Implantación de LOPD y RGPD
El Reglamento General de Protección de Datos también conocido como RGPD, se puso en marcha el 25 de mayo de 2016, reemplazando la legislación existente hasta entonces. Se estableció el 25 de mayo de 2018 como la fecha límite para la implementación de la nueva ley de protección de datos.
Qué obligaciones tienen las empresas en materia de RGPD y LOPD
La transición hacia la protección de datos en empresas, organizaciones sin fines de lucro, cooperativas, entidades públicas o la adaptación a la LOPD, implica cumplir con una serie de requisitos. Estos pueden variar en términos de rigurosidad y complejidad, dependiendo del volumen y la naturaleza de los datos personales que se manejen.
Las responsabilidades para implementar la LOPD en una empresa incluyen:
- Identificación de los archivos que contienen datos personales.
- Asignación del nivel de seguridad apropiado a cada archivo.
- Determinación de los responsables o encargados de los archivos.
- Creación del documento de seguridad.
- Capacitación a los responsables o encargados del tratamiento de los datos.
- Informar a los usuarios sobre la existencia de los archivos.
A continuación, proporcionamos una guía práctica dividida en 10 pasos para implementar la LOPD y el RGPD en su empresas:
Cómo implantar la LOPD y el RGPD en 10 sencillos pasos
Ajustarse a los principios de Protección de datos
El primer paso es familiarizarse con los fundamentos de protección de datos que establece el RGPD y que la LOPD también incorpora, ya que de su observancia se derivan las acciones y medidas que deben implementarse para adaptar la organización a la legislación actual.
Estos fundamentos incluyen:
- Legalidad, transparencia y lealtad: esto implica cumplir con la obligación de informar a las partes interesadas y manejar sus datos personales solo cuando tenemos su consentimiento o estamos autorizados para hacerlo por una base legal.
- Limitación del propósito; los datos se recopilarán y procesarán con fines específicos y nunca se utilizarán para otros propósitos diferentes.
- Minimización de datos: solo se recogerán los datos personales necesarios para cumplir con el propósito específico.
- Precisión: los datos siempre deben estar actualizados, por lo que deben eliminarse o corregirse cuando hayan cumplido su propósito o sean incorrectos, respectivamente.
- Limitación del período de retención: los datos personales solo se conservarán durante el tiempo necesario para cumplir con su propósito específico.
- Integridad y confidencialidad: se debe garantizar la seguridad y privacidad de los datos personales, adoptando las medidas técnicas y organizativas adecuadas para prevenir la pérdida, destrucción o acceso no autorizado a los datos personales.
- Responsabilidad proactiva del encargado del tratamiento (la empresa o entidad que maneja los datos), que debe demostrar que cumple con los principios anteriores.
1.- Determina qué tipos de datos personales vas a tratar
Para entender qué responsabilidades debemos asumir al implementar la LOPD, y que a su vez nos ayudarán a decidir qué protocolos de seguridad necesitamos establecer, es crucial determinar qué tipo de datos vamos a manejar, el volumen anticipado y si los tratamientos serán rutinarios.
La legislación distingue entre dos tipos de datos; los datos personales que podríamos llamar básicos y que representan un nivel de riesgo menor para los derechos y libertades de las personas involucradas (datos de identificación, académicos, financieros, profesionales, etc.), y los datos de categorías especiales, que se mencionan en el artículo 9 del RGPD y que están especialmente protegidos, ya que implican un mayor nivel de riesgo para los derechos y libertades de las personas involucradas y que, al implementar la LOPD, requieren un cumplimiento más riguroso de ciertas responsabilidades.
Estos datos de categorías especiales incluyen:
- Información de origen racial o étnico
- Puntos de vista políticos
- Creencias religiosas o filosóficas
- Membresía sindical Datos genéticos
- Datos biométricos destinados a identificar a una persona
- Información relacionada con la salud
- Información relacionada con la vida sexual y/o la orientación sexual
2.- Realiza un análisis de riesgos y una evaluación del impacto
Una vez definido qué tipo de datos se van a manejar y qué tipo de procesos se van a implementar (como base de datos de clientes, grabaciones de videovigilancia, registros de empleados, suscriptores de la web, etc.), el próximo paso es llevar a cabo los respectivos análisis de riesgos sobre estos procesos previstos, para entender qué riesgos pueden surgir para los derechos y libertades de las personas involucradas a partir de dichos procesos de datos.
Esto implica identificar las posibles amenazas que pueden resultar en la pérdida, destrucción o robo de los datos personales durante su procesamiento (por ejemplo, el acceso no autorizado a la base de datos de nuestros clientes para sustraerla) y la probabilidad de que estas amenazas se materialicen.
En ciertas situaciones, como cuando se manejan datos de categorías especiales o grandes cantidades de datos o cuando el análisis de riesgos indica un alto nivel de riesgo para los derechos y libertades fundamentales de las personas involucradas, también será necesario llevar a cabo una evaluación de impacto en protección de datos (EIPD).
Las conclusiones del análisis de riesgos y de la EIPD (si se ha realizado) ayudarán a determinar las medidas de seguridad que se deben implementar para minimizar el nivel de riesgo y prevenir que las amenazas se materialicen y, si lo hacen, reducir su nivel de impacto para las personas involucradas.
3.- Elabora el registro de actividades de tratamiento de datos
La implementación de la LOPD requiere documentar y registrar los procesos de datos que llevamos a cabo en el curso de nuestras operaciones, para lo cual debemos crear los respectivos registros de actividades de procesamiento.
Estos registros deben ser realizados por empresas con más de 250 persoans, o si se manejan datos de categorías especiales, o si los datos se procesan de manera regular o a gran escala. En la práctica, esto significa que muchas empresas que manejan datos personales pueden estar obligadas a hacerlo.
El registro de actividades de procesamiento es un documento interno, que debe ser mantenido por escrito (incluyendo en formato digital), y debe estar disponible para la autoridad de supervisión (en España, la AEPD) cuando esta lo solicite.
Como mínimo, debe incluir la siguiente información sobre el proceso que documenta:
- Identidad del responsable del procesamiento
- Objetivo del procesamiento
- Descripción de las categorías de personas involucradas y categorías de datos
- Descripción de las categorías de destinatarios (actuales o previstos)
- Transferencias internacionales de datos y sus garantías
- Descripción de las medidas de seguridad implementadas (siempre que sea posible proporcionar esta información sin que represente un riesgo para la misma)
- Periodos de retención de datos previstos
4.- Aplica las medidas de seguridad establecidas
Como encargados del procesamiento de datos, para una adecuada implementación de la LOPD, debemos poner en práctica todas las medidas técnicas y organizativas necesarias para asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los datos personales que hemos recopilado y que guardamos en nuestros sistemas o archivos.
Estas medidas pueden variar, desde la definición de roles para restringir el acceso a las bases de datos, hasta la implementación de soluciones de seguridad informática, la capacitación en ciberseguridad para la plantilla, el cifrado de las bases de datos, la seudonimización de los datos, los controles de acceso a archivos físicos, etc. Pero siempre deben ser adoptadas en base a los riesgos y amenazas identificados en el análisis de riesgos y la EIPD, y deben ser documentadas (es decir, se debe llevar un registro de las mismas).
Además, la normativa indica que estas medidas de seguridad deben ser aplicadas desde el diseño y por defecto, es decir, antes de iniciar cualquier procesamiento de datos y siempre de la manera más restrictiva posible (permitiendo, cuando sea posible, que las personas usuarias configuren el nivel de protección según sus criterios)
5.- Firma de acuerdos para el tratamiento de datos personales
Si para realizar otras tareas o procedimientos o para cumplir con otras obligaciones legales, la empresa u organización necesita transferir los datos personales que procesa (ya sean de clientes, empleados, usuarios, etc.) a otra empresa y esta va a tener acceso a ellos y realizar algún procesamiento en nombre del responsable, se debe firmar un contrato de encargo de procesamiento.
En este contrato, el responsable del procesamiento (nuestra empresa) establece las obligaciones y condiciones que el encargado del procesamiento (la empresa con la que contratamos) debe cumplir en relación con los datos que se le transfieren (objetivo, medidas de seguridad, periodo de retención, qué hacer con los datos una vez cumplido el objetivo, etc.).
6.- Valorar si es necesario disponer de un DPO (Delegado de Protección de Datos)
Si nuestra organización se dedica a una de las actividades mencionadas en el artículo 34 de la LOPDGDD, o procesamos datos de manera sistemática a gran escala o manejamos datos de categorías especiales, estamos obligados a nombrar un Delegado de Protección de Datos (DPO).
El DPO, cuyas funciones incluyen, entre otras, asesorar y apoyar a la empresa en la gestión de la protección de datos y actuar como punto de contacto con la AEPD, puede ser un empleado de la empresa que posea los conocimientos y la experiencia necesaria en protección de datos, o puede ser contratado a través de un servicio externo.
7.- Informar a las partes interesadas
Como responsables del procesamiento de datos, tenemos la obligación de informar a las personas cuyos datos manejamos acerca de todos los aspectos relacionados con el tratamiento de sus datos personales, desde el momento en que se recogen hasta cuando se planea eliminarlos y todo lo que este tratamiento implica. De esta forma, las personas pueden tener un mayor control sobre cómo se manejan sus datos personales.
Por lo tanto, debemos proporcionar información sobre:
- Quiénes somos y cómo contactarnos, y si corresponde, los datos de contacto del encargado del tratamiento y del DPO
- Para qué se van a usar los datos
- La base legal para el tratamiento de los datos
- Si los datos se compartirán con terceros
- Si los datos se transferirán fuera de la UE
- Cuánto tiempo planeamos guardar los datos
- Cómo y por qué medio pueden ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)
- La opción de presentar una queja ante la Agencia Española de Protección de Datos (AEPD)
Esta información debe proporcionarse a las personas antes de comenzar a procesar sus datos y puede hacerse de diferentes maneras, dependiendo de cuándo y por qué se están recopilando los datos. Por ejemplo, en el formulario de un sitio web, se incluirá información básica sobre esto y un enlace a la política de privacidad. En un contrato para la prestación de servicios, podría incluirse como una cláusula o anexo sobre protección de datos.
Se permite (y se recomienda) que la información se proporcione en dos niveles: primero, la información básica relacionada con quién es el responsable del tratamiento, para qué se van a usar los datos, la base legal para el tratamiento y los derechos, junto con una dirección o enlace que lleve a la segunda capa de información, donde se encontraría toda la información.
8.- Recabar el consentimiento expreso
A menos que se aplique uno de los casos del artículo 6.1, letras «b» a «f» del RGPD, la base para el procesamiento siempre será el consentimiento explícito de la persona interesada. Esto significa que la persona debe dar su permiso para el procesamiento de sus datos personales a través de una acción afirmativa (como firmar la cláusula LOPD, marcar la casilla de aceptación de la política de privacidad, etc.).
Este consentimiento debe ser registrado para poder demostrar que se obtuvo en su momento. Por lo tanto, la implementación de la LOPD en este sentido implica tener los medios técnicos necesarios para hacerlo (como un software de gestión de protección de datos).
El consentimiento para el procesamiento de datos solo será válido para la finalidad que se informó a la persona interesada, siendo necesario obtener un consentimiento para cada finalidad diferente o nueva.
Además, el consentimiento puede ser revocado en cualquier momento y la persona responsable del procesamiento debe proporcionar un medio para hacerlo.
En el caso de los datos de categorías especiales, además del consentimiento explícito, también debe aplicarse uno de los casos contemplados en el artículo 9.2, letras «b» a «j».
9.- Aplica tus obligaciones de LOPD y RGPD en tu página Web
Si tu organización o empresa dispone de una página web, también debe cumplir con las siguientes responsabilidades:
- Implementar una política de privacidad
- Establecer una política de cookies
- Mostrar un aviso o banner de cookies para obtener el consentimiento para su uso
- Ajustar los formularios a la LOPD para obtener el consentimiento del usuario (primera capa de información, casilla no marcada para aceptar la política de privacidad y enlace a la misma)
- Incluir un aviso legal
10.- Establece un protocolo para tratar las brechas de seguridad
La correcta implementación de la LOPD también requiere la existencia de un protocolo de seguridad. Este protocolo debe ser seguido por la plantilla para prevenir pérdidas, robos, alteraciones o destrucción de datos. Además, este protocolo debe permitir la detección de posibles violaciones de seguridad, su gestión y su notificación lo más pronto posible cuando ocurran.
La comunicación de violaciones de seguridad debe realizarse a la AEPD y a las personas afectadas en un plazo máximo de 72 horas desde el momento en que se detectó la violación. Sin embargo, solo se deben notificar aquellos incidentes que puedan representar un riesgo para los derechos y libertades de las personas o que puedan causarles daño o perjuicio.
Finalmente, para adherirse al principio de responsabilidad proactiva, es necesario realizar auditorías de protección de datos. Estas auditorías permiten verificar el grado de cumplimiento de la LOPD y determinar si es necesario fortalecer, mejorar o implementar nuevas medidas de seguridad.
Es importante definir un intervalo de tiempo para estas auditorías, siendo aconsejable realizarlas cada uno o dos años. También es recomendable llevarlas a cabo cuando se produzcan cambios significativos en los sistemas de la empresa o se inicien nuevos procesos de tratamiento de datos.
¿Son obligatorias las auditorías de protección de datos LOPD y RGPD?
La auditoría de protección de datos no es un requisito obligatorio según el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Sin embargo, las empresas que manejan los datos de sus clientes deben tomar medidas para proteger al máximo la información y los datos personales que están bajo su cuidado, así como asegurar la seguridad de sus sistemas.
Las revisiones implican evaluar los sistemas y medios que la empresa utiliza para manejar la información y los datos personales, cómo gestionan estos datos y la eficacia de las medidas de seguridad implementadas, con el objetivo de determinar el nivel de cumplimiento de las regulaciones de protección de datos.
Existen varios tipos de revisiones, por lo que la empresa puede elegir cómo evaluar su nivel de cumplimiento de las regulaciones. Es importante mencionar que la revisión debe realizarse en diferentes etapas para recopilar la mayor cantidad de información posible que luego será evaluada y los resultados se reflejarán en un informe que recibirá tanto la dirección de la empresa como los responsables de gestionar la protección de datos en la misma.
Auditoría de protección de datos en RGPD
La auditoría de protección de datos no es obligatoria. Sin embargo, el RGPD establece claramente la obligación de evaluar la eficacia de las medidas técnicas y organizativas adoptadas y, sin duda, la revisión es la herramienta ideal para lograr este objetivo. En particular, se debe destacar:
- Artículo 32 RGPD: incluye como medida apropiada «Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento».
- Artículo 24 RGPD: establece que «Dichas medidas se revisarán y actualizarán cuando sea necesario». Por lo tanto, aunque el RGPD no establezca la obligatoriedad.
Por lo tanto, aunque el RGPD no exige explícitamente la realización de una auditoría, es muy aconsejable llevarla a cabo para identificar posibles problemas y confirmar que las medidas implementadas para proteger los datos de los clientes, posibles clientes, empleados, etc., son adecuadas.
Las auditorías son una herramienta esencial para que la empresa tenga una imagen clara o una comprensión del nivel de cumplimiento de las regulaciones de protección de datos.
Necesitas ayuda para implementar la LOPD y RGPD en tu negocio
Como has podido observar, la implementación de la LOPD en empresas y otras organizaciones no solo implica cumplir con la mayoría de las obligaciones que hemos detallado en la sección anterior, sino también tener un conocimiento adecuado de la normativa, ser capaz de redactar todos los documentos necesarios para su cumplimiento, mantener actualizado el nivel de cumplimiento, lo que significa estar al tanto de posibles cambios y modificaciones en la ley, así como de cambios en la empresa que puedan afectar la protección de datos.
Además, es necesario responder de manera oportuna a las reclamaciones de derechos de los interesados y mantener el nivel de seguridad necesario para garantizar la privacidad y protección de los datos personales que se manejan.
Por todas estas razones, implementar la LOPD por uno mismo es una tarea complicada, que consume tiempo y para la que no todos están preparados, y que puede conllevar costos adicionales en forma de sanciones, si la normativa se cumple de manera insuficiente o inapropiada.
Si no cuentas con personal capacitado en el tema, la mejor opción para adaptarse a la Ley de Protección de Datos en las empresas es contratar los servicios de una consultoría especializada en protección de datos, como AMALTEA CONSULTORÍA, que tiene un equipo de profesionales expertos en protección de datos, que se asegurarán de que tu empresa cumple con todas las obligaciones y te asesorarán ante cualquier duda que pueda surgir.
Cuánto cuesta la implantación de la LOPD y RGPD
La implementación de la LOPD no tiene por qué ser costosa. En AMALTEA CONSULTORÍA, nos ajustamos a las necesidades de tu empresa, a los datos que manejas regularmente y a las obligaciones que debes cumplir en función de ello, para proporcionarte un presupuesto personalizado.
Además, proporcionamos a todos nuestros clientes todos los elementos necesarios para una correcta protección de datos, para que puedan verificar su nivel de cumplimiento en cualquier momento y obtener los documentos legales que necesiten, siempre adaptados y personalizados a las características de su empresa.
Es importante recordar que la protección de datos gratuita en las empresas puede resultar costosa, ya que a menudo son promociones engañosas o que solo se limitan a completar algunos documentos estándar, que serán insuficientes en caso de una inspección.
La implementación de la LOPD debe realizarse siempre teniendo en cuenta las particularidades de la empresa y el negocio, y el tipo y volumen de datos que se manejan regularmente o que se prevé manejar en el futuro, y debe mantenerse, actualizarse y adaptarse con el tiempo.
Contáctanos
La finalidad de los datos recabados en este formulario son las de remitir por correo electrónico información comercial de nuestros servicios, ofertas o cualquier otra información relacionada con nuestros servicios que pueda ser de su interés. Queda legitimado este envío con la aceptación del usuario, necesaria para el envío. Los datos facilitados podrán ser cedidos o dirigidos a las empresas del grupo o colaboradores de AMALTEA CALIDAD INTEGRAL, S.L. para los mismos fines promocionales o información de servicios. El usuario tendrá derecho a retirar su consentimiento en cualquier momento, así como acceder, rectificar, modificar o suprimir sus datos a través del correo [email protected]. Podrá ampliar esta información accediendo a la Política de Privacidad.