Ausape, la asociación que aglutina a la mayor parte de clientes y partners de SAP en España, ha organizado desde principios de año doce jornadas sobre los requerimientos legales del Reglamento General de Protección de Datos de la Unión Europea, que empezará a aplicarse el próximo 25 de mayo.
Ausape y sus asesores legales han preparado un decálogo con los principales puntos que tienen que tener en cuenta empresas e instituciones para poder adecuarse a esta normativa:
1. Registro de actividades del tratamiento de los datos: GDPR exige la elaboración de estos registros y, por tanto, es necesario determinar cuáles son los tratamientos que se están realizando, partiendo de los ficheros actualmente notificados en la Agencia Española de Protección de Datos y otros que se puedan estar llevando a cabo.
2. Consentimientos no tácitos: una vez concluido este primer paso, hay que concretar cuáles son las bases de licitud del tratamiento de los datos (pueden ser por consentimiento, contrato, ley, interés legítimo), e identificar si existen en la compañía tratamiento de datos basados en el consentimiento tácito. En ese caso, habrá que volver a pedir el consentimiento de estos tratamientos, ya que GDPR exige que sea mediante una manifestación de voluntad de la persona interesada.
3. Información clara y sencilla: se deben revisar las leyendas informativas utilizadas en los medios de recogida de datos (documentos en papel, formularios web, contratos, escritos, etc.), para adecuarlas a las nuevas exigencias informativas de GPDR, utilizando un lenguaje sencillo y claro.
4. Derechos: es importante actualizar los procedimientos para atender los derechos de los ciudadanos o interesados ya existentes en anteriores normas, como son los de acceso, rectificación, cancelación y oposición, incluyendo los nuevos derechos, como el de limitación y el de portabilidad, así como los medios que se ofrecen a los interesados para poder solicitar estos derechos (documento papel, email, perfil del usuario, etc.).
5. Cumplimiento proactivo: las compañías tienen que establecer políticas y procedimientos desde el diseño y por defecto para determinar qué medidas son adecuadas.
6. Análisis de riesgos: las empresas que manejan datos personales deben realizar un análisis de riesgos, como responsables del tratamiento, para establecer las medidas organizativas y técnicas a utilizar.
7. Evaluaciones de impacto: asimismo, las compañías que llevan a cabo tratamientos que implican un alto riesgo para la protección de datos, están obligadas a realizar una evaluación de impacto. Su objetivo es determinar si los medios, necesidad y proporcionalidad del tratamiento no suponen un riesgo para los derechos y libertades de los interesados, porque en tal caso habrá que consultar con la Agencia Española de Protección de Datos.
8. Delegado de Protección de Datos: las organizaciones deberán nombrar un delegado de protección de datos, ya sea alguien interno o externo de la empresa, cuando se realicen determinados tratamientos de datos (a gran escala, categoría especial, etc.). Esta nueva figura deberá supervisar y asesorar sobre el cumplimiento de GDPR.
9. Encargado del tratamiento: en el caso de que las compañías hayan optado por el uso de servicios cloud o hayan externalizado servicios que impliquen tratamientos de datos, se deberá garantizar que los proveedores cumplen GDPR y revisar los contratos firmados, ya que la organización contratante sigue siendo, en todo caso, la responsable de dicho tratamiento.
10.Transferencias internacionales de datos: para exportar datos fuera de la Unión Europea habrá que considerar si se trata de un paises con protección equiparable a la europea, si hay garantías en la transferencia o si existe alguna excepción que incluya la normativa.
