Computer-3 Noticias TIC

Expertos en informatización de Empresas y Despachos Profesionales

Los X mandamientos del nuevo Reglamento Europeo de Protección de Datos para asesorías y despachos profesionales

 

El próximo 25 de mayo será obligatorio para todas las empresas y entidades cumplir con la nueva normativa europea de protección de datos aprobada por el Reglamento (UE) 2016/679 (RGPD). Trae consigo cambios importantes y profundos que se tienen que implementar en todas las organizaciones que manejan datos de carácter personal, teniendo un especial impacto en el ámbito de las asesorías y despachos profesionales debido al sector empresarial en el que prestan sus servicios y al constante tratamiento de datos personales que llegan a efectuar.

Para ayudar a comprender las nuevas obligaciones desde Computer-3 hemos elaborado un decálogo de mandamientos que reúne los principales aspectos para adaptar el tratamiento de datos personales que se efectúan en las asesorías y despachos profesionales al nuevo reglamento europeo.

 

Mandamiento I: Realizarás una evaluación de riesgos de todas tus operaciones

 Realizarás una valoración objetiva de los riesgos que entrañan los tratamientos que llevas a cabo en tu asesoría o despacho para los derechos y libertades de las personas. Así, podrás identificar los riesgos a los que estás expuesto y podrás determinar los controles y medidas de seguridad que tendrás que aplicar para mitigarlos. En determinados supuestos, debido al alto riesgo que se puede derivar de algún tratamiento, se procederá a la realización de Evaluaciones de Impacto sobre la protección de datos.

Mandamiento II: Registrarás todas las operaciones de tratamiento de datos personales. 

Tienes la obligación de llevar un registro interno en el que se recoja, en todo momento y de forma actualizada, todas las operaciones de tratamiento de datos personales que llevas a cabo en tu asesoría o despacho, en el que se reflejarán todos los aspectos que requiere la nueva normativa.

Mandamiento III: Informarás a tus clientes de los tratamientos de datos

Informarás de manera detallada, transparente y clara de todos los tratamientos que vas a realizar con los datos personales de tus clientes, informándolos del responsable de tratamiento, finalidades, legitimación del tratamiento, tiempo de conservación de los datos, cesiones o comunicaciones de datos que se realizarán, así como de la manera de poder solicitar el ejercicio de sus derechos.

Mandamiento IV:  Recogerás consentimientos expresos

Cuando se tratan datos personales considerados de categorías especiales, tienes que recoger consentimientos explícitos, que serán a través de una acción afirmativa del titular de los datos. Queda prohibido los consentimientos tácitos.

Mandamiento V: Serás proactivo en el cumplimiento de la normativa

Serás diligente en el cumplimiento de la normativa y de todas las obligaciones que impone. Para ello, deberás aplicar de manera efectiva todas las medidas y controles de seguridad que te permitan mitigar tus riesgos, así como tener en cuenta la protección de datos desde el diseño y por defecto en todas operaciones de tratamiento de datos que realices en tus oficinas.

Mandamiento VI: Comunicarás las quiebras de seguridad

Siempre que te suceda algún incidente de seguridad que ponga en riesgo la confidencialidad, integridad o disponibilidad de tus sistemas de información, procederás a su comunicación a la Agencia Española de Protección de Datos y a las personas que se pudiesen ver afectadas por la quiebra.

Mandamiento VI: Formarás a tus trabajadores

Debido a la gran relevancia que tiene el factor humano en el tratamiento de datos, formarás e informarás a tus trabajadores de todas las obligaciones, procedimientos y protocolos de seguridad que tienen que cumplir en su puesto de trabajo respecto de los datos personales a los que acceden.

Mandamiento VIII: Firmarás contratos con tus clientes y proveedores

Firmarás contratos de prestación de servicios, de manera escrupulosa, con todos tus clientes en los que se regulen todos los aspectos del encargo de tratamiento que te realizan y por el que vas acceder a sus datos.

Con tus proveedores de servicios también firmarás contratos de prestación de servicios que recojan todos los aspectos del encargo que les realizas. Además, serás diligente en la elección de tus proveedores de servicios, ya que solamente los podrás contratar en el caso de que garanticen el cumplimiento de la normativa de protección de datos.

Mandamiento IX: Acreditarás el cumplimiento ante tus clientes

Revisarás y auditarás tus sistemas de información de forma periódica para verificar que se está cumpliendo con la normativa y pondrás los medios necesarios para implantar todos los controles que mitiguen los riesgos a los que se expone tu asesoría y despacho, de modo que siempre podrás acreditar tu cumplimiento de la normativa ante tus clientes, cuando así te lo requieran.

Mandamiento X: Atenderás los derechos de los afectados

Cuando algún interesado te solicite el ejercicio de alguno de sus derechos, le darás trámite a su solicitud de la manera rápida y diligente, decidiendo sobre solicitud siempre en función de cada caso y cumpliendo con los procedimientos regulados en la normativa aplicable de protección de datos.

Nuevo Reglamento Europeo de Protección de Datos

Manuel Pérez Masero Director General de Computer-3 y su equipo jurídico, estuvieron presentes en la ponencia de la directora de la Agencia Española de Protección de Datos, Mar España, celebrada el pasado viernes, 29 de septiembre en el acto organizado por la Confederación de Empresarios de Galicia en Santiago de Compostela. Se trata del primer acto informativo organizado por la AEPD fuera de su sede en Madrid.

En el evento se abordó el análisis de algunos de los aspectos más relevantes del nuevo Reglamento Europeo de Protección de Datos, Reglamento UE 679/2016, que será de obligado cumplimiento a partir del 25 de mayo de 2018. La directora de la AEPD insistió en la necesidad de que las empresas empiecen a adoptar las medidas técnicas y jurídicas necesarias para cumplir con la nueva normativa en el mes de mayo de 2018.

En relación con las novedades introducidas por el Reglamento Europeo hizo especial mención a la figura del DPO (Delegado de Protección de Datos). Recordó que las empresas obligadas a nombrar un DPO son entre otras, las prestadoras de servicios sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2016, las prestadoras de servicios de publicidad y prospección comercial según lo dispuesto en el anteproyecto de ley orgánica de protección de datos de carácter personal recientemente publicado.

Mar España destacó la relevancia en la aplicación del RGPD de la figura del DPO y recomendó la contratación por las empresas de dicha figura, no solo para aquellos supuestos determinados de forma obligatoria por la ley sino en todos los casos, por las ventajas que reporta a la empresa a nivel organizativo y de desarrollo de procedimientos que aseguran el cumplimiento del Reglamento Europeo, sino también por la facultad que el anteproyecto de ley otorga a dicha figura para la resolución de denuncias.

Las reclamaciones o denuncias se deberán formular en primer lugar ante el DPO si la empresa dispone de dicha figura. El Delegado tendrá un plazo de dos meses para resolver las denuncias y reclamaciones, y evitar así que se acaben presentando ante la AEPD y con ello la posible sanción administrativa. En caso de que no se hayan formulado previamente ante el delegado de protección de datos designado por el encargado o responsable del tratamiento o ante el organismo de supervisión establecido para la aplicación de los códigos de conducta, la Agencia podrá remitírselas al DPO para que las resuelva en el plazo de un mes.

En el acto también se puso de manifiesto que en próximas fechas se habilitará una línea de ayudas de Fondos FEDER para ayudar a las empresas a llevar a cabo la implantación del RGPD.