Recientemente, algunos compañeros han publicado sus primeros análisis sobre los cambios que presentará el nuevo
Reglamento de Protección de Datos Europeo. Este artículo, pretende profundizar un poco más en ellos, centrándose en las principales implicaciones que tendrán dichos cambios para el Responsable de Seguridad. Por otro lado, la estructura de este artículo difiere respecto a la de los anteriores. Se ha decidido estructurarlo en un formato de “
Preguntas y respuestas”, de forma que sea más directo, y a su vez, más sencillo resolver las dudas que puedan surgir:
¿Cuándo será aplicable el nuevo Reglamento?
Tal y como comentó nuestro compañero Juan Miguel en su último artículo [1], el pasado 15 de Diciembre, la Comisión, el Consejo y el Parlamento europeos, alcanzaron un acuerdo sobre las nuevas reglas de protección de datos. El pasado 14 de Abril, los textos finales fueron formalmente adoptados por el Consejo y el Parlamento europeos. Finalmente, el día 4 del pasado mes de Mayo se llevó a cabo su publicación en el Diario Oficial de la Unión Europea [7]. A los 20 días tras su publicación, el pasado 25 de Mayo, se inició el período de 2 años, a partir del cual será de aplicación obligatoria y directa para todos los países de la Unión, es decir, el próximo 25 de Mayo de 2018.
¿Qué medidas de seguridad se deberán implementar?
En este sentido, el nuevo Reglamento ha cambiado el enfoque a través del cual se determinan las medidas de seguridad técnicas y organizativas, que se deben implementar. En base a este nuevo enfoque, las medidas de seguridad no se encuentran predeterminadas por el nivel asociado a los datos tratados.
En primer lugar será necesario diferenciar los tratamientos que se lleven a cabo, entre tratamientos considerados de a) riesgo y de b) alto riesgo, teniendo en cuenta la naturaleza, el alcance, el contexto, la finalidad y las fuentes de riesgo. En segundo lugar, para aquellos tratamientos considerados de alto riesgo, será necesario llevar a cabo una Evaluación de impacto en la protección de datos, con el objetivo de determinar el origen, la naturaleza, las particularidades y la severidad del riesgo. Los resultados de la evaluación, se deberán tener en cuenta de cara a la selección de las medidas de seguridad adecuadas que finalmente se implementarán, para tratar dichos riesgos.
¿Cómo se demostrará el cumplimiento de las medidas de seguridad?
Debido a que con el nuevo Reglamento cada organización podrá tener implementadas un conjunto diferente de medidas de seguridad en función de sus riesgos, no es posible establecer una relación fija y completa de requisitos (como ocurre en el Título VIII del RDLOPD).
Por ello, el Reglamento pretende impulsar como mecanismos para demostrar el cumplimiento a) la certificación y b) los códigos de conducta. Respecto a la certificación, esta no tendrá carácter obligatorio, y serán las Entidades de certificación o la Autoridad supervisora competente, las encargadas de otorgarlas. Los Responsables o Encargados deberán proporcionar toda la información y accesos a los tratamientos, que sean necesarios para llevar a cabo el proceso de certificación. El período de validez de dichas certificaciones será de 3 años, siendo necesaria su renovación.
Por otro lado, respecto a los códigos de conducta (de forma similar a los actuales códigos tipo), se pretende promover la elaboración códigos estándar que recojan los aspectos de cumplimiento específicos de diferentes sectores (ej. salud) y tipos de empresa (ej. micro, PYMEs). El objetivo es que las organizaciones puedan adherirse a dichos códigos, y de esta forma vean simplificado el trabajo que conlleva el cumplimiento de las medidas de seguridad.
¿Será necesaria la designación de un DPO?
Tal y como indicó nuestra compañera Lidia Buendia en su último artículo [2], no todas las empresas deberán designar un DPO. A continuación, se indican los casos en que será necesario:
En relación a las multas administrativas, en el nuevo Reglamento se aprecia un cambio importante respecto a las establecidas actualmente por la LOPD. En primer lugar, se reducen a dos los tipos de multas, y en segundo lugar, se establece una cuantía proporcional a la facturación de la empresa, en lugar de tramos progresivos comunes a todas ellas. A continuación se incluye una tabla resumen de los nuevos tipos de multas:
Referencias:
Autor: Carlos Antonio Sans - ISO 27001 L.A. ISO 22301 L.A.
Departamento de Consultoría.
¿Cuándo será aplicable el nuevo Reglamento?
Tal y como comentó nuestro compañero Juan Miguel en su último artículo [1], el pasado 15 de Diciembre, la Comisión, el Consejo y el Parlamento europeos, alcanzaron un acuerdo sobre las nuevas reglas de protección de datos. El pasado 14 de Abril, los textos finales fueron formalmente adoptados por el Consejo y el Parlamento europeos. Finalmente, el día 4 del pasado mes de Mayo se llevó a cabo su publicación en el Diario Oficial de la Unión Europea [7]. A los 20 días tras su publicación, el pasado 25 de Mayo, se inició el período de 2 años, a partir del cual será de aplicación obligatoria y directa para todos los países de la Unión, es decir, el próximo 25 de Mayo de 2018.
¿Qué medidas de seguridad se deberán implementar?
En este sentido, el nuevo Reglamento ha cambiado el enfoque a través del cual se determinan las medidas de seguridad técnicas y organizativas, que se deben implementar. En base a este nuevo enfoque, las medidas de seguridad no se encuentran predeterminadas por el nivel asociado a los datos tratados.
En primer lugar será necesario diferenciar los tratamientos que se lleven a cabo, entre tratamientos considerados de a) riesgo y de b) alto riesgo, teniendo en cuenta la naturaleza, el alcance, el contexto, la finalidad y las fuentes de riesgo. En segundo lugar, para aquellos tratamientos considerados de alto riesgo, será necesario llevar a cabo una Evaluación de impacto en la protección de datos, con el objetivo de determinar el origen, la naturaleza, las particularidades y la severidad del riesgo. Los resultados de la evaluación, se deberán tener en cuenta de cara a la selección de las medidas de seguridad adecuadas que finalmente se implementarán, para tratar dichos riesgos.
¿Cómo se demostrará el cumplimiento de las medidas de seguridad?
Debido a que con el nuevo Reglamento cada organización podrá tener implementadas un conjunto diferente de medidas de seguridad en función de sus riesgos, no es posible establecer una relación fija y completa de requisitos (como ocurre en el Título VIII del RDLOPD).
Por ello, el Reglamento pretende impulsar como mecanismos para demostrar el cumplimiento a) la certificación y b) los códigos de conducta. Respecto a la certificación, esta no tendrá carácter obligatorio, y serán las Entidades de certificación o la Autoridad supervisora competente, las encargadas de otorgarlas. Los Responsables o Encargados deberán proporcionar toda la información y accesos a los tratamientos, que sean necesarios para llevar a cabo el proceso de certificación. El período de validez de dichas certificaciones será de 3 años, siendo necesaria su renovación.
Por otro lado, respecto a los códigos de conducta (de forma similar a los actuales códigos tipo), se pretende promover la elaboración códigos estándar que recojan los aspectos de cumplimiento específicos de diferentes sectores (ej. salud) y tipos de empresa (ej. micro, PYMEs). El objetivo es que las organizaciones puedan adherirse a dichos códigos, y de esta forma vean simplificado el trabajo que conlleva el cumplimiento de las medidas de seguridad.
¿Será necesaria la designación de un DPO?
Tal y como indicó nuestra compañera Lidia Buendia en su último artículo [2], no todas las empresas deberán designar un DPO. A continuación, se indican los casos en que será necesario:
- Cuando el tratamiento se lleve a cabo por parte de las Administraciones públicas (pudiendo designar un único DPO para un conjunto de organismos administrativos).
- Cuando las actividades principales del Responsable o el Encargado consistan en tratamientos
- a) que requieren una monitorización sistemática y periódica de personas a gran escala, o bien, consistan en
- b) tratamientos de datos relativos a categorías especiales, y a delitos o condenas criminales, también tratados a gran escala.
- Cuando así lo indiquen las leyes de la Unión Europea o del correspondiente Estado miembro.
En relación a las multas administrativas, en el nuevo Reglamento se aprecia un cambio importante respecto a las establecidas actualmente por la LOPD. En primer lugar, se reducen a dos los tipos de multas, y en segundo lugar, se establece una cuantía proporcional a la facturación de la empresa, en lugar de tramos progresivos comunes a todas ellas. A continuación se incluye una tabla resumen de los nuevos tipos de multas:
Cumplimiento | Artículo (s) | Multa |
Obligaciones del Responsable y Encargado. | 8, 10, 23 al 37, 39 y 39a | 10M€ / 2% facturación(*) |
Obligaciones de las Entidades certificadoras. | 39 y 39a | |
Obligaciones de la Entidad de monitorización. | 38a (4) | |
Principios básicos para el tratamiento. | 5, 6, 7 y 9 | 20M€ / 4% facturación (*) |
Derechos del afectado. | 12 al 20 | |
Transferencias de datos con destino un tercer país o una organización internacional. | 40 al 44 | |
Obligaciones conformes a leyes de los Estados miembro. | Capítulo IX | |
No cumplimiento de:
|
53(1b) | |
No proporcionar acceso violando el artículo | 53(1) | |
(*): Facturación total a nivel mundial, del último año fiscal |
Referencias:
- http://blog.isecauditors.com/2016/02/nuevo-reglamento-de-proteccion-de-datos.html
- http://blog.isecauditors.com/2016/01/europa-actualiza-el-reglamento-de-proteccion-datos.html
- http://ec.europa.eu/justice/data-protection/reform/index_en.htm
- http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm
- Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (15/12/2015)
- http://europa.eu/rapid/press-release_STATEMENT-16-1403_en.htm
- http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.SPA&toc=OJ:L:2016:119:TOC
Autor: Carlos Antonio Sans - ISO 27001 L.A. ISO 22301 L.A.
Departamento de Consultoría.