martes 27 febrero 2024

El checklist de 12 puntos para asegurarnos de que cumplimos con el GDPR

El ICO británico (Information Commissioner’s Office) ha elaborado una suerte de ‘checklist’ de 12 puntos clave a examinar con detalle de aquí a mayo para el cumplimiento del GDPR que van desde la creación de la figura del CPO hasta la protección por diseño o las solicitudes de acceso.

Lo llevamos advirtiendo desde hace ya varios meses en TICbeat: el próximo 25 de mayo entra en vigor el Reglamento General de Protección de Datos (GDPR), una nueva normativa a escala europea que promete mejoras significativas en la forma en que los ciudadanos del Viejo Continente accedemos y compartimos nuestra información personal almacenada en los servidores de las grandes compañías pero, también, en la manera en que estas compañías manejan y protegen estos datos tan sensibles de potenciales filtraciones o ciberataques.

Entre otras medidas se incluyen la protección del derecho al olvido o a la portabilidad de datos, pero también se obliga a las empresas a adoptar la privacidad por diseño, a informar de cualquier vulneración de su información confidencial en un plazo máximo o a comunicar con transparencia de situaciones de riesgo a los propios consumidores. El incumplimiento de estas premisas puede acarrear sanciones de hasta 20 millones de euros o el 4% del volumen de negocio total anual del ejercicio financiero anterior.

Un buen motivo, sin duda, para asegurarnos de que nuestra organización cumple a la perfección con todas las áreas de gobernanza de datos a las que el GDPRatañe. Hacer, en definitiva, una suerte de auditoría interna de los activos, recursos y procesos que tendrán que adaptarse a la nueva regulación.

Para guiarnos en este proceso de autodescubrimiento y análisis introspectivo, el ICO británico (Information Commissioner’s Office) ha elaborado una suerte de‘checklist’ de 12 puntos clave a examinar con detalle de aquí a mayo:

1. Conciencia

Protection background. Technology security, encode and decrypt, techno scheme, vector illustration

Debemos asegurarnos de que los responsables de la toma de decisiones y las personas clave en la organización es consciente de que la llegada del GDPR: necesitan para apreciar el impacto que esto probablemente tendrá e identificar áreas que podrían causar problemas de cumplimiento bajo el GDPR. Sería útil comenzar mirando el registro de riesgos de la organización y asegurarnos de que los equipos y recursos disponibles son los correctos y necesarios.

2. La información que tenemos

Analyzing data, Businessman working and checking market data in office, hand pointing on the data presented in the chart on tablet

Ahora tendremos más motivos que nunca para documentar qué datos personales tenemos, de dónde vinieron y con quién los compartimos. Es posible que debamos realizar una auditoría de información en toda la organización o dentro de áreas comerciales particulares. Recordemos que el GDPR requiere que mantengamos registros de todas las actividades de procesamiento. Algo fundamental no sólo para garantizar que tenemos los datos de los usuarios actualizados sino también para cumplir con el principio de responsabilidad del GDPR, que requiere que las organizaciones sean capaz de demostrar cómo cumplen con los principios de protección de datos al contar con políticas y procedimientos efectivos.

3. Cómo comunicar la información sobre privacidad

También debemos revisar los avisos de privacidad actuales y establecer un plan para hacer los cambios necesarios a tiempo para la implementación del GDPR. Cuando recolectamos datos personales, actualmente tenemos que darle a la gente cierta información, como nuestra identidad y cómo pensamos usar su información. Esto generalmente se hace a través de un aviso de privacidad. Bajo el GDPR hay algunas cosas adicionales que tendremos que comunicarle a la gente como, por ejemplo, la base legal para procesar los datos, los períodos de almacenamiento de los datos o que las personas tienen derecho a quejarse al regulador de turno si creen que hay un problema con la forma en que se manejan sus datos.

4. Derechos individuales

Debemos verificar todos nuestros procedimientos para asegurarnos de que cubren todos los derechos los usuarios, incluida la forma en que podrían eliminar los datos personales o proporcionarlos de vuelta de forma electrónica y en un formato de uso común. Entre otros derechos deberemos prestar especial atención a los de estar informado, de acceso, a la rectificación, a borrar, a restringir el procesamiento, a la portabilidad de datos, a objetar, y a no estar sujeto a la toma de decisiones automática.

5. Solicitudes de acceso

Man creating statistics in modern office. He working on digital devices while sitting at table and turning back to camera

En base al GDPR también tenemos que actualizar nuestros procedimientos y planificar cómo gestionaremos las solicitudes de acceso de los usuarios. En la mayoría de los casos, no podremos cobrar por cumplir con un solicitud y tendremos un mes para dar respuesta positiva, en lugar de los 40 días actuales. Lo que sí recoge el Reglamento es que podamos rechazar o cobrar por solicitudes que son manifiestamente infundadas o excesivas. Igualmente, si se rechaza una solicitud, ha de decirse a la persona por qué y que tienen derecho a presentar una queja ante la autoridad de control y a un proceso judicial.

6. Base legal para procesar datos personales

Por otro lado, debemos identificar la base legal para nuestra actividad de procesamiento dentro del GDPR, documentando y actualizando el aviso de privacidad para explicarlo. Y es que, bajo el nuevo Reglamento, los derechos de algunos individuos se modificarán dependiendo de su base legal para procesar sus datos personales. El ejemplo más obvio es que las personas tendrán un derecho más fuerte para que sus datos sean eliminados en aquellos casos en que se usa el consentimiento como base legal para el procesamiento.

7. Consentimiento

El GDPR también nos obliga a revisar cómo busca, registra y gestiona el consentimiento. Según la nueva norma, el consentimiento debe ser otorgado libremente, específico, informado y no ambiguo. Ahí nos encontramos ante una aceptación positiva; en tanto que el consentimiento no puede inferirse del silencio, cuadros marcados o inactividad. También debe estar separado de otros términos y condiciones, y tendrá que presentar formas simples para que la gente se retire consentimiento.

8. Menores

Privacy. Security of personal data. Internet concept. Data Protection.

Por primera vez, el GDPR traerá protección especial para los datos personales de menores de edad, particularmente en el contexto de servicios comerciales de Internet como las redes sociales. En el caso de que nuestros servicios online vayan dirigidos a este público, es posible que necesitemos que un padre o tutor de su consentimiento para procesar los datos personales del infante de manera legal. De acuerdo al GDPR, la edad en que un niño puede dar su consentimiento a este procesamiento son los 16 años (aunque esto puede reducirse a un mínimo de 13 en el Reino Unido). Si un niño es más joven, entonces necesitará sí o sí el consentimiento de uno de sus padres o tutores y, por nuestra parte (como empresa), estaremos obligados a verificar dicha identidad.

9. Infracciones de datos

lot of connections between avatars of men and women and increasing numbers of relationships or friends

Así mismo, hemos de asegurarnos de tener los procedimientos correctos para detectar, informar e investigar una violación de datos personales. El GDPR introduce la obligación en todas las organizaciones de informar de cualquier violación de información sensible a las autoridades y, en algunos casos, a los propios consumidores. Una obligatoriedad que se extiende a todas las situaciones en que haya un riesgopara los derechos y libertades de las personas, como discriminación, daño a la reputación, pérdida financiera, pérdida de confidencialidad o cualquier otra desventaja económica o social significativa.

10. Protección de datos por diseño e impacto de la protección de datos

La privacidad por diseño es la principal novedad del GDPR en materia de prevención a la hora de proteger a los consumidores europeos, junto a las evaluaciones de impacto o la figura del DPO (Data Protection Officer).  Para ser más exactos, este precepto está recogido en el artículo 25 del Reglamento General de Protección de Datos y especifica que las empresas deben incorporar medidas técnicas que protejan la privacidad en el propio diseño de los sistemas TIC y de las aplicaciones, así como a que solo se almacene o procese la cantidad mínima de datos personales que sean estrictamente necesarios.

11. Data Protection Officer (DPO)

Conviene aclarar que el Data Protection Officer es una figura necesaria para las entidades, empresas, instituciones o cualquier agente que procese datos personales. Si bien en la práctica sería la persona ocupada de las cuestiones sobre protección de datos y privacidad, su designación no exime a la propia institución u organización de responsabilidad de cuanto se haga con los datos de las personas ni del cumplimiento de las normas del GDPR. Es un cargo obligatorio en caso de ser una autoridad pública, organizaciones dedicadas como actividad principal a la gestión o monitorización de datos personales y aquellas que traten con información sensible (salud, criminalidad).

12. Escala internacional

Cork, Ireland

Si nuestra empresa opera en más de un estado miembro de la UE, tendremos además que determinar qué autoridad supervisora ​​de protección de datos nos compete y documentarlo correctamente. Será, por defecto, aquella en donde tengamos nuestra sede principal o bien el lugar donde llevemos a cabo las decisiones en materia de gestión de datos, que no tiene que ser necesariamente el emplazamiento donde tengamos nuestro centro de datos o los sistemas tecnológicos de recopilación, procesamiento y análisis de la información.(TB).


About us

Welcome to the official Phoenix Medios page, featuring the latest global news, as well as exclusive interviews. A trusted source for news and information. Phoenix Medios is proud of bringing unforgettable news from all over the world.



Who we are

Phoenix Medios THE NEWSPAPER
We are independent, impartial and honest.
We respect each other and celebrate our diversity so that everyone can give their best.

Living Smart



Contact us

Help us make your comments count. Use our contacto@phoenixmedios.press to send us your comments, suggestions, denunciations, images and videos.


Contact us
Scroll Up