Menos de 30 días porque ya sea aplicable el Reglamento General de Protección de Datos. Y muchas empresas se preguntan "por donde empezar?". La Agencia de Protección de Datos ha publicado una serie de guías porque las empresas puedan adaptarse a la nueva normativa. La misma Agencia diferencia entre las compañías y organizaciones que tratan datos personales de mayor riesgo y las entidades de menor tamaño y con tratamientos de poca complejidad. Las empresas, por lo tanto, tendrán que llevar a cabo un análisis sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.
Este análisis se puede resumir en las cuestiones que la Agencia nos recomienda que contestamos después de un análisis de nuestra organización. Cuanto mayor sea el número de respuestas afirmativas mayor sería el riesgo que podría derivarse del tratamiento. Si la respuesta a estas preguntas y otras del mismo tipo fuera negativa, es razonable concluir que la organización no realiza tratamientos que generan un elevado nivel de riesgo y que, por lo tanto, no tiene que poner en marcha las medidas previstas para esos casos.
Por ejemplo: se tratan datos sensibles? Se incluyen datos de una gran cantidad de personas? Incluye el tratamiento la elaboración de perfiles? Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes? Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades? Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big fecha? Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalizació, videovigilància a gran escala o ciertas aplicaciones de la internet de las cosas? Y como tienen que entonces adaptarse al RGPD este tipos de empresas?
Auditoría o verificación simplificada
Los responsables que realizan un número limitado de tratamientos que probablemente presentan un bajo nivel de riesgo para los derechos y libertades de los interesados, podrán simplificar la valoración de los aspectos relevantes a la hora de determinar que están en condiciones de aplicar adecuadamente el RGPD.
Estos responsables serán en muchos casos pymes o micropymes, aunque también pueden incluirse entre ellos organizaciones de mayor tamaño. El elemento realmente decisivo es el tipo de tratamientos que lleven a cabo.
Empresas que realizan tratamientos básicos sobre los datos de sus empleados, clientes y proveedores, o comunidades de copropietarios que hagan tratamientos limitados a la gestión de las tareas propias de la comunidad, se encontrarían entre ellos.
Ejercicio de derechos de los interesados
El responsable tiene que prever mecanismos para facilitar el ejercicio de derechos y la respuesta a las solicitudes. Establecer una dirección de correo electrónico específica que sea operativa y que permita identificar a los interesados y atribuir a una persona de la organización que se responsabilizo de tramitar todas las solicitudes que eventualmente se reciben.
Identificación de medidas de seguridad
Las medidas de seguridad tienen como finalidades principales garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas. Los tratamientos que implican un bajo riesgo para los derechos o libertades de los interesados no requerirían, en principio, medidas de seguridad más complejas que las que actualmente establece el Reglamento de Desarrollo de la LOPD para el nivel básico.
Verificación de las relaciones con los encargados de tratamiento
La empresa tiene que verificar que los contratos por encargo de tratamiento con prestamistas de servicios incluye todos los aspectos que establece el RGPD, especialmente en cuanto a que el encargado sólo tratará los datos para las finalidades que le encomiendo el responsable, que aplicará las medidas de seguridad adecuadas y que mantendrá estricta confidencialidad sobre la información tratada. En algunos casos, el modelo de contrato será ofrecido por el prestamista.
Sanciones del Reglamento General de Protección de Datos
20.000.000 euros como máximo, una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, tratándose de una empresa.
