Consideraciones sobre el GDPR

El siguiente diagrama define los puntos principales de una implementación GDPR:

diagrama-gdpr.png

01 Un principio clave es la armonización: el GDPR tiene el propósito de "armonizar las leyes de privacidad de datos en toda Europa" para proteger los derechos de las personas naturales. Armonizar es una palabra clave en toda la directiva.

02 El reglamento es basado en "principios" por lo que no es universalmente aplicable, cada entidad debe identificar las obligaciones que tiene que cumplir dado su propio escenario específico (tipos de datos, usos de datos,...).

03 Una adopción demasiado relajada puede conducir fácilmente a multas cuantiosas, mientras que una aplicación excesivamente rigurosa podría conducir a la parálisis del negocio.

04 En la directiva hay varios actores: Sujetos de datos, controladores, procesadores (e incluso subprocesadores); una solución compatible con GDPR debería abarcar a todas las partes interesadas.

Roadmap al GDPR

El ICO (Information Commisioner Officer), el ente de protección de datos de Reino Unido, ha establecido una hoja de ruta que es ampliamente adoptada y sugiere la mejor forma para que una empresa pueda abordar un proyecto de cumplimiento de GDPR.

La hoja de ruta se representa con esta gráfica:

gdpr-hojaderuta.png

  1. Toma de conciencia: Se tendrá que asegurar que los responsables de la toma de decisiones y las personas clave en su organización estén informados del cambio de ley definido por el GDPR para que puedan considerar el impacto en la empresa.
  2. Inventario: Se tienen que documentar qué tipo de datos personales trata una empresa, su origen y con quién se comparten. En este paso podría ser necesario organizar una auditoría de información.
  3. Comunicación de privacidad: Se deben revisar los avisos de privacidad actuales y poner un plan en su lugar para definir a tiempo los cambios necesarios para la implementación de GDPR.
  4. Derecho de Privacidad Personal: Se deben verificar los procedimientos para asegurarse de que cubren todos los derechos que las personas tienen, incluyendo procedimiento de cómo eliminar datos personales o proporcionar datos de forma electrónica y en un formato comúnmente utilizado.
  5. Peticiones de cambio: Se deben actualizar los procedimientos y planificar cómo se manejarán las solicitudes dentro de los nuevos plazos y proporcionar cualquier información adicional.
  6. Base legal para procesar datos personales: Se debe identificar la base legal de procesamiento de la actividad en el GDPR, documentarla y actualizar los avisos de privacidad para explicarla.
  7. Consentimiento: Se debe revisar cómo se busca, registra y gestiona el consentimiento de los sujetos de datos y si se necesita realizar algún cambio. Se tendrá que actualizar los consentimientos existentes actuales si no cumplen con el estándar GDPR.
  8. Procesamiento de datos infantiles: Se deberá implementar un sistema para verificar las edades y para obtener el consentimiento de los padres o tutores para cualquier actividad de procesamiento de datos de menores.
  9. Reporte brecha: Se deberá asegurar tener los procedimientos correctos en su lugar para detectar, informar e investigar una brecha de datos personales.
  10. Data Protection Impact Assessments (DPIA) y Data Protection by Design: La empresa debe familiarizarse con un código de práctica sobre evaluaciones de impacto de la privacidad así como lo especificado en el Artículo 29 y averiguar cómo y cuándo implementarlos en su organización.
  11. Oficial de Protección de Datos: Se debería considerar si es necesario el nombramiento de un Oficial de Protección de Datos dentro de la infraestructura. En caso positivo, se tendrá que designar al Oficial de protección de datos y evaluar dónde se ubicará dentro de la estructura de su organización.
  12. Organizaciones Internacionales: Los datos personales sólo podrán ser transferidos fuera de la UE de acuerdo con las condiciones de transferencia establecidas en el artículo 5 del GDPR.

 

¿Quieres saber cómo podemos ayudarte? Déjanos tus datos y en breve nos pondremos en contacto contigo.

¿Hablamos?

Fabio Cerioni

Fabio Cerioni

Fabio Cerioni es CTO y accionista de Techedge España & LATAM. Finalizó Ingenieria Informática cum Laude en 1994. Comienza su carrera en el campo aereospacial definiendo protocolos de comunicación de tierra, colaborando con el JPL y la ESA. En 1999 entra en Realtech Italia incorporándose al equipo de desarrollo. En 2001 se traslada a Realtech España como consultor. En 2004 es nombrado responsable del equipo de desarrollo e integración. En 2011 es nombrado Chief Technical Officer. Actualmente es responsable de la definición interna de producto, la innovación y la coordinación tecnológica en Techedge España & LATAM.

FOLLOW-ME