Serie A LITTLE BEE BOOK

“Cómo funciona”GDPR

Este libro pertenece a:Serie A LITTLE BEE BOOK

“Cómo funciona”GDPRAdaptación de varias fuentes, por Bob Yelland

Nota: Los clientes son responsables de garantizar el cumplimiento de las leyes y normativas aplicables, incluyendo el Reglamento General de Protección de Datos de la Unión Europea. Los clientes son los únicos responsables de obtener asesoramiento legal competente a fin de identificar e interpretar cualquier ley y normativa que pudiera afectar a su negocio, así como cualquier medida que debieran tomar para cumplir con dichas leyes y normativas. Los productos, servicios y otras funcionalidades descritas en este documento no son los indicados para todas las situaciones del cliente y podrían estar sujetas a disponibilidad. IBM no proporciona asesoramiento legal, de contabilidad ni de auditoría, ni declara ni garantiza que sus servicios o productos son garantía de que los clientes cumplen con las leyes o normativas vigentes.

Para obtener más información, visite ibm.com/es-es/GDPR

Para obtener más copias de este libro o leer otros libros de la serie, visite: littlebeelibrary.com

4

Tras cuatro años de debate, la Unión Europea aprobó el Reglamento General de Protección de Datos (General Data Protection Regulation - GDPR) en abril de 2016. El GDPR está ya en vigor, si bien no será de aplicación hasta el 25 de mayo de 2018, fecha en la que se espera su pleno cumplimiento por parte de las empresas.

El GDPR está diseñado para otorgar mayor control a las personas sobre sus datos personales y establecer unas reglas comunes en toda Europa de protección de los mismos. Las empresas fuera de la UE estarán sujetas a esta normativa cuando lleven a cabo actividades de tratamiento de datos personales de individuos que residan en la UE en relación con la oferta de bienes o servicios a los mismos o con el control de su comportamiento (en la medida en que este tenga lugar en la UE).

El 50% de las compañías internacionales1 afirman que será complejo aplicar estas reglas, a menos que implementen cambios significativos en su forma de operar, lo que puede conducir a la designación de un Delegado de Protección de Datos (DPO).

6

Los datos personales se definen como toda información relacionada con una persona física identificada o identificable (el “interesado”).

Esto incluye identificadores online, como direcciones IP e información recogida por cookies, si pueden vincularse con el interesado.

Asimismo incluye cualquier otra información que directa o indirectamente permita determinar la identidad de un interesado, como por ejemplo elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social.

No existe ninguna distinción entre los datos personales de un interesado que pudieran corresponder a distintos ámbitos (privado, público o laboral), estando todos ellos cubiertos por este reglamento.

8

Se producirá un incremento sustancial de las sanciones para aquellas organizaciones que no cumplan con este nuevo reglamento.

Dichas sanciones pueden alcanzar los diez millones de euros, o un dos por ciento de la facturación global anual del ejercicio financiero anterior, en caso de infracciones en materia de, entre otros aspectos, medidas técnicas y organizativas para la protección de datos, mantenimiento de registros, notificación de violaciones de seguridad de los datos personales y obligaciones de evaluación de impacto relativa a la protección de los mismos.

Estas sanciones podrían duplicarse a veinte millones de euros o un cuatro por ciento de la facturación por infracciones relacionadas con la licitud del tratamiento, la falta del adecuado consentimiento, los derechos de los interesados y la transferencia de datos personales a un tercer país (fuera de la UE).

10

Las empresas deberán “implementar las medidas organizativas y técnicas adecuadas teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento de datos personales, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas”. Las garantías de la protección de datos deben integrarse en los productos y servicios desde las primeras etapas del desarrollo.

Dichas medidas, pueden incluir, entre otras:

• Seudonimización y/o cifrado de datos personales

• Capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas de forma continua

• Capacidad de restaurar la disponibilidad y el acceso a los datos de forma puntual tras un incidente técnico o físico

• Introducción de un proceso para realizar pruebas y evaluar la efectividad de estos sistemas periódicamente

12

Un aspecto clave del reglamento reside en requerir el consentimiento de la persona cuyos datos son tratados.

El consentimiento significa “toda manifestación de voluntad libre específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos personales”.

Las empresas deberán poder mostrar cómo y cuándo han obtenido el consentimiento.

Adicionalmente, los datos obtenidos deben tener una finalidad específica, explícita y legítima.

Las personas deberán poder retirar su consentimiento en cualquier momento.

14

Cuando una empresa obtiene datos de una persona, estos son algunos de los aspectos de los que se debe informar claramente al interesado:

• Los detalles de contacto e identidad de la organización que solicita los datos

• La finalidad del tratamiento de los datos y la base jurídica de dicho tratamiento

• Si los datos se transferirán a un tercer país y la existencia o ausencia de las garantías adecuadas

• El periodo durante el cual se conservarán los datos

• El derecho del interesado a acceder, rectificar, y suprimir sus datos personales, a limitar y oponerse al tratamiento de los mismos, y el derecho a la portabilidad de sus datos

• El derecho del interesado a retirar el consentimiento en cualquier momento

• El derecho del interesado a presentar una reclamación ante una autoridad de control

16

El reglamento exige que los interesados dispongan de acceso completo a la información sobre cómo se procesan sus datos. Dicha información deberá presentarse de forma clara y comprensible.

Los interesados pueden realizar solicitudes, que deberán ejecutarse “sin dilación y a más tardar en el plazo de un mes desde la recepción de la solicitud”.

En caso de que las solicitudes de acceso a los datos sean manifiestamente infundadas o excesivas, las empresas podrán cobrar un canon razonable por proporcionar la información.

Por otro lado, los interesados tienen derecho a obtener la supresión de sus datos personales (derecho al olvido), si los mismos ya no son de utilidad para los fines por los que fueron recogidos, y deben eliminarse.

18

Las empresas deberán notificar las violaciones de seguridad que ocasionen la destrucción, pérdida, o la alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

En caso de una violación de seguridad, las empresas deberán notificarla a la autoridad supervisora competente sin dilación indebida y, de ser posible, en las 72 horas posteriores a que se haya tenido constancia de ella, a menos que sea improbable que constituya un riesgo para los derechos y las libertades de los interesados.

El 26 de enero de 2017, la Agencia Española de Protección de Datos publico la Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento2, que incluye una lista de verificación que pretende ayudar a las organizaciones a llevar a cabo una valoración de su situación frente a las principales obligaciones del GDPR.

20

Algunas de las recomendaciones clave de esta lista:

1. Legitimación: ¿Tiene establecida claramente cuáles la base legal de los tratamientos que realiza y hadocumentado de alguna forma el modo en que la haestablecido?

2. Información y derechos: La información que seproporciona a los interesados, ¿contiene todos loselementos que prevé el RGPD? ¿Tiene establecidosprocedimientos que le permitan responder a losejercicios de derechos en los plazos previstos por elRGPD?

3. Medidas de responsabilidad proactiva: ¿Ha hechouna valoración de los riesgos que los tratamientosque desarrolla implican para los derechos ylibertades de los ciudadanos? ¿Ha determinado quémedidas de responsabilidad activa corresponden asu situación de riesgo y cómo debe aplicarlas? ¿Harevisado las medidas de seguridad que aplica a sustratamientos a la luz de los resultados del análisis deriesgo de los mismos? ¿Ha valorado si lostratamientos que realiza requieren una Evaluaciónde Impacto sobre la Protección de Datos porquesupongan un alto riesgo para los derechos ylibertades de los interesados?

22

IBM ofrece un enfoque completo para prepararse para el cumplimiento del GDPR con soluciones y servicios, desde la evaluación hasta su implementación completa. Nuestro enfoque cubre todas las actividades necesarias para dar soporte al GDPR en cinco dominios: gobierno de GDPR, comunicación y formación de los empleados, procesos, datos y seguridad.

IBM Information Lifecycle Governance proporciona información sobre todos los datos personales y las herramientas y metodología para sindicar, instrumentar y aplicar políticas. IBM Security proporciona defensas de redes internas y externas de forma amplia e inteligente, respuesta ante incidentes y restricciones de seguridad. Nuestro Centro de interacción con el ciudadano juega un papel clave para ayudar a cumplir los derechos del GDPR de los ciudadanos, y nuestra solución Optim aporta el método, las herramientas y la tecnología innovadora para controlar y desensibilizar los datos personales.

Prepárese para el GDPR con IBM.

24

© Copyright IBM Corporation 2017. Reservados todos los derechos.IBM, el logotipo de IBM e ibm.com son marcas registradas de International Business

Machines Corporation en los Estados Unidos y/o en otros países. Los demás nombres de productos, compañías o servicios pueden ser marcas comerciales o marcas de

servicio de otros.

Fuentes:

(1) Preparing for the EU GDPR: What You Need To Know: James Walker. SC Media. 4 de marzo de 2016. www.scmagazineuk.com/preparing-for-the-eu-gdpr-what-you-need-to-know/article/531492/

(2) Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento. 26 de enero de 2017

www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf