Conversia, la empresa líder en servicios de cumplimiento normativo para pymes y profesionales, ha creado un decálogo de las principales novedades del nuevo Reglamento General de Protección de Datos (UE) 2016/679 (RGPD), con el objetivo de promover la correcta adecuación a esta normativa, que fue de plena aplicación en todo el territorio europeo desde el pasado 25 de mayo. Dos años después de la aprobación del RGPD en el Parlamento Europeo, Conversia ya ha asesorado a más de 39.000 empresas, profesionales y entidades en referencia a los requerimientos en materia de protección de datos que establece este nuevo marco legal.
Conversia alerta que el nuevo RGPD significa un cambio muy importante para las empresas, profesionales y entidades, puesto que actualiza y refuerza los derechos de los ciudadanos sobre su información personal y cambia la forma en que las organizaciones deberán gestionar la protección de datos, debiendo adoptar medidas más conscientes, diligentes y proactivas.
Alfonso Corral, director general de Conversia: “Este nuevo escenario va a obligar a las empresas a realizar un cambio de mentalidad en la cultura de seguridad de los datos que gestionan. Por ello es muy importante tener una figura dentro o fuera de la empresa, que aporte asesoramiento especializado y que garantice la adecuación a la normativa de todas las actuaciones de la organización”.
Decálogo de Conversia de las principales novedades del RGPD para la correcta adecuación al nuevo marco legal europeo
- Creación de la figura del DPD. El Delegado de Protección de Datos (DPD) asume la misión de garantizar una correcta aplicación de la legislación en materia de protección de datos por parte de la empresa o entidad para la que preste sus servicios. La figura del Delegado de Protección de Datos puede estar integrada en plantilla o bien externalizarse sus servicios mediante una asesoría especializada, conforme a los supuestos que establece la normativa. Aunque en observancia de lo establecido por el WP29, el RGPD y la propia AEPD, no será exigible a todas las empresas o entidades, esta figura siempre será recomendable.
- Principios de transparencia y minimización. En la recogida de datos, el Responsable del Tratamiento (quien decide sobre la finalidad, contenido y uso del tratamiento de datos) debe informar al Interesado (persona física titular de los datos que sean objeto del tratamiento) de forma exhaustiva sobre la naturaleza del tratamiento y debe aportarle la información necesaria para posibilitar el ejercicio de sus derechos. Además, para cumplir el principio de minimización, deben recabarse solo los datos que sean necesarios para el fin que persigue un determinado tratamiento, así como establecer especial atención en los periodos de conservación de la información.
- Aplicación del concepto “ventanilla única”. Para que los Interesados puedan efectuar sus trámites, aunque estos afecten a Autoridades de Control de otros Estados miembro.
- Privacidad desde el diseño y por defecto. El Responsable del Tratamiento, debe considerar la privacidad embebida en el diseño del proyecto y aplicar las medidas apropiadas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales necesarios para cada uno de los fines específicos de éste.
- Análisis de riesgo y evaluación de impacto. El Responsable del Tratamiento debe identificar, evaluar y gestionar los riesgos de los tratamientos que se pretendan realizar. En este sentido, aquellos tratamientos que conlleven elevados riesgos para el derecho fundamental a la protección de datos requerirán de una Evaluación de Impacto.
- Registro de las operaciones de tratamiento. Las empresas o entidades, que lleven a cabo tratamientos que conlleven riesgos, deben llevar un registro de todas las actividades de tratamiento de datos personales efectuadas bajo su responsabilidad, en todo caso siempre será recomendable la llevanza de un listado de tratamientos llevados a cabo por la empresa o entidad.
- Comunicación de brechas de seguridad a la AEPD (Agencia Española de Protección de Datos). El Responsable del Tratamiento tiene la obligación de comunicar, en un plazo no superior a 72 horas, las brechas de seguridad que se produzcan a la Autoridad de Control, al mismo tiempo ésta podrá requerir de una labor de transparencia frente al interesado.
- Establecimiento de nuevas categorías especiales de datos. Los datos biométricos y genéticos se incorporarán a la categoría de datos sensibles que precisan una especial protección, por su naturaleza o por la relación con los derechos y libertades fundamentales de los Interesados.
- Nuevos derechos de los Interesados. Se establecen 3 nuevos derechos, además de los ya existentes (derecho de información, de acceso, de rectificación, de cancelación y de oposición): derecho a la Limitación, a la Portabilidad de los datos y a la Supresión o al Olvido.
- Incremento muy significativo de las sanciones. Las sanciones pueden llegar al 4% del volumen de negocio total anual global de la compañía, del ejercicio financiero anterior, o a 20 millones de euros (lo que sea mayor).
Conversia nace en 2001 con el objetivo de consolidar un modelo de trabajo propio y afianzar un equipo profesional con una contrastada experiencia en materias de cumplimiento normativo. Hoy la compañía cuenta con más de 80.000 clientes, una amplia red de colaboradores y 11 delegaciones en España para ofrecer un servicio local y personalizado. Conversia pertenece al Grupo HFL, consolidada corporación empresarial que integra diversas compañías de diferentes sectores a nivel nacional, cuya solvencia está plenamente avalada por su capacidad financiera y por una contrastada experiencia en la provisión de servicios de valor añadido.