Protección de datos

RODO - Reglamento de protección de datos o OROD - Reglamento General de Protección de Datos, GDPR). Conjunto de normas celebradas por la Unión Europea relativas a la protección de las personas físicas. Se refiere al tratamiento de datos personales y a su libre circulación. Publicado por el Diario Oficial de la Unión Europea L 119 el 4 de mayo de 2016. Entró en vigor el 25 de mayo de 2018. Aplicable a todas las entidades que operan en la UE, incluidas las pequeñas empresas, así como las grandes corporaciones multinacionales. 

¿Cuáles son las sanciones por incumplimiento de RODO? 

La sanción máxima es de 20.000.000 euros. Las empresas infractoras deberán pagar hasta 4% de su volumen de negocios total anual a escala mundial correspondiente al año anterior (artículo 83(5)(a) RODO). 

Principios generales del tratamiento de datos: 

  • Cumplimiento legal, transparencia e integridad; 
  • Restricciones a la finalidad del tratamiento; 
  • Corrección y minimización; 
  • Restricciones de almacenamiento; 
  • Confidencialidad e integridad; 
  • Rendición de cuentas. 

Plan de entrenamiento paso a paso: 

Los empleados aprenden la nueva normativa

     1.Aprender los siguientes conceptos: 

  • perfiles, 
  • datos personales y biométricos, 
  • seudonimización; 

     2 Introducción de RODO en la organización: 

  • ¿cómo empezar? 
  • ¿en qué centrarse?  
  • prioridades de las tareas, 
  • procedimientos necesarios; 

      3 Tareas básicas del responsable del tratamiento y del encargado del tratamiento: 

  • legislación y principios, 
  • privacidad por diseño y por defecto, 
  • registro de actividades y categorías de tratamiento, 
  • deberes de información;[División de envolturas de texto]. 

      4 El papel del responsable de la protección de datos: 

  • qué cualificaciones tiene, 
  • posición en la empresa; 

      5 Derechos de las personas en relación con sus datos: 

  • acceso, olvido y otros, 
  • ¿cómo es una violación de datos? ¿a quién informar de las violaciones?[Desglose del resumen de texto 

¿Cómo ha cambiado RODO la normativa nacional? 

  • Entró en vigor la nueva Ley de Protección de Datos de 10 de mayo de 2018 (en vigor desde el 25 de mayo de 2018); 
  • El Administrador de Seguridad de la Información (ABI) ha sido sustituido por un Responsable de Protección de Datos (RPD); 
  • Se ha suprimido la institución del Inspector General de Protección de Datos Personales en favor del Presidente de la Oficina de Protección de Datos Personales (PUODO). 

¿A quién afecta la protección de datos? 

Todos los empresarios (incluidos los empresarios individuales) sin distinción por número de empleados, tamaño o ámbito de trabajo (artículo 2 y artículo 3 del RODO). Quedan excluidas las actividades no cubiertas por la legislación de la Unión Europea, las personas físicas que realicen actividades domésticas o personales. 

¿A qué información están vinculados? 

  • nombre;  
  • dirección residencial (ubicación); 
  • PESEL u otro número de identificación; 
  • nombre de correo electrónico; 
  • factores que definen la identidad fisiológica, física, genética, mental, económica, social o cultural de un individuo.  

¿Qué datos no deben tratarse? 

Especialmente los protegidos como: 

  • origen racial; 
  • estado de salud; 
  • orientación sexual; 
  • datos biométricos. 

Operaciones básicas: 

  • colección; 
  • grabación; 
  • vista previa; 
  • modificación;  
  • uso; 
  • divulgación;  
  • difusión; 
  • compartir; 
  • ajustado; 
  • enlazando; 
  • destrucción; 
  • reducción; 
  • remoción. 

El artículo 6 del RODO enumera una serie de circunstancias que autorizan el tratamiento de datos personales.  

El comerciante está obligado a obtener el consentimiento del interesado para su tratamiento o cuando sea necesario para la ejecución de un contrato. 

El responsable del tratamiento de datos puede ser una persona física o jurídica que: 

El inspector comprueba el cumplimiento de los procedimientos
  • aplica los procedimientos de seguridad; 
  • determina la forma y la finalidad de la adquisición y el tratamiento; 
  • define el ámbito de aplicación; 
  • realiza actos jurídicos; 
  • garantizar la seguridad; 
  • evaluar el riesgo de violación de datos; 
  • tendrá en cuenta el coste de los elementos de seguridad. 

En el Reglamento se puede leer que las garantías pueden ser de tipo organizativo o técnico. Deben guardar relación con el ámbito, la naturaleza, el contexto y la finalidad del tratamiento, así como tener en cuenta el riesgo de vulneración de las libertades y derechos de los interesados. 

En la DPA, encontramos las siguientes directrices que pueden ser utilizadas por el responsable del tratamiento en las circunstancias adecuadas: 

  • Garantizar continuamente la integridad, confidencialidad, disponibilidad y resistencia de los sistemas y servicios de procesamiento. 
  • Copia de seguridad de los datos. Posibilidad de restablecer la disponibilidad de los datos personales también en caso de incidente técnico o físico. 
  • Cifrado y seudonimización: tratamiento de información personal de modo que no pueda identificarse ni atribuirse a una persona, sin acceso a otra información. 
  • Realización de pruebas periódicas, comprobación y medición de la eficacia de las medidas organizativas o técnicas que garantizan la seguridad del tratamiento. La protección es un proceso continuo, en constante análisis y mejora. 
  • Medidas de seguridad: 

            organizativa:  

  •  manual de protección;  
  • permitiendo sólo a los empleados autorizados; 
  • y un compromiso de confidencialidad; 
  • pantalla limpia y práctica de escritorio; 
  • entrega de llaves a personas autorizadas; 
  • registro de las actividades de tratamiento, excepto para las empresas con menos de 250 empleados; 

            Técnica: 

  • encriptación de datos; 
  • protección contra el malware; 
  • seguridad de las redes informáticas 
  • sistema de autenticación con la necesidad de introducir un nombre de usuario y una contraseña; 
  • armarios o salas para almacenar información de forma física.  

Es importante recordar que la generación de datos implica un riesgo de violación de libertades o derechos. No es esporádica, e incluye datos sensibles o relativos a infracciones legales y condenas. 

¿Quién es el responsable de la protección de datos y cuándo se le nombra? 

Ayuda a las empresas a cumplir la normativa. Proporciona información sobre las obligaciones relacionadas con RODO para el procesador o controlador. Además, coopera con la PUODO. La obligación de designar un inspector se produce en determinadas situaciones en virtud del artículo 37 RODO cuando: 

portátil sobre la mesa

"el tratamiento será realizado por una autoridad u organismo público, con excepción de los órganos jurisdiccionales en el ejercicio de sus funciones judiciales; las actividades principales del responsable o del encargado del tratamiento consisten en operaciones de tratamiento que, debido a su naturaleza, alcance o fines, requieren un control regular y sistemático de los interesados a gran escala; o las actividades principales del responsable o del encargado del tratamiento consisten en el tratamiento a gran escala de las categorías especiales de datos personales a que se refiere el artículo 9, apartado 1, y de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10."