2018, el año del nuevo Reglamento General de Protección de Datos (GDPR).
  • Por
  • Publicado 03 de enero de 2018

2018, el año del nuevo Reglamento General de Protección de Datos (GDPR).

El consejo de ministros aprobó en noviembre de este pasado 2017 el proyecto de la nueva LOPD, que incorpora las directrices marcadas por el RGPD y determina los aspectos que dejaba a elección de cada estado miembro.


¡Feliz Año! 2018 ha llegado ya y se acerca cada vez más la fecha en que será de obligada aplicación el Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés), el próximo 25 de mayo de 2018. Desde hace algunos meses, empresas de todo tipo y sector han iniciado su proyecto global de adecuación a la nueva legislación, que aumenta el importe de las sanciones (podrán llegar hasta el 4% de la facturación global anual), y que será aplicable a todas las organizaciones que traten datos de ciudadanos europeos, estén o no instaladas en territorio de la Comunidad Europea (CE).

Uno de los principales objetivos la Comunidad Europea con la elaboración del nuevo reglamento es el de evitar que las organizaciones que trabajen en más de un país tengan que cumplir con legislaciones distintas en materia de protección de datos, facilitando así el negocio con y en la Comunidad Europea. Además, el reglamento pretende adaptar la legislación relativa a los datos personales a los nuevos avances en tecnología y comunicación que, en su mayor parte, no quedaban contemplados en anteriores normativas.

El RGPD incorpora nuevos principios y novedades, siendo los más importantes los nuevos derechos para los interesados (limitación del tratamiento, portabilidad y olvido), el principio de privacidad por defecto y desde el diseño (Privacy by default & by design), el cambio en la validez de los consentimientos, la obligatoriedad de elaboración de análisis de riesgos y posibles  evaluaciones de impacto en la privacidad (PIA por sus siglas en inglés) y la incorporación de la figura del Delegado de Protección de Datos (DPO por sus siglas en inglés), entre otras.

Aunque el reglamento define gran parte de las directrices a seguir en materia de privacidad de datos personales, deja algunos aspectos a definir en manos de los estados miembro, con el objetivo de que sean éstos los que decidan sobre la aplicación de dichos puntos en su estado. Desde que en 2016 se aprobó el reglamento, ya varios estados han adaptado su normativa propia a la legislación europea, como Alemania y UK, entre otros.

En España ya contábamos con la Ley Orgánica de Protección de Datos (LOPD), que hasta ahora era la normativa elaborada para garantizar la seguridad de los datos y los derechos de los interesados, y una de las normativas más restrictivas en Europa en este ámbito.  Con la incorporación del RGPD, la LOPD debe actualizarse e incorporar las directrices que no contemplaba, así como modificar aquellos aspectos que no sean compatibles con el RGPD.

Aunque con un poco de retraso respectos lo plazos previstos, finalmente se elaboró el anteproyecto de la nueva Ley Orgánica de Protección de Datos (LOPD), que ha sido aprobado en noviembre de 2017, y que puede consultarse ya por los interesados, despejando así dudas que aún había presentes conforme lo que acogía la legislación nacional.

Por tanto, y aclarado lo que se aprueba y lo que prevalece, ya no hay excusa para no adaptarse a la nueva normativa en protección de datos, y desde OptimumTIC recomendamos iniciar dicha adaptación lo antes posible, si es que aún no se ha empezado.

Es por ello que conforme la obligatoriedad de auditoria bianual de LOPD, elaboramos el Análisis GAP si este no hubiera sido creado por la compañía, para establecer el ROADMAP o pasos a realizar para la adaptación hacia la RGPD. En base a nuestra experiencia en este tipo de proyectos, sabemos que debido al carácter transversal de las medidas técnicas, legales y organizativas en las que se traducen los requerimientos del RGPD, los proyectos o acciones que deban desarrollarse para acercar la organización al cumplimiento normativo requieren tiempo y coordinación entre áreas o departamentos.

Esta transversalidad, junto con la necesidad de elaborar y conservar documentación sobre los procedimientos de la organización que traten datos personales, la obligatoriedad de conservar los consentimientos recogidos, y de elaborar y mantener actualizados un inventario de activos, entre otras cuestiones derivadas del RGPD, nos llevan a recomendar un buen Análisis de situación, Plan de Acción bien definido, y posible establecimiento de medidas de seguridad entre otros, aparte del uso de una herramienta que preste soporte a la organización a la hora de gestionar la privacidad, así como otras normativas u proyectos que se relacionen de algún modo con la protección de datos, como el Compliance, o que su objetivo sea el aumento y mejora de la calidad de los procesos y servicios, como las certificaciones en normativas ISO.

En OptimumTIC trabajamos con el software de privacidad OneTrust, que además de permitir la personalización total a la organización, mantiene el inventario de activos, el registro de consentimientos, permite elaborar PIAs y crear workflows dentro de la compañía, entre otras funcionalidades. Con el soporte de esta herramienta, OptimumTIC contribuye a diseñar, desarrollar, optimizar y/o asesorar a diversas organizaciones en su proyecto de adecuación al RGPD y cumplimiento reglado.

Además, la experiencia con la que cuenta nuestra organización en implementación de la normativa ISO 27001 y en aplicación de medidas de Seguridad tanto documentales como técnicas,  nos acerca y facilita el desarrollo de medidas transversales en la organización destinadas a garantizar la seguridad de la información durante todo su ciclo de vida, y a adoptar una estrategia y visión proactiva de la seguridad en general.

 

Para más información y/o una demostración sin compromiso de nuestros servicios y herramientas (como los anunciados aquí) puede ponerse en contacto con OptimumTIC mediante un correo electrónico a info@optimumtic.com