Consultoría de adecuación al RGPD

Cumple con el reglamento europeo RGPD

Te explicamos las novedades del RGPD que debe adoptar toda empresa

El Reglamento Europeo 2016/679 de Protección de Datos de Carácter Personal (RGPD) incorpora importantes modificaciones en el tratamiento de información de datos personales con respecto a la LOPD.

N

Toda empresa española debe cumplir con el RGPD.

N

No basta con cumplir la Ley de Protección de Datos española.

N

Actualízate con Edorteam y cumple con la LOPD y RGPD.

Consultoría de adecuación al RGPD
¿Está mi empresa obligada a cumplir con el RGPD?

La LOPD es la ley española de protección de datos, mientras que el RGPD es la ley europea. Ambas deben aplicarse en España, mientras no se publique una actualización de la LOPD que incluya las novedades del RGPD.

¿Está mi empresa obligada a cumplir con el RGPD?

El RGPD resulta de obligado cumplimiento desde el 25 de mayo de 2018, y se aplica al tratamiento total o parcial de datos personales por parte de responsables o encargados del tratamiento establecidos en la UE, así como también los no establecidos en la UE, si realizan tratamientos destinados a ciudadanos de la UE.

Las empresas españolas que traten datos de carácter personal son sujetos obligados de este nuevo reglamento y deben adecuarse correctamente a las novedades y obligaciones que el mismo establece.

Aunque en España ya existiera la Ley Orgánica de Protección de Datos, el RGPD introduce algunas obligaciones nuevas y, por lo tanto, actualmente se deben aplicar las dos normas.

Nuestra experiencia con clientes que manejan datos de nivel de protección alto, nos permite ofrecer la mejor y más completa solución para adaptarse de forma sencilla a la legislación vigente.

¿Cuáles son las sanciones por incumplir el RGPD?

Como una de las novedades clave, el Reglamento fortalece el régimen sancionador, estableciendo multas de hasta el 4% de la facturación global de la empresa o 20 millones de euros, aplicándose como multa, la mayor cantidad de las dos.

Las multas pueden pueden alcanzar los 20 millones de euros o el 4% de la facturación global de la empresa, si supone una cifra mayor.

¿Cuáles son las sanciones por incumplir el RGPD?

¿Necesitas asesoría personalizada?

Explícanos la situación actual de tu empresa y las dudas legales que puedas tener. Te llamaremos y analizaremos tu caso para valorar si tu empresa está en riesgo de incumplimiento jurídico.

En qué consiste nuestro servicio de adecuación al RGPD

Revisión y actualización de los documentos que componen el Documento de Seguridad de la Sociedad

El primer paso es revisar la política de protección de datos que tiene actualmente la empresa. Tras el estudio, tan solo se realizarán las tareas imprescindibles de actualización a la ley vigente, para que suponga la mínima inversión a la empresa.

Establecer las cláusulas legales a incorporar en los documentos en los que la sociedad solicita datos

A efectos de adecuarlos a la obligación de recabar el consentimiento del afectado (clientes y personal de la entidad). Analizaremos, desde un punto de vista jurídico, las operaciones que puedan constituir cesión de datos e incorporación de cláusulas de confidencialidad y finalidad con los externos con acceso a datos de la sociedad que limiten el uso y tratamiento de dichos datos con arreglo a las indicaciones y usos autorizados por la empresa.

Implantación de las Medidas de Seguridad

Por nuestros servicios técnicos o asesorando al administrador del sistema, para la correcta implantación de las medidas oportunas para mejorar la seguridad y cumplir la ley.

Formación del Responsable de Tratamiento de Datos

Formamos, si así lo solicitan, los responsables de seguridad de la empresa y otros empleados implicados en la gestión de la implantación de las medidas relacionadas en el Documento de Seguridad, para garantizar el cumplimiento de todos los requisitos de la normativa en protección de datos por parte de la compañía.

Designación, si procede, del Delegado de Protección de Datos (DPO)

El RGPD permite que la figura del DPO sea interna o externa de la empresa, pudiéndose contratar el servicio con personas físicas o jurídicas ajenas a la organización. En Edorteam estamos acreditados para ejercer de DPO, figura obligatoria para autoridades y organismos públicos o según el tipo o volumen de datos que trata una empresa.

Realización de la DPIA (Data Privacy Impact Assessments)

También conocida como evaluaciones de impacto sobre la protección de datos, su función es evaluar el origen, la naturaleza, las particularidades y el riesgo en el que se encuentran expuestos los datos personales.

Tras la adaptación al RGPD, gestiónalo todo online

LOPD Online es un software de gestión en la nube desde donde administrarás toda la documentación referente a la protección de datos de tu empresa:

Funciones destacadas

i

Gestiona el documento de Seguridad

~

Genera acuerdos de confidencialidad y otros contratos

s

Registra incidencias de seguridad rápidamente

Z

Mantén siempre al día el registro de soportes E/S

Ventajas para tu negocio

Servicio 100% online, documentación siempre actualizada y disponible

v

Comunicación directa con tu consultor experto en LOPD de Edorteam

Auditorías periódicas y formación a cargo de nuestros especialistas

R

La tranquilidad de cumplir con las obligaciones de la LOPD y RGPD

Artículos clave de la normativa RGPD y cómo cumplirlos

A continuación, encontrarás una selección de los artículos del RGPD más importantes y qué proponemos para cumplir con sus obligaciones.

Artículos clave de la normativa RGPD y cómo cumplirlos

Artículo 7

El consentimiento obtenido con anterioridad a la fecha de aplicación del Reglamento Europeo (25/05/2018) tan solo seguirá siendo válido si se hubiera obtenido respetando los criterios fijados en el propio Reglamento (libre, informado, específico e inequívoco).

"

Acción de Edorteam

Cambio de los consentimientos y revisión de los contratos por cuenta de terceros y de encargado de tratamiento para adaptarlos a la nueva normativa.

Artículo 28

Contratar con encargados del tratamiento que se hayan adherido a certificaciones, mecanismos o códigos de conducta conformes a la protección de datos.

"

Acción de Edorteam

Realización de códigos de conducta especializados en normativa de protección de datos.

Artículo 31.1.d

Verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad en la protección de datos.

"

Acción de Edorteam

Realización de auditorías que verifiquen el correcto cumplimiento de las medidas implantadas.

Artículos 30 y 32

Gestión y administración de usuarios, control de los equipos y mantenimiento de un registro de actividades.

Disponer de sistemas de recuperación de datos y copias de seguridad periódicas de los equipos.

"

Acción de Edorteam

Dotar a los equipos informáticos de los softwares ET Seguridad y ET Backup, si no disponen de otras soluciones con las mismas funciones.

Artículo 32.2

Evaluación de los riesgos que presentan los tratamientos de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos, o la comunicación o acceso no autorizados a dichos datos.

"

Acción de Edorteam

Estudio y realización de las valoraciones de riesgo en los tratamientos mediante evaluaciones desde un punto de vista personalizado, atendiendo a las diferentes especificaciones.

Artículo 34

Obligación en las empresas de informar si se produce alguna filtración de datos personales en el plazo de 72 horas.

"

Acción de Edorteam

Cifrado preventivo de carpetas y documentos con el software ET Encrypt o similar. La utilización del cifrado en la información personal elimina la obligación de notificar a los afectados que ha tenido lugar una brecha en la seguridad.

Registra el acceso a tus equipos informáticos con ET Seguridad

Protege la información almacenada con el registro de accesos y evita un uso no autorizado de los equipos informáticos.

Cifra ficheros y unidades extraíbles USB con ET Encrypt

ET Encrypt es una herramienta de cifrado con un algoritmo prácticamente impenetrable, protege los datos aunque envíes archivos por e-mail.

¿Qué novedades introduce el RGPD respecto a la LOPD?

Consentimiento inequívoco

El consentimiento debe ser libre, informado, específico e inequívoco. Se refuerza la exigencia de consentimiento mediante una manifestación inequívoca o una acción positiva, no pudiendo deducirse del silencio o de la inacción. Esto establece la obligación de disponer de sistemas de registro del consentimiento para que sea posible su verificación en caso de producirse una auditoría. 

Datos especialmente protegidos

El consentimiento será explícito para el tratamiento de datos sensibles.

Datos especialmente protegidos o sensibles:

  • Ideología
  • Religión y creencias
  • Afiliación sindical
  • Relativos a: creencias, origen racial, salud y/o la vida sexual.
  • Relativos a la comisión de infracciones penales o administrativos

Con el nuevo reglamento se añade:

  • Datos genéticos (análisis ADN)
  • Datos biométricos (huella dactilar o iris ocular)
Avisos de privacidad

Se debe explicar la base legal para el tratamiento de datos, el tiempo en que se retendrán esos datos, así como informar a los interesados de que pueden dirigir sus reclamaciones a las autoridades de protección de datos. Toda esta información se debe incluir en las páginas webs o en los canales de comunicación de los que se disponga.

Derechos de tutela
  • Derecho a la portabilidad, al olvido i de transparencia.
Responsabilidad activa

Las empresas tienen que adoptar medidas que aseguren razonablemente que están en condiciones de cumplir los principios, los derechos y las garantías del nuevo reglamento. Se entiende que actuar tan sólo cuando ya se ha producido una infracción es insuficiente como estrategia, por eso se prevén un conjunto de medidas:

  • Protección de datos desde el punto de vista del análisis de riesgo en los tratamientos de datos
  • Protección de datos por defecto (desde un inicio)
  • Medidas de seguridad
  • Mantenimiento de un registro de tratamientos
  • Realización de evaluaciones de impacto sobre protección de datos (DPIA)
  • Nombramiento de un delegado de protección de datos (DPO)
  • Promoción de códigos de conducta y de esquemas de certificación
Realización de evaluaciones de impacto en los datos personales (DPIA)

Se está obligado a realizar evaluaciones de impacto en protección de datos sólo cuando el uso de tecnologías avanzadas, el volumen o el tipo de datos tratados (especialmente protegidos) puedan comportar un riesgo en los derechos y libertades de las personas afectadas.

El Reglamento considera que se tiene que llevar a cabo una DPIA para evaluar el origen, la naturaleza, las particularidades y el riesgo en el que se encuentran expuestos los datos personales. El responsable del tratamiento buscará asesoramiento en el Delegado de Protección de Datos para la realización de la DPIA.

La Agencia Española de Protección de Datos es la encargada de publicar las listas con los tipos de operaciones de tratamiento que requieren de evaluaciones de impacto.

Nombramiento de un Delegado de Protección de Datos (DPD)

De entre las funciones del DPD, encontramos el control de la correcta implantación de las medidas destinadas a reducir los riesgos y el asesoramiento al responsable del tratamiento de datos de carácter personal.

El RGPD permite que la figura del DPO sea interna o externa de la empresa, pudiéndose contratar el servicio a personas físicas o jurídicas ajenas a la organización.

Esta figura resulta obligatoria en:

  • Organizaciones e instituciones públicas.
  • Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
Notificaciones de brechas de seguridad en los datos

Obligación en las empresas de informar si se produce alguna filtración de datos personales en el plazo de 72 horas a la autoridad nacional (Agencia Española de Protección de Datos) y también a los propios afectados.

La utilización del cifrado en la información personal elimina la obligación de notificar a los afectados que ha tenido lugar una brecha en la seguridad, en la que se han visto expuestos sus datos personales.

Fortalecimiento del régimen sancionador

El Reglamento fortalece el régimen sancionador: las multas pueden llegar hasta el 4% de la facturación global de la empresa o los 20 millones de euros, aplicándose como multa, la mayor cantidad de las dos.

Ventanilla única

El “One-Stop-Shop” o ventanilla única pretende reducir los obstáculos burocráticos haciendo que todos los trámites que afecten a la Protección de Datos se puedan dirigir a una ventanilla única que resuelva los casos a nivel europeo.

La gestión la realizará la autoridad nacional (desarrollando un papel de intermediaria), teniendo que informar al interesado del resultado final de la reclamación o denuncia.

Encargado y responsable del tratamiento

El responsable debe extremar las precauciones y regularizar los contratos de acuerdo con las exigencias y la documentación precisa.

Derecho de indemnización y de responsabilidad y ampliación a los daños y perjuicios que se hayan podido ocasionar por los encargados del tratamiento, estableciendo una responsabilidad solidaria entre responsable y encargado del tratamiento.

Medidas de seguridad
  • Seudonimización y cifrado de datos personales.
  • Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  • Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  • Evaluación de los riesgos que presentan los tratamientos de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
  • Contratar con encargados del tratamiento que se hayan adherido a certificaciones, mecanismos o códigos de conducta conformes a la protección de datos.
  • Notificar a la autoridad de control, en caso que suceda, la violación de la seguridad de los datos personales.
Medidas de seguridad para cumplir con el RGPD

¿En qué se traducen a efectos prácticos las medidas de seguridad de la normativa europea?

N

Obligatoriedad de cifrar los archivos.

N

Gestión y administración de usuarios, controlando el acceso a los equipos que contengan los datos.

N

Realización de auditorías que verifiquen el correcto cumplimiento de las medidas implantadas.

N

Revisión de los contratos de encargado de tratamiento por cuenta de terceros y adaptación a la nueva normativa, si se requiere.

N

Mantenimiento de un registro de actividades.

N

Nombramiento de un Delegado de Protección de Datos en los casos especificados.

N

Realización de una evaluación de riesgos que contemple de manera especial el análisis de los ficheros de currículums y nóminas, al tratar datos sensibles.

N

Establecer mecanismos de actuación y previsión para afrontar las brechas de seguridad.