Ley Orgánica de Protección de Datos
La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, recientemente aprobada por el parlamento, adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD) e introduce novedades mediante el desarrollo de materias contenidas en el mismo.
¿Conoces tus obligaciones en materia de protección de datos?
Tanto el Reglamento General de Protección de Datos, como la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales modifican algunos aspectos del régimen actual y contienen nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias:
¿Reconoces algunos de estos problemas como trabajador de una entidad pública o privada?:
¿No sabes si tu compañía debe cumplir o no con la nueva Ley Orgánica de Protección de Datos aprobada en diciembre de 2018?
¿Estás cansado/a de no entender para qué sirve la protección de datos personales?
¿Tu entidad ya está adaptada a la nueva y sigues sin saber qué implicaciones tiene para ti como responsable del tratamiento?
¿Puedes asegurar que ningún cliente podría demandarte por incumplir la LOPDGDD?
¿Sabes si tienes que tener designado Delegado de Protección de Datos en tu entidad?
¿Sabe la Agencia Española de Protección de Datos si has designado en tu empresa Delegado de Protección de Datos #DPD cuando es obligatorio?
|
Administraciones públicas |
Sector privado |
|
Delegado/a Protección de Datos (figura obligatoria) |
Delegado/a Protección de Datos (si fuera necesario, ver preguntas frecuentes) |
|
Registro Actividades de Tratamiento (si fuera necesario, ver preguntas frecuentes) |
|
|
|
|
|
Análisis de Riesgos |
|
|
Verificación Medidas Técnicas y Organizativas |
|
|
Verificación Medidas de Seguridad |
|
|
Notificación Quiebras de Seguridad |
|
|
Evaluación Impacto Protección Datos |
|
|
Adecuación de formularios |
Adecuación de formularios |
|
Mecanismos y procedimientos para ejercicio de derechos de los ciudadanos, habilitación medios electrónicos |
Mecanismos y procedimientos para ejercicio de derechos |
|
Adecuación y acreditación del consentimiento |
Adecuación y acreditación del consentimiento |
|
Garantías encargados y contratos |
Garantías encargados y contratos |
|
Política de privacidad |
Política de privacidad |
|
Formación y concienciación |
Formación y concienciación |
Este es nuestro paquete de productos para realizar la adaptación de tu entidad a la normativa vigente en materia de protección de datos, según el paquete seleccionado la figura de Delegado/a de Protección de Datos será gratuita durante el primer año, así como las horas de formación establecidas:
En el primer caso, a partir del segundo año una vez adaptada la organización a la normativa vigente, se pagará sólo el servicio de delegado/a de protección de datos según las horas contratadas y una auditoría anual si fuera el caso.
Si necesitas contratar servicios no contemplados en nuestra oferta contacta con nosotros y adaptaremos nuestros servicios y ofertas a tus necesidades.
Porque al estar certificados por la Agencia Española de Protección de Datos ofrecemos asesoramiento en el cumplimiento de las obligaciones derivadas de la normativa vigente, lo hacemos fácil para que los responsables entiendan dichas obligaciones y puedan transmitirlo a sus empleados.
Hemos realizado un estudio pormenorizado de la normativa actual para adaptarlo a cada entidad, ello nos permite ocuparnos del aspecto jurídico y de su cumplimiento y el resultado que ofrecemos es una adecuación con una interpretación del articulado clara, sencilla y de fácil lectura para que todos/as puedan entender sus preceptos y, en definitiva, aplicarlos en su día a día.
Porque ofrecemos garantía total de devolución: desde el momento de la contratación del servicio tenemos el compromiso contigo para que no te preocupes por nada y obtengas la mayor calidad de nuestro trabajo. Si nuestra actuación no te satisface tienes nuestra garantía total de devolución del dinero.
Novedades de la nueva Ley Orgánica de Protección de Datos
La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo.
Destacan también los siguientes aspectos:
Otro de los aspectos novedosos incluidos en la nueva normativa es que se reconoce específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.
En cuanto a los menores, la Ley fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.
La Ley refuerza, como propuso la Agencia, las obligaciones del sistema educativo para garantizar la formación del alumnado en el uso seguro y adecuado de internet, incluyéndola de forma específica en el curriculo académico y exigiendo que el profesorado reciba una formación adecuada en esta materia. A tal efecto, el Gobierno deberá remitir en el plazo de un año desde la entrada en vigor de la Ley un proyecto de ley dirigido específicamente a garantizar estos derechos y las administraciones educativas tendrán el mismo plazo para la inclusión de dicha formación en el curriculo.
El texto regula, asimismo, el derecho al olvido en redes sociales y servicios de la sociedad de la información equivalentes. Se exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas.
Por otra parte, la Agencia ha propuesto que se recogieran en la Ley los sistemas de denuncias internas anónimas, a través de los cuales puede ponerse en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa. Estos sistemas son imprescindibles para que las personas jurídicas puedan acreditar la diligencia necesaria para quedar exentas de responsabilidad penal. De este modo, la Ley dota a las empresas de un mecanismo que les permite conciliar su propio derecho con el derecho a la protección de datos de las personas.
Además, la Ley actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo, refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados, complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados.
Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos sistemas. Con la anterior Ley, no existía una cantidad mínima.
Por último, se modifica la Ley de competencia desleal, regulando como prácticas agresivas las que tratan de suplantar la identidad de la Agencia o sus funciones y las relacionadas con el asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar asesoramientos de ínfima calidad a las empresas.
Dos elementos que suponen la mayor innovación del RGPD: El principio de responsabilidad activa y el enfoque del riesgo
El principio de responsabilidad proactiva
El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
El enfoque de riesgo
El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.
De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.
La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.
Además de estos dos elementos de carácter innovador la nueva ley introduce otras novedades en materia de protección de datos. Se explican a continuación:
La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo.
Otro de los aspectos novedosos incluidos en la nueva normativa es que se reconoce específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.
En cuanto a los menores, la Ley fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.
La Ley refuerza, como propuso la Agencia, las obligaciones del sistema educativo para garantizar la formación del alumnado en el uso seguro y adecuado de internet, incluyéndola de forma específica en los currículums académicos y exigiendo que el profesorado reciba una formación adecuada en esta materia. A tal efecto, el Gobierno deberá remitir en el plazo de un año desde la entrada en vigor de la Ley un proyecto de ley dirigido específicamente a garantizar estos derechos y las administraciones educativas tendrán el mismo plazo para la inclusión de dicha formación en los currículums.
El texto regula, asimismo, el derecho al olvido en redes sociales y servicios de la sociedad de la información equivalentes. Se exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas.
Por otra parte, la Agencia ha propuesto que se recogieran en la Ley los sistemas de denuncias internas anónimas, a través de los cuales puede ponerse en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa. Estos sistemas son imprescindibles para que las personas jurídicas puedan acreditar la diligencia necesaria para quedar exentas de responsabilidad penal. De este modo, la Ley dota a las empresas de un mecanismo que les permite conciliar su propio derecho con el derecho a la protección de datos de las personas.
Además, la Ley actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo, refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados, complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados.
Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos sistemas. Con la anterior Ley, no existía una cantidad mínima.
Por último, se modifica la Ley de competencia desleal, regulando como prácticas agresivas las que tratan de suplantar la identidad de la Agencia o sus funciones y las relacionadas con el asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar asesoramientos de ínfima calidad a las empresas.
¿Qué es un Delegado de Protección de Datos?
Oficial de Protección de Datos (DPO) o Delegado de Protección de Datos (DPD): es un profesional con conocimientos especializados del Derecho y la práctica en materia de Protección de Datos. Es una figura esencial y de nueva creación con la entrada en vigor del RGDP y de la nueva Ley Orgánica.
La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes.
La posición del DPD en las organizaciones tiene que cumplir los requisitos establecidos, entre los que se encuentran:
¿Qué funciones tiene en una organización un Delegado de Protección de Datos (DPD)?
El DPD tendrá como mínimo las siguientes funciones:
Además:
El DPD desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
Para ello deberá ser capaz de:
¿Tengo la obligación de tener en mi organización un DPD?
Esta figura será obligatoria en los supuestos previstos en el artículo 37.1 del Reglamento, que son:
Y en todo caso cuando se trate de las siguientes entidades, según se recoge en el artículo 34 del proyecto de Ley Orgánica de Protección de Datos de Carácter Personal:
a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
ñ) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
Registro de Actividades de Tratamiento
El Considerando (82) del Reglamento se refiere a este registro señalando que «para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento».
En la siguiente tabla se resume el contenido obligatorio del registro para los dos casos:
|
Responsables de tratamiento |
Encargados de tratamiento |
| Nombre y datos de contacto del responsable o representante | Nombre y datos de contacto del responsable o representante |
| Fines del tratamiento | Categoría de tratamientos efectuados por cuenta del responsable |
| Nombre y datos de contacto del Delegado de Protección de Datos | Nombre y datos de contacto del Delegado de Protección de Datos |
| Categorías de datos personales | |
| Categorías de afectados | |
| Descripción medidas técnicas y organizativas de seguridad | |
| Categorías de destinatarios de comunicaciones: incluidos países u organizaciones internacionales | |
| Transferencias internacionales. Documentación de garantías adecuadas en caso del 49.1. | Transferencias internacionales. Documentación de garantías adecuadas en caso del 49.1. |
| Cuando sea posible, plazos previstos para las supresión de las diferentes categorías de datos |
El artículo 30.5 regula las excepciones a la obligación de mantenimiento de un Registro de actividades de tratamiento (en adelante RAT) en los siguientes términos:
Esta obligación no se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.
En lo que respecta a les administraciones locales y dada las funciones reguladas en la Ley de Bases de Régimen Local, entenderemos que todas están obligadas a la realización de dicho Registro, sin perjuicio de la existencia de entes públicos o sociedades instrumentales, que por sus funcionen específicas pudieran considerarse exentas de esta obligación, según el citado artículo 30.5.
No obstante, se recomienda adoptar como política general, la buena práctica de realizar dicho registro para todos los entes y organismos de la corporación local.
La recomendación desde Gestoría Virtual 3.0 es que a partir de los ficheros que actualmente están notificados en el Registro General de Protección de Datos, se organice el registro de actividades de tratamiento detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.
Bases Jurídicas de los tratamientos en las Administraciones Públicas
El tratamiento de datos personales se considera legítimo, y se encuentra por ende permitido, si existe una razón justificada para ello. Es la idea que denota la expresión «bases de tratamiento» o, como hace el Reglamento europeo, «licitud de tratamiento». De este modo, todo tratamiento de datos debe encuadrarse en alguna de estas «bases». En todo caso, la base jurídica debe ser clara y precisa «y su aplicación previsible para sus destinatarios» (considerando 41 REPD).
Tales supuestos son un elenco cerrado, de manera que fuera de los casos que expresamente permiten el tratamiento de los datos, el mismo no estará autorizado (salvo que no sea de aplicación de REPD). En virtud del art. 6.1 del Reglamento europeo las condiciones que hacen lícito el tratamiento son seis.
La primera base consiste en el consentimiento dado por el interesado, consentimiento para uno o para varios fines, que deben ser en todo caso específicos.
La segunda base es la necesidad del tratamiento de datos «para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales».
En tercer lugar, es posible el tratamiento de datos si este resulta necesario para el cumplimiento de una obligación legal aplicable al responsable. La expresión «obligación legal» necesita concreción para precisar si el tratamiento debe estar necesariamente amparado en una ley en sentido formal o norma con rango de ley, o puede estar previsto en una norma inferior, como un reglamento administrativo.
El cuarto supuesto que ampara el tratamiento es la necesidad «para proteger intereses vitales del interesado o de otra persona física».
El quinto caso se enuncia así: «el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento».
Y el último supuesto alude a un tratamiento necesario «para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño».
Esta última regla general, la de los «intereses legítimos» tiene una importante excepción en la medida que no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
Gestión de riesgos desde el punto de vista de la protección de datos
La gestión de riesgos es una actividad común hoy en día en las compañías, utilizada en múltiples ámbitos y con un enfoque dirigido a los potenciales daños o riesgos a los que está expuesta la compañía con respecto a una tipología concreta de amenazas.
El RGPD busca aprovechar las ventajas que ofrece la gestión de riesgos, pero introduce una nueva visión, donde el foco de atención no se centra en las amenazas que se ciernen sobre la compañía, centrando su atención en las amenazas sobre los derechos y libertades de los interesados. La evaluación de los riesgos debe ser el resultado de una reflexión sobre las implicaciones que los tratamientos de datos de carácter personal tienen sobre los interesados.
Se trata de establecer hasta qué punto una actividad de tratamiento, por sus características, el tipo de datos a los que se refiere o el tipo de operaciones puede causar un daño a los interesados. Este enfoque implica estimar el daño y la tipología de daño que se puede producir sobre los interesados, por ejemplo, un daño material derivado de la vulneración de sus derechos y libertades.
El RGPD condiciona la adopción de las medidas de responsabilidad activa al riesgo que los tratamientos puedan suponer para los derechos y libertades de los interesados. Se maneja el riesgo de dos maneras:
El responsable del tratamiento que realiza o desea realizar actividades de tratamiento con datos personales, debe establecer procedimientos de control que garanticen cumplir los principios de protección desde el diseño y por defecto.
¿Qué implica la Protección de Datos desde el Diseño y por Defecto?
El principio de protección de datos desde el diseño supone que la protección de datos ha de estar presente en las primeras fases de concepción de un proyecto y formar parte de la lista de elementos a considerar antes de iniciar las sucesivas etapas de desarrollo.
Por supuesto, estos requisitos se van a traducir en medidas técnicas y organizativas con el objeto de aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento.
Por tanto, estas medidas se incluyen dentro de las que debe aplicar el responsable con anterioridad al inicio del tratamiento y también cuando se esté desarrollando.
Este tipo de actuaciones reflejan muy directamente el enfoque de responsabilidad proactiva. Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.
Por su parte, la protección de datos por defecto estriba en que sólo sean objeto de tratamiento los datos personales que sean estrictamente necesarios para cada uno de los fines de tratamiento. Es decir, independientemente del conjunto de datos recogidos por el responsable con el objeto de implementar los distintos servicios que se proporcionan al sujeto de los datos, el responsable ha de compartimentar el uso del conjunto de datos entre los distintos tratamientos, de tal forma que no todos los tratamientos accedan a todos los datos, sino que actúen solo sobre aquellos que sean necesarios y en los momentos en que sea estrictamente necesario. Si fuera posible por la naturaleza del proceso, llegar incluso a que no se traten datos de carácter personal.
En particular, se destaca como uno de los principios de protección de datos por defecto que los datos no sean accesibles a un número indeterminado de personas físicas, sin la intervención del sujeto de los datos.
Además, debe tenerse en cuenta lo siguiente respecto a la protección de datos por defecto:
Medidas de Seguridad
Según el análisis del riesgo realizado los responsables y encargados del tratamiento establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado.
Las medidas técnicas y organizativas deberán establecerse teniendo en cuenta:
Notificación de "Violaciones de Seguridad de los Datos"
El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como “quiebras de seguridad”, de una forma muy amplia, que incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como el Reglamento establece.
Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.
La notificación ha de incluir un contenido mínimo:
Los responsables deben documentar todas las violaciones de seguridad.
En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.
El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD requiere que se realice sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible.
El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la quiebra.
¿Cuándo se debe realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD)?
Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
El RGPD establece un contenido mínimo de las Evaluaciones de Impacto sobre la Protección de Datos, aunque no contempla ninguna metodología específica para su realización.
Cuando el análisis de riesgo que las organizaciones lleven a cabo sobre los tratamientos iniciados con anterioridad a la fecha de aplicación del RGPD indiquen que esos tratamientos presentan alto riesgo para los derechos o libertades de los interesados, los responsables deberán realizar una EIPD sobre esos tratamientos, a fin de estar en condiciones de poder adoptar las medidas adecuadas para adecuar esos tratamientos a las exigencias del RGPD.
En los casos en que las EIPD hayan identificado un alto riesgo que, a juicio del responsable de tratamiento no pueda mitigarse por medios razonables en términos de tecnología disponible y costes de aplicación, el responsable deberá consultar a la autoridad de protección de datos competente. La consulta debe ir acompañada de la documentación que prevé el RGPD, incluyendo la propia Evaluación de Impacto, y la autoridad de supervisión puede emitir recomendaciones o ejercer cualquier otro de los poderes que el RGPD le confiere, entre ellos el de prohibir la operación de tratamiento.
En el Art. 35.c del Reglamento se citan los casos en los que se requiere una EIPD, en particular en caso de:
Gestoría y consultoria online © 2024
07972874Q
Salamanca (España)
699 313 428 - 923 16 68 00
info@gestoriavirtual30.com