Dile adiós a la LOPD desde tu ONG: llega el Reglamento General de Protección de Datos (RGPD)
A partir de próximo 25 de mayo nuestra querida LOPD dejará de tener validez, ya que entrará en funcionamiento el RGPD o Reglamento General de Protección de Datos, una nueva regulación que apunta a fortalecer los derechos individuales de protección de datos dentro de la Unión Europea. Como ya sabéis, las ONGs y entidades sin ánimo de lucro también tenemos que cumplir la legislación de protección de datos como cualquier otra agrupación, así que desde SolucionesONG hemos decido recopilar la información que nos ha proporcionado nuestra asesora Carolina Bardisa para daros algunas de las claves que que van a marcar nuestra manera de recopilar datos personales.
El RGPD sustituye a la Directiva de 1995 para hacer que la protección de datos sea sostenible en la UE a largo plazo, al tiempo que unifica la legislación nacional.
Las organizaciones podrán aprovechar al máximo las oportunidades de un mercado único digital, reduciendo la burocracia y beneficiándose de una mayor confianza de su base social. Será de obligada aplicación a* partir del 25 de mayo de 2018.*
Diferencias con la LOPD (Ley Orgánica de Protección de Datos)
Las principales novedades que establece la nueva norma son las siguientes:
• Será recomendable y en algunos casos obligatorio designar un Delegado de Protección de Datos (DPD), interno o externo, que asista a las organizaciones en el proceso del cumplimiento normativo.
• Desaparecen los niveles de seguridad actualmente existentes (alto, medio, bajo). En ciertos casos, se deberán realizar* evaluaciones de impacto sobre la privacidad,* que determinen los riesgos específicos que supone tratar ciertos datos de carácter personal y prevean medidas para mitigar o eliminar dichos riesgos.
• Se introduce el concepto de ventanilla única, que permitirá a cualquier ciudadano presentar una reclamación ante la autoridad de protección de datos de su lugar de residencia, de su lugar de trabajo o del lugar donde se hubiera cometido la presunta infracción, independientemente del domicilio de la organización denunciada.
• Las brechas de seguridad deberán ser comunicadas a las autoridades de control y, en determinados supuestos, también a los afectados, tan pronto sean conocidas, estableciéndose el plazo máximo de 72 horas.
• La definición de datos sensibles se amplía, incluyendo ahora los datos genéticos y biométricos. Se incluyen también en esta categoría las infracciones y condenas penales, aunque no las administrativas.
• La selección de un encargado del tratamiento se endurece, puesto que habrá que elegir uno que aporte suficientes garantías de cumplimiento normativo.
• Garantías adicionales para las transferencias internacionales de datos: establecimiento de garantías más estrictas y mecanismos de seguimiento en relación con las transferencias internacionales de datos fuera de la unión europea.
• Sellos y certificaciones: se prevé que se creen sellos y certificaciones que permitan acreditar el cumplimiento por parte de las organizaciones.
• Desaparece la obligación de inscribir los ficheros, que se sustituye por un control interno y, en algunos casos, un inventario de las actividades de tratamiento de datos que se realicen.
• Sanciones: las cuantías de las sanciones por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual (no se excluye de las multas a las administraciones públicas, aunque los estados miembros pueden acordarlo así).
• Se introducirán los términos privacidad por diseño y privacidad por defecto. La privacidad en el diseño busca que las organizaciones intenten evitar invasiones en la privacidad durante el diseño y la privacidad por defecto persigue que la privacidad se proteja en todo momento y de forma predeterminada.
• Se crearán nuevos derechos, uniéndose a los actuales derechos de acceso, rectificación, cancelación y oposición, los derechos a la limitación del tratamiento y a la portabilidad de los datos.
• Cuando se recaben datos personales, la información que se facilite a los afectados deberá ser más extensa que en la actualidad. Por ejemplo, habrá que indicar el plazo de conservación de los datos personales, los datos de contacto del DPD y la base jurídica del tratamiento, entre otros.
• Se verá modificada la figura del consentimiento, que ahora será toda manifestación de voluntad libre, específica, informada que conlleve una aceptación inequívoca del usuario, ya sea mediante una declaración o a través de una acción afirmativa. Los silencios y las casillas premarcadas no serán formas válidas de obtención del consentimiento.
¿Cómo afecta la RGPD al Tercer Sector?
El Tercer Sector, se ve afectado directamente por la RGPD debido a la gran cantidad de datos que maneja. La Protección de Datos obliga a profesionales, organizaciones o entidades que en sus actividades diarias tratan con datos de carácter personal al cumplimiento de ciertas obligaciones y medidas de seguridad con el fin de garantizar los derechos de los titulares de los datos tratados.
¿Cómo puedo gestionar mi base de datos para cumplir con el RGPD?
Cuando se utilizan programas para gestionar grandes volúmenes de información, el riesgo de que ésta se pierda o se filtre es bastante grande, sobre todo si no se toman las medidas pertinentes. Si todos los colaboradores tienen acceso a ella, las posibilidades de que sea vista o utilizada por quien no debe, aumentan considerablemente.
Sin embargo, al trabajar con un software CRM (Customer Relationship Management), una organización no sólo contará con información mucho más detallada y ordenada, sino que además tendrá un nivel de seguridad óptimo para el manejo de estos datos.
La comunidad de CiviCRM está desarrollando extensiones relacionadas con el nuevo RGPD que garantizarán que los cambios en las preferencias de comunicación se registren como una actividad de CiviCRM, entre otras funcionalidades. Estas actividades incluirán los requisitos de las directrices del RGPD.
Por otro lado, utilizar un servicio SAAS (software as a service) o en la nube le ayudará a cumplir los estándares de seguridad que la nueva regulación exigirá. Las medidas de seguridad que permite incluir son las siguientes:
• Autenticación de dos factores
Los procedimientos de seguridad estándar (especialmente en línea), requieren simplemente un nombre de usuario y contraseña, lo que hace cada vez más fácil para los delincuentes, acceder a datos personales y financieros del usuario y luego usar esa información para cometer actos fraudulentos, generalmente de naturaleza financiera.
Por este motivo se introduce la autentificación de 2 factores con Google Authenticator. Además del nombre de usuario y la contraseña, el sistema solicitará el ingreso de un número aleatorio proporcionado por Google Authenticator a través del móvil del usuario.
• Gestión de sesión de usuario
Una posible debilidad en la seguridad es que los usuarios dejen sus ordenadores conectados sin supervisión o sin cerrar la sesión o cerrar el navegador. Esto podría permitir el acceso no autorizado a los datos. Para minimizar este riesgo, reduciremos la cantidad de tiempo que una sesión iniciada permanece activa en el CRM mientras está inactivo.
• Contraseñas Débiles
Los usuarios a menudo usan la misma contraseña en varios sistemas y, por lo tanto, el acceso al CRM se vuelve más vulnerable. Por este motivo se introducen sistemas de caducidad de contraseñas, obligando a todos los usuarios a restablecer sus contraseñas dentro de un cierto período de tiempo.
• Copias de seguridad
Con el fin de proteger los datos de los clientes y garantizar la integridad de las copias de seguridad se mantienen en al menos dos ubicaciones. Esto garantiza que, si el servidor de alojamiento está comprometido de alguna manera, incluidos fallos de hardware, las copias de seguridad estarán disponibles fuera del sitio.
• Cifrado de las bases de datos
Una de las técnicas recomendadas por las directivas RGPD para mitigar el riesgo, es garantizar que las bases de datos estén encriptadas. Las instalaciones deben estar configuradas para acceder a través de protocolos HTTPS, asegurando que la transmisión de datos entre la máquina del cliente y el servidor esté encriptada, como lo haría cualquier portal de comercio.
A su vez, todas las bases de datos (y sus correspondientes copias de seguridad) de los clientes deben estar encriptadas y securizadas.
Recordad que si os ha quedado alguna duda o tenéis alguna pregunta específica sobre el RGPD que no se haya resuelto con este artículo, siempre podéis utilizar nuestro servicio de consultas, donde nuestros asesores de legislación y tecnología podrán daros respuesta.
Trata sobre:
- Tecnología y web
- Legislación