Podemos garantizarte que cuanto más pospongas la adaptación a la LOPD, más dolorosa será para tu empresa, en caso de que cometas algún error. La fecha límite es el 25 de mayo de 2018. A partir de ese día, será aplicable el Reglamento General de Protección de Datos (RGPD), una nueva normativa de ámbito europeo en vigor desde mayo de 2016 y que se suma a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).
Puedes pensar que esto no va con tu empresa o tienes tiempo para prepararte. Pero la STC 292/2000, de 20 de noviembre, definía un nuevo Derecho Fundamental de los ciudadanos: el relativo al poder de control y a la disposición sobre sus datos personales, sean públicos o no.
La LOPD y el RGPD
A continuación, te informamos acerca de por qué la protección de datos no se puede obviar en una empresa y, aunque la ley no te obliga a ello, deberías confiar en una consultoría de protección de datos, para adaptarte a la LOPD y asegurarte de que cumples a rajatabla con el RGPD y otras legislaciones relacionadas, como la LSSICE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico).
Para mayo, deberás haber hecho mucho trabajo ya. Tienes que adaptarte a la legislación para evitar las consecuencias de cualquier incumplimiento en el manejo de datos de carácter personal. Las multas son de una cuantía alta y algunas pueden ascender hasta los 20 millones de euros.
Uno de los requisitos más importantes es que las organizaciones deben designar un Responsable de Tratamiento de Datos (RT), que es la autoridad de la empresa responsable de supervisar todos los procesos y asegurarse de que cumplan con el RGPD en determinadas circunstancias.
Consultoría de protección de datos: Responsable de Tratamiento
El requisito de designar un RT es obligatorio en tres situaciones:
– Cuando el procesamiento lo lleva a cabo una autoridad pública (como servicios de transporte, suministro de agua y energía, infraestructura vial, radiodifusión, vivienda y órganos disciplinarios para profesiones reguladas. Excepción: los tribunales actúan en su capacidad judicial).
– Donde las actividades centrales de la organización requieren un monitoreo regular y sistemático de los sujetos de datos a gran escala (esto incluye, por ejemplo, el procesamiento de datos de clientes por parte de una compañía de seguros o un banco).
– Donde las actividades centrales involucran el procesamiento a gran escala de datos personales confidenciales. (por ejemplo, procesamiento de datos de pacientes por un hospital).
¿Quién puede ser el Responsable de Tratamiento?
Es posible que te preguntes: ¿debo contratar a una nueva persona para que sea RT?. La respuesta es: no, necesariamente. Este puesto puede ser desempeñado por un empleado que ya se encuentre en plantilla y, en muchos casos, desarrolla esa función junto a otras propias de la actividad para la que fue contratado.
Sin embargo, debes asegurarte de que sus tareas profesionales sean compatibles con sus nuevas funciones y no generen un conflicto de intereses. Además, te recomendamos que esta persona disponga del apoyo de una consultoría de protección de datos que le asesore y la mantenga actualizado sobre cualquier novedad.
Teniendo en cuenta sus responsabilidades y posición dentro de la organización, debe disponer de un amplio conocimiento legal de las regulaciones de protección de datos, pero eso no es suficiente por sí solo. También deben:
– Tener conocimientos y habilidades de seguridad de la información.
– Poder llevar a cabo e interpretar auditorías contra los requisitos de cumplimiento.
– Ser capaces de coordinar y asesorar sobre violaciones de datos y notificación.
– Estar familiarizados con los códigos de conducta para el sector industrial.
– Ser capaces de facilitar el proceso de respuesta a incidentes cibernéticos y brechas de seguridad.
Formación de los trabajadores
Si tu empresa maneja datos de carácter personal habitualmente, debes informar y asesorar al controlador o procesador y a tus empleados sobre sus obligaciones de cumplir con el RGPD y otras leyes de protección de datos. Para ello, una consultoría de protección de datos puede ayudarte en la organización de acciones formativas sobre esta materia.
También puede facilitar el monitoreo del cumplimiento del RGPD y de otras leyes de protección de datos, incluidas la gestión de actividades internas de protección de datos, capacitación del personal de procesamiento de datos y realización de auditorías internas.
Entre otras funciones de la consultoría, destacamos:
– Asesorar sobre las evaluaciones de impacto de la protección de datos cuando así lo exija el artículo 35.
– Trabajar y cooperar con la autoridad de supervisión designada por el controlador o el procesador y servir como punto de contacto para la autoridad supervisora en cuestiones relacionadas con el procesamiento de datos personales.
– Estar disponible para las consultas de los interesados sobre cuestiones relacionadas con las prácticas de protección de datos, la retirada del consentimiento, el derecho al olvido y los derechos relacionados.
La regulación indica que el RT debe tener un cierto nivel de independencia para coordinarse adecuadamente con la autoridad supervisora y los interesados y mantener el cumplimiento.
Otros factores a tener en cuenta
Todos estos factores deben tenerse en consideración a la hora de contratar un servicio profesional para la adaptación a la Ley de Protección de Datos. No basta con aplicar algunas reglas esenciales, sino que es necesario sistematizar una serie de procesos que garanticen el correcto tratamiento de la información, para que no se vulneren los derechos de los ciudadanos en una sociedad donde los datos de carácter personal pueden ser manejados de forma poco adecuada, si no se toman las medidas oportunas para evitarlo.
Para garantizar que esto se lleva a cabo de la forma correcta, es necesario contar con entidades fiables y conocedoras de la legislación en toda su extensión, preparadas para asesorar, informar, auditar, evaluar, formar al personal y garantizar una actuación óptima en caso de fallos o brechas de seguridad.
Obligación
La adaptación a la LOPD no es algo opcional, sino una obligación para garantizar los derechos de sus usuarios y la protección de los datos que les son confiados. Por eso, adaptarse a la LOPD exige a las empresas involucrarse en el conocimiento de la normativa vigente, ya sea por ellas mismas o con la participación de una consultoría de protección de datos que les facilite el trabajo y garantice una adaptación correcta.