¿Cumple tu Startup con el Reglamento de Protección de Datos? 2/2

Otra figura que aparece en el RGPD y hay que tener muy en cuenta, es la figura del encargado del tratamiento de datos, el cual es un tercero diferente al responsable, que puede o no pertenecer a la organización, y es el que se va a encargar de cumplir las medidas de seguridad y tratamiento impuestas por el responsable del fichero. El RGPD exige al responsable la obligación de analizar si el encargado ofrece las garantías suficientes para poder llegar a cumplir el mandato.

Entre ambas figuras, responsable y encargado del tratamiento, tiene que existir una relación contractual, y el contrato debe de tener como mínimo los siguientes elementos esenciales:

La filiación de la identidad de ambas partes, pudiendo ser personas físicas y/o jurídicas.

Especificar el objeto del servicio, la duración, la naturaleza y la finalidad del tratamiento.

Los derechos y obligaciones que existen entre ambas partes.

El encargado se limitará a tratar los datos personales con las instrucciones recibidas del responsable, aplicando las medidas de seguridad que el considere pertinentes. En relación a los datos personales que pueden llegar a manejar las Startups en su proceso de expansión, hay que tener en cuenta las transferencias internacionales de datos personales, tanto a terceros países como organizaciones, donde se deberán de especificar las medias de seguridad que se van a tomar, para minimizar los riesgos de perdida de información, en dos sentidos encriptación y seudonimización de los datos.

Podrán pactarse la necesidad de la elaboración de contratos de confidencialidad, así como establecer políticas del deber de secreto, de las personas autorizadas a llevar a cabo el tratamiento de los datos personales, especificando cuales son las consecuencias y las responsabilidades, incluso penales, por su incumplimiento.

El contrato es un documento vivo y abierto a los constantes cambios y avances tecnológicos, siendo las startups, las que en muchas veces crean esa nueva tecnología, por lo que no existe un número limitado de cláusulas y podrán incorporarse al mismo cualquiera que resulte pertinente para el cumplimiento del fin del tratamiento.

En este sentido, la AEPD ha puesto a disposición de todos los interesados, una guía con las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento

Otra de las necesidades de adaptación al RGPD es lo que se conoce como registro de actividades, que viene a sustituir la obligación de la inscripción de ficheros de datos en la AEPD, y este registro debe de contener, como mínimo, la siguiente información:

Nombre y datos de contacto del responsable.

Fines del tratamiento.

Indicar las fechas y el contenido de los datos transferidos a terceros.

Especificar las medidas técnicas llevadas a cabo, las cuales deben de ser adecuadas al nivel de seguridad de la categoría de los datos.

Identificar las brechas de seguridad que se han producido.

En relación a las medidas de seguridad el RGPD no nos facilita un “numerus clausus”, y tiene que ser el responsable/encargado del tratamiento, los que lleven el mantenimiento del registro de estas actividades, adaptando las especialidades de cada organización a su Sistemas de información. Estas son medidas comunes para todas las organizaciones serían las siguientes: control de acceso a los datos, cifrado de información, anonimización, copias de seguridad, y medidas encaminadas a la conservación de la integridad de los datos, así como la especificación de un plan de resiliencia del Sistema de información en caso de brecha de seguridad, …; las medidas anteriores son para los entornos digitales, pero también se deberían de detallar las medidas organizacionales de la propia empresa, como por ejemplo el control de acceso físico a las instalaciones, la definición de pautas de destrucción de documentación, la instalación de cámaras de seguridad, …; es decir, el RGPD busca minimizar el nivel de riesgos de fuga de información.

“Ya no es requisito necesario la inscripción de los ficheros de datos en la Agencia Española de Protección de Datos”

Sólo es obligatorio el uso del  registro de actividades para organizaciones de más de 250 empleados, que no es el caso de las empresas emergentes, y para  aquellas empresas donde el contenido de los ficheros de datos pudiera existir un riesgo real para los derechos y libertades de los usuarios, o cuando los datos sean catalogados de categoría especial, podéis ver las categorías de datos en el anterior enlace. Este registro siempre debe de constar por escrito y también en formato electrónico, a disposición del requerimiento por parte de la Autoridad de control correspondiente.

Por último, en relación a las quiebras de seguridad, el Reglamento exige la obligación de comunicar a la Autoridad de Control en el plazo máximo de 72 horas, siempre que exista para los interesados un riesgo en sus derechos y libertades. Existen varias excepciones al respecto de la obligación de comunicación, la primera cuando los datos sustraídos se encuentren anonimizados o cifrados, la segunda cuando no no existe riesgo para los derechos y libertados de los afectados, y por último, cuando la comunicación a los interesados suponga un esfuerzo desproporcionado.

Si del análisis de riesgo se dedujera la necesidad de realizar una evaluación de impacto relativa a la protección de datos, con el fin de anticipar y prevenir el riesgo de los derechos y libertades de los ciudadanos, como por ejemplo daños, usurpación de identidad, perdida financiera, reputación, o información confidencialidad, …, la AEPD ha redactado una Guía para la evaluación e impacto en la protección de datos personales.

En resumen, y a tener en cuenta para el cumplimiento normativo en materia de protección de datos de cualquier organización y Startup, estos consejos pueden ser la hoja de ruta a seguir para una correcta implementación en materia de privacidad:

Valorar la necesidad de nombrar Delegado de Protección de Datos.

Designar al responsable del tratamiento y en caso de que fuese necesario al encargado.

Identificar los ficheros de datos que contienen información personal, adecuarlos a la minimización de datos, para conseguir el fin, y determinar la base jurídica que sustenta el tratamiento.

Realizar un análisis de riesgos, e implementar las medidas de seguridad sobre las debilidades y amenazas detectadas, y valorar la necesidad de llevar a cabo una evaluación de impacto.

De forma simultanea, a la implementación, adecuar los formularios para el ejercicio de los derechos de los ciudadanos, habilitando un canal de comunicación con los interesados.

Elaborar las condiciones legales del sitio web, así como la definición de las políticas de cookies y de privacidad.

Y por último, documentar todos los mapas de procesos, tanto en formato papel como en electrónico, para, en caso de que fuese requerido, ponerlo a disposición de la Autoridad de Control, en nuestro caso la Agencia Española de Protección de Datos.

Si has llegado hasta el final de artículo te felicito, pero como dijo:

Guy Kawasaki “Las ideas son fáciles, implementarlas es lo difícil”

Siguenos en Twitter: @fernandez_jcar @tecnogados #PruebaTecnologica

Profesional con perfil jurídico e investigador tecnológico. #PruebaTecnologica #CadenaDeCustodia @fernandez_jcar @tecnogados

Related Posts

Deja un comentario