0 , , , , ,

RGPD: como aplicar el Reglamento Europeo de Protección de Datos

Hace ya dos meses que entró en vigor el nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea. La normativa que ha entrado en vigor introduce varios cambios. Por un lado, se endurecen las sanciones con respecto a la antigua LOPD que estaba en vigor.

RGPDLa AEPD (Agencia Española de Protección de Datos) aclara que, si el análisis de riesgo determina que los protocolos aplicados hasta ahora son suficientes para garantizar la seguridad y cumplir con los requisitos del nuevo RGPD, no es necesario realizar ningún cambio. Es decir, que es probable que, sin saberlo, ya estés cumpliendo el nuevo Reglamento Europeo de Protección de Datos. Esto dependerá sobre todo del tipo de datos personales que maneje tu empresa. Éstos se dividen en tres niveles: alto, medio y básico:

Nivel alto

Son datos personales relacionados con la ideología, la religión, las creencias, el origen racial, la vida sexual, la salud o la afiliación sindical del cliente. Es necesario establecer un registro de acceso para que se sepa quien ha consultado estos datos. Deben quedar registrados, además del nombre, la fecha y la hora del acceso, y si tenía autorización o no para ello.

Nivel medio

Son aquellos que definen las características o la personalidad del cliente. Además, entran aquí datos sobre solvencia económica, créditos financieros concedidos o rechazados… Se debe realizar una auditoría bianual para verificar que se están cumpliendo las exigencias del nuevo RGPD.

Nivel Básico

Se trata de aquellos ficheros que contienen datos personales, pero que no están catalogados ni en el nivel alto ni en el medio. Otro ejemplo son los datos sobre alergias de un cliente, que se podrían considerar altos (afectan a la salud), pero que están recabados de manera accesoria o accidental.

Independientemente del nivel de privacidad de los datos con los que trabajemos, es obligatorio establecer un procedimiento de asignación de contraseñas, y cambiarlas anualmente. Una recomendación (aunque no es obligatoria) es establecer un documento de seguridad, en el que vengan especificadas las actuaciones que se desarrollan en materia de seguridad. Es un documento que conviene mantenerlo actualizado por si nos llega una inspección de la AEPD.

También es importante destacar que las empresas tienen solo tres días (72 horas) para notificar una brecha de seguridad que afecte a datos personales.

Multas

Cualquier infracción del RGPD puede ser denunciada por el consumidor o cliente. Lo primero es presentar un recurso ante el responsable de protección de datos y, en caso de no satisfacer las peticiones de la denuncia, presentaremos el caso ante al AEPD (la Agencia Española de Protección de Datos es la encargada de vigilar la aplicación del nuevo reglamento).

En los titulares de prensa se destacaba hace unos meses que el nuevo RGPD permite multar con hasta 20 millones de euros. Este es un dato que hay que poner en duda Las multas podrán suponer entre un 2% y un 4% del volumen de negocio del año anterior. Motivo más que suficiente para poner al día los protocolos de seguridad y revisar nuestra base de datos.