Consultas Online
Consulta formulada por:
Con el cambio de normativa en protección de datos ¿Tenemos que revisar la manera en la que tratamos los datos?
07.05.18
Hola,
Somos una asociación de pacientes y tenemos dudas sobre si cumplimos lo exigido por el nuevo RGPD.
Por un lado, tenemos una base de datos personales (nombre, apellidos, dirección,...) de las personas asociadas (Access). Esta base de datos la tenemos registrada. También tenemos registrada otra base de datos con los contactos, es decir, con la gente que nos contacta para resolver dudas sobre su salud, grado de discapacidad y cuestiones varias. Nos contactan por teléfono, correo electrónico, formulario de contacto de la página web,...
Hasta aquí lo que tenemos registrado, pero no entendemos si tenemos que revisar algún aspecto de la forma en la que tratamos los datos.
¿Alguien nos podría asesorar para resolver esta duda?
¡Muchas gracias!
Respuestas
Aportada por:
Fundación Gestión y Participación Social
Trabaja en:
Asesor particular
09.05.18
Hola, Jenny.
Indudablemente, hay que revisar lo que se venía haciendo. Incluso si al final no cambiara nada, el nuevo modelo pone un mayor énfasis en la responsabilidad de la entidad para una correcta cesión de los datos, para analizar sus riesgos en relación con la protección de datos y para adoptar medidas de protección.
Tenéis, por tanto y entre otras cosas, que hacer un análisis de qué datos estáis recogiendo. Por ejemplo, deberíais analizar si estáis registrando datos relacionados con la salud (a partir de las consultas que resolvéis). Si fuera así, deberíais valorar si tiene sentido registrar esa información (que es especial y requiere un mayor nivel de protección) y, en caso afirmativo, poner cuidado en el tratamiento que se está haciendo de ellos (qué información se facilita a quienes os los dan, dónde se guardan, dónde puede haber copias de seguridad de estos datos, quiénes tienen acceso a ellos…) Esto es válido para todos los datos, pero los riesgos asociados a datos de características especiales son mayores.
En el peor de los casos, vuestros datos actuales podrían estar recogidos de una forma que no cumple con el RGPD, y eso llevaría a tener que recabar otra vez el consentimiento de los implicados, pero no tiene por qué ser así (salvo que el consentimiento inicial fuera tácito).
Aunque no todo se os aplicará a vosotros, os puede interesar consultar el listado de cumplimiento normativo que ofrece la Agencia Española de Protección de Datos, para que podáis identificar los puntos que tendréis que revisar. No os asustéis, tenéis que priorizar y hacer un esfuerzo continuado para acabar teniendo todo bien, más que un atracón.
Más información práctica:
Guía práctica de análisis de riesgos
Cómo adaptar la comunicación al RGPD
Un saludo
César Valencia
Fundación Gestión y Participación Social
www.asociaciones.org