Adoptar un protocolo de protección de datos podrá ayudarnos a aplicar la normativa vigente de manera adecuada y sin dejarnos nada pendiente. En las siguientes líneas te explicamos cómo.
En este artículo hablamos de:
¿Qué es un protocolo de protección de datos?
Un protocolo de protección de datos es, por un lado, una guía que nos ayudará a implementar en nuestro negocio o empresa el RGPD y, por extensión, a la Ley Orgánica de Protección de Datos 3/2018, cumpliendo todas las obligaciones y requisitos de la normativa.
Por otro lado, el protocolo de protección de datos es también el documento que recoge las normas que tú y tus empleados debéis seguir para asegurar que el negocio cumple en todo momento con las leyes de protección de datos de carácter personal y las medidas de seguridad que debéis respetar para evitar pérdidas, filtraciones o fugas de datos.
¿Por qué necesita mi empresa un protocolo de protección de datos?
Cualquier negocio necesita un protocolo de protección de datos, porque está obligada a cumplir con la normativa de protección de datos y el protocolo es la mejor herramienta para asegurarnos de que cumplimos con todas las obligaciones establecidas en la normativa, de hacerlo de forma ordenada y con todas las garantías exigidas.
El protocolo incluye, a modo de check list, todos los pasos y acciones que se deben llevar a cabo en el procedimiento de protección de datos, de manera que cada vez que iniciemos un tratamiento de datos o pongamos en marcha un servicio o producto que implique el tratamiento de datos de carácter personal, seguiremos las directrices del protocolo de protección de datos para cubrir todos los requisitos que exige la ley.
En su vertiente de normas internas para la protección de datos por parte de los empleados, el protocolo sirve, precisamente, para que estos sepan qué normas y medidas de seguridad deben respetar y aplicar a la hora de acceder y tratar los datos personales de clientes, empleados o proveedores y qué no deben hacer, para evitar poner en riesgo los datos personales que maneja la empresa.
Puntos clave para implementar un protocolo de protección de datos
A continuación vamos a repasar los puntos clave que no pueden faltar para implementar el protocolo de protección de datos en cualquier empresa.
- Determinar el tratamiento de datos que se van a realizar:
Dependiendo de los servicios o productos que comercialices, así como la actividad económica a la que se dedique tu empresa, tendrás que llevar a cabo diferentes tratamientos de datos personales. Lo primero que debes determinar, por tanto, son los tratamientos de datos que vas a realizar y prever, aquellos que puedas tener que realizar en el futuro (bases de datos de clientes, cámaras de vigilancia, facturación, nóminas de empleados, etc.). Además, deberás saber qué tipo de datos personales vas a tratar; las dos categorías generales en las que se dividen son: básicos y de categorías especiales.
- Realizar análisis de riesgos:
Tratar datos personales siempre puede entrañar amenazas para los derechos y libertades de los interesados (los titulares de los datos), por ese motivo es necesario realizar el correspondiente análisis de riesgos RGPD, que haremos cada vez que vayamos a hacer un nuevo tratamiento de datos personales.
Cuando el nivel de riesgo sea elevado o se traten datos de categorías especiales, también llevaremos a cabo una EIPD (evaluación de impacto en protección patos).
- Implementar medidas de seguridad:
Una vez que sabemos qué amenazas y nivel de riesgo entrañan los tratamientos de datos que vamos a realizar, el siguiente punto a tener en cuenta es escoger e implementar las medidas de seguridad en protección de datos personales que mitiguen o eliminen las posibilidades de que las amenazas acaben materializándose. Estas medidas de seguridad deben ser adecuadas y efectivas, y serán tanto técnicas como organizativas.
- Preparar contratos de encargado de tratamiento:
Como es muy probable que necesites la protección de datos para empresas o profesionales que deberán acceder a los datos personales que manejas para dar cumplimiento a dichos servicios, deberás preparar contratos de encargado del tratamiento para firmar con ellos, de manera que establezcas las condiciones, obligaciones, finalidad y plazos para el tratamiento de los datos que les cedes.
- Informar a los empleados del protocolo y cómo cumplirlo:
Tus empleados también deben cumplir con la normativa de protección de datos, por lo que deben conocer y poner en práctica todas las medidas contenidas en el protocolo de protección de datos, especialmente si tienen acceso a datos personales manejados por la empresa. Cumplir con las medidas del protocolo, especialmente con las referidas a la seguridad de los datos, es una obligación que todo empleado debe cumplir y conocer las consecuencias en caso de no hacerlo.
- Legalidad de la página web:
Si tu empresa o negocio tiene una página web, esta debe cumplir con la normativa de protección de datos también y deberá contener el aviso legal, la política de privacidad y la política y el aviso de cookies. Además, si se trata de una tienda online u ofreces contratación de servicios a través de ella, también debe contar con los términos y condiciones de una tienda online y las condiciones generales de contratación respectivamente.
- Información y derechos de los interesados:
Siempre debes cumplir con el deber de informar sobre el tratamiento de datos personales. Es decir, tus clientes, empleados, proveedores y todas aquellas personas físicas cuyos datos puedas llegar a tratar, deben estar informados sobre la finalidad del tratamiento, la base legitimadora del mismo, el plazo de conservación de los datos, si se cederá a terceros, así como de la identidad del responsable del tratamiento (la empresa o el profesional) y, si procede, del encargado del tratamiento y del Delegado de Protección de Datos (DPO).
Además, siempre deberás facilitar a los interesados el ejercicio de sus derechos RGPD; cómo y a través de qué vías pueden ejercer sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.
- Documentación actualizada:
Todos los documentos relativos a la protección de datos (contratos de encargo del tratamiento, registro de consentimiento, registro de actividades de tratamiento, políticas de privacidad, etc.) deben estar actualizados, de manera que cualquier nuevo tratamiento de datos, cambios en las medidas de seguridad o entrada de nuevos datos personales, por ejemplo, queden registrados y documentados.
Estos documentos serán la prueba de que cumples con la normativa de manera diligente en caso de denuncia o inspección por parte de la AEPD.
- Programar auditorías periódicas:
Asegura la efectividad de las medidas de seguridad implementadas y de que cumples con todas las obligaciones de la normativa de protección de datos, realizando auditorías periódicas de protección de datos. Programa estas auditorías cada uno o dos años y llévalas a cabo siempre que hagas cambios significativos en los sistemas de gestión de tu empresa. Las auditorías deberá realizarlas un servicio externo especializado en protección de datos.
- Implementar protocolo de respuesta a brechas de seguridad:
No solo debes implementar medidas de seguridad para evitar incidentes de seguridad, también debes implementar un protocolo de respuesta para cuando estas se produzcan, de manera que las personas encargadas de solucionarlo (normalmente, el departamento de TI) sepan cómo actuar, qué acciones llevar a cabo y puedan hacerlo lo más rápido posible, tanto para limitar el impacto de la brecha de seguridad como para notificarla a la AEPD y a los interesados dentro del plazo de 72 horas que exige la normativa.
- Designar un DPO:
Si tu empresa tiene más de 250 empleados, tratas datos de categorías especiales o a gran escala y de manera sistemática, está obligada a designar un DPO, que se encargará, entre otras funciones, de asesorar a la empresa en materia de protección datos, del cumplimiento de la normativa y de ser el enlace entre la empresa y la AEPD, a quien deberá dirigir todas las consultas relacionadas con el tratamiento de datos personales.
El DPO puede ser un empleado de la empresa con conocimientos en protección de datos o un profesional externo a la misma.
¿Necesitas ayuda para crear un protocolo de protección de datos? Contacta con Grupo Atico34
Como dijimos al principio, adaptarse al RGPD no es una tarea sencilla y el protocolo de protección de datos, aunque es una herramienta sumamente útil para ello, también puede resultar complejo elaborarlo cuando no se tienen los conocimientos necesarios en la materia ni de la propia normativa. Por ese motivo, contratar protección de datos con una empresa especializada es la solución más recomendada.
En Grupo Atico34 contamos con un equipo de expertos en protección de datos que te ayudarán no solo a elaborar un protocolo de protección de datos, sino a implementarlo de forma efectiva, cumpliendo con cada uno de los puntos clave que hemos visto en este artículo. Además, estarán disponibles en todo momento para solucionar cualquier duda que puedas tener.