¿QUÉ EMPRESAS DEBEN CUMPLIR LA NUEVA LOPD-GDD Y CÓMO?

Comparte: Facebooktwittergoogle_pluslinkedin

Todas aquellas entidades públicas y privadas que traten datos personales en el desarrollo de su actividad, están obligadas a cumplir con la Ley Orgánica 3/2018 de protección de datos y Garantía de los Derechos Digitales (LOPD-GDD) 

Y ¿qué entendemos por dato personal?

Cualquier información relativa a una persona física identificada o identificable, por lo que, además de nombres, apellidos, domicilio, DNI, correo electrónico …se considera dato personal aquel que permite identificar a una persona concreta, como puede ser su imagen, su voz, su información biométrica, o incluso una dirección.

Por tanto, una empresa que trate, en el ejercicio de su actividad, datos de proveedores, de clientes, de empleados, información sobre contactos de la web… debe cumplir con la LOPD-GDD. Y para el cumplimiento de la Ley, se le va a exigir que tenga una actitud de responsabilidad proactiva y por tanto, entre otras cosas, se le exigirá que previamente a cualquier tratamiento de datos personales realice un análisis de riesgo que le permita tomar las medidas adecuadas para garantizar la seguridad y su mitigación en la medida de lo posible.

¿Qué debe hacer una empresa para cumplir con la nueva LOPD y el RGPD?

Una empresa privada que en el ejercicio de su actividad diaria realiza el tratamiento de datos personales deberá dar los siguientes pasos para cumplir con la nueva LOPD y con el Reglamento europeo (RGPD):

  • Crear un registro de actividades de tratamiento

Es un documento interno en el que se especifican los tratamientos de datos personales que se realizan en la empresa, analizando previamente sus riesgos y estableciendo las medidas de seguridad que se aplican a cada tratamiento. No están obligadas a realizarlo aquellas empresas a las que les sea de aplicación la excepción del apartado 5 del artículo 30 del Reglamento (UE) 2016/679, pero sí es recomendable que cualquier empresa disponga de este documento.

El Registro de actividades de tratamiento debe incluir la siguiente información: el nombre del Responsable de tratamiento, la finalidad de tratamiento, la categoría de interesados, categoría de los datos, destinatarios a los que se les pueden comunicar los datos, si se realizan transferencias a otros países, los plazos de supresión de los datos y cuando sea posible, la descripción general de las medidas de seguridad.

  • Establecer un protocolo o procedimiento para el ejercicio de los derechos del interesado

Se establecerá el procedimiento a seguir para que las personas interesadas puedan solicitar el ejercicio de sus derechos de acceso, rectificación, oposición, supresión, limitación de tratamiento o portabilidad, sobre su información personal. Además debe especificar los pasos a seguir por el Responsable de tratamiento para dar respuesta de una manera eficaz.

  • eSTABLECER UN PROTOCOLO O PROCEDIMIENTO DE NOTIFICACIÓN DE BRECHAS DE SEGURIDAD

Dicho procedimiento especificará los pasos a seguir en el caso de que una empresa detecte una brecha de seguridad que puede poner en riesgo la confidencialidad y/o integridad de los datos de carácter personal que trata. Se debe disponer de formatos que permitan, llegado el caso, notificar las brechas de seguridad a la Agencia Española de Protección de datos y a los propios afectados.

digital composite of laptop with hacking graphic

  • Firmar contratos de Confidencialidad con trabajadores y colaboradores

La empresa informará a sus trabajadores y colaboradores que tengan acceso a datos de carácter personal de su obligación de mantener la confidencialidad y de su responsabilidad en caso de realizar tratamiento de los mismos.

  • Firmar contratos de encargo de tratamiento a terceros

La organización debe firmar un contrato de encargo de tratamiento con aquellas empresas subcontratadas o autónomos con los que comparta información de carácter personal de la que él es Responsable, y que ellos podrán tratar.  En dicho contrato deben incluirse los límites de tratamiento y los deberes y obligaciones del Encargado de tratamiento respecto a los datos y  es importante además, exigir garantías.

  • Incluir cláusulas de consentimiento informado

Tanto la LOPD- GDD como el RGPD, exigen que previamente al tratamiento de datos personales de un interesado exista un consentimiento informado explícito por parte del mismo. Por tanto, se deben incluir cláusulas informativas en todos los lugares en los que se solicite información personal y especificar en todo momento la finalidad de tratamiento, especialmente en aquellos casos en los que el tratamiento de la información recogida no esté legitimado por una base legal.

  • Adaptar la página web de la empresa a las nuevas normativas

La web debe incluir algunos textos como la Política de privacidad, el aviso legal, la política de cookies y las cláusulas de consentimiento informado mencionados anteriormente en los formularios de recogida de datos.

Integra, puede asesorar a su empresa para que la adaptación a la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales sea lo más fácil posible.

Foto: creativeart

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *