Medidas necesarias para adaptar mi empresa al RGPD

por | 23,Jun,2018 | Protección de datos y nuevas tecnologías | 0 Comentarios

Con el nuevo Reglamento Europeo, tendremos que demostrar que tenemos las medidas adecuadas para poder responder a los requerimientos que podamos recibir desde la AEPD, y que cumplimos con la normativa de protección de datos.

Es muy importante de contar con un registro de actividades de tratamiento y realizar un análisis de riesgos, elemento indispensable para saber qué tratamientos de datos y medidas hay que desarrollar.

Aunque las medidas de seguridad cuestan dinero, esfuerzo y tiempo es necesario que se adopten.

No importa el tamaño de tu empresa,  en cuanto a protección de datos se refiere.

El activo más preciado que tiene una empresa son sus datos, sin embargo hay mucha empresa pequeña (despachos de abogados incluidos) que no le han estado dando la importancia que tiene la protección de datos, y ello pese a que muchas empresas, los datos son su principal activo.

Pensemos por ejemplo en un despachos de abogado,  la materia prima es la información. Y sin embargo, no importa el tamaño del despacho, los únicos que han tomado medidas son los que en algún momento han sufrido un ataque informático o pérdida de información. Esto mismo se puede decir de cualquier empresa.

Todas las empresas sin excepción piensan que  sus datos están debidamente protegidos y sin embargo no es cierto.  Sólo aquellas empresas que han sufrido un ataque han tomado conciencia del riesgo y han adoptado medidas para evitar que vuelva a pasar.

Esto tiene que cambiar y tiene que cambiar ya, no sólo porque lo exige la nueva normativa, sino porque es necesario tomar conciencia de que la importancia que tienen los datos.

Los datos deben estar controlados, actualizados y disponibles para cuando se precisen. La nueva normativa así lo exige.

Uno de los principales riesgos a los que todos nos enfrentamos, son los ciberataques, y  todas las empresas sin excepción pueden ser atacadas, por lo que es necesarios crear un  esquema de prevención, detección y respuesta a este tipo de problemas. Pero tampoco hay que olvidar el riesgo interno, hay que difundir nuestra política de protección de datos y concienciar a trabajadores y empleados de que deben cumplirlas

¿Qué medidas debemos adoptar?

En cuanto a las medidas a adoptar, el artículo 32 RGPD indica que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para
garantizar un nivel de seguridad adecuado al riesgo.

Para decidir qué medidas son adecuadas y evaluar el riesgo es necesario tener en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los
fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Las medidas a adoptar son tecnológicas, jurídicas y organizativas.

a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Al evaluar la adecuación del nivel de seguridad se deben tener en cuenta  los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales sólo pueda tratar dichos datos siguiendo sus instrucciones.

adaptacion RGPD para despachos

¿Cómo pueden adaptarse al RGPD los pequeños despachos de abogados y Procuradores?

La protección de datos es obligatoria para los abogados en ejercicio, no sólo porque la ley y sus reglamentos nos obligan, sino porque el deber de secreto profesional, nos ha obligado a asumir un compromiso desde el inicio de nuestra profesión, por lo que  preservación de la confidencialidad y demás obligaciones que tanto desde la LOPD y su actual reglamento de aplicación nos exigen,  aunque no es algo nuevo para nosotros, existen nuevas exigencias que nos exigen un mayor esfuerzo en la protección de los datos de nuestros clientes.

En caso de despachos unipersonales, tienes que decidir entre dedicar parte de tus recursos y tu tiempo a afrontar este tipo de obligaciones, o considerar en tener un acuerdo con terceros expertos en la materia, para poder gestionar bien la política de privacidad de tu firma.

Los abogados manejan muchos datos personales de clientes y terceros y es fundamental que este tipo de material tan sensible esté documentado para evitar cualquier tipo de problema o infracción que pudiera generarse.

Si eres de los que aún no preparan hojas de encargo,  tendrás que acostumbrarte a documentarlo todo, y evitar a toda costa los acuerdos verbales. 

Recuerda que el consentimiento en el tratamiento de los datos, debe ser explícito, y la única forma de acreditar el consentimiento expreso es la firma del correspondiente documento, por lo que las hojas de encargo y los contratos de servicio deben incorporar las nuevas cláusulas informativas de privacidad.

Un tema que debes tener en cuenta si tu despacho está especializado en derecho penal es el relativo al tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad. Ya que conforme a lo dispuesto en el art. 10 del RGPD, sólo podrá llevarse un registro completo de condenas penales:

  • Bajo la supervisión de las autoridades públicas.
  • Cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados.

Por lo que una cosa es que como abogado dispongas de información a nivel de expediente del afectado, para la llevanza del asunto, y otra cosa bien distinta es que puedas crear un fichero o registro con los datos de infracciones cometidas.

 

Categorías

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Entradas relacionadas

La grabación de las vistas y el principio de inmediación

La grabación de las vistas y el principio de inmediación

Acaban de notificarme una Sentencia que me parece interesante por su fundamentación, os cuento el caso, los acusados entran en una obra que se encontraba vallada supuestamente a robar cobre, el guardia de seguridad los ve, llama a la Policía y finalmente son detenidos, la Sentencia de Instancia los condena con autores de un delito de robo con fuerza en las cosas  en grado de tentativa.

La cuestión principal de debate residió en si saltaron o no la valla y la altura de la misma, ya que los acusados en todo momento afirmaron que la valla esta en el suelo. El guarda de seguridad, único testigo ocular, dijo en el jucio que los autores accedieron a recinto saltando la valla, pero que «era una verja pequeñita», que estaba como enterrada y que no medía más de un metro, que simplemente levantaron la pierna y entraron. 

El Juzgado de instancia pese a ello, declara probado que los acusados, para acceder al recinto de la obra saltaron una valla de más de 2 metros, y condena a los acusados.     

La existencia de una grabación de lo actuado en juicio ha permitido a los magistrados de la Audiencia Provincial escuchar exactamente lo dicho por el testigo y ello ha llevado a la Audiencia a revocar la Sentencia, absolviendo a los acusados. 

El hecho de que las nuevas tecnologías permitan reproducir el juicio en segunda instancia, y escuchar palabra por palabra lo dicho por los testigos,  ¿está produciendo un cambio en el concepto tradicional del principio de  inmediación?

Yo entiendo que sí. La Sentencia del Tribunal Constitucional  135/2011 de 12 de Septiembre, precisó que: «como es notorio, la insuficiencia del acta del juicio como medio de documentación de las pruebas de carácter personal -incluso cuando el empleo de estenotipia permita consignar literalmente las palabras pronunciadas en el curso del acto- viene dada por la imposibilidad de reflejar los aspectos comunicativos no verbales de toda declaración. Ciertamente tal deficiencia no puede predicarse sin más de aquellos medios que con creciente calidad transmiten o reproducen las declaraciones, como acontece con la videoconferencia 35 y con la grabación en soporte audiovisual, lo cual nos aboca a valorar si el concepto tradicional de inmediación debe modularse ante el incesante progreso de las técnicas de transmisión y reproducción de la imagen y del sonido.»   

Y entiendo que la Sentencia de la que os vengo hablando es prueba de ello. Os transcribo la fundamentación completa a continuación.   

leer más

¿Ya conoces nuestra APP para Comunidades de Propietarios?

banner conmiapp-juntas-de propietarios online

Puedes reunirte y votar por tan sólo 20 €, sin descargas, ni cuotas, ni RIESGO SANITARIO

Videconferencia, generación documentos, notificación por email y SMS, gestión de delegaciones de voto, firma de documentos en línea

Contacta con nosotros

Pin It on Pinterest