Latest news

Guía del Reglamento de Protección de datos

No comments
Guía del Reglamento de Protección de datos
5 (100%) 9 votes

Aquí te dejamos una guía del reglamento de protección de datos (RGPD)

  • ¿No sabes de que va el nuevo Reglamento de protección de datos?
  • ¿Como aplicar el nuevo reglamento de proteccion de datos?
  • ¿Que pasos debo seguir para cumplir con el reglamento de protección de datos?

Esperamos que esta guía del reglamento de protección de datos te pueda ayudar, si tienes alguna pregunta, no dudes en escribirlo en los comentarios.

Los pasos que te ayudarán a cumplir con el RGPD en esta guía del reglamento de protección de datos son:

  1. Introducción

  • El RGPD es una norma directamente aplicable
  • Hay 2 elementos de carácter general que son la mayor innovación del RGPD:
    • Principio de responsabilidad proactiva: requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. Exige una actitud consciente, diligente y proactiva por parte de las organizaciones.
    • Enfoque de riesgo: deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas. Las medidas deben adaptarse a las características de las organizaciones.

 

  1. Bases de Legitimación para el tratamiento de datos

  • Hay que especificar y documentar los intereses legítimos en que se fundamentan las operaciones de tratamiento.
  • La identificación de la base legal es indispensable para demostrar que se cumple con las previsiones del RGPD
  • El consentimiento debe ser “inequívoco” (no se admiten formas de consentimiento tácito o por omisión)
    • Consentimiento inequívoco y de forma explícita:
      • Tratamiento de datos sensibles
      • Adopción de decisiones automatizadas
      • Transferencias internacionales
    • Consentimiento inequívoco y de forma implícita: cuando se deduzca de una acción del interesado, ej. cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación.
    • Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado mediante una manifestación o acción afirmativa.

 

  1. Transparencia e información a los interesados

  • La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Infografia - Guía del Reglamento de Protección de datos

 

  1. Derechos

  • Los responsables deben facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos. Los responsables deben posibilitar la presentación de solicitudes por medios electrónicos.
  • El plazo para atender las solicitudes será de un mes (2 meses si son solicitudes especialmente complejas y deberá notificar esta ampliación dentro del primer mes)
  • Si no se atiende una solicitud, se deberá informar de ello, motivando su negativa, en el plazo de un mes desde su presentación.
  • El responsable podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargado de tratamiento.
  • Derecho de acceso: se reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento
  • Derecho al olvido: es la consecuencia de la aplicación del derecho al borrado de los datos personales y una manifestación de los derechos de cancelación u oposición en el entorno online
  • Limitación de tratamiento: es un derecho de los interesados con el fin de limitar su derecho en el futuro
  • Portabilidad: es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica. Este derecho solo puede ejercerse cuando el tratamiento se efectúe por medios automatizados, se base en el consentimiento o en un contrato o cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan.

 

  1. Relaciones Responsable-Encargado

  • Obligaciones específicas para los encargados: los encargados tienen obligaciones propias (mantener un registro de actividades de tratamiento, determinar las medidas de seguridad aplicables a los tratamientos que realiza, designar un DPD en los casos previstos).
  • Elección del encargado de tratamiento: los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento.
  • Contenido del contrato de encargo: se regula de forma minuciosa el contenido mínimo de los contratos de encargo (objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales, obligación del encargado de tratar los datos personales siguiendo instrucciones documentadas del responsable, etc.)

 

  1. Medidas de responsabilidad activa

  • Análisis de riesgo: el RGPD condiciona la adopción de las medidas de responsabilidad activa al riesgo que los tratamientos puedan suponer para los derechos y libertades de los interesados.
  • Registro de actividades de tratamiento: están exentas las organizaciones que empleen a menos de 250 trabajadores.
  • Protección de datos desde el diseño y por defecto: los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD. También deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.
  • Medidas de seguridad: los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.
  • Notificación de “violaciones de seguridad de los datos”: incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Hay que notificarlo a la autoridad en un plazo máximo de 72 horas y, si entraña alto riesgo para los derechos o libertados de los interesados, también hay que notificarlo a estos últimos.
  • Evaluación de Impacto sobre la Protección de Datos: los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
  • Delegado de Protección de Datos: será obligatorio en:
    • Autoridades y organismos públicos
    • Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
    • Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles

El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Tanto la designación como los datos de contacto del DPD deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes.

La posición del DPD en las organizaciones tiene que cumplir los requisitos establecidos, entre los que se encuentran:

  • Total autonomía en el ejercicio de sus funciones
  • Necesidad de que se relacione con el nivel superior de la dirección
  • Obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad

 

  1. Transferencias internacionales

Los datos solo podrán ser comunicados fuera del Espacio Económico Europeo:

  • A países, territorios o sectores específicos sobre los que la Comisión haya adoptado una decisión reconociendo que ofrecen un nivel de protección adecuado
  • Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino
  • Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales

 

  1. Tratamientos de datos de menores

El consentimiento en el ámbito de la oferta directa de servicios de la sociedad de la información, solo será válido a partir de los 16 años, debiendo contar con la autorización de los padres o tutores legales por debajo de esa edad. El RGPD permite a los estados miembros establecer una edad inferior, siempre que no sea menor de 13 años (e España está en 14 años)

 

  1. Lista de verificación

Pretende ayudar a las organizaciones a llevar a cabo una valoración de su situación frente a las principales obligaciones del RGPD. Su contenido sigue el de la guía y se presenta como un listado de preguntas que responsables y encargados deberán formularse y responder adecuadamente:

  • Legitimación
  • Información y derechos
  • Relaciones responsable-encargado
  • Medidas de responsabilidad proactiva

 

  1. Lista de verificación simplificada

Para aplicar esta versión simplificada, los responsables deberán confirmar que los tratamientos que realizan son de bajo riesgo y no tienen algún rasgo particular que elevaría ese nivel de riesgo. Podrán concentrar su análisis en las siguientes cuestiones:

  • Identificación de la base jurídica de los tratamientos que se realizan
  • Verificación de la información que se proporciona a los interesados
  • Establecimiento de un registro de actividades de tratamiento
  • Ejercicio de derechos de los interesados
  • Identificación de medidas de seguridad
  • Verificación de las relaciones con los encargados de tratamiento

Fuente: Mayte (María Teresa Guerrero Gómez)

Harvey LluchGuía del Reglamento de Protección de datos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *