Día Europeo de la Protección de Datos: ¿cómo superar el listón de la protección de datos?

Describimos las claves para ir un punto más allá del RGPD y de la LOPDGDD para llegar a la excelencia en protección de datos.

• El ciclo de vida de los datos personales en la empresa, para qué se recogen los datos, cómo se usan y cómo se aplica la protección de datos.
• ¿Garantizamos a los interesados el ejercicio de sus derechos? ¿Estamos preparados para un incidente de seguridad?

El Día Europeo de la Protección de Datos (28 de enero) es una fecha que sirve para recordar a las empresas y a los responsables del tratamiento cómo tienen que trabajar con los datos recogidos de los clientes. A pesar de la adaptación de las organizaciones a la llegada del RGPD y la nueva LOPDGDD las empresas pueden ir un paso más allá y superar el listón de la protección de datos.

Identificar los datos personales

• Se trata de identificar, evaluar y tratar los riesgos asociados a la protección de datos personales. Para ello, lo primero que tienen que tener claro las organizaciones es qué datos personales se están tratando y para qué finalidad se están recogiendo. A partir de aquí es necesario analizar las medidas que se están tomando y ver cómo se pueden mejorar.
• Empezaremos por identificar el ciclo de vida de los datos personales, desde que se recogen en nuestra organización, cómo se recogen, quién puede acceder a dichos datos, dónde se almacenan, etc.

Garantizar los derechos de los interesados

El nuevo marco genera unos derechos y consolida otros que contribuyen a otorgar nuevas facultades a los interesados. La empresa debe contribuir a que esas nuevas posibilidades se conviertan en realidad de la forma más sencilla posible. No solamente hay que cumplir con la ley, sino también ser proactivos y resolver las dificultades que los dueños de los datos van encontrando en el camino.

La protección de datos es un proceso continuo, no es algo que permanezca inalterable en el tiempo. A medida que la empresa cambia, cuando incorpora nuevas herramientas o se pasa de guardar los datos en nuestro servidor local a otro en la nube, los riesgos a los que se enfrentan las organizaciones en el uso de los datos también cambian. Es necesario realizar un análisis de riesgos de forma previa y de forma periódica para adoptar las medidas de seguridad adecuadas tanto organizativas como técnicas.

Conoce con esta infografía cuáles son las reglas del «juego» de la nueva LOPDGDD

Los procedimientos clave para la excelencia en protección de datos

Será necesario establecer y depurar los procedimientos en los que intervienen datos personales es la clave para protegerlos. En ese sentido, a modo de recordatorio, es importante:

• Revisar aquellos que atienden a los interesados en el ejercicio de sus derechos y adaptarlos a la normativa de forma que sean visibles, accesibles y sencillos y que permitan demostrar el cumplimiento ante autoridades de protección de datos e interesados. Obligatoriamente han de incorporar los siguientes requerimientos:
  • Verificar la identidad de los interesados en el ejercicio de sus derechos y de todos aquellos que soliciten el acceso a datos personales.
  • Establecer un procedimiento que permita verificar que el consentimiento se ha autorizado por los padres o por el tutor cuando el interesado sea un menor
  • Posibilitar la presentación de solicitudes por medios electrónicos.
  • Atender al ejercicio de derechos de forma gratuita con excepciones.
  • Incorporar procedimientos que permitan a los interesados acreditar que han ejercido sus derechos por medios electrónicos.
  • Demostrar un coste para el interesado en la atención del ejercicio de sus derechos.
  • Informar en el plazo de un mes, prorrogable hasta dos meses más, al interesado sobre las actuaciones derivadas de la petición de sus derechos.
  • Valorar la obligación de la atención al derecho a la portabilidad de los datos.
• Establecer un procedimiento que permita documentar un registro de actividades de tratamiento.
• Instaurar un procedimiento que permita evaluar el riesgo derivado del tratamiento de datos.

Establecer un procedimiento que permita notificar violaciones de seguridad a las autoridades de protección de datos y cuando el riesgo es muy alto además comunicar a los interesados

¡NO OLVIDES!

Es importante cumplir con todos los artículos de la nueva ley. Y es que, transcurrido ya todo este tiempo, la AEPD (Agencia Española de Protección de Datos) ha recibido denuncias por el incumplimiento del derecho de Acceso del art. 15 del RGPD por parte de empresas que prestan servicios en España (incluyendo compañías cotizadas del IBEX 35 como Bankinter y CaixaBank).

Formación para los empleados y delegado de protección de datos

Por último, un aspecto muchas veces olvidado es la formación de los empleados.Es fundamental establecer un plan formativo, que incluya tanto a aquellos que ya trabajan en la empresa, como a las nuevas incorporaciones que se produzcan en el futuro.

Muchos de los problemas, fugas de datos o brechas de seguridad vienen provocados por una formación deficiente de los empleados en protección de datos. Además, el acceso a ellos, las buenas prácticas, la implantación de políticas de mesas limpias, para evitar que los datos de los clientes estén expuestos a cualquier visita, etc., son aspectos claves a la hora de mejorar los procedimientos de protección.

A ello también tenemos que sumar la necesidad de nombrar un delegado de protección de datos, en función del tipo de organización y el tipo de datos que tratemos. Será este Delegado el encargado de realizar los análisis de riesgos, establecer los planes formativos de forma periódica, responder a los interesados que realizan alguna petición respecto al tratamiento de sus datos, entre otras funciones.

Para las empresas más pequeñas, que realicen tratamientos de poca complejidad, no es obligatorio, pero siempre resulta ser altamente recomendable tener un experto que nos asesore en el cumplimiento y garantice que los derechos de los usuarios están a salvo.

Este delegado, o en su defecto el encargado del tratamiento de los datos, es el que deberá articular los planes de contingencia necesarios en caso de sufrir una brecha de seguridad y cómo debe notificarla ante la Agencia de Protección de Datos, en las 72 horas siguientes a su descubrimiento.

Cumplir en materia de protección de datos es más que una exigencia legal, es para las empresas un factor de impulso comercial, laboral y social, la diferencia entre ser o no una empresa competitiva.