Nuevo régimen de protección de datos: control de cumplimiento

El próximo 25 de mayo de 2018 entrará en vigor la nueva revisión de la normativa en materia de Protección de Datos. A partir de esa fecha el Reglamento (UE) 2016/679, pasará a ser directamente aplicable en el ordenamiento jurídico español. La nueva regulación contiene exigencias más estrictas que su predecesora. Para asegurar el adecuado cumplimiento con la nueva normativa, las organizaciones deben establecer mecanismos de control amplios. El principio de responsabilidad proactiva requiere que las organizaciones afectadas puedan acreditar el cumplimiento de las obligaciones derivadas de la nueva norma. El incumplimiento, por contra, puede implicar el abono de severas multas que ascienden hasta 20 millones de euros o al 4% del volumen de negocios. Por todo ello recomendamos encarecidamente prepararse con antelación siguiendo los siguientes pasos para asegurar el cumplimiento en mayo del 2018,

Información

Se debe obtener información sobre los nuevas exigencias reglamentarias y examinar su política en materia de tratamiento de datos.

Identificar el proceso de datos

Se han de identificar las áreas donde las actividades de tratamiento de datos ocurren con mayor frecuencia: habitualmente, recursos humanos, atención al cliente y marketing.

Análisis de los procesos

Cada proceso debe ser analizado individualmente para comprobar que se cumpla con los principios de la normativa sobre protección de datos. Además, las empresas deben identificar suficientemente la base legal para cada actividad de tratamiento. Siempre que el proceso se base en el consentimiento obtenido, se debe comprobar si se ha suministrado la información necesaria a los individuos afectados.

Análisis de los procesos internos

Tanto los procesos internos donde intervienen personas como los que se desarrollan a través de los sistemas informáticos deben ser revisados. Se deben definir medidas técnicas y organizativas para el aseguramiento de la protección de datos, así como para la determinación de responsabilidades. Las autoridades reguladoras exigen que los informes en materia de protección de datos escalen hasta la cúpula de las organizaciones empresariales. En relación a las medidas técnicas concretas a adoptar, se aconseja la consulta a un experto en sistemas informáticos para un adecuado asesoramiento.

Directrices y aclaraciones

En cuanto los procesos internos se hayan terminado de valorar, se deben aplicar las medidas técnicas y de organización correspondientes. Las empresas deben disponer especialmente de directrices de protección de datos para el tratamiento de datos de trabajadores y clientes. Igualmente deben existir instrucciones que expliquen la manera de proceder ante posibles incumplimientos y ante transferencias de datos a terceros. Además, la declaración de privacidad deberá ser creada (o en su caso, actualizada). Mediante ella se informa a las personas con las que se entra en contacto sobre el uso de sus datos personales.

Documentación

Para determinadas actividades se exigirá que se documenten los procedimientos de tratamiento de datos de manera obligatoria. Por ello, recomendamos documentar cada actividad de tratamiento de datos para cumplir con la obligación de responsabilidad proactiva que impone el reglamento.

Encargado de la protección de datos

Determinados tipos de empresas están obligadas a nombrar a un encargado de tratamiento de datos. Se ha de comprobar si ello concurre para su organización.

Sensibilización y formación

Los trabajadores con acceso a datos personales deben ser adecuadamente informados de las nuevas exigencias.

La supervisión y la seguridad son procesos continuos a los que se debe prestar mucha atención durante el proceso completo de tratamiento de datos.

Este resumen ofrece una visión general sobre los procesos de auditoría en materia de protección de datos. Para saber si el mismo podría ser aplicado a su organización se precisa un análisis concreto, caso por caso.

Los profesionales de nuestras diferentes oficinas están a su disposición para resolver cualquier duda en esta materia.