Desde su publicación en el BOE en abril de 2016, las empresas han tenido dos años para adaptarse al Reglamento General de Protección de Datos (RGPD). Para ello han tenido que adaptar la manera de tratar la información de usuarios y clientes.

Dos de los artículos más importantes de esta ley europea son el 5 y el 6, los cuáles indican la forma correcta de tratar datos personales.
Artículo 5 Artículo 6
○ Los datos personales se deben tratar de forma lícita, leal y transparente.
○ Además, los datos han de ser recogidos con fines determinados, explícitos y legítimos.
○ El tratamiento de esta información ha de ser adecuada, pertinente y limitada.
○ Los datos deben ser exactos, veraces y actualizados. Por último, no se deben mantener durante más tiempo del necesario para los fines del tratamiento.

Establece las bases para la licitud del tratamiento. En este sentido, la normativa considera lícito el tratamiento siempre y cuando se haya obtenido en base a las siguientes condiciones:

○ Consentimiento del interesado.
○ Necesarios para la ejecución de un contrato.
○ Para cumplir con obligaciones legales.
○ Su objetivo es proteger derechos
fundamentales del interesado.
○ Se trata de datos de interés público.
○ Sin fundamentales para que el responsable o un tercero puedan ejercer sus derechos legítimos.

Los Contratos de confidencialidad
Desde la entrada en vigor del RGPD el tratamiento de los datos personales debe hacerse de forma que se garanticen la confidencialidad de los mismos. Esto incluye la implantación de mecanismos para evitar el acceso no autorizados a los datos o a los equipos empleados para su tratamiento.
El responsable o el encargado del tratamiento son los encargados de evaluar los posibles riesgos de seguridad, así como de establecer las medidas de seguridad oportunas para asegurar la confidencialidad de los datos.
Con Encargados del tratamiento
Los encargados del tratamiento son los terceros que te prestan algún servicio y, para ello, acceden a datos personales que tú manejas, bien de tus clientes o bien de tus empleados. Por ejemplo: Gestoría que te lleva los temas fiscales o laborales, informático que realiza el mantenimiento de los equipos, etc.

Sí, seguro que tú también tienes terceros a los que cedes datos.
Con esos encargados del tratamiento debes firmar un documento.

Es más que recomendable que empieces a firmar esos contratos con los terceros que te prestan servicios y revises los que ya tienes para asegurarte que cumplen con los requisitos del RGPD.
Con empleados
Si tienes empleados ya sabes que tienen acceso a toda la información que maneja la empresa. Por eso deben firmar un acuerdo de confidencialidad con el que se evitará que esa información sea revelada a personas no autorizadas.

Igualmente están obligados a observar las medidas de seguridad implantadas por la empresa para garantizar la protección de los datos personales.

Comprueba que tienes firmado un contrato de confidencialidad con tus trabajadores.

Es un documento en el que debes reflejar el tipo de datos que manejas y qué cantidad.

Debes incluir cuestiones como:

○ Tipo de datos que recoges.
○ Finalidad del tratamiento.
○ Dónde guardas esos datos.
○ Si cedes esos datos o realizas transferencias fuera de nuestro país.
○ Medios de tratamiento.

Este registro debes mantenerlo actualizado porque te lo pueden pedir en caso de tener alguna inspección por la AEPD.

Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

Se trata de un informe donde tendrás en cuenta los riesgos que pueden existir sobre los datos que manejas e intentar que no ocurran.

Una vez realizado este análisis, debes aplicar medidas de seguridad que sean capaces de impedir un ataque informático.
Brechas de seguridad
Definición de brecha de seguridad según el RGPD
Una brecha de seguridad es cualquier incidente que resulte en acceso no autorizado a datos de ordenadores, aplicaciones, redes o dispositivos que de como resultado el acceso a la información sin autorización. Por lo general, ocurre cuando un intruso puede pasar por alto los mecanismos de seguridad.
Evaluación de Impacto
Cuando el tratamiento de datos previsto entrañe un alto riesgo para los derechos y libertades de los clientes, debes realizar una evaluación de impacto.

Se trata de un informe donde se indican los riesgos detectados sobre la protección de esos datos y las medidas necesarias para eliminarlos o reducirlos.

Se consideran factores de riesgo:

○ Tratamiento de datos de personas vulnerables (por ejemplo, menores).
○ Tratamiento de datos sensibles (de salud, por ejemplo).
○ Elaboración de perfiles de comportamiento (para determinar gustos o preferencias de clientes).
○ Uso de tecnologías innovadoras (control de accesos con huella dactilar, por ejemplo)

El RGPD introduce una nueva figura: el Delegado de Protección de Datos (DPO).

El DPO o DPD es aquella persona que va a supervisar el cumplimiento de la normativa de protección de datos y asesorarte en cualquier cuestión relacionada con esta materia. También el que, en caso de inspección de la AEPD, actuará de intermediario.
Sólo algunas empresas están obligadas a contratar en DPO.
En concreto, será obligatorio contar con un Delegado de Protección de Datos en los siguientes casos:
○ Si el responsable o encargado del tratamiento es un organismo público, con la excepción de los tribunales que los usen para el ejercicio de sus funciones.
○ Actuaciones llevadas a cabo por responsables o encargados del tratamiento que requieren la observación continua y sistemática de datos a gran escala.
○ Actividades de tratamiento que requieren el tratamiento de categorías especiales de datos a gran escala.