25 May ¿Tengo que hacer algo mas que cambiar textos de web, newsletters y coletillas en emails según el RGPD?
Desde luego que sí. La revolución en torno a los datos personales y su protección en cada uno de los países de UE trae consigo un cambio total de mentalidad y de cultura. Limitarse a tener unos textos renovados, y guardar unos papeles que nos haya preparado la empresa encargada en una carpeta es no entender el alcance de la situación.
Así por ejemplo y solo en el campo de la seguridad existen entre las obligaciones del responsable la de elaborar un documento de seguridad, que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para todos aquellos con acceso a datos de carácter personal y cuya concreción se encuentra en el artículo 88 del RLOPD. Este documento habrá de mantenerse constantemente renovado y adaptado ante cualquier cambio en las circunstancias, los equipos informáticos, el software, las medidas de seguridad, los contratos con terceros relativos a protección de datos, etc. Es decir, se nos exigirá una revisión continua y una constatación de que nuestra conducta profesional o empresarial de protección de datos es pro-activa y que la empresa o el profesional tiene iniciativa y capacidad para anticiparse a problemas o necesidades futuras en este campo.
Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales se clasifican en tres niveles acumulativos: BÁSICO, MEDIO y ALTO. Esta clasificación se realiza atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información. A continuación se indican los ficheros y tratamientos a los que corresponde aplicar las medidas de seguridad relativas a cada uno de los niveles que determina el RLOPD.
NIVEL ALTO. Ficheros o tratamientos con datos:
- de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico;
- también los recabados con fines policiales sin consentimiento de las personas afectadas;
- y derivados de actos de violencia de género.
NIVEL MEDIO. Ficheros o tratamientos con datos:
- relativos a la comisión de infracciones administrativas o penales;
- o que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito);
- o de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias;
- o de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros;
- o de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias;
- o de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;
- o que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas;
- o de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización
NIVEL BÁSICO. Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:
- los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros;
- o se trate de ficheros o tratamientos de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero;
- o en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.
Las medidas de seguridad de nivel básico son exigibles en todos los casos. Las medidas de nivel medio complementan a las anteriores en el caso de ficheros clasificados en este nivel, y las de nivel alto, cuando deban adoptarse, incluyen también las de nivel básico y medio.
Además de ello, los responsables del tratamiento de datos (es decir los profesionales y empresas) tienen obligaciones el incumplimiento de las cuales les ocasionaría penas de multas cuantiosas: Así por ejemplo existen obligaciones tales como el deber de obtener consentimientos de los afectados (personas de las cuales manejamos datos), allá donde los datos se adquieran sin otra cobertura o base legal, el deber de notificarles de sus derechos de acceso, rectificación, oposición, etc., el deber de comunicar (a la autoridad de protección de datos y a los afectados) de las brechas de seguridad en cuanto estas se produzcan.
Sorry, the comment form is closed at this time.