El RGPD: Preguntas y respuestas correctas
Hablar de la adaptación a la protección de datos a día de hoy, aún provoca preguntas de como gestionarlo y a quién dirigirse.
Cuestiones como ¿me supondrá un gasto elevado?, soy autónomo y no tengo empleados, ¿no es necesario cumplir, verdad?, ¿por qué ahora?, si no cumplo ¿me pueden sancionar con una multa? Esas preguntas no son las que te debes hacer, sino asegurarte que la consultora que te va a resolver este «lío legislativo» te ofrece una solución integral para resolver todos los problemas que se presenten.
Concienciación de la importancia de cumplir
Una de las claves es concienciarse de la importancia de cumplir con la legislación vigente. En caso contrario se pone en entredicho la seguridad de la información.
Las personas que forman la empresa deben tener asimilado la importancia de proteger los datos personales, por tanto, deben conocer las políticas a seguir para actuar en situaciones específicas.
Garantizar el cumplimiento normativo
Cualquier empresa debe trazar el camino que le garantice el cumplimiento de la ley y pueda acreditar convenientemente, ante la autoridad de control (Agencia Española de Protección de Datos), dicho cumplimiento.
Está claro que el camino no es igual para todas las empresas, pero sí existen unas cuestiones que deben ser analizadas, revisadas y controladas. Es importante que desde la empresa se aseguren de estar en una situación que requiere de ese esfuerzo.
Las preguntas correctas
¿Qué debo hacer? y ¿cómo acredito que cumplo?, son los dos interrogantes en busca de una implantación adecuada.
¿Responsable del tratamiento vs Encargado del tratamiento?
Dos figuras esenciales. Los primeros deben firmar con los segundos el contrato de encargo de tratamiento y deben exigirles que acrediten el cumplimiento de la protección de datos (cuestionario de valoración).
¿Registro de Actividades del Tratamiento y Análisis de Riesgos?
La empresa debe documentar como recoge, procesa, almacena los datos, y las medidas de seguridad para prevenir brechas de seguridad. Con ello, el Registro de todas las actividades que impliquen un tratamiento de datos (RAT), que se debe actualizar y un estudio (AR) de los activos a proteger y las amenazas que los ponen en peligro.
¿Deber de información?
El titular de los datos debe conocer en todo momento el tratamiento de los mismos. Es un deber principal que debe cumplir y acreditar cualquier empresa, tanto para los clientes (facturas, e-mail…) como para los empleados (comunicación de cámaras de videovigilancia, comunicación de control temporal de temperatura…). Igualmente los trabajadores deben cumplir con la obligación de confidencialidad.
¿Consentimientos?
Si la empresa necesita que el interesado manifiesta su voluntad en relación a alguna actividad de tratamiento cuya base legal sea el consentimiento del interesado es importante recabarlo de forma correcta y ofrecer la manera para que el interesado revoque el mismo.