5 Pasos para la transición al RGPD

unioneuropea.jpg

Avanza la cuenta atrás para el inicio de aplicación del Reglamento General de Protección de Datos (RGPD), y parece que el tiempo pasa cada vez más rápido. El 25 de mayo de 2018 no está tan lejos como parece, especialmente cuando los deberes hay que hacerlos antes de esa fecha, y no a partir de entonces.

Debemos decir de entrada que los trabajos para adaptarse al RGPD conviene abordarlos como un proceso, ya que requerirá conocimiento (de las novedades normativas), mucho análisis (de la situación de partida de la empresa u organización y de las implicaciones sobre la misma del nuevo marco legal) y, por último, una planificación de las acciones a implementar.

Por otra parte, el proceso de adaptación será diverso en función del tipo de tratamientos, la naturaleza de los datos, el sector de actividad, etc., por lo que cada organización deberá seguir su propio camino adaptado a sus necesidades.

No obstante, podemos identificar algunos pasos a dar en la transición al RGPD que pueden ser comunes a toda organización que trate datos personales. Se trata de los siguientes:

Paso 1 - Asesorarse sobre las novedades del RGPD

El primer paso recomendable es conocer las novedades introducidas por el RGPD, en aspectos como:

  • nuevos principios relativos al tratamiento
  • nuevos derechos de los interesados
  • nuevas obligaciones para los responsables y encargados del tratamiento

No sólo se trata de conocer lo que recoge el RGPD y no regulaba la LOPD, sino también aquellos aspectos que ya contemplaba la LOPD pero que han sido modificados por el RGPD.

En especial, interesa conocer el principio de responsabilidad proactiva y el cambio de enfoque que supone a la hora de abordar el cumplimiento de la normativa de protección de datos (imponiéndose ahora la prevención frente a la reacción).

Paso 2 - Identificar los tratamientos de datos

Es esta una tarea fundamental a llevar a cabo, ya que sin conocer en profundidad el tipo de datos que trata la organización y las operaciones a las que se someten, no es posible determinar en qué medida le afectan las novedades normativas, ni cabe abordar con garantías el proceso de adaptación.

Para ello, debería someterse a revisión y actualización la previa estructura de Ficheros que ya tuviera identificada la organización, y documentar todos los aspectos relativos a los tratamientos de datos existentes: naturaleza de los datos, colectivos afectados, finalidades, fuente de los datos, cesiones y transferencias, usuarios con acceso, sistemas de información involucrados, etc.

Paso 3 - Evaluar los riesgos

Otro ejercicio imprescindible que toda organización habrá de llevar a cabo consiste en evaluar los riesgos asociados a los tratamientos de datos que realice. Dicha evaluación, que será más o menos compleja según los datos que maneje la organización, permitirá establecer las medidas de seguridad que resulten apropiadas para garantizar la integridad, confidencialidad y disponibilidad de la información. Por tanto, se pasa de un modelo en el que las medidas de seguridad estaban predeterminadas por la normativa, a otro en el que la seguridad se deberá diseñar a la medida de los riesgos de cada organización.

Por otra parte, el análisis de riesgos formará parte de las operaciones incluidas en la denominada evaluación de impacto relativa a la protección de datos, que será obligatoria para organizaciones que llevan a cabo tratamientos de alto riesgo para los derechos de los interesados. 

Paso 4 - Determinar las medidas de responsabilidad activa

El RGPD regula un catálogo de medidas, llamadas de responsabilidad activa, que serán aplicables por las organizaciones para garantizar que los tratamientos de datos que realizan se adecúan al Reglamento y, además, para estar en condiciones de demostrar la eficacia de dichas medidas.

Una vez más, las medidas concretas de responsabilidad activa a implementar no serán las mismas para todos, sino que cada organización deberá determinar las que responden al tipo de tratamientos que realiza. 

Dicha determinación podrá realizarse una vez la organización haya culminado las fases 2-3 (identificación de tratamientos y evaluación de riesgos), pudiendo incluir:

  • Registro de actividades del tratamiento
  • Protección de datos desde el diseño y por defecto
  • Medidas técnicas y organizativas de seguridad
  • Procedimiento para notificación de brechas de seguridad
  • Evaluaciones de impacto sobre la protección de datos y consulta previa
  • Nombramiento de un Delegado de Protección de Datos

Además de las medidas de responsabilidad activa, habrá que abordar el cumplimiento de aquellas obligaciones que ya establecía la LOPD, pero que el RGPD modifica, como la redacción de nuevas leyendas informativas, la obtención de consentimientos inequívocos que sustituyan a los otorgados tácitamente o la formalización de nuevos contratos de encargo con proveedores de servicios externos. Sin olvidar, claro está, la implementación de los nuevos principios establecidos por el RGPD, como la minimización de datos y la portabilidad.

Paso 5 - Planificar

Lógicamente, realizar los trabajos que conllevan estos pasos previos exige tiempo y dedicación, por lo que conviene dejar a un lado la tradición nacional de dejarlo para el último día, y planificar con tiempo el proceso a seguir.

En resumen: Información, Conocimiento, Análisis, Planificación y Ejecución.