TECNOLOGÍA
Compártelo
Las novedades del RGPD

Las novedades del RGPD

Probablemente la introducción de la obligación de llevar a cabo análisis de riesgos o evaluaciones de impacto en materia de privacidad es una de las principales novedades introducidas por la nueva normativa de protección de datos personales.

Una evaluación de impacto en la protección de datos personales (EIPD) es un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

Una EIPD es una herramienta que va más allá de una evaluación de cumplimiento normativo —aunque, obviamente, la verificación de dicho cumplimiento es una parte integral de cualquier EIPD— y que se adentra tanto en las expectativas de privacidad que tienen las personas ante cualquier tratamiento de sus datos personales como en las percepciones generales de la sociedad o, concretamente, de los colectivos más afectados por el tratamiento del que se trate.

Concretamente el RGPD establece que en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento.

De conformidad con el RGPD el responsable debe llevar a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos con el fin de valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento.

Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.

La aprobación del RGPD supone un extraordinario avance en la medida en que instaura un régimen jurídico único y centralizado para todos los Estados miembros de la UE, sin perjuicio de que existan determinados aspectos que podrán ser desarrollados y especificados por parte de los diferentes Estados.

Entre las principales novedades introducidas por parte del RGPD, cabe destacar las siguientes:

  1. Obligación de llevar a cabo una evaluación de impacto previo al inicio del tratamiento de datos personales o entrada en producción de sistemas de información, determinando el nivel de riesgo asociado al mismo, que será en función del que se adoptarán las medidas tanto jurídicas, como organizativas y de seguridad:
    1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
    2. Cuando se lleve a cabo la evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
    3. Cuando se realicen tratamientos de datos a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales.
    4. Cuando se realice la observación sistemática a gran escala de una zona de acceso público.
    5. Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
    6. Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
    7. Una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el primer apartado.
    8. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
  2. Obligación de adoptar el principio de privacidad desde el diseño para todos los procesos que impliquen el tratamiento de datos, garantizándose que los mismos son siempre diseñados para lograr la máxima protección posible de los titulares de los datos:
    1. Debe realizarse de forma proactiva y no reactiva, buscando siempre la prevención y la protección de los datos personales: la privacidad por diseño se anticipa a los riesgos antes de que se produzcan. Se trata de adoptar medidas que impidan que estos riesgos se materialicen y, por tanto, tiene un carácter preventivo, se trata de actuar antes, no después.
    2. Debe garantizarse siempre, por defecto, el máximo grado de privacidad: cualquier sistema ha de estar configurado de forma que, por defecto otorgue una mayor protección a la privacidad de las personas, de modo que no se comparta la información del usuario salvo que este realice una acción o cambie su configuración. La privacidad por defecto otorga un mayor control sobre la propia información ya que el usuario está protegido, aunque no haga ninguna acción y decide libremente cuándo, cómo y con quién comparte sus datos.
    3. Privacidad integrada en el diseño: la protección de la privacidad ha de estar integrada en el sistema desde el momento en que se diseña, sin que ello disminuya su plena funcionalidad. No se trata de una opción que se añade a posteriori, sino que es uno de sus componentes integrales.
    4. Funcionalidad: seguridad y privacidad no han de ser características excluyentes, sino que ambas han de estar garantizadas e integradas en cualquier sistema.
    5. Protección durante todo el ciclo de vida de los datos: la protección de la información se ha de configurar desde el momento en que se recaban los datos, durante todo su ciclo de vida hasta que son destruidos, garantizando también que se eliminen de forma segura y confidencial, respetando los periodos de retención establecidos.
    6. Transparencia: la entidad que trate los datos ha de estar sujeta a los términos y condiciones informados desde un principio, que no podrán modificarse sin el previo consentimiento del afectado. También podrá estar sujeto a una verificación independiente.
  3. Obligación de comunicación de brechas de seguridad, de forma general, tanto a la propia AEPD como a los titulares de los datos, en aquellos casos en los que se hayan visto afectados los derechos de estos:
    1. Sin dilación indebida.
    2. En el plazo máximo de 72 horas después de que haya tenido constancia de la brecha, salvo que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
    3. Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
    4. Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
    5. Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
    6. Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
  4. Obligación de no obtener el consentimiento de forma tácita, debiendo realizarse siempre la obtención del consentimiento de forma previa, expresa, informada e inequívoca:
    1. Para poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.
    2. Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.
    3. Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.
    4. Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.
  5. Obligación de designar un delegado de protección de datos (DPO), interno o externo, que se responsabilice dentro de la organización, pública o privada, del cumplimiento de la normativa de protección de datos. El RGPD, a pesar de ser una norma que se encuentra en vigor desde abril de 2016, será de aplicación y deberá ser cumplida por parte de todos los sujetos implicados a partir del mes de abril de 2018 (en dos años desde su aprobación):
    1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
    2. Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes.
    3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
    4. Cooperar con la autoridad de control.
    5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento.

Artículo Anterior Investigación primaria de mercados
Artículo Siguiente Esquema Nacional de Seguridad
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Martes, 19 Octubre 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

¿Cómo cambiar la estructura organizativa de una empresa?
Con frecuencia, la decisión de cambiar la estructura organizativa de una empresa es tomada por sus directivos. La primera etapa antes de iniciar la ad...
¿Cómo configurar la ventaja competitiva en la estrategia empresarial?
Con frecuencia, la ventaja competitiva se interpreta como algún tipo de superioridad de la empresa sobre sus competidores. Pero la ventaja competitiva...
¿Qué habilidades debe tener un analista de negocio?
A fin de aportar valor a las empresas con éxito, un analista de negocios debe poseer habilidades duras y blandas por igual. Habilidades blandas en el ...
¿Qué es un proyecto actual y un proyecto de desarrollo?
La gestión de proyectos se ha vuelto últimamente muy recurrente y tiene una explicación. Aunque la actividad actual de la empresa se basa en un proces...

MARKETING

Clasificación y modos de recopilar bases de datos de retargeting
Es importante tener en cuenta que el retargeting no consiste únicamente en mostrar anuncios a aquellos que han estado en tu sitio web, aunque la confi...
¿Qué es la capacidad del mercado?
Se trata de un indicador que aproxima la capacidad de un mercado para consumir un tipo de producto. Definición de la capacidad del mercado En general,...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS