Nuestro equipo de expertos puede aportar, en base al amplio conocimiento en Seguridad TIC, la mejor respuesta

 

Diagnóstico del Reglamento (EU) 2016/679, de Tratamiento de Datos Personales

El 27 de abril de 2016 se publicó el nuevo Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se derogaba la Directiva 95/46/CE (Reglamento general de protección de datos) vigente hasta entonces y transpuesta en España mediante la Ley Orgánica 15/1999 de Protección de Datos de carácter Personal y el Real Decreto 1720/2007 que la Desarrolla.

CARACTERÍSTICAS DEL SERVICIO

El servicio diseñado para conocer el nivel actual de cumplimiento y las actividades para alcanzarlo se llevan a cabo en dos etapas que permitirán obtener:

  • Estado de Cumplimiento de la organización, con detalle de las deficiencias actuales y posibles consecuencias, que permitirá a la organización conocer como le afecta el Reglamento vigente y a que riesgos se expone en caso de incumplimiento,
  • Plan de Acción diseñando con el objetivo de abordar de manera eficiente y efectiva los cambios requeridos en la organización y cumplir así con el Reglamento antes de que su entrada en aplicación suponga un riesgo de sanción económica por la falta de diligencia de la organización en la adopción del Reglamento.

Una vez la organización cuente con un Plan de Acción alineado con su Plan Director y Estratégico, Internet Security Auditors pone a su disposición la experiencia de sus profesionales para dar soporte a la ejecución de los proyectos y acciones necesarias, e implantar las medidas requeridas:

  • Redacción de documentación de seguridad, tales como políticas, normas, procedimientos e instrucciones.
  • Ejecución de evaluaciones de impacto relativas a la protección de datos
  • Adaptación de textos legales en formularios, contratos, u otros textos.
  • Formación y concienciación en materia de protección de datos.
  • Servicio delegado de la figura del Delegado de Protección de Datos (DPO).
  • Implantación de una oficina de soporte al despliegue de medidas

¿CUÁNDO SERÁ DE APLICACIÓN?

El Reglamento 2016/679 ya se encuentra en vigor y es de obligado cumplimiento, pero su aplicación no será efectiva hasta el 25 de mayo del 2018, fecha a partir de la cual todas las organizaciones sujetas al Reglamento deberán de estar adecuadas o podrán ser sancionadas por la Autoridad de Control, que presumiblemente en España seguirá siendo a la Agencia Española de Protección de Datos.

Es de obligatorio cumplimiento en todos sus elementos y directamente aplicable sin necesidad de trasposición al ordenamiento jurídico de cada Estado miembro y, por lo tanto, las organizaciones no deben esperar a que se publiquen en los diarios oficiales de los Estados miembros, en España el Boletín Oficial del Estado (en adelante, BOE).

¿QUIÉN ESTÁ OBLIGADO A CUMPLIRLA?

El Reglamento (EU) 2016/679 aplica a todos los responsables o encargados radicados o con establecimientos en la Unión Europea, independientemente de que el tratamiento tenga lugar en la Unión o no, o que estando fuera de la Unión ofrezcan bienes o servicios a residentes europeos o analicen su comportamiento.

CONVIVENCIA CON LA LO 15/1999 Y SU RD 1720/2007 VIGENTES EN ESPAÑA

Hasta la fecha de aplicación, tanto la actual LO 15/1999 como su RD 1720/2007 son aplicables.

A partir del 25 de mayo del 2018 la LO 15/1999 y su RD 1720/2007 seguirán siendo aplicables en lo que esté fuera del Derecho de la UE y no contravengan lo dispuesto en este Reglamento con rango superior (se dará una derogación tácita parcial de ciertas disposiciones) hasta nueva orden.

PRINCIPALES CAMBIOS QUE AFECTAN A LAS ORGANIZACIONES

El nuevo reglamento presenta muchas novedades que las organizaciones deben de empezar a conocer y aplicar sin mucha demora para estar en pleno cumplimiento a fecha de aplicación del Reglamento. De manera resumida, algunas de las principales novedades y que mayor impacto pueden tener en la organización, así como su relación con la ordenación jurídica actual en España, son las siguientes:

(art. 5)   Se establecen nuevos principios del tratamiento de los datos por parte de las organizaciones que tratan datos de carácter personal (refuerzan y detallan lo que actualmente se encuentra presente en la LO 15/1999 y el RD 1720/2007). 
La llamada “responsabilidad proactiva”, por la cual la organización deberá ser capaz de demostrar la debida diligencia en cuanto al cumplimento de los principios arriba mencionados.
(art. 7)   Las condiciones para que el consentimiento sea conforme al Reglamento, exige que la organización deberá de ser capaz en cualquier caso de demostrar la existencia de un consentimiento por parte del interesado (art. 6 LO 15/1999, art. 12.3 RD 1720/2007).
(art. 16, 17,
18, 20, 21)
  Se amplían los hasta ahora conocidos como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) incorporándose nuevos derechos del interesado (ARCO+SP) que la organización deberá de atender (art. 15, 16, 17 LO 15/1999, art. 27, 31, 34 RD 1720/2007).
Al respecto de los derechos ARCO, aunque mantienen su esencia, pasan a conocerse bajo otra nomenclatura.
(art. 24)   Se crearán mecanismos de certificación voluntaria y de sellos y marcas de protección de datos que permitan demostrar a las organizaciones su cumplimiento con el Reglamento, y que deberá ser renovada en un plazo no superior a tres años. (art. 96 RD 1720/2007).
(art. 30)   De manera análoga al contenido notificado actualmente en los ficheros del Registro General de Protección de Datos (en adelante, RGPD) que mantiene la AEPD, se requiere que las organizaciones mantengan, en este caso internamente, un “registro de actividades de tratamiento” cuyo contenido mínimo será similar al de los ficheros antes mencionados. (art. 26 LO 15/1999, art. 55, 88.3.d RD 1720/2007).
(art. 33)   Se deberá notificar a la Autoridad de Control, y si existe un alto riesgo también al interesado, cualquier violación de la seguridad de los datos personales a más tardar dentro de las 72 horas posteriores (art. 2.2 Directiva 2002/58/CE, solo para proveedores de servicios de comunicaciones electrónicas disponibles para el público).
(art. 35, 36)   Cuando la organización prevea llevar a cabo un tipo tratamiento de datos que entrañe alto riesgo (según los criterios que establecerá la Autoridad de Control en su momento), se deberá llevar a cabo una Evaluación de Impacto relativa a la protección de datos con anterioridad al tratamiento (ver “Guía para una Evaluación de Impacto en la de Protección Datos Personales” de la AEPD).
(art. 37-39)   Se introduce la figura del Delegado de Protección de Datos (DPO), el cual deberá ser designado con carácter obligatorio (bien sea parte de la plantilla o bien desempeñe sus funciones en el marco de un contrato de servicios externalizados) cuando la organización (art. 85 RD 1720/2007).
(art. 83)   Se establece un régimen sancionador más duro: aunque la tasación de la sanción correspondiente a una infracción del Reglamento dependerá de la Autoridad de Control, la cual deberá garantizar que sean efectivas, proporcionadas y disuasorias, las cuantías del Reglamento serán mayores con respecto a las establecidas en la ordenación jurídica actual, ya que podrán alcanzar hasta los 20 millones de euros o el 4% del volumen de negocio total anual global (art. 45 LO 15/1999).