Mañana pistoletazo de salida al nuevo RGPD

Este reglamento permite a los usuarios controlar la información personal que las empresas poseen

 

 

El viernes 25 de mayo se aplicará inminentemente el nuevo reglamento concerniente a la privacidad, el ya conocido Reglamento General de Protección de Datos. Para apoyar a las pymes el Instituto Nacional de Ciberseguridad (INCIBE) ha publicado además de un servicio para el RGPD, una serie de principios que recoge este reglamento y una checklist para comprobar las pautas que debe seguir tu empresa.

Los principios en los que se basan la protección de datos personales del RGPD y que han  de cumplir las empresas que posean datos son los siguientes:

  • Licitud, lealtad y transparencia. Esto significa que los datos tienen que ser obtenidos de forma lícita, el responsable de esos datos deberá facilitar a todo aquel que esté interesado toda la información sobre cómo se realiza el tratamiento de los datos. Además se incurrirán en graves sanciones si los datos se obtienen de manera fraudulenta, desleal o ilícita.
  • Limitación de la finalidad. Es decir, los fines para la recogida de los datos deben estar claramente expuestos y determinados.
  • Minimización de datos. Todos los datos reunidos deben ser adecuados y pertinentes a los términos para los que se recogen.
  • Exactitud de datos. Los datos deben ser exactos, correctos y lo más completos posibles, la información que se considere incorrecta se tiene que suprimir o rectificar. Los usuarios interesados en que la empresa corrija sus datos tiene derecho a solicitarlo al responsable, que deberán rectificarlo en el plazo de un mes.
  • Limitación del plazo de conservación de los datos. Se ha de informar a los interesados, en el momento de la recogida de datos del plazo de conservación y de los criterios de éstos.
  • Integridad y confidencialidad. El tratamiento de los datos ha de garantizar la seguridad de ellos, para evitar que se pierdan, destruyan o el robo y tratamiento de ellos de manera ilícita.

Te exponemos las preguntas esenciales que el Instituto Nacional de Ciberseguridad considera que se tiene que hacer tu negocio para comprobar que debe hacer con el RGPD, no hay que olvidar que el responsable del tratamiento será el que garantice el correcto cumplimiento del nuevo reglamento.

  1. ¿Realizas una actividad comercial en la UE o tratas datos personales en la UE o sobre personas que se encuentren  en la UE? Si es así, esto te afecta, has de ser responsable proactivamente, es decir, hacer un análisis de riesgos de privacidad, tomar las medidas adecuadas y verificar que puedes demostrar que garantizas la privacidad.
  2. ¿Tratas datos de categorías especiales o a gran escala, es decir, son tratamientos de alto riesgo? Comprueba si tratas datos de categorías especiales o a gran escala. Si es así debes seguir la guía de la AEPD para realizar una Evaluación de Impacto en la protección de datos personales.
  3. ¿Tienes menos de 250 empleados y no realizas tratamientos de alto riesgo? Si es así cumple con FACILITA, en caso contrario, tanto si tienes más de 250 empleados como si realizas tratamientos de alto riesgo, has de llevar un Registro de actividades.
  4. ¿Haces tratamientos a gran escala? Si la respuesta es afirmativa: nombra un DPD, es decir, un Delegado de protección de datos y firma con él un contrato siguiendo la guía de la AEPD. También has de firmar contratos con terceros si les encargas el tratamiento en todo o en parte.
  5. ¿Estás preparado por si tienes una brecha de seguridad con riesgo para la privacidad? Actualiza tus procedimientos para notificar, en un plazo máximo de 72 horas a las autoridades y sin dilación a los interesados.

 

Fuente: Instituto Nacional de Ciberseguridad