgánica de Protección de Datos y garantías de los derechos digitales

27 noviembre, 2018 | DPD DPO, GDPR Legal | , , , , , ,

Después de casi un año de trámite parlamentario, el Pleno del Senado aprobó el pasado miércoles día 21 de noviembre, por 221 votos a favor, 21 en contra y ninguna abstención, la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, que desarrolla en España algunos contenidos del Reglamento General de Protección de Datos, tal y como habilita esta norma al legislador nacional.

Hay diversos aspectos que ya se conocían en versiones anteriores y se han consolidado y otros que se han modificado. A continuación recogemos algunos de los  aspectos más destacables si bien próximamente podremos el zoom en la nueva regulación de materias concretas.

Una de las novedades principales incorporada en la nueva norma ha sido la introducción de un nuevo Título, que se incluye en el nombre a la Ley, el de “Garantía de los derechos digitales”, no exento de controversia. Estos derechos podríamos destacar los siguientes:  El derecho a la neutralidad de Internet, derecho de acceso universal a Internet, derecho a la seguridad digital, derechos relativos a los menores en el ámbito digital, ciertos derechos como la rectificación, olvido etc.  en el entorno digital, la regulación de derechos digitales en el ámbito laboral (entre los que destaca el derecho a la desconexión) así como el mal denominado “testamento digital”.

De otro lado, se introducen, respecto a la figura del Delegado de Protección de Datos (DPD), una lista de entidades que deberán designar obligatoriamente DPD: centros docentes que ofrezcan enseñanzas reguladas, en las universidades públicas y privadas, colegios profesionales, en las federaciones deportivas, cuando traten datos de menores de edad, o en los centros sanitarios, salvo en el caso de profesionales de la salud que ejerzan su actividad a título individual.

El DPD cobra especial protagonismo en los procedimientos de investigación y sanción. Así, las reclamaciones que los interesados deseen interponer ante la Agencia Española de Protección de Datos, podrán primero presentarse al DPD. En el supuesto que esto no ocurra, la Agencia Española de Protección de Datos podrá remitir la reclamación al DPD para que en el plazo de un mes pueda resolver la reclamación, por ello la LOPDyGDD apostando por la mediación.

De la misma manera, el hecho de designar un DPD cuando no fuera obligatorio, se incluye como un criterio para graduar las sanciones, además de otros como la afectación a los derechos de los menores o el sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos.

También existen novedades relacionadas con el sector público. De un lado, se ha incorporado una disposición adicional relativa a las medidas de seguridad en el sector público, relativa al Esquema Nacional de Seguridad, mediante la cual el cumplimiento del ENS equivale a una gestión de la seguridad adecuada al riesgo, cumpliéndose con ello la obligación de implantar medidas de seguridad adecuadas, en cumplimiento del art 32 de RGPD. En lo que respecta al registro de actividades de tratamiento, se establece la obligación para las Administraciones Públicas de hacerlo público por medios electrónicos.

En el caso del sector privado, uno de los puntos más novedosos, es la posibilidad de denunciar de forma anónima dentro de los sistemas internos de denuncias y que hasta ahora no había sido permitido por la AEPD. A partid de ahora, el denunciante que desee poner de manifiesto unos hechos concretos por considerarlos contrarios a la normativa aplicable, podrá hacerlo sin que la expresión de su identidad sea condición para el tratamiento de su denuncia.

También se regulan otros tratamientos sectoriales como, entre otros, videovigilancia, sistemas de información crediticia, sistemas de exclusión publicitaria o monitorización de empleados.

Por último, destacaremos que la información por medios electrónicos puede realizarse en doble capa como venía haciéndose hasta ahora, pero eso sí, se permite que sólo de informe en la información básica de la identidad del responsable del tratamiento, las finalidades del tratamiento y la manera de ejercitar los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.

KEEP READING