El Reglamento General de Protección de Datos y la Prevención de Riesgos Laborales
Como ya sabemos, hace unos meses que ha entrado en vigor el Reglamento europeo de protección de datos (RGPD), aunque obligatorio desde el cumplimiento de los dos años de su entrada en vigor, es decir, el 25 de mayo de 2018.
Las empresas y entidades deben adoptar medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que el Reglamento establece. El RGPD entiende que actuar únicamente cuando ya ha tenido lugar la infracción no es suficiente como estrategia, debido a que esa infracción puede ocasionar daños a los interesados que puede ser muy complicado compensar o reparar. Por esta razón, se convierte en un imprescindible realizar una buena prevención y, todas las organizaciones que tratan datos deben efectuar un análisis de riesgo de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo.
¿Qué pasos hay que seguir y donde entra la prevención?
1. Designar un Delegado de Protección de Datos. Más info en sedeagdp.
2. Las organizaciones de más de 250 empleados deben elaborar un Registro de Actividades de Tratamiento
3. Realizar un Análisis de Riesgos derivados del tratamiento de datos y establecer medidas de control de seguridad como prevención.
Para determinar si es necesario realizar un análisis de riesgo, las organizaciones puedes utilitzar la nueva herramienta Facilita RGPD, diseñada por la Agencia Española de Protección de datos. Este portal es destinada a aquellas organizaciones que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgos como por ejemplo: tratamientos de datos de contacto, o el tratamiento de los datos de sus empleados con la finalidad del mantenimiento de una relación laboral.
El responsable de realizar un análisis de riesgos és el delegado de Protección de Datos en coordinación con todos aquellos que estén involucrados con el tratamiento de datos. Éste análisis debe tener en cuenta múltiples aspectos:
¿Se recaban datos de carácter personal?
- El nombre.
- La dirección y el número de teléfono.
- Los registros sanitarios.
- Los ingresos y la información bancaria, etc.
Estos datos pueden estar en múltiples documentos:
- Aptos de vigilancia de la Salud y expedientes médicos (en caso de asumir la VS).
- Historia clínica del trabajador (en caso de asumir la especialidad de Medicina en el Trabajo).
- Títulos de formación.
- Investigación de accidentes.
- Evaluaciones de riesgos, trabajadores sensibles, embarazadas.
- Registros de entrega de EPIs.
- Documentación de Coordinación de Actividad Empresarial de diferentes empresas (títulos de formación, aptos, e incluso TCs!).
- Documentación de PRL de las ETTs (contrato de puesta a disposición, certificados de aptitud, y de formación).
Y, con estos datos personales, ¿qué hacemos?
- ¿Estos datos se comunican a terceros?
- ¿Se usa tecnología invasiva para la privacidad en el tratamiento?
- ¿Se tratan datos considerados especialmente protegidos?
- ¿Los datos que han sido recabados se van a utilizar de forma masiva para acciones de marketing?
Una vez realizado este análisis, la organización puede proceder con los subsiguientes pasos:
4. Revisar las Medidas de Seguridad. Para ello, hay que tener conocimiento de las siguientes novedades:
- El gran cambio es que desaparece la tipificación actual de niveles de datos (bajo, medio y alto) y las medidas de seguridad específicas a aplicar para cada nivel. Los responsables y encargados deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo, para ello se tendrán en cuenta medidas técnicas y organizativas.
- Se incorporan dos derechos más a los que ya tenemos sobre nuestros datos personales (acceso, rectificación, cancelación y oposición). Se añaden el derecho al olvido y el derecho a la portabilidad.
- Otro cambio importante es cómo se recaba nuestro consentimiento para el uso de nuestros datos personales. Antes podía ser un consentimiento tácito, es decir “si usted no hace nada entendemos que nos da el consentimiento”. Con el nuevo reglamento no, debe haber un consentimiento explícito y por escrito para qué quieren usar nuestros datos.
5. Posteriormente debe establecerse el Procedimiento de Notificación de brechas de Seguridad
6. Finalmente hay que realizar una evaluación de Impacto en Protección de Datos
Finalmente, hay que tener conocimiento de otro gran cambio que ha hecho el nuevo RGPD referente a las multas. Antes llegaban a los seis cientos mil euros, ahora puede llegar al 4% de la facturación anual de la empresa infractora, con un límite de veinte millones de euros.
Fuentes de información:
Alex Rodríguez
Técnico en Prevención de Riesgos Laborales y profesor del Máster oficial en Prevención de Riesgos Laborales de la Universitat de Vic
(Universitat de Vic – BTC Centro de Estudios Superiores).
E-mail: alex@btconsulting.org