Con el nuevo Reglamento Europeo, tendremos que demostrar que tenemos las medidas adecuadas para poder responder a los requerimientos que podamos recibir desde la AEPD, y que cumplimos con la normativa de protección de datos.
Es muy importante de contar con un registro de actividades de tratamiento y realizar un análisis de riesgos, elemento indispensable para saber qué tratamientos de datos y medidas hay que desarrollar.
Aunque las medidas de seguridad cuestan dinero, esfuerzo y tiempo es necesario que se adopten.
No importa el tamaño de tu empresa, en cuanto a protección de datos se refiere.
El activo más preciado que tiene una empresa son sus datos, sin embargo hay mucha empresa pequeña (despachos de abogados incluidos) que no le han estado dando la importancia que tiene la protección de datos, y ello pese a que muchas empresas, los datos son su principal activo.
Pensemos por ejemplo en un despachos de abogado, la materia prima es la información. Y sin embargo, no importa el tamaño del despacho, los únicos que han tomado medidas son los que en algún momento han sufrido un ataque informático o pérdida de información. Esto mismo se puede decir de cualquier empresa.
Todas las empresas sin excepción piensan que sus datos están debidamente protegidos y sin embargo no es cierto. Sólo aquellas empresas que han sufrido un ataque han tomado conciencia del riesgo y han adoptado medidas para evitar que vuelva a pasar.
Esto tiene que cambiar y tiene que cambiar ya, no sólo porque lo exige la nueva normativa, sino porque es necesario tomar conciencia de que la importancia que tienen los datos.
Los datos deben estar controlados, actualizados y disponibles para cuando se precisen. La nueva normativa así lo exige.
Uno de los principales riesgos a los que todos nos enfrentamos, son los ciberataques, y todas las empresas sin excepción pueden ser atacadas, por lo que es necesarios crear un esquema de prevención, detección y respuesta a este tipo de problemas. Pero tampoco hay que olvidar el riesgo interno, hay que difundir nuestra política de protección de datos y concienciar a trabajadores y empleados de que deben cumplirlas
¿Qué medidas debemos adoptar?
En cuanto a las medidas a adoptar, el artículo 32 RGPD indica que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para
garantizar un nivel de seguridad adecuado al riesgo.
Para decidir qué medidas son adecuadas y evaluar el riesgo es necesario tener en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los
fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
Las medidas a adoptar son tecnológicas, jurídicas y organizativas.
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Al evaluar la adecuación del nivel de seguridad se deben tener en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales sólo pueda tratar dichos datos siguiendo sus instrucciones.
¿Cómo pueden adaptarse al RGPD los pequeños despachos de abogados y Procuradores?
La protección de datos es obligatoria para los abogados en ejercicio, no sólo porque la ley y sus reglamentos nos obligan, sino porque el deber de secreto profesional, nos ha obligado a asumir un compromiso desde el inicio de nuestra profesión, por lo que preservación de la confidencialidad y demás obligaciones que tanto desde la LOPD y su actual reglamento de aplicación nos exigen, aunque no es algo nuevo para nosotros, existen nuevas exigencias que nos exigen un mayor esfuerzo en la protección de los datos de nuestros clientes.
En caso de despachos unipersonales, tienes que decidir entre dedicar parte de tus recursos y tu tiempo a afrontar este tipo de obligaciones, o considerar en tener un acuerdo con terceros expertos en la materia, para poder gestionar bien la política de privacidad de tu firma.
Los abogados manejan muchos datos personales de clientes y terceros y es fundamental que este tipo de material tan sensible esté documentado para evitar cualquier tipo de problema o infracción que pudiera generarse.
Si eres de los que aún no preparan hojas de encargo, tendrás que acostumbrarte a documentarlo todo, y evitar a toda costa los acuerdos verbales.
Recuerda que el consentimiento en el tratamiento de los datos, debe ser explícito, y la única forma de acreditar el consentimiento expreso es la firma del correspondiente documento, por lo que las hojas de encargo y los contratos de servicio deben incorporar las nuevas cláusulas informativas de privacidad.
Un tema que debes tener en cuenta si tu despacho está especializado en derecho penal es el relativo al tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad. Ya que conforme a lo dispuesto en el art. 10 del RGPD, sólo podrá llevarse un registro completo de condenas penales:
- Bajo la supervisión de las autoridades públicas.
- Cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados.
Por lo que una cosa es que como abogado dispongas de información a nivel de expediente del afectado, para la llevanza del asunto, y otra cosa bien distinta es que puedas crear un fichero o registro con los datos de infracciones cometidas.
0 comentarios