365 días tras la implantación del temido GDPR

Ya hace un año de la implantación del RGPD (Reglamento General de Protección de Datos o GDPR en sus siglas en inglés), de la que todos recordamos la ingente cantidad de correos que nos pedían nuestro consentimiento o que nos informaban del tratamiento que iban a hacer. Con muchos de estos correos nos pasaba que ni nos acordábamos de que teníamos cuenta en esa plataforma. A mucha gente le sirvió para saber dónde estaban sus datos y, a los que tenían tiempo, para gestionar y darse de baja de algunas plataformas.

El Reglamento General de Protección de Datos es de 2016 (679/2016 de la Comisión Europea), publicado el 16 de abril, y de obligado cumplimiento desde el pasado 24 de mayo de 2018. Hubo gente que se quejó de que no les daba tiempo para adaptarse, pero hay que tener en cuenta que se dio poco más de dos años para hacerlo; solamente es que mucha gente no se dio cuenta de eso. Con esto, vamos a ver cómo ha realizado el Grupo Caja de Ingenieros la adaptación a esta normativa.

Proceso de adaptación al RGPD del Grupo Caja de Ingenieros

Desde su publicación, en Caja de Ingenieros se hicieron algunos informes internos sobre el impacto en nuestra Entidad. A principios de 2017, desde departamentos de Control Interno se creó un grupo de trabajo para empezar la adaptación a esta normativa, se realizó una presentación al Comité de Dirección para darle visibilidad al proyecto y desde allí se formalizó e impulsó el grupo de trabajo con la implicación de varios departamentos (Sistemas, Asesoría Jurídica y Negocio, entre otros). Dicho grupo pasó a ser totalmente transversal y con la implicación de Dirección se impulsó su trabajo, marcando reuniones, plazos y objetivos a cumplir.

Primero se analizó la norma a fondo y lo que implicaba cumplirla, es decir, qué es lo que pide la norma; posteriormente, se examinó la situación actual de la Entidad en relación con el estudio RGPD previo, lo que se llama un gap analysis; y para finalizar se analizaron el esfuerzo y las dependencias de procesos para llegar a lo que se tenía hacer y, a partir de allí, marcar prioridades y poner hilo a la aguja para cumplir los plazos marcados por el propio reglamento.

Durante el 2017 e inicio de 2018, cuando se implementó la mayor parte del proyecto de adaptación, se realizaron las siguientes tareas:

Revisión y actualización de más de mil documentos, desde plantillas de contrato a normativas internas. Parte de la revisión se ha realizado nuevamente después de la aprobación de Ley Orgánica española 3/2018, de 5 de diciembre.
Reuniones con el objetivo de informar a los socios y socias de la manera menos intrusiva posible.
Desarrollos, en los que se han invertido cientos de horas, para actualizar los sistemas internos para que tengan en cuenta los nuevos requisitos legales y de funcionalidad exigidos por el reglamento.
Formaciones internas y externas, que han representado cientos de horas invertidas.
Revisión y actualización de la información digital.
Revisión de contratos con proveedores.
Consultas a la AGPD y a otros organismos especializados (organizaciones, bufetes, organismos, asociaciones profesionales…) para ver la viabilidad y adecuación de las actividades que se iban a realizar.
Asistencia a charlas de la Agencia Española de Protección de Datos para conocer sus las recomendaciones sobre ciertas situaciones (interés legítimo, registro de tratamientos, información a los interesados…).

Ya antes del considerado día 0 del RGPD, el 25 de mayo de 2018, nos dimos cuenta de que no era una simple implantación y nos olvidamos, sino que el trabajo demostró que el sistema de gestión de la privacidad, con el actual reglamento, no es hacer un checklist y seguir trabajando en el negocio, sino que es un servicio que requiere una dedicación continua, un procedimiento y una proactividad que pocas empresas pueden permitirse; pero en una situación tan regulada como la financiera, en la que además la confianza es primordial, el hacer bien las cosas es un hecho diferencial y Caja de Ingenieros tiene este objetivo y misión bien implantado en su ADN, por eso puedo indicar que este proyecto de adaptación al RGPD ha sido todo un éxito.

Como añadido, como DPO (Delegado de Protección de Datos) he participado en dos mesas redondas, el Congreso de ISACA Barcelona en octubre de 2018 y el GIGATIC en mayo de 2019, junto con otros DPO como el del Ayuntamiento de Barcelona y el de la Fira de Barcelona, y hemos compartido experiencias, situaciones, casos específicos y conocimientos, y hemos aprendido entre nosotros. En estas situaciones hemos podido ver, y coincidimos todos, la necesidad de un buen sistema de gobierno de la privacidad y la necesidad de hacer una gestión continua del mismo.

Tags:transformación digital protección de datos privacidad GDPR

POLÍTICA DE PRIVACIDAD Y DE PROTECCIÓN DE DATOS

Los datos solicitados y recogidos en este servicio web son los necesarios para poder gestionar tus solicitudes a través de los formularios web que se han habilitado. El usuario deberá rellenar los formularios con datos verdaderos, exactos, completos y actualizados. Estos datos proporcionados serán los únicos utilizados para atender tu solicitud, sin enriquecerlos con datos de fuentes externas, y la base legal para su tratamiento será el consentimiento explícito que formaliza clicando la casilla de aceptación en el formulario web, sin la que no es posible enviar su solicitud.

El tratamiento de los datos consistirá en su uso para gestionar tus solicitudes y darles una respuesta. Estos datos serán tratados únicamente y exclusivamente con la finalidad indicada en cada formulario web. A nivel general se puede resumir en que la finalidad será la gestión de la suscripción a la Newsletter del blog de Caja de Ingenieros. En ningún caso se cederán tus datos a terceros excepto por el cumplimiento de las obligaciones legales

El responsable del tratamiento de tus datos personales es la CAIXA DE CREDIT DELS ENGINYERS-CAJA DE CREDITO DE LOS INGENIEROS, S. COOP. DE CTO con domicilio social en Via Laietana nº 39, 08003 de Barcelona.

Caja de Ingenieros ha adoptado los niveles de seguridad de protección de los datos personales exigidos en la legislación vigente de protección de datos, instalando las medidas técnicas y organizativas necesarias para evitar la pérdida, mal uso, alteración, acceso no autorizado y demás riesgos posibles. Igualmente, Caja de Ingenieros se obliga a cumplir la obligación de secreto respecto de los datos contenidos en el fichero automatizado, establecida en la legislación de protección de datos aplicable.

El Delegado de Protección de Datos es la persona designada para proteger tus datos personales en Caja de Ingenieros y puedes contactar con él, si consideras que no se ha hecho un uso adecuado de tus datos, en la siguiente dirección dpo@caja-ingenieros.es o escribiendo a “DPO – Protección de datos”, Via Laietana, 39, 08003, Barcelona.

Tus datos personales se mantendrán mientras esté vigente la suscripción a la Newsletter, de la que te podrás dar de baja clicando en el enlace que incorpora el correo electrónico que recibirás o ejerciendo tu derecho en la supresión de los datos. Una vez formalizada la baja de la suscripción destruiremos tus datos.

Podrás ejercer tus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad, y a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, cuando concurran las circunstancias previstas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril del 2016, así como retirar el consentimiento prestado, sin efectos retroactivos, en cualquier momento.

Para ejercer estos derechos únicamente tienes que solicitarlo presencialmente en una oficina de la entidad, telefónicamente en el servicio de Banca TELEFÓNICA (900 300 321) o mediante una solicitud escrita dirigida a Caja de Ingenieros (Via Laietana, 39, 08003, Barcelona) o a la dirección dpo@caja-ingenieros.es, acompañando una copia de tu DNI o documento equivalente acreditativo de tu identidad.

El ejercicio de estos derechos es gratuito y si consideras que no han sido adecuadamente atendidos, tienes derecho a presentar una reclamación ante una Autoridad de Control, como la Agencia Española de Protección de Datos.

Puedes obtener más información sobre cómo se tratan tus datos personales en: https://www.caixaenginyers.com/es/privacidad.

Referencias Legales

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 meses	Esta cookie la define el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Analytics".
cookielawinfo-checkbox-necessary	11 meses	Esta cookie la define el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies de la categoría "Necesarias".
JSESSIONID	sesión	Utilizado para sitios escritos a JSP. Cookies de sesión de plataforma de propósito general que se utilizan para mantener el estado de los usuarios en todas las solicitudes de página.
PHPSESSID	sesión	Esta cookie es originaria de aplicaciones PHP. La cookie se utiliza para almacenar e identificar el identificador de sesión único de los usuarios con el fin de gestionar la sesión de usuario en el sitio web. La cookie es una cookie de sesión y se elimina cuando se cierran todas las ventanas del navegador.
viewed_cookie_policy	11 meses	La cookie la define el conector GDPR Cookie Consent y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_ga	2 años	Esta cookie lo instala Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y hacer un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatoriamente para identificar visitantes únicos.
_gid	1 día	Esta cookie lo instala Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes utilizan un sitio web y ayuda a crear un informe de análisis de cómo funciona el sitio web. Los datos recopilados incluyen el número de visitantes, la fuente de donde provienen y las páginas visitadas de forma anónima.