Consultoría en Protección de Datos

El Reglamento de privacidad desde el Diseño y por Defecto impone una nueva obligación.Esta supone que las organizaciones, antes y durante cualquier tratamiento de datos de carácter personal (“desde el Diseño”), adopten todas aquellas medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos. Y que implique, a su vez, únicamente el tratamiento de datos imprescindibles (“por Defecto”) para la creación y el desenvolvimiento normal de un tratamiento, procedimiento, producto, servicio o aplicación.

Este tipo de medidas reflejan muy directamente el principio de responsabilidad proactiva. Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio. Todos ellos que impliquen el tratamiento de datos personales. Tales medidas, y muy especialmente la privacidad desde el diseño, están pensadas principalmente para los fabricantes de servicios, productos y aplicaciones. De esta forma, cuando las diseñen (por ejemplo, en las etapas iniciales de creación del producto o proyectos pilotos), deben habilitar mecanismos para garantizar el derecho a la protección de datos. Y así se aseguren de que las empresas que vayan a adquirir el producto, servicio o aplicación puedan estar en condiciones de cumplir sus obligaciones en materia de protección de datos.

Desde Grupo Adaptalia estamos llevando a cabo satisfactoriamente proyectos de implantación de esta nueva obligación.

Grupo Adaptalia es consciente de los desafíos que entraña el RGPD. Por ello, como parte de su consultoría protección de datos, ha elaborado una documentación personalizada para sus clientes. Dicha documentación contiene los textos legales que deben implantar para poder dar cumplimiento a la normativa sobre protección de datos.

Este plan de actuación se encuentra totalmente adaptado al reglamento europeo de protección de datos. Además, aparece acompañado de una guía que explica detalladamente cómo y dónde deben incorporarse los distintos clausulados o leyendas legales. Por ejemplo, contratos de prestación de servicios, página web, etc.  Y, en su caso, con quién deben firmarlos (clientes, proveedores, empleados, etc.)

Grupo Adaptalia ofrece a sus clientes una formación de calidad con el Curso formativo DSPO (Data Security Protection Officer). De este modo, podrá demostrar la capacitación del Responsable de Protección de Datos.

Este curso está destinado a que el Responsable de protección de datos adquiera unos conocimientos adecuados sobre el reglamento. También, conocerá las obligaciones que le asisten a su organización. Y por supuesto, las medidas de seguridad que deberá adoptar para garantizar la protección de los datos. Finalmente, sabrá qué hacer en caso de producirse una violación de seguridad. Consulte nuestro Curso Protección de Datos.

En Grupo Adaptalia contamos con un Departamento Legal. Está compuesto por abogados con gran experiencia profesional y ampliamente formados en el ámbito de las Tecnologías de la Información, Comunicación y Protección de Datos.

Nuestra misión es ofrecer una atención especializada y continua a nuestros clientes. Algo que hacemos posible a través de la pronta resolución de las consultas que puedan plantearnos y la puesta por soluciones que impliquen la menor carga en el desarrollo normal de su actividad. Y siempre con todas las garantías de cumplimiento de la normativa sobre protección de datos.

Uno de los servicios ofertados dentro de nuestra Consultoría de Protección de Datos, es la defensa legal. Llegado el supuesto, si la AEPD notifica a la organización la apertura de un procedimiento sancionador, Grupo Adaptalia prestará asistencia a sus clientes para la defensa en dicho procedimiento. Si finalmente el asunto se presentara ante la jurisdicción contencioso administrativa, Grupo Adaptalia ofrecerá la prestación de los servicios legales necesarios para el litigio ante los tribunales.

El documento de seguridad es un documento de carácter interno que refleja las normas, reglas, procedimientos de actuación y estándares técnicos y organizativos. Todos ellos encaminados a garantizar la seguridad de los datos de carácter personal. Se trata de un documento de obligado cumplimiento para todo el personal que acceda a los sistemas de información. Y deberá mantenerse actualizado en todo momento.

La LOPD exigía su elaboración a toda organización que lleve a cabo tratamientos de datos de carácter personal. No obstante, el RGPD elimina esta obligación. Esto implica que desde el 25 de mayo de 2018 esta medida tiene carácter voluntario.

Actualmente, el Reglamento de Desarrollo de la LOPD impone la obligación de una auditoria bienal (interna o externa). Esta obligación se dirige a las organizaciones de sometimiento de los sistemas de información e instalaciones de almacenamiento de datos. Y cuando se trate de datos de nivel medio y alto.

El objetivo de las auditorías en protección de datos es conocer cuál es el grado de cumplimiento de la normativa que la organización ha alcanzado. Eso es así, una vez finalizado el proyecto de adecuación en materia de protección de datos, De este modo, se puede determinar si es suficiente o si, por el contrario, aún resultan necesarios más cambios.

Aunque esta obligación desaparece con el RGPD, Grupo Adaptalia alienta a sus clientes a valorar positivamente la contratación de este servicio. Siendo uno de los valores añadidos dentro de nuestra consultoría en protección de datos. Si la organización decide contratar una auditoría externa con Grupo Adaptalia, uno de nuestros expertos auditores analizará si la organización ha establecido las medidas más adecuadas para la correcta implantación de las normativa sobre protección de datos. Así como si se cumplen con las medidas de seguridad que el RGPD exige a las entidades que adopten a tenor de las particularidades concretas de su organización.

Las Evaluaciones de Impacto son un ejercicio de análisis exhaustivo (a mayores) de los riesgos que un determinado sistema de información, producto o servicio, puede entrañar a la protección de datos de los interesados. Es una medida dentro de nuestra consultoría en protección de datos que se toma cuando es probable que el tratamiento de los datos entrañe un alto riesgo para los derechos y libertades de los interesados.

Tales evaluaciones de impacto no son más que la expresión de las comúnmente conocidas como PIAS. La única diferencia estriba en que la LOPD no las regulaba, si bien la Agencia venía recomendando a las organizaciones su realización. Con el RGPD, la novedad que se introduce es que esta recomendación pasa a ser una obligación. Al menos, cuando sea probable que el tratamiento pueda ocasionar un alto riesgo para los derechos y libertades de los interesados.

Al respecto, Grupo Adaptalia, con facultades ampliamente reconocidas en la realización de Evaluaciones de Impacto, pone a disposición de sus Clientes este servicio. Queremos concienciar a nuestros clientes que, independientemente de la obligatoriedad de realizarlas, las conciban como un activo para su organización. Las ventajas de las Evaluaciones de Impacto son múltiples.

Fundamentalmente, permiten eliminar o mitigar los riesgos sobre el derecho a la protección de datos antes de que el sistema se desarrolle. Así, se evitan los costes económicos y reputacionales que puede conllevar su descubrimiento a posteriori (o incluso su materialización).

Una violación de seguridad es cualquier incidente que ocasione la destrucción, pérdida, alteración accidental o ilícita de los datos de carácter personal. Así como su comunicación o acceso no autorizado.

Son ejemplos típicos de violación de seguridad la pérdida de un ordenador portátil, el acceso no autorizado a la base de datos de una organización o el robo de información por un empleado que ha sido despedido. En el supuesto de que la violación de seguridad entrañe un riesgo para los derechos y libertades de los interesados, la organización dispone de un plazo de 72 horas para comunicar la violación de seguridad a la AEPD.

Si además la violación de seguridad entraña un alto riesgo para los derechos y libertades de los interesados, también deberá notificarse a estos últimos. Grupo Adaptalia ha diseñado un procedimiento de actuación para que el personal sepa qué hacer en caso de producirse una violación de seguridad. Este procedimiento, junto con las indicaciones y el continuo contacto con el cliente, ayudará a gestionar cualquier quiebra de seguridad que llegue a producirse en el futuro.

Tanto la comunicación a la Agencia de Protección de Datos como el registro de violación de seguridad, serán llevadas a cabo por Grupo Adaptalia. Actuaremos en representación del cliente. En caso de que sea necesaria la notificación a los interesados, Grupo Adaptalia dará las indicaciones precisas a la organización afectada para que dicha notificación sea llevada a cabo con las debidas garantías.

El Reglamento Europeo de Protección de Datos (RGPD) incorpora una figura ausente en la LOPD. Se trata del Delegado de Protección de Datos (Data Protection Officer, DPO). El DPO se configura como una persona interna o externa de la empresa, física o jurídica, que tenga un cierto conocimiento en Derecho y en la práctica de protección de datos.

Su nombramiento es obligatorio cuando se trate de autoridades u organismos públicos. O bien, cuando sean empresas que realicen entre sus actividades principales operaciones de tratamiento que requieran el seguimiento regular y sistemático de interesados a gran escala. O tratamientos a gran escala de categorías especiales de datos.

A tal fin, Grupo Adaptalia ofrece su constitución en esta figura. Combinamos las destrezas y puntos fuertes individuales de varios profesionales especializados en materia de protección de datos, quienes, trabajando en equipo, pueden desempeñar sus tareas y servir de forma más eficiente a sus clientes.

Dentro de nuestro abanico de soluciones en consultoría de protección de datos, ofrecemos el nombramiento del DSPO. Para que las entidades sepan identificar las especialidades de cada tratamiento de datos y que éstos se efectúen con las debidas garantías, es conveniente que designen dentro de su organización interna a un Responsable de protección de datos (Data Security Protection Officer, DSPO)

Si bien su nombramiento no viene impuesto por el RGPD, es una figura de carácter esencial. En consecuencia, contar con un Responsable de Protección de Datos implica que existe al menos una persona dentro de la organización que tiene ciertos conocimientos en materia de protección de datos. Además, en caso de que se produzca algún incidente que ponga en riesgo la seguridad de los datos personales, conocerá el procedimiento a seguir y qué debe hacerse si se quieren ceder datos personales a otra empresa, etc.

En cualquier caso, no es intención de Grupo Adaptalia que el Responsable sea capaz de resolver todos y cada uno de los problemas que puedan suscitarse. Sino que tan sólo sepa identificarlos y enmendar los de menor relevancia. Nosotros prestamos total asistencia ante cualquier duda que pueda surgirle. Por eso mismo, estamos en estrecha y continua comunicación con los empleados que deseen plantearnos alguna consulta o incidencia originada en el seno de su organización.

Formación Actualizada en nuestra Consultoría Protección de Datos

Para que la persona elegida por la empresa acredite tener unos conocimientos básicos en la materia, Grupo Adaptalia pone a disposición de sus cientes un curso formativo para DSPO (Data Security Protection Officer) (pueden ver nuestro Curso Protección de Datos). Tras la superación de este curso, Grupo Adaptalia acreditará la capacitación del usuario a través de la expedición de un título que demostraría que ha superado satisfactoriamente el curso formativo.

Con carácter previo al tratamiento de datos de carácter personal, la actual LOPD exige a las organizaciones la inscripción de sus ficheros en la Agencia Española de Protección de Datos (AEPD). Dichos ficheros, son carpetas conceptuales. Y estas indican los datos que se gestionan en la organización. Así como su finalidad y sistema de tratamiento de datos. Ejemplos básicos son nóminas, clientes y proveedores.

Hasta que sea plenamente aplicable el nuevo reglamento el 25 de mayo de 2018, Grupo Adaptalia se encargará, como hasta ahora ha venido haciendo, de todo el procedimiento burocrático de inscripción de los ficheros de sus clientes.

Por el contrario, a partir de esta fecha ya no será necesaria dicha inscripción.En su lugar, se impondrá la obligación de llevar a cabo un registro de actividades de tratamiento. Este registro será obligatorio para aquellas organizaciones que empleen a un número superior o igual a 250 trabajadores. O bien, cuando el número de trabajadores sea inferior a esta cifra pero los tratamientos de datos puedan entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.

Consultoría Protección de Datos y el Valor Añadido de los Registros de Actividades de Tratamiento

No obstante, Grupo Adaptalia es consciente de la importancia del principio de responsabilidad proactiva. También de las circunstancias cambiantes del tratamiento de datos que realizan las empresas. Para cumplir plenamente con el Principio de Accountability, se encargará de elaborar este registro interno y ponerlo a disosición de todos sus clientes antes de que la aplicación del nuevo reglamento sea obligatoria. Lo cual supone, sin duda, un valor añadido para quienes confían en nuestros servicios.