Comparte este artículo

Actualizado.- 28.01.2020

Últimamente no paramos de leer noticias sobre el nuevo Reglamento relativo a la Ley de Protección de Datos que entrará en vigor el próximo 25 de mayo de 2018, la RGPD (Reglamento General de Protección de Datos). Se dicen muchas cosas como que es un reglamento mucho más estricto que la LOPD o que es casi imposible de cumplir. Y lo cierto es que viene pisando fuerte y va a legislar sobre cosas complejas de regular porque Internet es un medio muy dinámico y cambiante y va más deprisa que el derecho. Sin embargo, podemos darle la vuelta a la tortilla y fijarnos en los beneficios que tiene sobre nuestro negocio. Si quieres saber más sobre la RGPD, descubrir que beneficios tiene para tu empresa y como te ayuda un CMS como Prestashop para que lo cumplas en tu Ecommerce, sigue leyendo.

A quién afecta la RGPD

Vamos a empezar por el principio, que es saber si esta ley nos afecta o no. Es un reglamento de aplicación directa en toda la Unión Europea y que legisla sobre la protección de los clientes/usuarios de una web y el tratamiento de los datos relativos a ellos. Es decir, si tenemos una tienda online y vendemos a residentes europeos, aunque tratemos los datos de carácter personal en otro lugar, nos afecta desde el momento en el que un usuario entra en nuestra web y recogemos datos de ellos y, aún más, si hacemos algún uso de esos datos, que es el principal motivo por el cual solemos recoger datos.

Actualización de la Ley de Protección de Datos

Hasta ahora, la LOPD, solo afectaba a las plataformas online que operaban en Europa pero no a empresas extracomunitarias que vendían a ciudadanos europeos. Por eso empresas como Facebook y Google, están actualizando su política de protección de datos, porque a partir del 25 de mayo de este mismo año, les afecta la ley.

Una vez confirmado que esta nueva Ley nos afecta, vamos a ver cómo debemos proceder en dos planos: a nivel interno en nuestra empresa y a nivel público en nuestra página web corporativa o ecommerce. Lo que tenemos que tener claro antes de iniciar este proceso es que la nueva ley gira en torno a una máxima: los datos personales representan a personas reales y si se hace un uso indebido de los datos, puede tener un impacto tremendamente negativo en las vidas de estos. 

Por lo que se establece que los datos personales deben ser tratados de forma lícita, leal y transparente. Es decir, todos los datos que recojamos tienen que ser con el consentimiento del usuario, informándole de para qué los vamos a usar y usarlos exclusivamente para aquello que le hemos comunicado que los vamos a usar. Además, de todo esto, los datos los debemos almacenar por un tiempo limitado y al tratarlos debemos garantizar la seguridad en el proceso. De esto es de lo que vamos a hablar a continuación pero de una manera más detallada.

rgpd-reglamento-general-de-proteccion-de-datos-a-quien-afecta

Cómo Trabajar con externos: contrato de tratamiento de datos

En primer lugar hay que diferenciar entre dos figuras:

Responsable del tratamiento de datos (RTD

El Responsable del Tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal. Por ejemplo: EMPRESA, S.L.

Otra figura es el Delegado de Protección de Datos ( DPD ) no es obligatorio para todas las empresas. Su obligatoriedad es necesaria en 3 supuestos concretos

  1. Autoridades y organismos públicos.
  2. Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  3. Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.

Encargado del tratamiento de datos:

El Encargado de Tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal que son responsabilidad del responsable del Tratamiento. Por ejemplo: INFORMÁTICA, S.L. (Empresa que se encarga del mantenimiento informático de EMPRESA, S.L.).

Es decir, el contrato en cuestión se va a llevar a cabo entre un RTD y un encargado del tratamiento de datos. Siempre que haya tratamiento de datos, ha de darse este contrato entre empresas o colaboradores para asegurarse el cumplimiento correcto de la ley.

Correcto tratamiento de los datos: Principio de Responsabilidad Proactiva

Una vez tenemos claras las principales figuras que intervienen en el manejo de la información, vamos a ver cuál es el estándar que hay que formalizar a nivel interno en una empresa para cumplir con la RGPD. Las organizaciones deben reflejar por escrito qué datos manejan, dónde se almacenan, con qué fin y qué se debe proporcionar al cliente final. Por eso la ley dice que hay que crear un estándar accesible a todos los implicados en el manejo de datos, para que estén informados y se establezca una metodología de trabajo dentro del marco legal:

1. Documentar como se cumple la RGPD

Lo primero que tenemos que reflejar por escrito es cómo vamos a garantizar el cumplimiento de la ley dentro de nuestra empresa, es decir, documentar todos los pasos. El grado de exhaustividad en el registro de actividades de tratamiento es diferente para Pymes que para empresas de más de 250 empleados:

1.

      • Empresas de  más de 250 empleados. A parte de tener que tener en plantilla a un Delegado de Protección de Datos (DPDO) obligatoriamente, en el registro de operaciones de tratamiento deberá incluirse lo siguiente:
        • Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos si existiese
        • Finalidades del tratamiento
        • Descripción de categorías de interesados y categorías de datos personales tratados
        • Transferencias internacionales de datos
      • PYMES. En el caso de las Pymes no es obligatoria la figura de DPDO pero si tenemos que designar a un responsable de coordinar la adaptación al nuevo reglamento a no ser que:
        • Se traten datos de alto riesgo
        • No sea ocasional
        • Se traten datos de categoría especial o relativos a condenas e infracciones penales

Por lo tanto, la manera de proceder sería la siguiente:

  1. Crear un estándar. Teniendo en cuenta la finalidad de la recogida de los datos y la base jurídica que dice que los puedes recoger y cómo tratarlos, hay que crear un estándar para que cualquiera que vaya a hacer uso de esos datos sepa cómo tratarlos para no generar ninguna brecha de seguridad ni incumplir la ley. En este estándar se debe documentar qué datos personales poseemos, de donde proceden y con quién los compartimos.
  2. Trazabilidad. Crear un estándar operativo y práctico nos salvaguardará frente al principio de rendición de cuentas del RGPD, que dice que hemos de tener una trazabilidad clara en el trato de los datos personales.

rgpd-como-proceder-en-mi-empresa

2. Análisis de riesgos

    1. Análisis de riesgos. Hay que analizar qué datos estamos tratando actualmente. Concretamente, debemos analizar los tipos de datos, de donde los hemos obtenido, el número de usuarios afectados y la cantidad y variedad de datos que tu empresa está tratando.
    2. Evaluación de impacto. Tras el análisis hay que clasificar los datos en base al impacto que tendría para los usuarios, el hecho de que hubiera una brecha de seguridad y estos datos se vieran expuestos. La Agencia Española de Protección de Datos (AGPD), no establece una metodología de trabajo pero podríamos clasificar nuestros datos del 1 al 10 de riesgo muy bajo a muy alto respectivamente.
  1. En el caso de las PYMES, solo se exige una mínima documentación sobre las implicaciones del tratamiento de datos personales. La AGPD, facilita una serie de preguntas y dice que si las respuestas son negativas, no existe un alto riesgo en el tratamiento de esos datos por lo que la empresa no debe aplicar medidas de alta seguridad:
  1. ¿Se tratan datos sensibles?
  2. ¿Se incluyen datos de una gran cantidad de personas?
  3. ¿Incluye el tratamiento la elaboración de perfiles?
  4. ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
  5. ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
  6. ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
  7. ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?

 3. Medidas de seguridad: Desde el Diseño y por Defecto

Una vez llevado a cabo el análisis de riesgos y la evaluación de impacto, habría que establecer qué medidas de seguridad se llevarían a cabo en base al grado de riesgo que supondría una brecha de seguridad.

Ej.: si somos proveedores de hosting para tiendas online, tendríamos que analizar el riesgo de que nuestro servidor se cayese. ¿Cuál sería el impacto? El impacto sería muy negativo porque supondría que un ecommerce dejaría de vender porque la web no funcionaría, por lo que le pondríamos riesgo muy alto (10) y tendríamos que documentar las medidas de seguridad que estamos tomando para prevenir que esto ocurra y, en caso de que irremediablemente ocurra, que medidas de seguridad se van a desplegar para minimizar el impacto, es decir, para que la web esté operativa en el mínimo tiempo posible.

Las medidas de seguridad que el Reglamento contempla en materia de seguridad en el tratamiento de los datos personales según el grado de riesgo de cada tipo de dato, son, entre otras:

  • La seudonimización y el cifrado de datos personales.
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Las medidas de seguridad que lleva a cabo una empresa, las debe aplicar el responsable antes de comenzar con el tratamiento de los datos y también cuando esté tratando la información. Es decir, hay que proteger el dato desde el momento en que se diseña un tratamiento (Ej.: cómo vamos a recoger datos a través de un formulario de contacto). Además la ley también dice que se ha de establecer que por defecto solo se trate aquella información estrictamente necesaria en cada finalidad, la mínima cantidad de datos posibles, durante el mínimo tiempo y se almacenen solo el tiempo necesario.

rgpd-medidas-de-seguridad

4. Quiebras de seguridad

En caso de que todas las medidas de seguridad documentadas en el punto anterior hayan fallado y estemos siendo hackeados, tenemos que notificar la brecha de seguridad a la Agencia Española de Protección de Datos (AGPD) en un plazo inferior a 72 horas. Este sería el caso más extremo pero se pueden dar otras «violaciones de seguridad de los datos» como pérdida de un ordenador portátil, acceso por personal no autorizado a nuestras bases de datos o el borrado accidental de algunos registros.

Resumen

Recapitulando todo lo anterior, hay dos procesos que tienes que iniciar para cumplir la ley y en este post te hemos explicado la primera parte, documentar cómo actúa tu empresa a nivel interno a la hora de recoger, procesar y almacenar datos, así como, qué medidas de seguridad toma para prevenir quiebras de seguridad. En el siguiente post explicaremos cómo adapaptar tu web al nuevo Reglamento relativo a la protección de datos. Es importante no tomar este cambio a la ligera porque las multas son muy superiores a las actuales y el organismo va a ser estricto para hacerlo cumplir. ¿Ya estás adaptando tu empresa al Reglamento General de Protección de Datos?

Otros artículos sobre RGPD:


Comparte este artículo