Con la entrada en vigor del Reglamento Europeo (2016/679 RGPD) y la nueva LODP (LO 3/2018 LOPDGDD), muchas son las dudas que todavía se suscitan en relación con las obligaciones básicas que tenemos que cumplir como empresa o autónomo, asociación o cualquier tipo de entidad pública o privada en materia de protección de datos.

A continuación os presentamos a enumeración con un resumen de las obligaciones básicas de protección de datos:

1.- Delegado de protección de datos (DPD/DPO). Primero de todo deberemos saber si tenemos que designar uno, ya sea interno o externo. ¿Cuándo es obligatorio tener un DPO?

– En el caso de los organismos públicos, con excepción de los tribunales que actúen en el ejercicio de la función judicial.

– Las entidades privadas cuyas actividades principales conlleven a) la observación habitual y sistemática de interesados a gran escala, b) el tratamiento a gran escala de categorías especiales de datos personales, y c) tratamientos de datos relativos a condenas e infracciones penales.

En el caso de no ser obligatorio, la entidad puede nombrarlo voluntariamente. En cualquiera de las situaciones, esta figura se encargará de coordinar la adaptación, haciendo más sencillo todo el proceso.

 

2.- Registro de actividades de tratamiento. Antes de la entrada en aplicación del nuevo RGPD había que notificar a la Agencia Española de Protección de Datos (En adelante, AEPD) los ficheros que queríamos inscribir. Pues bien, este proceso ha sido sustituido por un registro interno, que deberán ser puestos a disposición de la autoridad de control si nos lo requieren.

 

3.- Análisis de riesgos. La finalidad es determinar las medidas técnicas y organizativas que garanticen los derechos y libertades de los interesados. Deberemos analizar las diferentes etapas del ciclo de vida de los datos en las actividades de tratamiento (captura, clasificación, tratamiento, cesión y destrucción). En cada una de estas etapas deberemos valorar:

  1. Las actividades de tratamiento.
  2. Los datos que tratamos.
  3. Los intervinientes en el tratamiento.
  4. La tecnología empleada.

 

4.- Implantar medidas de seguridad. Tras analizar los riesgos que hemos indicado en el apartado previo, deberemos establecer las medidas técnicas y organizativas necesarias para reducir en la medida de lo posible la privacidad de los datos.

 

5.- Notificación de quiebras de seguridad. Otra de las obligaciones básicas en materia de protección de datos es la de establecer un procedimiento para que en el supuesto de que se produzca una quiebra de seguridad podamos notificar lo antes posible al responsable, al delegado o a la autoridad de control.

 

6.- Evaluación de impacto en la protección de datos. Consiste en valorar el impacto de la exposición a la amenaza, junto a la probabilidad de que esta se materialice.

Deberemos realizar una Evaluación de Impacto cuando un tratamiento suponga un alto riesgo para los derechos y las libertades de las personas físicas, especialmente, si se utilizan nuevas tecnologías, y todo ello conjugándolo la naturaleza, alcance, contexto o finalidades del tratamiento.

 

7.- Actualización de formularios. Recordemos que debemos informar al titular o interesado de una serie de cuestiones fundamentales:

  1.  Identidad y datos de contacto del responsable del tratamiento.
  2.  Existencia de un tratamiento, finalidad y destinatarios.
  3.  La base jurídica del tratamiento.
  4.  El plazo o criterios de conservación de los datos.
  5.  El carácter obligatorio o no de la respuesta.
  6.  La existencia de decisiones automatizadas (elaboración de perfiles).
  7.  La previsión de transferencias a terceros países.
  8.  Derechos del interesado y cómo ejercitarlos.
  9.  Posibilidad de presentar una reclamación ante una autoridad de control.
  10.  Datos de contacto del Delegado de Protección de Datos en caso de que lo hubiera.

 

8.- Procedimientos para el ejercicio de derechos.

Junto a los derechos clásicos de acceso, rectificación, cancelación y oposición, deberemos de añadir los nuevos, como son los de información, al olvido, la limitación del tratamiento, portabilidad y respecto a decisiones individuales automatizadas.

 

9.- Adaptación de los contratos con los encargados del tratamiento.

Otro de los documentos que tenemos que actualizar son los contratos firmados entre responsables y encargados del tratamiento. Recordemos que el concepto de tratamiento es muy amplio, abarcando desde la recogida hasta el registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de datos personales.

 

10.- Política de privacidad.

Por último, y no menos importante, sería adaptar la política de privacidad de la entidad. Como hemos comentado antes, en los formularios debe incluirse una serie de información, que por su extensión no siempre es posible incluirla en los formularios, de ahí que la AEPD recomiende o proponga la información en dos capas, una con información más básica y una segunda capa con toda la información detallada. Una buena opción para colgar esta información de la segunda capa es la política de privacidad de las páginas web de las entidades, puesto que puede ser accesible desde cualquier dispositivo con acceso a internet. En el supuesto de no tener página web tendremos que utilizar otro tipo de mecanismos para que los interesados puedan acceder a la información, como pueden ser folletos informativos a disposición del público en las oficinas de la entidad.

 

Si tienes alguna duda sobre la implantación en tu entidad de la normativa en materia de protección de datos y las obligaciones básicas, puede pedir cita en el teléfono 983 07 23 38, en el correo electrónico info@abogadosversus.com o a través del formulario de contacto habilitado, y estaremos encantados de poder ayudarle.