El 25 de mayo de 2016 se publicó el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD” o “el Reglamento”). El RGPD será de directa aplicación el próximo 25 de mayo de 2018, por lo que las organizaciones deberán comenzar con las labores de adecuación al mismo.
El RGPD, entre otras disposiciones, incluye nuevas reglas y medidas que repercuten de forma directa en el modo de proceder habitual de las empresas.
Entre otras novedades en este ámbito destacan las siguientes:
Obligación
Medidas y/o recomendaciones
Principio de Responsabilidad “Accountability”
Realizar un Procedimiento para el Control y Supervisión del cumplimiento.
Jornadas de concienciación y formación sobre las obligaciones requeridas por el nuevo RGPD.
Registro de categorías de tratamiento
Definir y establecer un procedimiento para llevar a cabo el Registro de Actividades.
Privacidad desde el diseño y privacidad por el defecto
Determinar por contrato o pliegos de adjudicación cláusulas.
Evaluaciones de Impacto
Elaborar un Procedimiento interno para la realización de evaluaciones de impacto con carácter previo a un nuevo tratamiento.
Identificar qué tratamientos están sujetos a evaluaciones de impacto.
Principio del deber de información
Revisar y actualizar las cláusulas. Refuerzo de los principios del deber de información y transparencia.
Principio del consentimiento
Actualizar las cláusulas y textos legales por los que se otorga el consentimiento. Consentimiento claro y afirmativo.
Principio de Seguridad
Realizar un Procedimiento de revisión continua de las medidas implantadas. Obligaciones reforzadas en materia de seguridad según art. 32 RGPD
Procedimiento de Análisis de Riesgos. Evaluar, en cada caso, y conforme al RGPD los posibles riesgos para los derechos de los interesados.
Notificaciones de violaciones de seguridad
Implantar un Protocolo para las notificaciones de violaciones o (brechas de información personal) y el derecho de los usuarios a ser informados si sus datos personales han sido comprometidos.
Delegado de Protección de Datos
(DPO)
Identificar y nombrar formalmente la figura del DPO.
Recoger documento con las funciones y responsabilidades a desempeñar por parte del DPO.
Ejercicio de los derechos de los afectados
Revisar y actualizar el Procedimiento de gestión de atención de ejercicio de derechos. El reconocimiento al derecho a la portabilidad. El derecho al olvido, el derecho a la limitación del tratamiento.
Asimismo, se ha aprobado por el Parlamento Europeo la Directiva sobre la Seguridad de las Redes y de la Información, también denominada Directiva NIS, y que establece nuevas reglas y obligaciones dirigidas a las empresas y a sectores clave para que se protejan de forma adecuada ante ciberataques. Esta Directiva será transpuesta en los próximos meses al ordenamiento jurídico español, por lo que habrá que estar atento a las obligaciones básicas dimanantes de la misma considerando éstas, desde ahora, en todo proceso de cumplimiento interno relacionado con la gestión, operativa y la protección de la información bajo la responsabilidad de la empresa.
La importancia de reforzar la seguridad de la información personal y, con ello, la protección de los datos personales de los usuarios y demás afectados por la actividad empresarial queda patente en los últimos estudios.
Según las últimas encuestas realizadas, al menos el 80% de las empresas europeas han experimentado como mínimo un incidente de ciberseguridad en el último año, ello da una imagen clara de los actuales riesgos reputacionales y económicos a los que las empresas, con independencia de su tamaño, se exponen cada día. De hecho, Europol alerta de forma especial a las empresas y las cataloga como grandes protagonistas y víctimas, a su vez, ante los nuevos retos y tendencias del cibercrimen durante el 2016.
De ahí que en el Considerando 2 de la citada Directiva NIS se reconozca que:
“(…) La magnitud, la frecuencia y los efectos de los incidentes de seguridad se están incrementando y representan una grave amenaza para el funcionamiento de las redes y sistemas de información. Esos sistemas pueden convertirse además en objetivo de acciones nocivas deliberadas destinadas a perjudicar o interrumpir su funcionamiento. Este tipo de incidentes puede interrumpir las actividades económicas, generar considerables pérdidas financieras, menoscabar la confianza del usuario y causar grandes daños a la economía de la Unión (…)”.
