Si eres responsable, encargado o delegado de protección de datos en este artículo te mostramos una serie de consejos prácticos a tener en cuenta siempre que proceses datos personales:
1. cambia mentalidades y sensibiliza
Debes concienciarte que estamos ante un nuevo enfoque de las leyes de protección de datos personales. Si hasta ahora eras consciente de tus obligaciones como responsable del tratamiento de este tipo de datos, el nuevo Reglamento General de Protección de Datos (RGPD o GDPR por sus siglas en inglés) no supone una revolución, podemos considerarlo como la siguiente fase en cuanto al nivel de protección. Si, por el contrario, desconocías tus obligaciones en esta materia, necesitas conocer los principios básicos del Reglamento para poder actuar conforme a la ley.
La nueva legislación ha venido para quedarse. Familiarízate con su terminología, obligaciones y derechos. Ten claro lo que puedes y lo que no puedes hacer.
Tienes además que informar a tu organización/empresa. Se trata de una nueva perspectiva desde la que deben analizarse todos los procesos que se lleven a cabo en la misma. El GDPR incluye artículos específicos sobre gestión y responsabilidad que no puedes desconocer. Responsabilidad proactiva, obligatoriedad de informar ante una brecha de seguridad, privacidad desde el diseño y por defecto son conceptos claves en el nuevo RGPD.
2. conoce tu base legal
No debes gestionar ningún dato personal si no conoces la base legal que te permite hacerlo. Ante la duda, revisa el Artículo 6.1 del nuevo Reglamento general de protección de datos y verifica que el motivo por el que lo haces es compatible con alguna de las causas que el nuevo Reglamento menciona.
3. protege los datos personales que trates
Adopta todas las medidas técnicas y organizativas que consideres oportunas para asegurar que los datos personales están siendo tratados de una forma segura.
Algunos ejemplos que pueden ayudarte a un correcto manejo de este tipo de datos son:
- pseudoanimización – reemplaza los datos personales por otros identificadores anónimos o nombres ficticios
- configura los ordenadores con contraseñas para cada uno de los usuarios que tengan acceso al mismo.
- mantén en un lugar seguro y de acceso restringido los ficheros en papel
En la práctica esto suponer establecer nuevas políticas de empresa y protocolos, pero puede evitarte muchos problemas en el futuro.
4. revisa la política de privacidad de tu empresa
Necesitas comprobar la política de privacidad de tu empresa y comprobar que toda la información imprescindible aparece reflejada en ella. Recuerda que en esta materia rige el principio de minimización por el que se impone que debes procesar única y exclusivamente los datos que sean necesarios para la finalidad que persigues.
Elabora una completa política de privacidad y síguela rigurosamente.
5. guarda una copia de toda información relevante
Mantén un registro de todas las comunicaciones con los usuarios, servirán como prueba de tu buen hacer. Es crucial conservar pruebas de todas las operaciones que hayamos realizado.
6. analiza los consentimientos prestados
El consentimiento debe ser explícito e inequívoco. Puedes leer más sobre los nuevos requisitos del consentimiento en nuestro artículo dedicado al mismo.
7. debes ser responsable
El nuevo RGPD requiere que el responsable del tratamiento sea capaz de demostrar que actúa conforma al mismo. Debes proteger los derechos de las personas que te han facilitado sus datos y poder demostrar cómo lo haces.
En determinados casos, existe la obligación de nominar a un delegado de protección de datos (DPO, por sus siglas en inglés). Esta persona debe asesorarte en el cumplimiento de la nueva normativa, pero su nombramiento no excluye la responsabilidad del responsable del tratamiento.
8. atención en los tratamientos de datos personales de menores
Supervisa si alguno de tus procesos se refiere a menores. En caso afirmativo, controla de nuevo la base legal y finalidad de tu tratamiento.
La edad de los menores es clave en este caso y puede variar de un país a otro de la Unión Europea por lo que te aconsejamos que verifiques el límite de edad para el consentimiento paterno en el país en el que actúes.
9. utiliza protección adicional para los denominados “datos sensibles”
Merecen especial atención los datos relativos a la salud, ideología política, religión, orientación sexual o raza de las personas físicas.
Revisa si en las actividades de tu empresa se recogen datos de este tipo e intensifica las medidas de protección en estos casos.
10. informa de las brechas de seguridad
Debes informar a las autoridades nacionales de control en el plazo máximo de 72 horas de posibles brechas de seguridad en tu sistema. En determinados casos, el Reglamento europeo impone también la obligación de comunicar las violaciones de datos a las personas físicas si existe un grave riesgo para sus derechos y libertades.
Para más información:
¿Retienes datos personales? ¿Tratas datos personales para otras empresas?
Entonces, debes respetar las normas.