03/02/2018

RGPD

Nuestra consultoría ofrece los siguientes servicios para empresas y comunidades de propietarios:

Estudio inicial in situ con el objetivo de diagnosticar la situación actual de la empresa acerca de los datos de carácter personal que se manejan y determinación de las actuaciones necesarias para la adaptación de la empresa a las exigencias de la normativa vigente.

El principio de responsabilidad proactiva

El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al reglamento.

En términos prácticos, este principio requiere que las organizaciones analicen.

  • Qué datos tratan,
  • Con qué finalidades lo hacen
  • Y qué tipo de operaciones de tratamiento llevan a cabo.

A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

El enfoque de riesgo

El RGPD indica que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta:

  • La naturaleza,
  • El ámbito,
  • El contexto,
  • Y los fines del tratamiento
  • Así como el riesgo para los derechos y libertades de las personas

De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten. La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.

1.     Análisis de riesgo

Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo hacerlo. El tipo de análisis variará en función de:

  • Los tipos de tratamiento,
  • La naturaleza de los datos,
  • El número de interesados afectados,
  • La cantidad y variedad de tratamientos que una misma organización lleve a cabo.

En consecuencia, nos encargaremos de realizar todos los trámites necesarios para realizar el análisis de riesgos utilizando metodologías de análisis de riesgos que permitan y concluyan con las implicaciones de los tratamientos en los derechos y libertades de los interesados, en qué medida hay que aplicar las medidas de seguridad según el tratamiento y en respuesta a las siguientes preguntas:

  • ¿Se tratan datos sensibles?
  • ¿Se incluyen datos de una gran cantidad de personas?
  • ¿Incluye el tratamiento la elaboración de perfiles?
  • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
  • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
  • ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
  • ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones de Internet de las Cosas?

Asimismo, se establecerán las medidas de seguridad, tanto técnicas como administrativas, necesarias para garantizar la seguridad de los ficheros, de los centros de tratamiento, locales, equipos, sistemas y de las personas que intervengan en cualquier fase del tratamiento de los datos de carácter personal.

2.     Registro de operaciones de tratamiento

Responsables y encargados  deberán mantener un registro de operaciones de tratamiento en el que conste la información que establece el RGPD y que contenga cuestiones como:

  • Nombre y datos del contacto del responsable o corresponsable y del Delegado de Protección de Datos si existiese
  • Finalidades del tratamiento
  • Descripción de categorías de interesados y categorías de datos personales tratados
  • Transferencias internacionales de datos…

Redactaremos el registro de operaciones de tratamiento. Las posibilidades para organizar el registro de actividades de tratamiento son:

  • Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.
  • En torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo,” gestión de clientes”, “gestión contable”, o “gestión de recursos humanos y nóminas” o con arreglo a otros criterios distintos.

3.     Protección de Datos desde el Diseño y por Defecto

Estableceremos las medidas que debe aplicar el responsable con anterioridad al inicio del tratamiento y también cuando se esté desarrollando. Este tipo de medidas reflejan muy directamente el enfoque de responsabilidad proactiva. Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.

Desde el inicio apoyaremos a los responsables para tomar las medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD. E igualmente, detallaremos a los responsables en la adopción de medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.

Ofrecer a los responsables y encargados medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

  • Se establecerán las medidas técnicas y organizativas teniendo en cuenta:
  • El coste de la técnica,
  • Los costes de aplicación
  • La naturaleza, el alcance, el contexto y los fines del tratamiento
  • Los riesgos para los derechos y libertades

4.     Notificación de “ violaciones de seguridad de los datos”

Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

Por medio de la figura del DPO se realizará dicha comunicación en el supuesto de que se produzca una quiebra de seguridad.

5.     Evaluación de Impacto sobre la Protección de Datos

Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.

Utilizaremos metodologías contrastadas para realizar tanto el análisis previo sobre la necesidad de llevar a cabo una Evaluación de impacto sobre la Protección de Datos (EIPD), como realizar dicha evaluación EIPD cuando así se determine en el análisis previo.

Lista indicativa de supuestos en que se considera que los tratamientos conllevan un alto riesgo:

  • Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar
  • Tratamientos a gran escala de datos sensibles
  • Observación sistemática a gran escala de una zona de acceso público

Para valorar si un tratamiento se realiza a gran escalas debe tenerse en cuenta ( según el Grupo del Artículo 29, en su designación de Delegados de Protección de Datos):

  • El número de interesados afectados, bien en términos absolutos, bien como proporción de una determinada población
  • El volumen de datos y la variedad de datos tratados.
  • La duración o permanencia de la actividad de tratamiento.
  • La extensión geográfica de la actividad de tratamiento

6.     Delegado de Protección de Datos

El RPGD  establece la figura del Delegado de Protección de Datos (DPD), que será obligatorio en:

  • Autoridades y organismos públicos
  • Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de integrados a gran escala.
  • Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.

El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Aunque no debe tener una titulación específica, en la medida en que entre las funciones del DPD se incluya el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos, los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos ajenos a lo estrictamente jurídico , como por ejemplo en materia de tecnología aplicada al tratamiento de datos en relación con el ámbito de actividades de la organización en la que el DPD desempeña su tarea.

La posición del DPD en las organizaciones tiene que cumplir  los requisitos establecidos, entre los que se encuentran:

  • Total autonomía en el ejercicio de sus funciones
  • Necesidad de que se relacione con el nivel superior de la dirección
  • Obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad.

7.     Transferencias internacionales.

El modelo de transferencias internacionales diseñado por el RGPD sigue los mismos criterios que el establecido por la Directiva 95/46 y por las legislaciones nacionales de trasposición. Asesoraremos tanto sobre las transferencias internacionales que se estén realizando actualmente como las futuras que puedan llegar a producirse.

8.     Asesoramiento permanente

Ofrecer al Arrendador en materia de protección de datos, durante la vigencia del contrato firmado.

9.     Tratamiento por cuenta de terceros:

Facilitaremos  al arrendador el contrato necesario para regular el acceso a los datos por cuenta de terceros.

10.Cláusulas Legales de información

En cuanto a los tratamientos de datos de carácter personal y la regulación del uso de los mismos, facilitar las correspondientes cláusulas de Información.

11.Adaptación página web

Redacción de la política de privacidad para la página web y aviso legal.