Jornada sobre Seguridad TI en Santiago de Compostela
abril 25, 2016Entrada en vigor del RGPD
La entrada en vigor del RGPD.
El pasado día 25 de mayo de 2018, se cumplieron dos años desde la entrada en vigor del Reglamento Europeo 2016/679, Reglamento General de Protección de Datos (RGPD o GDPR según sus siglas en inglés) pasando a ser obligatorio su cumplimiento, tras esos dos años trascurridos de periodo transitorio y como indicaba la directora de la Agencia Española de Protección de Datos, Mar España, en la 10ª Sesión anual abierta de la AEPD, no se contempla ninguna moratoria.
El RGPD modifica distintos aspectos del régimen que establecía la anterior Ley Orgánica de Protección de Datos (LOPD) y contiene nuevas obligaciones.
Existen tres aspectos sobre los que residen las mayores implicaciones del RGPD para los responsables del tratamiento de datos de carácter personal, y que afectan a las distintas obligaciones que deben realizar las distintas organizaciones:
El principio de responsabilidad proactiva o “accountability”:
El RGPD describe este principio de “accountability” (de difícil traducción) como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas, a fin de garantizar y poder demostrar que el tratamiento que realiza de los datos personales es conforme al reglamento.
Este principio requiere que las organizaciones analicen que datos tratan, con que finalidades lo hacen y que tipo de operaciones de tratamiento de datos llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPR prevé, asegurándose de que estas medidas son la adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
Resumiendo, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
El enfoque de riesgo:
El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades personales.
La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones. Lo que puede ser adecuado para una organización puede no ser necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamiento de datos no sensibles.
Las medidas de seguridad:
Posiblemente sea unos de los aspectos que mas ha cambiado con la entrada en vigor del nuevo RGPR.
Antes la LOPD determinaba con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento.
Ahora con el RGPD, los responsables y encargados del tratamiento tienen libertad para establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados tras la realización de un análisis previo.
Antes las medidas de la LOPD estaban basadas casi exclusivamente en el tipo de datos que se trataban.
Ahora con el RGPD, se toman en consideración variables como el coste de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento o los riesgos para los derechos y libertades.
Aunque existe inquietud alrededor de la entrada del RGPD, desde Kumobe os animamos a ver la aplicación del mismo como una oportunidad y no como un problema.
Kumobe pone a tu disposición toda nuestra experiencia en soluciones y herramientas destinadas a la gestión de los datos, para acompañarte en el proceso de adaptación del RGPD.