Hoy en día los datos personales se han convertido en un valor importante dentro de las empresas, la aplicación de la normativa en materia de protección de datos personales es fundamental para que se garanticen los derechos de los interesados.
En la actualidad son muchas las empresas que se están implicando en la digitalización de sus actividades y procesos para no perder capacidad competitiva en sus sectores, en cambio no son muy numerosas las que se preocupan por la protección de datos y de que el tratamiento de datos personales que llevan a cabo en la gestión de sus actividades se realice conforme a la normativa de protección de datos, tanto a nivel europeo, el RGPD, como a nivel nacional la LOPD.
El conocimiento de la materia es fundamental para evitar sanciones económicas por incumplimiento de la normativa en protección de datos. En muchas de las ocasiones la mayoría de las sanciones impuestas por la AEPD se podrían haber evitado, o por lo menos reducir su cuantía, si se hubiera tenido el apoyo y asesoramiento de un profesional, que te vaya guiando y orientando sobre los aspectos fundamentales a tener en cuenta en el cumplimiento de la normativa.
La AEPD editó un checklist de cumplimiento normativo en protección de datos para ayudar a las empresas tanto si son responsables como encargados de tratamiento para valorar su nivel cumplimiento.
En el checklist de cumplimiento de la normativa de protección de datos que a continuación vamos a analizar, puedes encontrar una tabla con las cuestiones mínimas de obligado cumplimiento. Es importante señalar que se trata de un mínimo y además de carácter obligatorio, por lo que no basta con el mero propósito de cumplimiento de la normativa, sino que, además, tiene que ser efectivo, real y demostrable. Uno de los principios que más relieve alcanza en el RGPD y en la LOPD es la proactividad del responsable, es decir, no solamente hay que cumplir con lo dispuesto en la norma sino también demostrarlo.
Son muchos los aspectos a tener en cuenta, cuando tratamos de datos personales, para ello, muchas veces es preciso contar con profesionales especializados en protección de datos para adaptar con éxito nuestra empresa y que la actividad que ejerce sea acorde con la normativa y evitar así sanciones en materia de protección de datos.
A) Principios relativos al tratamiento
En este punto tenemos que tener claro cuál es la finalidad del tratamiento de los datos personales en nuestra actividad profesional. Es importante definir el tratamiento para garantizar una protección de datos adecuada. Estas son las consideraciones que nos exige la normativa en protección de datos. A cada una de ellas se ha de responder con un Si/No cumple:
Se recogen los datos personales con fines determinados
Se recogen los datos personales con fines legítimos
Se recogen los datos personales con fines explícitos
Se tratan ulteriormente de manera incompatible con otros fines
Los datos personales se mantienen exactos
Se mantienen actualizados
Se rectifican los datos personales inexactos respecto de la finalidad
Se suprimen los datos personales inexactos respecto a la finalidad
Se mantienen durante más tiempo del necesario
Se tratan con fines de archivo en interés público
Se tratan con fines de investigación científica
Se tratan con fines históricos
Se tratan con fines estadísticos
Se han implantado medidas de seguridad para proteger la integridad y confidencialidad de los datos
Se han implantado medidas de seguridad contra el tratamiento no autorizado o ilícito de los datos como garantía de la protección de datos
Se han implantado medidas de seguridad para evitar su pérdida, destrucción o daño accidental
Se mantiene la trazabilidad de los fines del tratamiento
B) Licitud del Tratamiento
Como responsable del tratamiento de datos personales tenemos que tener siempre clara la base jurídica que garantice una protección de datos adecuada. Este aspecto resulta fundamental para evitar sanciones por incumplimiento de la LOPD. En cada una de las afirmaciones contestaremos con un Si/No
Se tiene el consentimiento para cada finalidad del tratamiento
El tratamiento es necesario para ejecutar un contrato o precontrato
Existe obligación legal
El tratamiento es necesario para proteger intereses vitales
El tratamiento es necesario para el cumplimiento de interés público
El tratamiento es necesario para satisfacer intereses legítimos
C) Condiciones para el consentimiento
Cuando el tratamiento de los datos personales lo legitimes en el consentimiento, no basta con obtenerlo, en la normativa de protección de datos (RGPD y LOPD) se da mucha importancia a que el consentimiento sea lo más claro posible como garantía de una protección de datos adecuada.
Se puede demostrar que el afectado dio su consentimiento para el tratamiento
Se puede demostrar que el tratamiento se realiza como resultado del cumplimiento de una obligación legal
Se solicita el consentimiento de forma clara e independiente de los demás asuntos
Se solicita el consentimiento de forma inteligible y de fácil acceso
Se solicita usando lenguaje claro y sencillo
Se informa con carácter previo a recabar el consentimiento
Se permite retirar el consentimiento con la misma facilidad que se recaba
Se ofrecen medios para retirar el consentimiento en cualquier momento
Se recaba el libre consentimiento
Para prestar un servicio se solicitan sólo los datos necesarios
Para ejecutar un contrato se solicitan sólo los datos necesarios
D) Consentimiento de niños en relación con los servicios de la información
En este punto, la normativa en materia de protección de datos es muy estricta y garante de los menores. En nuestra LOPD se indica que para que el consentimiento de un menor sea válido este ha de ser mayor de 14 años.
Se recaba el consentimiento de menores de 14 años al titular de la patria potestad o tutela sobre el niño
Se verifica que el consentimiento fue dado por el titular de la patria potestad o tutela sobre el niño
E) Tratamiento de Categorías Especiales de datos
Si la actividad que desarrolla tu empresa se tratan datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. Se tendrán que cumplir los siguientes puntos:
Se tratan los datos sólo cuando existen normas que lo exceptúen
Se tratan los datos con consentimiento explícito y no existen normas que lo prohíban.
Es necesario para fines de medicina preventiva o laboral, prestación de asistencia médica, sanitaria o social
Es necesario para proteger los intereses vitales de una persona y el interesado no está capacitado, física o jurídicamente, para dar su consentimiento
Se efectúa en el ámbito de actividades legítimas y con las debidas garantías y se refiere exclusivamente a los miembros actuales o antiguos o a personas que mantienen contactos regulares en relación con la finalidad (política, filosófica, religiosa o sindical y no se comunican a terceros sin consentimiento de los interesados
Se tratan datos que el interesado ha hecho manifiestamente públicos
Es necesario para la formulación, el ejercicio o la defensa de reclamaciones
Es necesario por razones de interés público en el ámbito de la salud pública.
¡Descarga la guía de Consejos de Ciberseguridad
y empieza a proteger la información de tu empresa!
F) Tratamientos relativos a condenas e infracciones penales
Habrá que tener en cuenta el contenido de nuestra LOPD.
Se tratan los datos bajo la supervisión de las autoridades públicas
Se tratan los datos bajo la autorización de normas de derecho
G) Tratamientos que no requieren identificación
En el caso de que, aunque tratemos datos personales es imposible identificar al interesado. Hay que contestar con un Si/No
Se obtiene y/o trata información adicional con vistas a identificar al interesado cuando los fines no requieren esa identificación
Se puede demostrar que los datos anonimizados no permiten identificar a los interesados
Se informa al interesado y se recaba su consentimiento cuando se llega a su identificación
Se cancelan los datos cuando se llega a identificar al interesado
H) Derechos del interesado Transparencia de la información
Este punto, cada vez es más relevante, puesto que los usuarios tienen una mayor concienciación sobre la protección de datos personales.
Se toman medidas para facilitar al interesado toda la información relativa al tratamiento
La información se facilita de forma concisa, transparente e inteligible
La información se facilita en lenguaje claro y sencillo
Se facilita por escrito o por otros medios, incluidos los electrónicos
Se facilita verbalmente, previa acreditación de su identidad
Se facilita al interesado el ejercicio de sus derechos
Se atienden las peticiones del ejercicio de derechos, aunque el tratamiento no requiera identificación salvo que no se pueda identificar al interesado
Se informa al interesado en el plazo de un mes desde la recepción de su solitud o de tres meses dependiendo de la complejidad o número de solicitudes
Se informa en el plazo de un mes de la prórroga de tres meses indicando el motivo de la dilación
Se permite a los interesados el ejercicio de derechos por medios electrónicos
Se informa por medios electrónicos cuando se recibe la solicitud por esos medios salvo que solicite que se realice por otro medio
Se informa de las razones de la no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales, en el plazo de un mes desde la recepción de la solicitud cuando no se da curso a la solicitud
Se facilita gratuitamente el ejercicio de derechos
Se solicita información para acreditar la identidad de la persona física que ejerce sus derechos
Cuando la información que se facilita utiliza iconos normalizados, el formato electrónico es legible mecánicamente
I) Derechos del interesado. Información a facilitar cuando los datos se obtienen del interesado
La información del tratamiento de los datos, es uno de los pilares en los que se sustenta la normativa de protección de datos (RGPD y LOPD), para garantizar la transparencia al ciudadano, en un mundo cada día más digitalizado. Los puntos que se enumeran a continuación han de constar en nuestras políticas de privacidad para evitar cuantiosas sanciones.
Se facilita la identidad y los datos de contacto del responsable y, en su caso, del representante cuando se solicitan datos
Se facilitan los datos de contacto del delegado de protección de datos
Se facilitan los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento
Se facilita información sobre el interés legitimo
Se informa sobre los destinatarios o las categorías de destinatarios
Se informa del plazo de conservación de los datos personales o los criterios utilizados para determinarlo
Se informa sobre la existencia del derecho a solicitar el acceso, rectificación o supresión, la limitación del tratamiento, a oponerse y el derecho a la portabilidad
Si el tratamiento se basa en el consentimiento se informa de la existencia del derecho a retirarlo en cualquier momento
Se informa del derecho a presentar una reclamación ante una autoridad de control
Se informa de las cesiones basadas en requisitos legales o contractuales
Se informa de las cesiones basadas en un requisito necesario para suscribir un contrato
Se informa de la existencia de decisiones automatizas, elaboración de perfiles, sobre la lógica aplicada, la importancia y consecuencias previstas del tratamiento
Antes de realizar tratamientos de datos personales para una finalidad distinta de la que fueron recogidos, se informa al interesado y la información abarca esa otra finalidad y cualquier otra información pertinente.
J) Derechos del interesado. Información a facilitar cuando los datos no se obtienen del interesado
En determinados supuestos puede que tu empresa trate datos personales facilitados por otro responsable. En este caso, la información que tenemos que facilitar será igual al anterior punto añadiendo los siguientes campos.
Se informa de la fuente de la que proceden los datos personales
Si proceden de fuentes de acceso público, se informa de ello
Se proporciona la información antes de un mes
Si se realiza alguna comunicación se informa en esa primera comunicación
Si está previsto comunicar los datos personales del interesado a otro destinatario, se le comunica la información a más tardar en el momento en que los datos personales son comunicados por primera vez
No se informa cuando ya dispone de la información el interesado
No se informa porque los datos personales tienen un carácter confidencial sobre la base de una obligación de secreto profesional regulada en Derecho
K) Derechos del interesado. Ejercicio de derechos
Este punto relacionado con los derechos, es muy amplio y sería objeto de otro post. Expondremos brevemente una enumeración de los derechos personales en materia de protección de datos de los interesados. Resulta imprescindible, que, tanto para facilitar su ejercicio como para responder al mismo, conforme a la normativa de protección de datos, exista un protocolo de atención de los derechos. Contestamos a las preguntas con un Si/No
Existe un protocolo de atención del Derecho de acceso
Se rectifican los datos personales sin dilación indebida. Derecho de rectificación
Se suprimen los datos según el contenido de la normativa. Derecho de supresión
Se limita el tratamiento de datos personales. Derecho a la limitación
Se facilitan los datos cuando el interesado lo solicita en un formato estructurado, de uso común y lectura mecánica. Derecho a la portabilidad de datos
Se atienden las solicitudes de oposición y se dejan de tratar los datos. Derecho de oposición
Se informa debidamente de las consecuencias de la toma de decisiones individualizada. Derechos del interesado. Decisiones individuales automatizada, incluida la elaboración de perfiles.
L) Responsabilidad del responsable del tratamiento
La empresa que trata datos personales es considerada como responsable del tratamiento y tiene que demostrar en todo momento que cumple de una forma proactiva con su responsabilidad. Estas preguntas te ayudarán a conocer el alcance de tu cumplimiento. Contestamos con un Si/No
Se tiene en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento para garantizar y poder demostrar que el tratamiento es conforme con el RGPD/LOPD
Se tienen en cuenta los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas
Se aplican medidas técnicas y organizativas apropiadas
Las medidas se revisan y actualizan cuando es necesario
Se han confeccionado políticas de protección de datos
Se aplican las políticas de protección de datos
M) Protección de datos desde el diseño y por defecto
Este aspecto es novedoso respecto de la anterior normativa. Con esta regulación se pretende que el responsable analice y diseñe el tratamiento conforme a la normativa de protección de datos antes de su puesta en marcha.
Se analizan las medidas técnicas y organizativas apropiadas antes de determinar los medios de tratamiento
Durante el diseño del tratamiento se tienen en cuenta las medidas técnicas y organizativas apropiadas para cumplir con el RGPD/LOPD
Durante el tratamiento se aplican las medidas que han sido determinadas
Durante el tratamiento se comprueba la efectividad de las medidas aplicadas
Se aplican medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratan datos necesarios para cada uno de los fines
Se aplican medidas técnicas y organizativas teniendo en cuenta la cantidad de datos personales recogidos, la extensión del tratamiento, el plazo de conservación y la accesibilidad
Las medidas garantizan que, por defecto, los datos no son accesibles a un número indeterminado de personas físicas, sin la intervención de personal
N) Encargado del tratamiento
La empresa dentro de sus actividades puede que tenga que actuar por cuenta de otro y por ello tener acceso a datos de terceros. Aquí entra la figura de encargado de tratamiento, que también es objeto de sanciones por incumplimiento de la normativa de protección de datos. Es necesario un contrato de acceso a datos que regule la relación entre el responsable de los datos y el encargado del tratamiento. En estos puntos podrás comprobar el contenido de este contrato.
Se eligen los que ofrecen garantías suficientes conforme con los requisitos del RGPD/LOPD y garantizando la protección de los derechos del interesado
el encargado del tratamiento no recurre a otro encargado sin la autorización previa por escrito
El tratamiento por el encargado se rige por un contrato u otro acto jurídico vinculante con arreglo a las normas de Derecho
El contrato establece el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable
El contrato establece que se tratan los datos personales únicamente siguiendo instrucciones documentadas del responsable
El contrato garantiza que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria
El contrato establece que se tomarán las medidas de seguridad necesarias
El contrato establece que se respetarán las condiciones indicadas para recurrir a otro encargado del tratamiento
El contrato establece que el encargado asistirá para que se pueda responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados
El contrato establece que se suprimirán o devolverán los datos personales una vez finalice la prestación de los servicios, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales
El contrato establece que pondrá a disposición toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas, así como para permitir y contribuir a la realización de auditorías e inspecciones, por parte del responsable o de otro auditor autorizado por el responsable
El contrato establece que, si el encargado del tratamiento recurre a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se imponen a este otro encargado las mismas obligaciones de protección de datos que las estipuladas en el contrato, mediante contrato u otro acto jurídico establecido con arreglo a Derecho
El contrato consta por escrito
0) Registro de las actividades de Tratamiento
El responsable y encargado del tratamiento tienen que llevar un registro de los tratamientos que cumpla al menos con el siguiente contenido.
Se recoge el nombre y datos del responsable, corresponsable, representante y/o delegado de protección de datos. Cumple/Si-No
Recoge los fines del tratamiento. Cumple/Si-No
Recoge descripción de las categorías de interesados, y datos personales. Cumple/Si-No
Recogen transferencias de datos personales a un tercer país. Cumple/Si-No
Incluye plazos previstos para supresión de la categoría de datos. Cumple/Si-No
Incluye medidas técnicas y organizativas según el riesgo. Cumple/Si-No
P) Notificación de brechas de seguridad a la autoridad de control y comunicación de brecha de seguridad al interesado
Las amenazas en internet cada día son más numerosas y además se convierten en ataques reales a las empresas. Cuando algo así ocurre en tu empresa se debe informar a la autoridad de control siguiendo el siguiente procedimiento. Chequea tu nivel de cumplimento con las siguientes preguntas.
Se ha establecido un procedimiento para identificar y gestionar las brechas de seguridad
Existe un procedimiento para que los encargados del tratamiento notifiquen las brechas al responsable en el momento en que tengan conocimiento de ellas
Existe un procedimiento para notificar a la autoridad de control en el plazo de 72 horas
Existe un procedimiento para documentar los motivos por los que no se puede notificar en el plazo de 72 horas
Existe un procedimiento para facilitar la información de manera gradual cuando no es posible facilitarla simultáneamente
Se documenta cualquier brecha de seguridad de los datos personales
En la documentación se incluyen los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas
Se ha comprobado que el procedimiento de notificación funciona
Existe un procedimiento para comunicar la brecha sin dilación indebida cuando sea probable que entrañe un alto riesgo para los derechos y libertades
La comunicación al interesado, se lleva a cabo en un lenguaje claro y sencillo, describe la naturaleza de la brecha.
Q) La Seguridad del Tratamiento
Este aspecto cada vez es más relevante, puesto que hoy en día que se tiende a la digitalización se han de aplicar medidas técnicas y organizativas adecuadas al riesgo, que previamente habrás determinado con un análisis de riesgo según la actividad desarrollada en tu empresa.
Para determinar las medidas a aplicar se tiene en cuenta el estado de la técnica, costes de aplicación, y la naturaleza, alcance, contexto y fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas
Se aplican medidas técnicas y organizativas apropiadas para garantizar un nivel seguridad adecuado al riesgo.
Se incluyen medidas que garanticen la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios.
Se llevan a cabo auditorías de cumplimiento.
Medidas para asegurar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
Se han tomado medidas para garantizar que las personas autorizadas a acceder a datos sólo los tratan siguiendo instrucciones.
En el check list facilitado por la AEPD aún quedan tres puntos que tendríamos que analizar para nuestro nivel de cumplimiento, lo que respecta a la necesidad de Evaluación de impacto, la Designación del Delegado de Protección de datos y las Transferencias de datos a terceros países. Estos aspectos son extensos y requieren de un análisis pormenorizado según el tratamiento y sector de la empresa.
Si la mayoría de las respuestas de este checklist de cumplimiento han sido negativas, es el momento de ponerse en acción y en manos de los mejores profesionales.
Desde GRUPO CFI os asesoramos y guiamos en la adaptación de tu empresa a la normativa de protección de datos.