GDPR Gap Analysis • Adecuación al GDPR

Tal y como llevamos recordando en los últimos meses… ¡La cuenta atrás para el GDPR ha comenzado!

Estamos en una etapa de transición y, para ayudar a comprender el Reglamento General de Protección de Datos (GDPR) y las medidas que se deben tomar a continuación, desde Áudea hemos elaborado esta infografía, que ofrecemos acompañada de una recopilación de los servicios e información más relevante sobre este tema.

¿Cuál es el proceso de implantación del GDPR?

En Áudea hemos diseñado los siguientes servicios para ayudar a las empresas a implantar un sistema que dé cumplimiento a los requisitos establecidos por el GDPR.

 

• GAP GDPR Analysis

El GDPR GAP Analysis es un análisis de la situación actual desde un punto de vista legal, técnico y organizativo, de cara a la implantación de las mejores recomendaciones de Adecuación al GDPR. Se trata de poner de relieve los requisitos de la norma y las carencias con respecto a dichos requisitos, para establecer un plan de acción adecuado a las necesidades de la organización.

GDPR Gap Analysis

 

• Adecuación GDPR

La Adecuación al GDPR permite implantar todos los requisitos exigibles por esta normativa a través de las siguientes fases:

Adecuación GDPR

 

 • Auditoría GDPR

Una vez implantado un sistema que dé cumplimiento al GDPR en la empresa, deberá revisarse cada cierto tiempo si el sistema es adecuado y si la organización y los miembros de la misma respetan ese sistema.

Se trata de comprobar si actúan de acuerdo a los procedimientos y normas marcados o si simplemente el cumplimiento del GDPR ha quedado en el plano teórico.

 

Todo lo que necesitas saber sobre el GDPR

El GDPR, el Reglamento General de Protección de Datos, es la nueva norma europea de privacidad y comenzará a aplicarse, de forma directa, el 25 de mayo de 2018 en todos los Estados miembros de la Unión Europea.

Para esa fecha, todas las instituciones, empresas y demás organizaciones (europeas y muchas otras internacionales) deberemos cumplir con los requisitos que establece dicha norma.

El GDPR implica cambios en la gestión de la privacidad, combinando factores técnicos legales y organizativos. Entre las novedades más destacadas que introduce pueden señalarse las siguientes: un nuevo régimen sancionador, la figura del Delegado de Protección de Datos, obligación de realizar Análisis de Impacto y de Riesgo, cumplir con los principios de Privacidad por Defecto y Desde el Diseño, garantizar los nuevos derechos de los afectados y mantener un inventario de actividades de tratamiento. A continuación se detalla cada uno de estos conceptos:

 

• Nuevo régimen sancionador

Prevé multas de hasta 20 millones de euros o el 4% de la facturación (optando por la de mayor cuantía). Las sanciones se impondrán con independencia de la ubicación del negocio.

 

• El Delegado de Protección de Datos

También conocido como DPO, por sus siglas es inglés, es una figura que debe ser designado entre el responsable del fichero y el encargado del tratamiento cuando se traten datos en organismos públicos, requieran una observación habitual y sistemática o se traten datos a gran escala especialmente sensibles.

Sus funciones son fundamentalmente informar y asesorar al responsable o al encargado y demás personas que manejen datos en la organización de las obligaciones a las que están sujetos, velar por el cumplimiento de la normativa en materia de Protección de Datos y cooperar con la autoridad de control (en nuestro país, la Agencia Española de Protección de Datos).

 

• Realizar un Análisis de Riesgos

Un Análisis de Riesgos es un estudio en el que se analiza los impactos a los que la organización puede enfrentarse ante la discontinuidad de sus operaciones, así como la dependencia de la tecnología y de los sistemas de información corporativos. De esta forma, ya no tenemos un catálogo cerrado de medidas de seguridad que se deben cumplir en función de la sensibilidad de la información que manejamos, sino que el catálogo de medidas de seguridad tiene que definirse en función de los riesgos que se detecten en la organización. Además, en caso de tener una brecha de seguridad, deberá notificarse a la Agencia Española de Protección de Datos y, en determinadas circunstancias, a los propios afectados.

 

• Realizar un Análisis de Impacto

Un Análisis de Impacto es un estudio en el que se analizan los riesgos para la privacidad de los particulares a consecuencia de un nuevo sistema de información creado por una empresa o entidad. De esta forma, se deben tomar medidas para reducir esos riesgos, en línea con los principios de Privacy by Design, Privacy by Default y Accountability.

 

• Cumplir con los principios de Privacidad por Defecto / Desde el Diseño

El concepto de Privacidad por Defecto hace referencia a que los responsables de la creación o diseño de una aplicación, sistema o producto destinado al tratamiento de datos personales deberán tener en cuenta medidas técnicas y organizativas para garantizar la protección de datos. En otras palabras, el GDPR obliga a que la protección de los datos personales se tenga en cuenta desde el momento de diseñar cualquier sistema de tratamiento de datos personales. Entre estas posibles medidas, el GDPR propone la seudonimización o la minimización de los datos.

Por su parte, el principio de Privacidad por Defecto pretende garantizar la mínima exposición posible de los datos personales, mediante la limitación de la cantidad de datos recogidos, la extensión de su tratamiento, el plazo de conservación, y su accesibilidad. En concreto, el RGPD establece que estas medidas garantizarán que, “por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas”.

Esta redacción del RGPD abre ciertas interrogantes con respecto a buscadores de internet, redes sociales, foros, etc. En concreto, resulta difícil imaginar que una red social tuviese que tener activas todas sus opciones de privacidad por defecto.

 

• Garantizar los nuevos derechos de los afectados

El RGPD introduce principalmente dos nuevos derechos: Limitación y Portabilidad.

El derecho de Limitación implica cesar en un tratamiento de datos, pero conservándolos a disposición del interesado.

Por su parte, el derecho de Portabilidad tiene una doble vertiente:

a) La descarga de los datos del interesado.

b) La posibilidad de gestionar el alta en otro servicio (incluso de la competencia).

 

• Mantener un inventario de actividades de tratamiento

En vez de registrar los ficheros en la AEPD, las actividades de tratamiento deberán ser identificadas, controladas e inventariadas internamente.

 

¿Y qué pasa con todo lo que ya hemos hecho durante estos años?

Los principios fundamentales de la normativa no cambian sustancialmente. Las empresas siguen teniendo que garantizar la calidad de los datos y del tratamiento, informar a los afectados cuando recogen sus datos, obtener su consentimiento o disponer de alguna otra legitimidad para tratar los datos, firmar contratos específicos con los proveedores que accedan o alojen los datos, etc.

Pero hay pequeñas diferencias que obligan a revisar todo lo anterior y actualizarlo.

Por lo tanto, es una tarea que requiere bastante tiempo y esfuerzo, y mucha rapidez, si queremos llegar a la meta antes de que el 25 de mayo de 2018 nos alcance.