Please enable JS

El sprint para cumplir con el GDPR

GDPR (General Data Protection Regulation)

El sprint para cumplir con el GDPR

26/09/2017 / Beatriz Olalla Caballero /GDPR y Legislacion

El Reglamento General de Protección de Datos (RGPD), por sus siglas en inglés GDPR (General Data Protection Regulation) se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la circulación de tales datos, por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).


El GDPR empezará a considerarse como de obligado cumplimiento el 25 de mayo de 2018 para la Unión Europea, fecha en la que entrarán en vigor las penalizaciones que éste contempla para los casos de incumplimientos.

Ante este nuevo Reglamento aplicable, y la posibilidad de incumplir con el contenido del mismo, se puede dar determinado desconcierto en las organizaciones hasta entender el alcance del mismo, la aplicabilidad de los capítulos del Reglamento, desconocimiento de los requisitos aplicables en cada caso y de las sanciones que conlleva en caso de incumplimiento, o incluso las diferencias que existen con respecto al nuevo anteproyecto de Ley Orgánica de Protección de Datos de carácter personal de España, basado en dicho GDPR.

Son numerosos aspectos a tener en cuenta para las organizaciones que anteriormente tenían un largo camino por recorrer para un cumplimiento con la LOPD y solo algunos aspectos si la organización estaba ya alineada en el cumplimiento con la LOPD. Pero en cualquier caso, se puede convertir en un proyecto a planificar durante unos cuantos meses, donde habrá que revisar, definir, establecer, e implantar numerosos aspectos relacionados con los derechos de los usuarios en lo que se refiere a los datos personales y al tratamiento de los mismos. Tal es el caso de los aspectos indicados a continuación, aunque sólo son algunos los enumerados a modo de referencia:

- La existencia de determinados perfiles como el Titular de los Datos o interesado (Data Subject), el Delegado de Protección de Datos o DPO (Data Protection Officer), el Responsable del Tratamiento o Data Controller, el Encargado del Tratamiento o Data Processor.

- El tratamiento o procesamiento de los datos y los riesgos asociados a dicho tratamiento.

- Las comunicaciones al sujeto o Titular de los Datos requeridas en referencia al ciclo de los datos personales y a los cambios en el propósito de almacenamiento y tratamiento de dichos datos.

- Las comunicaciones entre los diferentes roles existentes en el juego (terceras partes, Delegado de Protección de Datos, Responsable del Tratamiento, Encargado del Tratamiento, la Agencia Española de Protección de Datos y otras autoridades señaladas en el propio Reglamento).

- Los aspectos relacionados con el gobierno de la gestión de los datos, la gestión de los riesgos, el establecimiento de las políticas y directrices oportunas que garanticen un cumplimiento con los requisitos establecidos en el Reglamento.

- Los aspectos relativos a la seguridad en el tratamiento de los datos, integridad, seudonimización, elaboración de perfiles, etc., así como los sistemas, herramientas y soluciones que permitan dar soporte a todos estos aspectos y cuestiones.

- Los procedimientos establecidos para la gestión de los mencionados derechos de los sujetos con respecto a los datos personales. Dentro de los derechos manejados se encuentran los siguientes:

El derecho a ser informado.

El derecho de acceso a los datos.

El derecho de rectificación de los datos.

El derecho al olvido.

El derecho a restringir el procesamiento.

El derecho a la portabilidad de los datos.

El derecho de objeto.

Los derechos relacionados con la toma de decisiones automatizada y el perfilado.

- La actualización o definición de los procesos que dan soporte a toda la infraestructura requerida para el cumplimiento con todos los requisitos indicados en el Reglamento, así como la relación entre los mismos.

Esto afecta indudablemente a la manera de operar de las organizaciones hasta ahora, en lo que respecta a la protección de datos personales, y hay que definir y establecer los procedimiento y mecanismos que nos van a permitir cumplir con la citado Reglamento, evitando así las cuantiosas sanciones en las que se puede incurrir por incumplimiento con los aspectos y requisitos establecidos en el mismo.

E inevitablemente, implica una concienciación por parte de las personas de las organizaciones de la importancia que tiene el citado Reglamento y la aportación personal de cada uno para conseguir el cumplimiento de la organización con el mismo.

El 25 de mayo de 2018 se acerca... ¡El sprint ha comenzado! ¿Está todo a punto?

Comentarios/0