Cómo saber si estoy cumpliendo la Ley de protección de datos

¿Conoces cuál es tu nivel de cumplimiento en protección de datos?

Hoy en día los datos personales se han convertido en un valor importante dentro de las empresas, la aplicación de la normativa en materia de protección de datos personales es fundamental para que se garanticen los derechos de los interesados.

En la actualidad son muchas las empresas que se están implicando en la digitalización de sus actividades y procesos para no perder capacidad competitiva en sus sectores, en cambio no son muy numerosas las que se preocupan por la protección de datos y de que el tratamiento de datos personales que llevan a cabo en la gestión de sus actividades se realice conforme a la normativa de protección de datos, tanto a nivel europeo, el RGPD, como a nivel nacional la LOPD.

El conocimiento de la materia es fundamental para evitar sanciones económicas por incumplimiento de la normativa en protección de datos. En muchas de las ocasiones la mayoría de las sanciones impuestas por la AEPD se podrían haber evitado, o por lo menos reducir su cuantía, si se hubiera tenido el apoyo y asesoramiento de un profesional, que te vaya guiando y orientando sobre los aspectos fundamentales a tener en cuenta en el cumplimiento de la normativa.

La AEPD editó un checklist de cumplimiento normativo en protección de datos para ayudar a las empresas tanto si son responsables como encargados de tratamiento para valorar su nivel cumplimiento.

¿Por dónde empezamos? ¿Cuáles son los principales aspectos a cumplir?

En el checklist de cumplimiento de la normativa de protección de datos que a continuación vamos a analizar, puedes encontrar una tabla con las cuestiones mínimas de obligado cumplimiento. Es importante señalar que se trata de un mínimo y además de carácter obligatorio, por lo que no basta con el mero propósito de cumplimiento de la normativa, sino que, además, tiene que ser efectivo, real y demostrable. Uno de los principios que más relieve alcanza en el RGPD y en la LOPD es la proactividad del responsable, es decir, no solamente hay que cumplir con lo dispuesto en la norma sino también demostrarlo.

Son muchos los aspectos a tener en cuenta, cuando tratamos de datos personales, para ello, muchas veces es preciso contar con profesionales especializados en protección de datos para adaptar con éxito nuestra empresa y que la actividad que ejerce sea acorde con la normativa y evitar así sanciones en materia de protección de datos.

A) Principios relativos al tratamiento

En este punto tenemos que tener claro cuál es la finalidad del tratamiento de los datos personales en nuestra actividad profesional. Es importante definir el tratamiento para garantizar una protección de datos adecuada. Estas son las consideraciones que nos exige la normativa en protección de datos. A cada una de ellas se ha de responder con un Si/No cumple:

1. Se recogen los datos personales con fines determinados

2. Se recogen los datos personales con fines legítimos

3. Se recogen los datos personales con fines explícitos                       

4. Se tratan ulteriormente de manera incompatible con otros fines      

5. Los datos personales se mantienen exactos

6. Se mantienen actualizados 

7. Se rectifican los datos personales inexactos respecto de la finalidad

8. Se suprimen los datos personales inexactos respecto a la finalidad

9. Se mantienen durante más tiempo del necesario 

10. Se tratan con fines de archivo en interés público

11. Se tratan con fines de investigación científica

12. Se tratan con fines históricos

13. Se tratan con fines estadísticos

14. Se han implantado medidas de seguridad para proteger la integridad y confidencialidad de los datos

15. Se han implantado medidas de seguridad contra el tratamiento no autorizado o ilícito de los datos como garantía de la protección de datos

16. Se han implantado medidas de seguridad para evitar su pérdida, destrucción o daño accidental

17. Se mantiene la trazabilidad de los fines del tratamiento

B) Licitud del Tratamiento

Como responsable del tratamiento de datos personales tenemos que tener siempre clara la base jurídica que garantice una protección de datos adecuada. Este aspecto resulta fundamental para evitar sanciones por incumplimiento de la LOPD. En cada una de las afirmaciones contestaremos con un Si/No

1. Se tiene el consentimiento para cada finalidad del tratamiento

2. El tratamiento es necesario para ejecutar un contrato o precontrato

3. Existe obligación legal

4. El tratamiento es necesario para proteger intereses vitales

5. El tratamiento es necesario para el cumplimiento de interés público

6. El tratamiento es necesario para satisfacer intereses legítimos

C) Condiciones para el consentimiento

Cuando el tratamiento de los datos personales lo legitimes en el consentimiento, no basta con obtenerlo, en la normativa de protección de datos (RGPD y LOPD) se da mucha importancia a que el consentimiento sea lo más claro posible como garantía de una protección de datos adecuada.

1. Se puede demostrar que el afectado dio su consentimiento para el tratamiento

2. Se puede demostrar que el tratamiento se realiza como resultado del cumplimiento de una obligación legal

3. Se solicita el consentimiento de forma clara e independiente de los demás asuntos

4. Se solicita el consentimiento de forma inteligible y de fácil acceso

5. Se solicita usando lenguaje claro y sencillo

6. Se informa con carácter previo a recabar el consentimiento

7. Se permite retirar el consentimiento con la misma facilidad que se recaba

8. Se ofrecen medios para retirar el consentimiento en cualquier momento

9. Se recaba el libre consentimiento

10. Para prestar un servicio se solicitan sólo los datos necesarios

11. Para ejecutar un contrato se solicitan sólo los datos necesarios

D) Consentimiento de niños en relación con los servicios de la información

En este punto, la normativa en materia de protección de datos es muy estricta y garante de los menores. En nuestra LOPD se indica que para que el consentimiento de un menor sea válido este ha de ser mayor de 14 años.

1. Se recaba el consentimiento de menores de 14 años al titular de la patria potestad o tutela sobre el niño

2. Se verifica que el consentimiento fue dado por el titular de la patria potestad o tutela sobre el niño

E) Tratamiento de Categorías Especiales de datos

Si la actividad que desarrolla tu empresa se tratan datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. Se tendrán que cumplir los siguientes puntos:

1. Se tratan los datos sólo cuando existen normas que lo exceptúen

2. Se tratan los datos con consentimiento explícito y no existen normas que lo prohíban.

3. Es necesario para fines de medicina preventiva o laboral, prestación de asistencia médica, sanitaria o social

4. Es necesario para proteger los intereses vitales de una persona y el interesado no está capacitado, física o jurídicamente, para dar su consentimiento

5. Se efectúa en el ámbito de actividades legítimas y con las debidas garantías y se refiere exclusivamente a los miembros actuales o antiguos o a personas que mantienen contactos regulares en relación con la finalidad (política, filosófica, religiosa o sindical y no se comunican a terceros sin consentimiento de los interesados

6. Se tratan datos que el interesado ha hecho manifiestamente públicos

7. Es necesario para la formulación, el ejercicio o la defensa de reclamaciones

8. Es necesario por razones de interés público en el ámbito de la salud pública.

¡Descarga la guía de Consejos de Ciberseguridad

y empieza a proteger la información de tu empresa!

F) Tratamientos relativos a condenas e infracciones penales

Habrá que tener en cuenta el contenido de nuestra LOPD. 

1. Se tratan los datos bajo la supervisión de las autoridades públicas

2. Se tratan los datos bajo la autorización de normas de derecho

G) Tratamientos que no requieren identificación

En el caso de que, aunque tratemos datos personales es imposible identificar al interesado. Hay que contestar con un Si/No

1. Se obtiene y/o trata información adicional con vistas a identificar al interesado cuando los fines no requieren esa identificación

2. Se puede demostrar que los datos anonimizados no permiten identificar a los interesados

3. Se informa al interesado y se recaba su consentimiento cuando se llega a su identificación

4. Se cancelan los datos cuando se llega a identificar al interesado

H) Derechos del interesado Transparencia de la información

Este punto, cada vez es más relevante, puesto que los usuarios tienen una mayor concienciación sobre la protección de datos personales.

1. Se toman medidas para facilitar al interesado toda la información relativa al tratamiento

2. La información se facilita de forma concisa, transparente e inteligible

3. La información se facilita en lenguaje claro y sencillo

4. Se facilita por escrito o por otros medios, incluidos los electrónicos

5. Se facilita verbalmente, previa acreditación de su identidad

6. Se facilita al interesado el ejercicio de sus derechos

7. Se atienden las peticiones del ejercicio de derechos, aunque el tratamiento no requiera identificación salvo que no se pueda identificar al interesado

8. Se informa al interesado en el plazo de un mes desde la recepción de su solitud o de tres meses dependiendo de la complejidad o número de solicitudes

9. Se informa en el plazo de un mes de la prórroga de tres meses indicando el motivo de la dilación

10. Se permite a los interesados el ejercicio de derechos por medios electrónicos

11. Se informa por medios electrónicos cuando se recibe la solicitud por esos medios salvo que solicite que se realice por otro medio

12. Se informa de las razones de la no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales, en el plazo de un mes desde la recepción de la solicitud cuando no se da curso a la solicitud

13. Se facilita gratuitamente el ejercicio de derechos

14. Se solicita información para acreditar la identidad de la persona física que ejerce sus derechos

15. Cuando la información que se facilita utiliza iconos normalizados, el formato electrónico es legible mecánicamente

I) Derechos del interesado. Información a facilitar cuando los datos se obtienen del interesado

La información del tratamiento de los datos, es uno de los pilares en los que se sustenta la normativa de protección de datos (RGPD y LOPD), para garantizar la transparencia al ciudadano, en un mundo cada día más digitalizado. Los puntos que se enumeran a continuación han de constar en nuestras políticas de privacidad para evitar cuantiosas sanciones.

1. Se facilita la identidad y los datos de contacto del responsable y, en su caso, del representante cuando se solicitan datos

2. Se facilitan los datos de contacto del delegado de protección de datos

3. Se facilitan los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento

4. Se facilita información sobre el interés legitimo

5. Se informa sobre los destinatarios o las categorías de destinatarios

6. Se informa del plazo de conservación de los datos personales o los criterios utilizados para determinarlo

7. Se informa sobre la existencia del derecho a solicitar el acceso, rectificación o supresión, la limitación del tratamiento, a oponerse y el derecho a la portabilidad

8. Si el tratamiento se basa en el consentimiento se informa de la existencia del derecho a retirarlo en cualquier momento

9. Se informa del derecho a presentar una reclamación ante una autoridad de control

10. Se informa de las cesiones basadas en requisitos legales o contractuales

11. Se informa de las cesiones basadas en un requisito necesario para suscribir un contrato

12. Se informa de la existencia de decisiones automatizas, elaboración de perfiles, sobre la lógica aplicada, la importancia y consecuencias previstas del tratamiento

13. Antes de realizar tratamientos de datos personales para una finalidad distinta de la que fueron recogidos, se informa al interesado y la información abarca esa otra finalidad y cualquier otra información pertinente.

J) Derechos del interesado. Información a facilitar cuando los datos no se obtienen del interesado

En determinados supuestos puede que tu empresa trate datos personales facilitados por otro responsable. En este caso, la información que tenemos que facilitar será igual al anterior punto añadiendo los siguientes campos.

1. Se informa de la fuente de la que proceden los datos personales

2. Si proceden de fuentes de acceso público, se informa de ello

3. Se proporciona la información antes de un mes

4. Si se realiza alguna comunicación se informa en esa primera comunicación

5. Si está previsto comunicar los datos personales del interesado a otro destinatario, se le comunica la información a más tardar en el momento en que los datos personales son comunicados por primera vez

6. No se informa cuando ya dispone de la información el interesado

7. No se informa porque los datos personales tienen un carácter confidencial sobre la base de una obligación de secreto profesional regulada en Derecho

K) Derechos del interesado. Ejercicio de derechos

Este punto relacionado con los derechos, es muy amplio y sería objeto de otro post. Expondremos brevemente una enumeración de los derechos personales en materia de protección de datos de los interesados. Resulta imprescindible, que, tanto para facilitar su ejercicio como para responder al mismo, conforme a la normativa de protección de datos, exista un protocolo de atención de los derechos. Contestamos a las preguntas con un Si/No

1. Existe un protocolo de atención del Derecho de acceso

2. Se rectifican los datos personales sin dilación indebida. Derecho de rectificación

3. Se suprimen los datos según el contenido de la normativa. Derecho de supresión

4. Se limita el tratamiento de datos personales. Derecho a la limitación

5. Se facilitan los datos cuando el interesado lo solicita en un formato estructurado, de uso común y lectura mecánica. Derecho a la portabilidad de datos

6. Se atienden las solicitudes de oposición y se dejan de tratar los datos. Derecho de oposición

7. Se informa debidamente de las consecuencias de la toma de decisiones individualizada. Derechos del interesado. Decisiones individuales automatizada, incluida la elaboración de perfiles. 

L) Responsabilidad del responsable del tratamiento

La empresa que trata datos personales es considerada como responsable del tratamiento y tiene que demostrar en todo momento que cumple de una forma proactiva con su responsabilidad. Estas preguntas te ayudarán a conocer el alcance de tu cumplimiento. Contestamos con un Si/No

1. Se tiene en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento para garantizar y poder demostrar que el tratamiento es conforme con el RGPD/LOPD

2. Se tienen en cuenta los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas

3. Se aplican medidas técnicas y organizativas apropiadas

4. Las medidas se revisan y actualizan cuando es necesario

5. Se han confeccionado políticas de protección de datos

6. Se aplican las políticas de protección de datos

   
   

M) Protección de datos desde el diseño y por defecto

Este aspecto es novedoso respecto de la anterior normativa. Con esta regulación se pretende que el responsable analice y diseñe el tratamiento conforme a la normativa de protección de datos antes de su puesta en marcha. 

1. Se analizan las medidas técnicas y organizativas apropiadas antes de determinar los medios de tratamiento

2. Durante el diseño del tratamiento se tienen en cuenta las medidas técnicas y organizativas apropiadas para cumplir con el RGPD/LOPD

3. Durante el tratamiento se aplican las medidas que han sido determinadas

4. Durante el tratamiento se comprueba la efectividad de las medidas aplicadas

5. Se aplican medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratan datos necesarios para cada uno de los fines

6. Se aplican medidas técnicas y organizativas teniendo en cuenta la cantidad de datos personales recogidos, la extensión del tratamiento, el plazo de conservación y la accesibilidad

7. Las medidas garantizan que, por defecto, los datos no son accesibles a un número indeterminado de personas físicas, sin la intervención de personal

N) Encargado del tratamiento

La empresa dentro de sus actividades puede que tenga que actuar por cuenta de otro y por ello tener acceso a datos de terceros. Aquí entra la figura de encargado de tratamiento, que también es objeto de sanciones por incumplimiento de la normativa de protección de datos. Es necesario un contrato de acceso a datos que regule la relación entre el responsable de los datos y el encargado del tratamiento. En estos puntos podrás comprobar el contenido de este contrato.

1. Se eligen los que ofrecen garantías suficientes conforme con los requisitos del RGPD/LOPD y garantizando la protección de los derechos del interesado

2. el encargado del tratamiento no recurre a otro encargado sin la autorización previa por escrito

3. El tratamiento por el encargado se rige por un contrato u otro acto jurídico vinculante con arreglo a las normas de Derecho

4. El contrato establece el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable

5. El contrato establece que se tratan los datos personales únicamente siguiendo instrucciones documentadas del responsable

6. El contrato garantiza que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria

7. El contrato establece que se tomarán las medidas de seguridad necesarias

8. El contrato establece que se respetarán las condiciones indicadas para recurrir a otro encargado del tratamiento

9. El contrato establece que el encargado asistirá para que se pueda responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados

10. El contrato establece que se suprimirán o devolverán los datos personales una vez finalice la prestación de los servicios, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales

11. El contrato establece que pondrá a disposición toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas, así como para permitir y contribuir a la realización de auditorías e inspecciones, por parte del responsable o de otro auditor autorizado por el responsable

12. El contrato establece que, si el encargado del tratamiento recurre a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se imponen a este otro encargado las mismas obligaciones de protección de datos que las estipuladas en el contrato, mediante contrato u otro acto jurídico establecido con arreglo a Derecho

13. El contrato consta por escrito

0) Registro de las actividades de Tratamiento

El responsable y encargado del tratamiento tienen que llevar un registro de los tratamientos que cumpla al menos con el siguiente contenido.

1. Se recoge el nombre y datos del responsable, corresponsable, representante y/o delegado de protección de datos. Cumple/Si-No

2. Recoge los fines del tratamiento. Cumple/Si-No

3. Recoge descripción de las categorías de interesados, y datos personales. Cumple/Si-No

4. Recogen transferencias de datos personales a un tercer país. Cumple/Si-No

5. Incluye plazos previstos para supresión de la categoría de datos. Cumple/Si-No

6. Incluye medidas técnicas y organizativas según el riesgo. Cumple/Si-No

P) Notificación de brechas de seguridad a la autoridad de control y comunicación de brecha de seguridad al interesado

Las amenazas en internet cada día son más numerosas y además se convierten en ataques reales a las empresas. Cuando algo así ocurre en tu empresa se debe informar a la autoridad de control siguiendo el siguiente procedimiento. Chequea tu nivel de cumplimento con las siguientes preguntas.

1. Se ha establecido un procedimiento para identificar y gestionar las brechas de seguridad

2. Existe un procedimiento para que los encargados del tratamiento notifiquen las brechas al responsable en el momento en que tengan conocimiento de ellas

3. Existe un procedimiento para notificar a la autoridad de control en el plazo de 72 horas

4. Existe un procedimiento para documentar los motivos por los que no se puede notificar en el plazo de 72 horas

5. Existe un procedimiento para facilitar la información de manera gradual cuando no es posible facilitarla simultáneamente

6. Se documenta cualquier brecha de seguridad de los datos personales

7. En la documentación se incluyen los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas

8. Se ha comprobado que el procedimiento de notificación funciona

9. Existe un procedimiento para comunicar la brecha sin dilación indebida cuando sea probable que entrañe un alto riesgo para los derechos y libertades

10. La comunicación al interesado, se lleva a cabo en un lenguaje claro y sencillo, describe la naturaleza de la brecha.

Q) La Seguridad del Tratamiento

Este aspecto cada vez es más relevante, puesto que hoy en día que se tiende a la digitalización se han de aplicar medidas técnicas y organizativas adecuadas al riesgo, que previamente habrás determinado con un análisis de riesgo según la actividad desarrollada en tu empresa.

1. Para determinar las medidas a aplicar se tiene en cuenta el estado de la técnica, costes de aplicación, y la naturaleza, alcance, contexto y fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas

2. Se aplican medidas técnicas y organizativas apropiadas para garantizar un nivel seguridad adecuado al riesgo.

3. Se incluyen medidas que garanticen la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios.

4. Se llevan a cabo auditorías de cumplimiento.

5. Medidas para asegurar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico

6. Se han tomado medidas para garantizar que las personas autorizadas a acceder a datos sólo los tratan siguiendo instrucciones.         

En el check list facilitado por la AEPD aún quedan tres puntos que tendríamos que analizar para nuestro nivel de cumplimiento, lo que respecta a la necesidad de Evaluación de impacto, la Designación del Delegado de Protección de datos y las Transferencias de datos a terceros países. Estos aspectos son extensos y requieren de un análisis pormenorizado según el tratamiento y sector de la empresa.

Si la mayoría de las respuestas de este checklist de cumplimiento han sido negativas, es el momento de ponerse en acción y en manos de los mejores profesionales.

Desde GRUPO CFI os asesoramos y guiamos en la adaptación de tu empresa a la normativa de protección de datos.