Evaluación de Impacto
“Cuando su empresa crece, su responsabilidad también”
La Evaluación de Impacto en la Protección de Datos Personales es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos. El análisis de riesgos para un determinado tratamiento permite identificar los riesgos que se ciernen sobre los datos de los interesados y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.
Como corresponde al responsable del tratamiento la obligación de realizar la Evaluación de Impacto de la Protección de Datos (EIPD), DATAPROTEC & AUDITORES, de realizar una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones, sin que esto exima del cumplimiento de sus obligaciones al responsable del tratamiento, que debe asegurar que esta se haga de forma adecuada y se implanten los controles y medidas de control resultantes de la evaluación.
El RGPD mantiene el principio de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. Hay que destacar que en ese sentido el RGPD no implica cambios para los responsables del tratamiento de datos, pues también recoge las mismas bases jurídicas que contenía la Directiva que éste deroga y que reproduce la actual LOPDYGDD, a saber:
- Consentimiento.
- Relación contractual.
- Intereses vitales del interesado o de otras personas.
- Cumplimiento de una obligación legal para el responsable.
- Interés público o ejercicio de poderes públicos.
- Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
- Aumento en los derechos del interesado: derechos de acceso, rectificación, supresión, portabilidad de los datos, la limitación u oposición a su tratamiento y a retirar el consentimiento prestado.
La peor consecuencia para las entidades que no cumplan o infrinjan la normativa son las graves sanciones a las que se enfrentan, inclusive la clausura de las mismas.
Las infracciones actuales, al igual que la anterior LOPD, se categorizan en leves, graves y muy graves, estableciéndose una prescripción de las mismas de 1, 2 y 3 años respectivamente. A modo de ejemplo, se puede cometer alguna de las siguientes infracciones:
- Infracciones muy graves: incumplimiento del deber de información o incumplimiento del bloqueo de datos.
- Infracciones graves: subcontratación de un encargado de tratamiento por otro sin consentimiento del responsable o no atención reiterada de los derechos de los interesados.
- Infracciones leves: no publicación de datos de contacto del DPO o Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del RGPD.
Por otro lado, la atribución de importes para las sanciones, en función de lo establecido en la LOPD-GDD, y en base a su categorización será:
- Para las infracciones muy graves, un importe superior a 300.000 euros.
- Para las infracciones graves, un importe entre 40.001 y 300.000 euros.
- Para las infracciones leves, un importe igual o inferior a 40.000 euro
Se debe tener en cuenta, asimismo, que las empresas de mayor facturación podrían recibir una sanción de hasta el 4 % de su volumen de negocio anual en todo el mundo o de 20 millones de euros.
En cuanto a la prescripción de sanciones, su plazo comienza al día siguiente al que sea ejecutable la resolución que la impone, siendo dichos plazos iguales en tiempo que los plazos de prescripción de las infracciones.
Las páginas webs y tiendas online están obligadas a mostrar avisos relativos a la protección de los datos personales de los usuarios según las normativas actualmente vigentes que se detallan a continuación:
- Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Sí, tiene que adaptarse, ya que los procedimientos entre ambos textos legales han cambiado.
A continuación, se resaltan las principales novedades del RGPD respecto a la anterior LOPD:
- En la LOPD no había requisitos sobre algunos aspectos que sí recoge el RGPD, como, por ejemplo, la actual obligación de evaluar el impacto que sobre la privacidad tiene el uso de los datos personales, o la obligación de minimizar los datos, esto es, recabar los estrictamente necesarios para los fines explicitados al usuario.
- El RGPD nos obliga a no tratar estos datos personales durante más tiempo del necesario para los fines del tratamiento.
- El RGPD nos obliga a hacer un análisis del riesgo al que están expuestos nuestros datos y a tomar medidas técnicas u organizativas adecuadas al riesgo que conlleva el tratamiento. En ciertos casos, además, es obligatorio llevar un registro interno de actividades de tratamiento.
- Al deber de información de la antigua LOPD se le suma la obligación de comunicar una serie de aspectos sobre el tratamiento de los datos de nuestros usuarios.
- Mientras que la LOPD asumía que el consentimiento de los usuarios podía ser tácito o por omisión, el RGPD exige que el consentimiento sea expreso. Además, el consentimiento de los menores pasa a limitarse a 14 años (en España).
- Las sanciones también han sido modificadas. Las empresas de mayor volumen pueden recibir una sanción de hasta el 4 % de su volumen de negocio anual en todo el mundo o de 20 millones de euros
- Pero no todo es apretar, si bien con la LOPD había que notificar a la AEPD todos los cambios que se realizaban en las características de los ficheros, ahora no es necesario hacerlo.
- Y cuidado, si con la LOPD eran las autoridades de control (la AEPD) las que garantizaban el cumplimiento de la normativa, ahora con el RGPD somos nosotros los que garantizamos esto. De hecho, en determinados supuestos hay que nombrar un delegado de protección de datos (DPO)de la empresa.
Según la legislación vigente en materia de protección de Datos, todas y cada una de las empresas, asociaciones, Pymes, autónomos y entidades que recaben y que traten datos de carácter personal para el normal desarrollo de su actividad comercial, así como para otros fines, tienen la obligación de cumplir con el RGPD Y LA LOPD-GDD.
Por ende, cualquier entidad que maneje datos de clientes, empleados, proveedores, asociados o de cualquier otra figura, sin cuyo manejo sería imposible desarrollar su actividad principal, quedará supeditado al cumplimiento de la citada normativa.
Como persona jurídica, es sumamente necesario entender que los datos personales de los clientes y empleados no les pertenecen, y como persona física es igualmente necesario saber cuándo, a quién y para qué se están ofreciendo datos personales.
Recopilamos toda la información necesaria y se establecerá el procedimiento de identificación y origen de los datos como se tratan, su finalidad y su categoría.
Se creará y adaptará el Registro de Actividades dependiendo de su finalidad y del tratamiento que tu empresa realice con los datos personales.
Se crearán y personalizarán los avisos legales específicos, avisos e-mails, avisos de facturas y presupuestos consentimientos, contratos de encargados de tratamiento y documentos necesarios que afectan a la política de seguridad.
Contamos con personal cualificado para las funciones de DPO, para aquellas entidades que por su actividad, están obligadas a tener un DPO.
Se crearán y adaptara su web con los avisos legales, políticas de privacidad, formularios de contactos web y políticas de cookies.
