Hoy en día, tanto el RGPD como la LOPDGDD deberían ser ya ampliamente conocidos y aplicados por las entidades que tratan datos personales, sin embargo, la realidad es otra bastante diferente. Según bastantes informes de varios organismos, entre ellos la propia AEPD, son normativas bastante desconocidas, a pesar de sus esfuerzos para darles notoriedad.
Queremos aportar nuestro granito de arena y ayudaros a todos vosotros que realizáis un tratamiento de datos para que podáis comprobar si, en vuestro negocio, asociación, fundación o comunidad de propietarios, estáis al día con las directrices, obligaciones y deberes que imponen estas normativas, y de esta forma no solo evitar posibles sanciones (cada vez más numerosas), sino también generar más confianza en vuestros clientes.
Así pues, os hemos preparado este breve checklist donde os resumimos las obligaciones y actuaciones básicas que tenéis como responsables del tratamiento. Empecemos:
- Tener actualizada y al día la política de protección de datos: Es el documento principal donde se describe el “escenario de tratamiento de los datos” que lleva a cabo el responsable. En él se describe el ciclo de vida de los datos, es decir, la forma de recogida, la forma en que se tratan, almacenan y usan, se indican todas las posibles cesiones, las transferencias si se realizan, los nombramientos de las diferentes figuras (por ejemplo, el DPO), medios a través de los cuales se tratan los datos y forma de destruirlos una vez ya no son necesarios por la organización. En este documento se incluye, además, lo siguiente:
- Garantías del derecho de información para los interesados con base en los principios del RGPD: Mediante las cláusulas de información en los formularios de recogida de datos se cumple este derecho, dando transparencia y claridad en el tratamiento de los datos. Se garantiza el cumplimiento normativo de la entidad a la vez que los interesados están bien informados sobre lo que haremos con sus datos, finalidades, posibles cesiones, periodos de conservación, derechos que le asisten, donde ejercerlos, etc. A su vez, en el mismo se analizan las bases jurídicas del tratamiento.
- Registro de Actividades de Tratamiento (RAT): Sustituye a la anterior obligación de registrar los ficheros ante el Registro de la AEPD. Este RAT se elabora para cada uno de los tratamientos de datos llevados a cabo y contiene, como mínimo: los datos del responsable, la finalidad, la categoría de los interesados y datos tratados, si se realizan transferencias internacionales, los plazos de supresión y las medidas técnicas y organizativas de seguridad. Deberán estar siempre actualizados y a disposición de la autoridad de control que lo solicite.
- El análisis de riesgos: Se revisan las posibles amenazas que pueden existir en el tratamiento de los datos para que, después de valorar la probabilidad en que podrían ocurrir y el impacto que podrían tener sobre dichos tratamientos, se valore el riesgo al que están expuestos, y en función de dicho riesgo se revisen y apliquen las medidas de seguridad más efectivas para evitar, mitigar, transferir dichos riesgos, y en caso de ser analizado como un riesgo muy bajo para la empresa, llegar a aceptarlos.
- En caso de que proceda, realizar una evaluación de impacto: El RGPD prevé que cuando es probable que exista un riesgo alto se realice antes del tratamiento esta evaluación de impacto (PIA) con el objetivo de evaluar los riesgos potenciales a que están expuestos los datos personales. El artículo 35 del RGPD indica en que supuestos es obligatorio.
- Procedimientos para atender los derechos de los afectados en relación al tratamiento de sus datos personales: Los derechos que amparan a los ciudadanos son los de acceso, rectificación, supresión, oposición, limitación al tratamiento, portabilidad, derecho al olvido y el derecho a no ser objeto de decisiones automatizadas con efectos jurídicos sobre los interesados. Para dar cumplimiento al ejercicio por parte de los interesados se debe tener en cuenta el protocolo establecido tanto por la normativa como por la propia empresa, a la vez que esta ha de haberla trasladado a sus trabajadores para que no se cometan errores.
- Protocolos que incluyan mecanismos y procedimientos para la gestión de brechas de seguridad: Ante cualquier incidencia que se produzca en el tratamiento de los datos personales y que afecte a los derechos y libertades de las personas deberá seguirse una serie de procedimientos para cumplir con la normativa, a parte de las medidas de seguridad que se lleven a cabo en el seno de la propia entidad, para que no pueda volver a ocurrir dicha quiebra de seguridad.
- En caso de que proceda, designar un Delegado de Protección de Datos: El Delegado de Protección de Datos (DPD-DPO) es el garante del cumplimiento de la normativa de protección de datos en las organizaciones. Según normativa, es obligatoria su designación dependiendo del tipo de entidad que sea, y muy recomendable para el resto, aunque no sea obligatorio.
- En caso de que proceda, regular las transferencias internacionales de datos: Para realizar una transferencia internacional de datos acorde al RGPD/LOPDGDD, hay que llevarla a cabo mediante las directrices marcadas por la propia normativa, realizándola a países reconocidos como de nivel adecuado por la propia Comisión, a través de garantías específicas o cumpliendo con algunas de las excepciones marcadas por estas normativas. Fuera de estos casos, no se podrán realizar las transferencias.
- Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento de RGPD: Entre encargado y responsable de tratamiento se debe firmar un contrato de encargado de tratamiento para cumplir con lo indicado en el art. 28 del RGPD y el 33 de la LOPDGDD, en estos contratos se marcan las directrices por las que se regirá la cesión de datos a los encargados de tratamiento y les vincula con los responsables de tratamiento correspondiente.
- Protocolo ante trabajadores: Se entregará a cada trabajador un documento donde se le informe del propio tratamiento de sus datos, así como de sus derechos. Por otro lado, y en caso de que acceda a datos personales, el trabajador deberá garantizar su compromiso de confidencialidad. A su vez, se le hará entrega de un manual para usuarios autorizados de tratamientos de datos, a modo de normativa interna para un tratamiento acorde con el RGPD y la LOPDGDD. Es preceptivo realizar una formación siempre a los trabajadores, para acabar de asentar las bases de un buen tratamiento de datos de la empresa, pues recordemos que esta siempre es la responsable final del tratamiento de los datos.
- Medidas de índole técnica y organizativas a implementar: Para asegurar un buen tratamiento de datos, y siempre previo análisis de los riesgos detectados, es importantísimo aplicar todas aquellas medidas tanto técnicas como organizativas que la entidad considere para garantizar la confidencialidad, disponibilidad, integridad y resiliencia de los datos. Ejemplos de medidas: cifrar la información y las comunicaciones, poseer credenciales de acceso y mecanismos de atribución y control de permisos a usuarios, nombramiento de DPO, formaciones al personal, etc.
- Si la entidad tiene página web, disponer de los preceptivos textos web: Esto implica que, cuando corresponda, se disponga del aviso legal, la política de privacidad, del banner y política de cookies y condiciones generales de contratación. Se debe tener en cuenta que los formularios web deben contar con la información de primera capa y los check correspondientes sin estar premarcados. La primera contendrá la información básica con los datos del responsable, la finalidad, la legitimación, los destinatarios, los derechos y un enlace a la política de privacidad, que es la segunda capa, donde se contiene toda la información detallada que se requieren por los artículos 13 y 14 del RGPD.
Una vez resumidos los aspectos más importantes para el cumplimiento de la normativa, es básico hablar del principio de responsabilidad proactiva, establecido en el propio RGPD, e implica que el responsable del tratamiento deberá ser capaz de demostrar que cumple y que puede demostrar dicho cumplimiento de la normativa sobre protección de datos.
Y ya sabéis que, si necesitáis ampliar información u os surge cualquier duda al respecto, estamos a vuestra disposición.
El Equipo de Pymelegal.