De un sistema de protección basado en el cumplimiento de formalidades (inscripción de ficheros, elaboración de documento de seguridad…) y medidas de seguridad tasadas en la normativa (LOPD y su reglamento de desarrollo) se pasa a otro sistema basado en el principio de responsabilidad proactiva.
Este principio exige que los responsables deban adoptar una serie de medidas para garantizar que los tratamientos de los datos personales son conformes a las obligaciones establecidas en el Reglamento y, lo que es más importante, están en condiciones de demostrarlo.
Estas medidas son:
• Análisis de riesgos: previo al tratamiento se ha de realizar una valoración del riesgo que los tratamientos pueden suponer para implementar las medidas oportunas para su mitigación o prevención. Debe plasmarse esta valoración documentalmente.
• Registro de actividades de tratamiento: tanto el responsable como el encargado del tratamiento deben crear y mantener un registro de operaciones de tratamiento (con el contenido que se especifica en el Reglamento).
• Protección de Datos desde el Diseño y por Defecto: los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del Reglamento.
• Medidas de seguridad: los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados atendiendo a diversas variables, no solo el tipo de dato objeto de tratamiento en el análisis previo.
• Notificación de “violaciones” de seguridad de los datos: si se produce una violación de la se guridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
• Evaluación de Impacto sobre la Protección de Datos: los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
• Delegado de Protección de Datos: será obligatorio tener la figura de una persona encargada de asesorar al responsable en todo lo relativo a la normativa sobre protección de datos. En el nuevo esquema establecido por el Reglamento alcanza mayor relevancia la figura del encargado del tratamiento dado que se establecen varias obligaciones específicas que no dependen del contenido contractual de su relación con el responsable, como en el sistema actual.
Estas obligaciones consisten en: mantener un registro de actividades de tratamiento, determinar las medidas de seguridad aplicables a los tratamientos que realizan y designar a un Delegado de Protección de Datos (DPO) en los casos previstos por el Reglamento. Estas modificaciones suponen que el responsable esté obligado a elegir encargados de tratamiento que le garanticen y estén en condiciones de demostrar que el tratamiento que realizarán de sus datos sea conforme al nuevo Reglamento.
Especial cuidado con los proveedores
Por tanto, a partir del mes de mayo de 2018 las empresas deberán ser especialmente cuidadosas en la elección de sus proveedores de servicios de outsourcing en ámbitos en los que dicho proveedor tenga acceso y trate datos de carácter personal.
En este sentido, las empresas deberán chequear, dado que su responsabilidad está en juego, que su proveedor de servicios cumple con los requerimientos del nuevo Reglamento: existencia de un DPO, certificaciones externas de servicios e infraestructuras, experiencia y especialización en el ámbito de los servicios, etc.
Sopra HR Software tiene más de 45 años de experiencia en la creación y desarrollo de su propio software, el cual siempre ha cumplido con los requisitos de seguridad, yendo incluso en múltiples ocasiones por delante de estos. Además, cuenta con su propia infraestructura tecnológica certificada por los más altos estándares de seguridad y que cumple con todos los requisitos de las normas ISO27001, ISO4001 e ISO9001.
Para asegurar el cumplimiento de los procedimientos internos, todas las actividades del área de outsourcing de Sopra HR Software están auditadas por una entidad externa que certifica además que los estándares cumplen con la norma ISAE 3402.
Proceso de transformación
Sopra HR Software cuenta con la experiencia necesaria para impulsar el proceso de transformación de su empresa, que necesita servicios flexibles de outsourcing de RRHH capaces de hacer frente a cambios constantes en su organización, garantizando niveles de servicio que responden a cada necesidad, seguridad total y constante adaptación al marco legal.
La decisión de externalizar servicios implica ganar eficiencia teniendo en cuenta también factores como las economías de escala y elegir un proveedor especialista en modelos de outsourcing que se anticipe y acompañe en los cambios.
Sopra HR Software cuenta, desde el primer momento e internamente, con la figura del DPO que lleva a cabo una función preventiva y proactiva en todo lo referente a la política de protección de datos.
Los comentarios están cerrados.