Revista digital
TRIBUNA
julio 2018

¿Qué sucede ahora que ya hemos aplicado el RGPD?

Jaume Feliu,
asesor LOPD de GD Legal

 
Jaume FeliuUna vez superada la fecha del 25 de mayo, los consultores en materia de protección de datos empiezan a ver la luz después de una temporada en la que los clientes pretendían adaptar sus empresas al RGPD en tiempo record, solo para llegar al deadline del 25 de mayo en condiciones, como si de una carrera se tratara.
El aluvión de mensajes pre ‘fecha limite’ acerca de los cambios en la política de privacidad de las empresas demostró la tendencia a apurar hasta el ultimo día, a copiar del de al lado y a pensar que con cuatro formularios ya se está cumpliendo con la normativa.

Además, muchos de los comunicados que se llevaron a cabo pidiendo el consentimiento no hubieran sido necesarios si se hubiera realizado un mínimo análisis sobre la legitimación del tratamiento en cuestión, pudiéndose basar en los siguientes supuestos:

- existencia de una relación contractual
- existencia de un interés legítimo
- consentimiento del afectado
- justificado en una necesidad vital del interesado
- cuando resulte de una obligación legal
- cuando exista un interés publico

Esta claro que la base del consentimiento no era la única opción, y que el retorno en este tipo de campañas ha sido muy bajo con el disgusto de los correspondientes departamentos de marketing. En este sentido, la gran pregunta es: ¿las empresas que no han obtenido respuesta a estos comunicados dejarán de enviar los mailings?

Más allá del ‘blanqueo’ de las bases de datos de las empresas, y a la espera de la aprobación (se espera para finales de año) de la ‘nueva LOPD’, el RGPD establece una serie de obligaciones que deberán llevar a cabo todas las empresas que gestionen datos de carácter personal y que vamos a enumerar a continuación de forma resumida:

  • Disponer de un registro de actividades de tratamiento que refleje todo tratamiento de datos personales en la empresa. Este documento viene a sustituir los anteriores ficheros notificados a la Autoridad de Control, pero es importante tenerlo actualizado.

  • Cumplir con el deber de información con las nuevas premisas que establece el RGPD.

  • Firmar nuevos acuerdos con los terceros (encargados de tratamiento) que contemplen todos los requisitos del Reglamento.

  • Realizar un análisis de riesgos estableciendo las medidas a aplicar para mitigar los riesgos a los que estamos expuestos en base a una serie de amenazas.

  • Regularizar la información a los trabajadores mediante la firma de un compromiso de confidencialidad y la entrega de una normativa de uso de los sistemas junto con las formaciones que sean necesarias.

  • Incluir en las páginas web los correspondientes avisos (aviso legal, cookies, política de privacidad, condiciones generales de contratación – ecommerce, etc.)

  • Tener establecidos los protocolos correspondientes para atender los derechos de los afectados (acceso, rectificación, cancelación, oposición, limitación, olvido, portabilidad)

  • Disponer de un protocolo para la gestión de las posibles brechas de seguridad que puedan poner en peligro los datos personales.

  • Llevar a cabo una evaluación de impacto (solo en determinados supuestos).

  • Disponer de un delegado de protección de datos (DPD-DPO). Solo es obligado disponer de esta figura en determinados supuestos. El anteproyecto de LOPD (art. 34) tipifica algunos supuestos más de los que estable el RGPD.


Es importante tener presente el principio de responsabilidad activa para que los responsables de tratamiento establezcan las medidas necesarias para garantizar un nivel de seguridad adecuado y que puedan demostrar la aplicación de las mismas.

La Agencia Española de Protección de Datos, además, está ayudando a esta labor divulgativa y formativa en lo que hace referencia al RGPD publicando de forma periódica nuevas guías que ayudan a los responsables de tratamiento.

Sin entrar al detalle de las sanciones y la ‘política del miedo’, ya que, por el momento no hay inspecciones de oficio por parte de la autoridad de control, es necesario que las empresas empiecen a pasar del concepto de la ‘burocracia’ en la protección de datos a una cultura interna por la privacidad.
entrevistas  |  reportajes  |  almuerzos  |  tribunas  |  noticias  |  proveedores  |  nombramientos  |  estudios  |  agenda  |  libros  |  el equipo  |  enlaces  |  mapa web

© 2007 CUSTOMMEDIA S.L. edita EQUIPOS Y TALENTO  |  Equipo de redacción  |  Contacto  |  Política de privacidad

Av. Diagonal, 463 bis 5ª planta, Barcelona 08036  Tel. 93 4195152  Fax. 93 4101755