Seguro que desde el pasado 25 de Mayo, tu correo electrónico se ha llenado de mensajes pidiéndote que leas la nueva política de protección de datos.
Antes de continuar con la lectura de este post, te deseamos suerte en la ardua misión de leer todas ellas, y de paso, te recomendamos que aproveches la ocasión para realizar una buena limpieza de aquello que ya no te interesa.
El motivo de tal bombardeo es que el mismo 25 de mayo entró en vigor el Reglamento General de Protección de Datos, RGPD, o GDPR, por sus siglas en inglés. Este reglamento es el nuevo texto de referencia europeo en materia de protección de datos.
Reemplaza a la actual Directiva 95/46/EC sobre la protección de datos personales, e incluye numerosos cambios claves:
- Esta nueva normativa europea de protección de datos extiende el campo de aplicación de la ley al conjunto de las empresas, incluidas aquellas no europeas cuando trabajen con información personal de residentes europeos.
- Introduce la figura del delegado de protección de datos (DPD) que será el encargado de velar que se cumple el RGPD.
- Establece el derecho de acceso y derecho a la portabilidad de los datos así como el derecho al olvido y derecho de corrección y derecho de oposición.
- También introduce dos principios nuevos: la protección de datos desde el diseño y la protección de datos por defecto.
Y en la documentación de PRL ¿Cómo afectan todos estos cambios?
El primer paso es analizar qué tipo de datos de carácter personal forman parte de la documentación que los técnicos de prevención, ya sea de servicios propios o ajenos, manejan a diario:
- Aptos de vigilancia de la Salud y expedientes médicos (en caso de asumir la VS).
- Historia clínica del trabajador (en caso de asumir la especialidad de Medicina en el Trabajo).
- Títulos de formación.
- Investigación de accidentes.
- Evaluaciones de riesgos, trabajadores sensibles, embarazadas.
- Registros de entrega de EPIs.
- Documentación de Coordinación de Actividad Empresarial de diferentes empresas (títulos de formación, aptos, e incluso TCs!).
- Documentación de PRL de las ETTs (contrato de puesta a disposición, certificados de aptitud, y de formación).
Estos documentos son los susceptibles a contener datos personales, que pueden ser:
- El nombre.
- La dirección y el número de teléfono.
- Los registros sanitarios.
- Los ingresos y la información bancaria, etc.
La gran novedad es que desaparece la tipificación actual de niveles de datos (bajo, medio y alto) y las medidas de seguridad específicas a aplicar para cada nivel. Los responsables y encargados deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo, para ello se tendrán en cuenta medidas técnicas y organizativas.
Una buena herramienta para determinar si es necesario realizar un análisis de riesgo, es Facilita RGPD, diseñada por la Agencia Española de Protección de datos, destinada a aquellas empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgos como por ejemplo: tratamientos de datos de contacto, o el tratamiento de los datos de sus empleados con la finalidad del mantenimiento de una relación laboral.
Según esta herramienta, si la actividad de la organización pertenece a alguno de estos sectores:
- Sanidad
- Solvencia patrimonial y crédito
- Generación y uso de perfiles
- Actividades políticas, sindicales o religiosas
- Servicios de telecomunicaciones
- Seguros
- Entidades bancarias y financieras
- Actividades de servicios sociales
- Publicidad
- Videovigilancia masiva (Videovigilancia de grandes infraestructuras como estaciones de ferrocarril o centros comerciales)
O bien si la organización trata alguno de los siguientes datos:
- Datos que revelen origen étnico o racial
- Datos de opiniones políticas o religión
- Datos de afiliación sindical (excepto cuotas sindicales)
- Datos genéticos
- Datos biométricos dirigidos a identificar de manera unívoca a una persona
- Datos de salud física o mental
- Datos relativos a la vida sexual o a la orientación sexual
- Datos relativos a condenas o infracciones penales
- Geolocalización
O bien si la organización realiza alguno de los siguientes tratamientos:
- Hacer o analizar perfiles
- Hacer publicidad y prospección comercial masiva a potenciales clientes.
- Prestación de servicios de explotación de redes públicas o servicios de comunicación electrónica (proveedor de servicios de internet (LGT)).
- Gestionar los asociados o miembros de partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical
- Gestión, control sanitario o venta de medicamentos.
- Historial clínico o sanitario.
Sería necesario realizar un análisis de riesgos, revisando las medidas de seguridad que actualmente se estén aplicando, de esta forma se podrá determinar si se debe modificar alguno de los tratamientos que ya se esté realizando.
Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo.
El tipo de análisis variará en función de:
- Los tipos de tratamiento.
- La naturaleza de los datos que se traten.
- El número de interesados afectados.
- La cantidad y variedad de tratamientos que una misma organización lleve a cabo.
Para las organizaciones de menor tamaño y con tratamientos de poca complejidad: el análisis será el resultado de una reflexión, documentada mínimamente, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.
En cambio, para grandes organizaciones, como regla general, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.
Hasta que la nueva LOPD (ahora mismo en proyecto de ley) no esté aprobada, el Reglamento General de Protección de Datos será la normativa principal y, respecto a aquellos puntos que el RGPD no haga referencia, seguirá vigente la Ley Orgánica de Protección de Datos actual.
La sanción máxima por incumplimiento del RGPD puede ser de hasta 20 millones de euros o el 4 % de los beneficios anuales, cualquiera que sea la mayor de las dos, así que es importante evaluar el cumplimiento para evitar males mayores.
¿Tu empresa se ha adaptado ya al nuevo RGPD?
¡Esperamos tus comentarios!
Equipo Full Audit.