Protección de datos (RGPD y LOPDGDD)

ADAPTACIÓN DE EMPRESAS Y ORGANIZACIONES

IDENTIFICACIÓN Y ANÁLISIS DE TRATAMIENTOS

La base fundamental de un proyecto de implantación a las normativas de privacidad, el Reglamento General de Protección de datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD), comienza por la identificación correcta de tratamientos y potenciales tratamientos de datos, conocer exactamente qué datos se van a recoger, para qué se van a utilizar, así como considerar las posibles cesiones y cuáles son los objetivos de la organización. Esto resulta vital en el comienzo de la actividad pues el conocimiento de esta información es inseparable de estrategia comercial a seguir por la empresa.

Debemos tener muy en cuenta lo que dicta el artículo 25 del RGPD en cuanto a la protección de datos desde el diseño y por defecto, de manera que los Responsables se obligan a implementar medidas técnicas y organizativas apropiadas a los tratamientos de datos que realicen ANTES de iniciar a recoger datos personales.

En EMPRESAS DE PEQUEÑO TAMAÑO que generalmente se dedican a vender los productos que comercializan sin realizar tratamientos complejos de datos, se pueden encontrar datos muy comunes como los datos de los clientes, su nombre y apellidos, NIF, dirección, correo electrónico, número de cuenta; los datos de los proveedores con información similar; y los datos de los trabajadores, reflejados en su nómina y contratos donde aparecen los datos identificativos y económicos. En este tipo de empresas, al incorporar estos datos a sus sistemas de información se generan los ficheros de clientes, proveedores y personal.

Ahora bien, es posible que en estas empresas se recojan currículos, en cuyo caso se debe identificar al fichero correspondiente, e incluso también resulta habitual la instalación de cámaras de videovigilancia en las instalaciones, que graban imágenes de las personas que las puedan transitar, debiéndose en tal caso identificar el fichero.

Cada vez es más usual que las empresas dispongan de una web para ofertar sus productos o servicios y dónde se dé la posibilidad al usuario de enviar solicitudes de información mediante un formulario de contacto. Cuando éste se rellena, automáticamente llegan los datos del usuario junto con la consulta al buzón del correo electrónico de la empresa, lo cual puede significar la creación de un fichero referido a esos contactos o potenciales clientes.

En EMPRESAS DE MAYOR TAMAÑO, además de los ficheros anteriormente indicados suelen identificarse otros, como el de partes de accidentes que recoge los datos de salud de los trabajadores, debiendo valorar la inclusión de mayores medidas de protección de datos para este tipo de tratamientos. En muchas de estas empresas también es frecuente establecer controles de acceso para cualquier persona que entre a sus instalaciones o incluso controles de presencia de los trabajadores mediante tarjetas u otros dispositivos que pueden incluso detectar la huella del trabajador o el rosto con el objeto de evitar suplantaciones de identidad. Estos datos biométricos son considerados como categorías especiales de datos y de nuevo debemos contemplar la posibilidad de incrementar las medidas de seguridad. Esta información al ser tratada por usuarios de datos con un perfil de acceso determinado dará lugar a la creación de otros ficheros diferenciados del de personal.

Los supuestos que pueden llevar a la creación de un fichero son muy numerosos, si bien, todo puede complicarse aún más dependiendo del SECTOR DE ACTIVIDAD donde se encuadre la empresa. Por ejemplo en un hotel o un restaurante, en los cuales se recogen datos de las reservas de viaje o de mesa puede ser motivo de que se organicen en un fichero distinto al de clientes; en una clínica, residencia de mayores, farmacia u otros establecimientos sanitarios que tratan datos de salud de los pacientes deben recogerse en el consiguiente fichero especialmente protegido; en una academia o un colegio se recabarán datos de los alumnos donde aparecen sus datos académicos y por ende también un fichero; en una constructora se almacenarán en otro fichero expedientes de obras con datos de los profesionales que trabajan o de los propietarios; en una inmobiliaria otro donde los potenciales inquilinos entreguen sus datos para comprobar su solvencia económica,…

Puede darse cuenta como cada empresa requiere de un análisis diferenciado y personalizado de la información, resulta pues de vital importancia que el trabajo lo realice un consultor experimentado con la suficiente capacidad de indagar profundamente en los procedimientos del tratamiento de datos, y como no, identificar los diferentes tratamientos de datos correctamente.

VALORACIÓN DE LA LICITUD DE LOS TRATAMIENTOS

Analizamos todos y cada uno de los tratamientos que se realizan en la organización comprobando que se encuentran dentro de alguna de las seis condiciones que el Reglamento General de Protección de Datos considera que es lícito.

1. Que el interesado otorgue su consentimiento
2. Que el tratamiento fuera necesario para el cumplimiento de un contrato o precontrato.
3. Que el tratamiento fuera obligatorio para el cumplimiento de una obligación legal
4. Que el tratamiento fuera necesario para proteger los intereses vitales del interesado.
5. Que el tratamiento fuera necesario para el cumplimiento de una misión realizada en interés público.
6. Que el tratamiento se realice por interés legítimo del Responsable, y ese interés debe ser ponderado, de manera que no prevalezca sobre los derechos del interesado.

CUMPLIMIENTO DEL PRINCIPIO DE TRANSPARENCIA

El principio de transparencia es uno de los principios fundamentales del RGPD, que está relacionado con los principios de licitud y lealtad.

A los interesados les debe quedar claro los datos que le conciernen que van a ser recogidos y tratados por los Responsables. Toda la información relativa al tratamiento debe ser fácilmente accesible y fácil de entender, y para ello los Responsables deberán utilizar un lenguaje claro y sencillo, sin tecnicismos. Utilizar este lenguaje resulta esencial para que los interesados puedan comprender qué riesgos tiene el tratamiento, quién es el Responsable, cuáles son las normas que le afectan, cuáles son los fines de tratamiento, los cuáles deben ser explícitos y se deben determinar en el momento de su recogida, si se van a ceder a terceros y para qué, qué derechos pueden tener, cuánto tiempo se van a conservar, si se van a transferir a otros países que no ofrecen un nivel adecuado de protección de datos.

Para que esto sea posible, los Responsables deben ser concisos y concretos para que los interesados no pierdan el interés en conocer todos estos extremos, y a la vez puedan dar a conocer todos los detalles. Para ello, resulta muy adecuado informar en dos capas, en la primera conocerán una información básica importante en un formato reducido, y si desean más información podrían acceder a otros medios proporcionados por el Responsable que incluyera el resto de información.

ANÁLISIS, EVALUACIÓN Y GESTIÓN DE LOS RIESGOS. EVALUACIÓN DE IMPACTO EN CASO NECESARIO

La gestión de riesgos es un proceso cuyo objetivo es proteger los datos de carácter personal de una organización, y para ello se debe conocer con profundidad cuáles son los tratamientos implicados, qué amenazas y riesgos existen y cuáles son las medidas para mitigarlos. Se trata de un proceso continuo, de manera, que siempre se ha de estar alerta comprobando si existen nuevos tratamientos y activos, nuevas amenazas y nuevas medidas conducentes a mejorar la protección de los datos personales.

La gestión de riesgos implica 3 fases, la de análisis, evaluación y tratamiento de riesgos.

En la fase de análisis se deben conocer los tratamientos de datos personales y todos los activos implicados en el mismo.

En la fase de evaluación se deben conocer todas y cada una de las amenazas y riesgos. Para calcular los riesgos será necesario conocer la probabilidad de ocurrencia y el impacto que ocasionaría, considerando las medidas de seguridad que se han establecido por defecto, indicando métricas a estos factores de acuerdo a una metodología probada. Interrelacionando los activos, con sus amenazas probabilidades e impactos, se llegará a determinar el riesgo.

En la fase de tratamiento se han de buscar las mejores salvaguardas para mitigar los riesgos, lo cual implicaría un riesgo resultante que en función que podremos considerar como aceptables o inaceptables.

Si los riesgos resultantes suponen un alto riesgo para los derechos y libertades de las personas, se deberá realizar una Evaluación de Impacto en la Protección de Datos que es un proceso más exhaustivo que implica entre otras cuestiones la necesidad de consultar con los interesados e incluso con la autoridad de control.

ATRIBUCIÓN DE FUNCIONES

Los usuarios son los encargados de realizar el tratamiento de datos y tanto el Delegado de protección de datos como el Responsable podrán recabar sus opiniones a nivel de ciertos detalles

El Responsable de Seguridad será el encargado de ejecutar las actividades de la gestión de riesgos.

El auditor será el encargado de verificar y encontrar evidencias sobre el correcto inventario de activos, selección de amenazas, valoración de riesgos, y sobre todo de la implantación de las medidas de seguridad, así como ofrecer alternativas.

El DPO realizará la función de asesoramiento en el proceso, así como la comprobación de que se ha realizado adecuadamente y que la metodología es la apropiada. También deberá realizar informes de la gestión de riesgos, así como de los del auditor y trasladarlos al comité de privacidad si lo hubiera, para que estos puedan decidir sobre la asignación presupuestaria para dotar de recursos a los departamentos que necesiten securizar la información.

RESPONSABILIAD PROACTIVA

El Reglamento General de Protección de Datos incorpora el principio de Responsabilidad proactiva, esto es, la necesidad de que tanto los Responsables como los Encargados puedan demostrar que cumplen con lo establecido en la normativa vigente de protección de datos.

Asesoramos al cliente en los procedimientos que debe seguir para que le ayuden a obtener evidencias que demuestren que los tratamientos de datos se realizan de manera lícita, que han implementado medidas de seguridad suficientes y que realizan los controles necesarios.

El Registro de Actividades de tratamiento es un documento que permite a los Responsables y Encargados mantener registros de las actividades de tratamiento, lo cual, servirá para acreditar el cumplimiento de la Responsabilidad Proactiva, como así sugiere el art. 82 del RGPD. El RGPD considera esta medida en el artículo 30, e indica que los Responsables y Encargados estarán obligados a mantener un registro de actividades de tratamiento que realicen en determinados supuestos:

Que la organización tenga al menos 250 trabajadores

Que el tratamiento de datos pueda entrañar un riesgo para los derechos y libertades de los interesados

Que no sea ocasional

Que incluya categorías especiales de datos, o bien, que se refiera a tratamientos de datos personales sobre condenas e infracciones penales

IMPLANTACIÓN DE PROCEDIMIENTOS PARA NOTIFICAR BRECHAS DE SEGURIDAD

¿Qué es una brecha, quiebra o violación de seguridad?

Una brecha de seguridad es una incidencia que puede ocasionar una pérdida de datos personales, así como su destrucción o alteración accidental, y también el acceso no autorizado a dichos datos.

¿En qué casos de debe notificar?

En el supuesto de que se produzca una brecha de seguridad, se deberá notificar a la autoridad de control y a los propios interesados si la misma puede producirles daños o perjuicios, por ejemplo, que ocasione una pérdida o restricción de derechos, discriminación, usurpación de identidad, pérdidas financieras, daño reputaciones, o cualquier otro perjuicio que pueda considerarse importante para una persona.

¿Pueden existir razones para que no se notifiquen las violaciones de seguridad?

Sí, en el caso de que se hubieran tomado medidas técnicas de protección sobre los datos que han sido afectados, de manera que esa información sea ininteligible para las personas que hubieran tenido acceso de manera no autorizada. Si la comunicación supusiera un esfuerzo desproporcionado se podrá optar por realizar una comunicación pública con el objetivo de que ésta llegue a los interesados.

¿Cuándo se debe notificar?

Se deberá notificar sin dilación indebida, con un máximo de 72 horas desde que se hubiera tenido constancia de la quiebra de seguridad

¿Cuál es el contenido de la notificación?

La notificación deberá contener:

1. Identificación de la organización Responsable del tratamiento
2. Lugar y fecha de la violación
3. Naturaleza y contexto
4. Posibles efectos y consecuencias
5. Categorías y número de interesados afectados
6. Categorías y número de registros afectados
7. Medidas correctivas o propuestas adoptadas para remediar y mitigar los efectos ocasionados
8. Identidad y datos de contacto del DPO u otros contactos para obtener más información

DOCUMENTACIÓN E INFORMES

La documentación que elaboramos en Arcodatos cumple con todos los aspectos que se indican en el Reglamento General de Protección de Datos Incluye:

Registro de Actividades de Tratamiento

Este Registro se elaborará en función de si la organización es un Responsable del Tratamiento, o bien, un Encargado de tratamiento.

Proporcionamos al cliente este documento tanto en formato papel, como por medios electrónicos para dar cumplimiento al art. 30.3

En dicho Registro se definen los tratamientos de datos y ficheros que se realizan en la organización, teniendo en cuenta la estructura de datos que incluye una descripción de las categorías de interesados de datos personales, sistema de tratamiento, base legítima del tratamiento, período de conservación, finalidad, origen, cesiones (categorías de destinatarios a quiénes se comunicarán los datos) y transferencias internacionales en su caso. Además, también contiene, el nombre y los datos de contacto del responsable, y cuando proceda del corresponsable, del representante del responsable, y del Delegado de Protección de Datos. Los Encargados, además, deberán incluir en el Registro las categorías de actividades efectuadas por cuenta de un Responsable, como los datos de contacto, categorías de tratamientos y transferencias internacionales.

En el caso de ser necesario también se incluirán los ficheros de terceros, generalmente en estos se almacenan la información de los ficheros de los clientes de la empresa, esto se suele dar en Asesorías fiscales o laborales, en empresas de marketing, en empresas de hosting o de mantenimiento informático entre otras.

Se describen también las medidas de seguridad, tano de carácter técnico como organizativo que ha dispuesto la empresa para hacer frente a los riesgos que presenta cada tratamiento de datos.

Informe de la estructura técnica y organizativa:

En este informe se incluye:

• Creación de perfiles de usuario.

A cada usuario se le asignan sus funciones y se define el acceso a los ficheros según su puesto de trabajo, otorgándose los distintos privilegios.

• Relación del personal de la organización, tanto de usuarios autorizados como los no autorizados
• Definición de los Sistemas de Información.

Se indican cómo son los distintos centros de trabajo, la descripción física de los lugares de almacenamiento, tanto de ficheros automatizados como manuales, incluido el mobiliario, incluyendo las medidas de seguridad físicas que se han provisto como la existencia de alarma, extintores, puertas de seguridad, dispositivos dotados de mecanismos de apertura con llave, …

Inventario del equipamiento automatizado, ordenadores, impresoras, smartphones, faxes, escáner, switches, routers, cámaras de videovigilancia u otros.

Inventario de las aplicaciones informáticas que tratan datos y de herramientas de seguridad informática.

Inventario de soportes automatizados y no automatizados. Ponemos a disposición del cliente un procedimiento automatizado de gestión de soportes permitiendo la identificación de los procedimientos llevados a cabo para etiquetar los soportes. El modelo de inventario permite la localización de los distintos recintos y dispositivos donde se ubican los soportes, indicando sus medidas de seguridad, como por ejemplo si el dispositivo dispone o no de algún mecanismo de cierre y apertura.

Si fuera necesario, se creará un procedimiento para registrar la entrada y salida de soporte.

Informe de la Evaluación de Riesgos:

En este informe se determinan los activos, las amenazas, las medidas de seguridad existentes, los riesgos considerados según la probabilidad y el impacto, las medidas de seguridad recomendadas para reducir los riesgos y la definición de los riesgos residuales resultantes. que deben ser mitigados con nuevas medidas.

Informe de la Evaluación de Impacto de Protección de Datos

El artículo 35.7 del RGPD establece que la evaluación de impacto de protección de datos debe incluir como mínimo la descripción sistemática de las operaciones de tratamiento, así como la evaluación de su necesidad y proporcionalidad con respecto a su finalidad, una evaluación de los riesgos para los derechos y libertades de los interesados, y por último las medidas previstas para garantizar la protección de datos personales.

En consecuencia, el informe final de EIPD que ARCODADOS realizará para la organización que lo necesite reflejará con claridad todos estos aspectos, de manera que podamos cumplir con el principio de “accountability” o responsabilidad proactiva

Documentos de nombramientos de responsabilidades:

Elaboramos documentos para nombrar a las personas a las que se les atribuyan las distintas funciones relacionadas con la protección de datos, como el Delegado de Protección de Datos, Responsable de Seguridad, Comité de Privacidad, Administrador de Sistemas, Responsable de atender los derechos de los interesados y otros en función de la dimensión de la entidad que se esté adaptando.

Los casos en los que debe designarse un Delegado de Protección de Datos (DPO, o DPP) están definidos en el art. 37 RGPD quedan obligados a ello los organismos públicos, los responsables o encargados cuyas actividades principales del tratamiento requieran una observación habitual y sistemática de interesados a gran escala, o bien, que consistan en el tratamiento a gran escala de categorías especiales de datos o de tratamientos de datos relativos a condenas e infracciones penales.

Además, el art. 34 LOPDGDD incluye casos concretos donde resulta obligada la designación de un Delegado de Protección de datos, entre otros los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como los centros sanitarios legalmente obligados al mantenimiento de historias clínicas de los pacientes, a excepción de aquellos que lo ejerzan a título individual

Edición de los compromisos de confidencialidad

Estos documentos se firman con los usuarios que acceden a los datos y en ellos se indican su obligación de guardar secreto.

También se elaboran otros documentos para aquellos trabajadores que no acceden a datos, pero que realizan funciones dentro de la empresa y podrían tener a su alcance cierta información en momentos determinados.

Política de seguridad en la organización

Estos documentos informan sobre las funciones y obligaciones que tienen los usuarios en materia de protección de datos, así como los procedimientos de seguridad y de información a los interesados: En su contenido:

1. Se explican conceptos de la estructura del tratamiento, categorías de datos, principios, consentimiento del tratamiento de datos, información del tratamiento a los interesados, conocer quiénes ostentan la figura de responsable, encargado y destinatario.
2. También se da a conocer cómo se organiza la información en la empresa, cómo se deben conservar los datos, de qué manera se accede a la información evitando que no lo sean tratados por personas no autorizadas, cómo se transporten los soportes, cómo se eliminan los documentos, cómo organizar la información para que se realicen copias de seguridad, cómo se gestionan las incidencias y qué medidas de seguridad de seguir durante el tratamiento de los datos.
3. Se especifican qué obligaciones tienen, como la de guardar confidencialidad, y qué actuaciones están prohibidas respecto a la utilización de los sistemas informáticos, protección de contraseñas personales, acceso a redes informáticas, recursos telemáticos y acceso a internet, utilización de correo electrónico y mensajería, tratamiento de la información y acceso a recursos de la empresa.

Prestadores de servicios con o sin acceso a datos

Encargados de tratamiento de ficheros con acceso a datos.

Se relaciona cada una de las empresas externas que pueden tener acceso a los ficheros de la empresa indicando cuáles son y qué tipo de servicio se presta. Los encargados de tratamiento más usuales son las asesorías fiscales, asesorías laborales, sociedades de prevención de riesgos laborales, empresas de mantenimiento de equipos o aplicaciones informáticas, empresas con servicio de hosting, …

Edición de contratos de acceso a datos por cuenta de terceros (art. 28 RGPD) exponiendo las responsabilidades que en materia de seguridad asume el encargado de tratamiento.

Prestadores de servicios sin acceso a datos.

Se relaciona cada una de las empresas externas que pueden tener acceso a las instalaciones de la empresa y que no acceden a datos indicando el servicio que se contrata. Las más habituales son empresas de limpieza, empresas de vigilancia, mantenimiento de fotocopiadoras…

Edición de contratos exponiendo las responsabilidades que en materia de seguridad asume el prestador del servicio para que sus trabajadores no accedan a datos.

Incidencias

Se establece un procedimiento para gestionar las incidencias, tanto para identificarlas como para comunicarlas al responsable, además se crea un registro donde se deben almacenar.

Cláusulas legales

La recogida de la información de una forma correcta resulta fundamental, por eso se editan las cláusulas apropiadas para cada tipo de empresa según su actividad.

Se incluyen cláusulas para la incorporación en cada caso de contratos con los clientes, matrículas de los alumnos, fichas de pacientes, solicitudes de información…; en estas cláusulas se diferencian aquellas que son meramente informativas y aquellas que necesitan del consentimiento del interesado.

Se editan también cláusulas para la inclusión en todos los documentos que incorporen datos de carácter personal, como albaranes, partes de trabajo y facturas, para el envío de correos electrónicos e incluso para los contratos con los trabajadores.

También se debe incorporar la cláusula oportuna en la recogida de datos a través de formularios integrados en webs, recabando el consentimiento del interesado en la “política de privacidad” o “política de protección de datos”.

Las cláusulas deberán recoger toda la información señalada en el artículo 13 RGPD cuando los datos se obtengan del interesado, y en el artículo 14 cuando no hayan obtenido del interesado directamente.

Carteles informativos

Entregamos al cliente un cartel para colocarlo en un lugar visible de las instalaciones, en él se indica que la empresa cumple con la normativa de protección de datos personales, y se incluye la información que indica el art. 13 y 14 del RGPD, para que los interesados puedan conocer quién es el responsable, cuál es la base legítima que permite el tratamiento de sus datos, a quién se pueden ceder sus datos, cuál es su periodo de conservación, cuál es el origen o la procedencia de los datos, qué derechos de protección de datos tiene (retirar el consentimiento, acceso, modificación, rectificación, oposición, portabilidad, limitación y a ejercer una reclamación en la autoridad de control), a la vez que informa al afectado que puede ejercer sus derechos de protección de datos en la dirección que indique la empresa.

En el supuesto de que existan cámaras de videovigilancia se entrega otro cartel donde se avisa su instalación, y de todo lo anterior.

Plantillas para ejercer los derechos de protección de datos

Los INTERESADOS tienen derecho a ser informados del tratamiento de sus datos personales, de manera que los Responsables deben garantizar sus derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y a retirar en consentimiento en el supuesto de que éste sea la base que legitima el tratamiento.

Facilitamos a nuestros clientes plantillas para que puedan cursar las peticiones de derechos de los interesados, además, dispondrán de un registro para almacenarlas.

CONTROLES PERIÓDICOS

La gestión de riesgos es un proceso cuyo objetivo es proteger los datos de carácter personal de una organización, y para ello se debe conocer con profundidad cuáles son los tratamientos implicados, qué amenazas y riesgos existen y cuáles son las medidas para mitigarlos. Se trata de un proceso continuo, de manera, que siempre se ha de estar en alerta comprobando si existen nuevos tratamientos y activos, nuevas amenazas y nuevas medidas conducentes a mejorar la protección de los datos personales.

Los cambios que pueden producirse en cada entidad son muy diversos, algunos de ellos puede que afecten a los sistemas de información o a sus procedimientos, a los equipamientos, recintos o dispositivos, a nuevas formas de recoger la información, a la inclusión de nuevos datos en los ficheros, a las relaciones con los encargados de tratamiento, a los permisos de acceso de los usuarios incluida su alta y eliminación, a la inclusión de nuevos soportes de almacenamiento de datos…

El coordinador de la protección de datos en la empresa deberá vigilar cuando se producen estas alteraciones, de forma que se comuniquen al consultor y éste proceda a realzar las acciones que sean necesarias, como por ejemplo la creación de un contrato con un encargado de tratamiento nuevo o la edición de un compromiso de confidencialidad ante el alta de un nuevo trabajador.

En función del análisis de riesgos resultante en la entidad se propondrá la periodicidad con la que se deberá realizar una AUDITORÍA completa sobre el cumplimiento de las normativas de privacidad, tanto del Reglamento General de Protección de Datos como de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.

En la auditoría se identificarán las irregularidades y se propondrán las medidas correctoras o complementarias que sean necesarias. Además deberá mencionarse cuáles han sido los hechos en los que se han basado los diagnósticos o qué estrategia de verificación se ha seguido.

Los informes de auditoría que elabora Arcodatos son exhaustivas, están muy documentadas y son de gran calidad, pormenorizando todos los aspectos posibles incluyendo referencias legales y propuestas de distintas soluciones.