¿Quieres adaptarte a la normativa de protección de datos?

La adaptación a la normativa de protección de datos se refiere, al proceso que deben adecuarse todas las empresas, organismos, autónomos, asociaciones, fundaciones, comunidades o todos aquellos que realicen un tratamiento de datos personales, para cumplir con los requisitos y obligaciones establecidos por la legislación de protección de datos personales. Esto implica identificar, evaluar y mitigar los riesgos para la privacidad y seguridad de los datos personales que se manejan, y establecer medidas para proteger los derechos de los individuos cuyos datos personales se tratan.

En España existe un significativo número de entidades que no se han adaptado a la normativa de protección de datos conocidas como el RGPD Y LOPD y no cumplen con sus requisitos. 

En Datusmas te realizamos todos los trámites y documentación sin costes adicionales. Te garantizamos calidad, garantía y fiabilidad. El primer año de mantenimiento gratuito

¿Quién está obligado a cumplir con la normativa de protección de datos (RGPD) y (LOPD)?

Todas las empresas que tratan datos personales de ciudadanos europeos están obligadas a cumplir con la normativa de protección de datos conocidas por el RGPD reglamento europeo y la LOPD ley orgánica de protección de datos. Esto incluye a las empresas españolas, las empresas extranjeras que operan en España y las empresas que tratan datos personales de ciudadanos europeos, incluso si no operan en España.

¿Qué normativa es la que regula la protección de datos?

A nivel comunidad europea el Reglamento europeo 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos que entro en vigor en 2018 conocido como el RGPD.

A nivel nacional la ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Conocida como la LOPDGDD 

¿Qué datos personales se consideran datos personales?

Cualquier información que pueda identificar a una persona física se considera dato personal. Esto incluye información como el nombre, la dirección, el número de teléfono, el correo electrónico, la fecha de nacimiento, la ideología política, la religión, la salud, etc.

¿Qué pasos deben seguir las empresas para adaptarse a la LOPD?

1. Identificar los datos que se tratan

Realizar un inventario con los datos que se tratan: Analizar qué datos se recaban, con que finalidad, cuanto tiempo se conservan los datos en nuestros sistemas, como custodiamos estos datos y si los datos son cedidos a terceros.

Cada una de las actividades que se lleven a cabo con datos personales deberá verificarse si cada principio se aplica correctamente, mediante la adopción de medidas concretas que lo permitan.

Un ejemplo sería el siguiente:

2. Realizar un análisis de riesgos

Analizar los riesgos y establecer las medidas de seguridad: Un análisis de riesgos en protección de datos es un proceso esencial para identificar, evaluar y mitigar los riesgos asociados al tratamiento de datos personales. Este análisis ayudara a establecer medidas de seguridad para salvaguardar los datos personales ante la disponibilidad, la integridad y la confidencialidad de dichos datos. Este proceso permite a las organizaciones:

Cumplir con el RGPD: El Reglamento General de Protección de Datos (RGPD) exige que las empresas realicen un análisis de riesgos para determinar qué medidas de seguridad son necesarias para proteger los datos personales.

Proteger los derechos de los interesados: El análisis de riesgos ayuda a identificar y prevenir posibles daños a los derechos y libertades de las personas físicas, como la discriminación, la pérdida de control sobre sus datos o el robo de identidad.

Minimizar el impacto de las brechas de seguridad: Un análisis de riesgos efectivo puede ayudar a reducir el impacto de una brecha de seguridad al identificar las vulnerabilidades y tomar medidas para prevenirlas o mitigarlas.

Optimizar la gestión de datos: El análisis de riesgos permite a las empresas optimizar la gestión de sus datos al identificar los procesos que no son necesarios o que presentan un alto riesgo.

¿Cómo realizar un análisis de riesgos?

El análisis de riesgos debe seguir una serie de pasos:

Identificar los activos de información: El primer paso es identificar los datos personales que la empresa trata, incluyendo su tipología, sensibilidad y ubicación.

Identificar las amenazas y vulnerabilidades: Es necesario identificar las posibles amenazas a los datos personales, como accesos no autorizados, errores humanos, ataques informáticos o fallos técnicos.

Evaluar el impacto de los riesgos: Se debe evaluar la probabilidad de que cada amenaza se materialice y el impacto potencial que tendría en los derechos y libertades de las personas físicas.

Implementar medidas de seguridad: En base a la evaluación de riesgos, se deben implementar medidas de seguridad técnicas y organizativas para mitigar los riesgos.

Monitorizar y revisar el análisis de riesgos: El análisis de riesgos debe ser un proceso continuo, por lo que es necesario monitorizar y revisar los riesgos de forma regular para asegurar que las medidas de seguridad siguen siendo efectivas.

Recuerda los puntos claves del análisis de riesgos

3. Realizar un registro de actividades

Todo tratamiento de datos debe realizarse conforme al RGPD y LOPDGDD, lo que se traduce en la necesidad de adoptar numerosas medidas, de índole jurídico, técnico y organizativo, que deberán diseñarse en función de las características de dichos tratamientos. Entre ellas la elaboración del Registro de las actividades de tratamiento llamado (RAT)

La creación y mantenimiento del Registro de las actividades de tratamiento (RAT) debe realizarse conforme al RGPD y LOPDGDD y  forma parte de las medidas de responsabilidad proactiva que establece el RGPD, y afecta tanto a responsables como a encargados del tratamiento.

Puede decirse que la elaboración del “Registro de actividades” RAT constituye la base del proceso de adecuación de toda organización al RGPD, siendo imprescindible que su contenido refleje fielmente en todo momento la realidad de los tratamientos de datos que realiza.

De acuerdo con el artículo 30 RGPD, el contenido mínimo del registro de actividades RAT  para responsables del tratamiento del tratamiento debe incluir:

• datos identificativos y de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

• los fines del tratamiento;

• una descripción de las categorías de interesados y de las categorías de datos personales;

• las categorías de destinatarios de los datos personales;

• en su caso, las transferencias de datos personales a un tercer país;

• los plazos previstos para la supresión de las diferentes categorías de datos;

• una descripción general de las medidas técnicas y organizativas de seguridad.

• Aunque el RGPD no lo requiera, es más que conveniente que el RAT refleje también las bases jurídicas que legitiman cada actividad de tratamiento, como forma de documentar el análisis realizado del requisito de licitud.

Para elaborar el registro de actividades se requiere:

• identificar todas las operaciones de tratamiento de datos personales de la organización, tanto las realizadas como responsables como las llevadas a cabo por cuenta de responsables;

• agrupar y clasificar dichas operaciones en base al criterio de la finalidad básica común de cada grupo de operaciones;

• recopilar toda la información indicada en el apartado anterior para cada actividad de tratamiento, atendiendo al ciclo de vida completo de los datos;

• asignar responsables en la organización para el mantenimiento actualizado del RAT y documentar el procedimiento a seguir para su revisión periódica.

• El RAT debe constar por escrito, ya sea en formato papel o electrónico.

El RAT es un documento vivo, que debe mantenerse siempre actualizado y reflejar la evolución de los tratamientos de datos de la organización.

✓ La información mínima a incluir en el RAT establecida en el RGPD puede complementarse con informaciones adicionales (como la legitimación de los tratamientos o los departamentos o áreas de la organización responsables de cada tratamiento), que contribuyan a cumplir con el principio de responsabilidad proactiva.

✓ El RAT es un documento interno de la organización, no existiendo la obligación de ponerlo a disposición de terceros, salvo en caso de requerimiento de la autoridad de control. No obstante, los organismos públicos y demás enumerados en el art. 77.1 LOPDGDD deben hacer público un inventario de sus actividades de tratamiento por medios electrónicos.

En Datusmas te redactamos el “Registro de actividades” en base a los tratamiento de datos que realice tú organización como pueden ser: clientes, proveedores, empleados, Videovigilancia, etc.

4. Informar a los usuarios del tratamiento de sus datos

El derecho a la información es el derecho que tienen los interesados a ser informados por el responsable acerca de los fines y demás circunstancias del tratamiento de sus datos. Por tanto, al derecho de información de los interesados le corresponde el deber de información a cargo del responsable del tratamiento. 

De acuerdo a la normativa de protección de datos, el interesado tiene, además, un derecho a la transparencia de toda información recibida del responsable sobre el tratamiento de sus datos, de manera que dicha información le sea facilitada en forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo, evitando el uso de textos que por su complejidad o extensión impidan o dificulten una comprensión de la información.

Cuando el tratamiento se basa en el consentimiento del interesado, la transparencia de la información facilitada al mismo es requisito ineludible para la validez del consentimiento. 

 En cuanto al deber de información del responsable, su alcance depende de la procedencia de los datos: 

Cuando los datos personales se obtengan directamente del propio interesado, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación: 

• la identidad y los datos de contacto del responsable y, en su caso, de su representante; 

• los datos de contacto del Delegado de Protección de Datos, en su caso; 

• los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; 

• en su caso, los intereses legítimos del responsable o de un tercero en que se base el tratamiento; 

• los destinatarios o las categorías de destinatarios de los datos personales, en su caso; 

• en su caso, la intención del responsable de transferir datos personales a un tercer país y los mecanismos que lo habilitan; 

• el plazo durante el cual se conservarán los datos personales; 

• la posibilidad y el modo de ejercer los derechos del interesado ante el responsable del tratamiento; 

• cuando el tratamiento esté basado en el consentimiento, la existencia del derecho a retirar el consentimiento en cualquier momento; 

• el derecho a presentar una reclamación ante una autoridad de control; 

• si la comunicación de datos personales por el interesado es un requisito legal o contractual y las posibles consecuencias de que no facilitar los datos; 

• en su caso, información sobre la existencia de decisiones automatizadas, incluida la elaboración de perfiles. 

Cuando los datos personales no se obtengan directamente del interesado, el responsable del tratamiento le facilitará (a más tardar en el pazo de 1 mes), además de la información indicada en el apartado anterior, la siguiente: 

• las categorías de datos personales de que se trate

• la fuente de la que proceden los datos personales

Como cumplir con la obligación de información:

El cumplimiento del deber de información hace necesario redactar cláusulas informativas y políticas de privacidad, mediante las que el interesado pueda conocer las circunstancias del tratamiento de sus datos. 

Para redactar estas cláusulas la LOPDGDD promueve en su artículo 11 un modelo de información basado en 2 capas o niveles: 

• 1ª capa: consistente en una información básica, a incluir en el medio utilizado para la recogida de los datos y

 • 2ª capa: consistente en una información adicional y detallada, en la que, además de completar detalladamente la información de la 1ª capa, se añada información adicional. Normalmente, la información de la 2ª capa se incluye en la política de privacidad que la organización publique en su página web. 

5. Garantizar la seguridad de los datos

Las medidas de seguridad que debes aplicar para proteger los datos personales deben ser proporcionales al riesgo asociado al tratamiento de los datos personales y para ello se debe de realizar un análisis de riesgos como hemos explicado en el punto 2 de este artículo. Algunas medidas de seguridad que puedes aplicar son:

Implementar un sistema de gestión de seguridad de la información: Desarrollar e implementar políticas, procedimientos y controles de seguridad que protejan la confidencialidad, integridad y disponibilidad de los datos personales. Esto incluye medidas técnicas, organizativas y físicas.

Designar un responsable de protección de datos: Nombre a una persona encargada de supervisar el cumplimiento de las normas de protección de datos y coordinar las actividades relacionadas.

Formar al personal: Asegúrese de que todos los empleados que manejan datos personales estén debidamente capacitados en temas de seguridad y protección de datos.

Implementar medidas técnicas de seguridad: Utilice herramientas y tecnologías como cifrado, autenticación, control de accesos, copias de seguridad, entre otras, para proteger los datos.

Establecer procedimientos de respuesta ante incidentes: Desarrolle e implemente un plan de acción para detectar, reportar y responder ante posibles brechas de seguridad o violaciones de datos personales.

Cumplir con la normativa aplicable: Asegurarse de que las prácticas de tratamiento de datos personales cumplan con los requisitos legales vigentes en materia de protección de datos.

6. El delegado de protección de datos (empresas obligadas)

Un delegado de protección de datos es la persona encargada de supervisar y garantizar el cumplimiento de las normas de protección de datos en una empresa. El delegado de protección de datos debe velar que la empresa trate los datos personales de forma segura y cumpla con la normativa de protección de datos. Es una figura clave para garantizar la privacidad y protección de los datos.

En qué casos es obligatorio nombrar al delegado de protección de datos

El artículo 37 del RGPD establece 3 supuestos generales en los que el nombramiento del DPD es obligatorio:

• cuando el tratamiento de datos lo lleve a cabo una autoridad u organismo público;

• cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala

• cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos y de datos relativos a condenas e infracciones penales.

Posteriormente, la LOPDGDD (en su artículo  34.1) contribuyó a clarificar dichos supuestos generales, estableciendo un listado de aquellas entidades que en todo caso deberán designar un DPD. Entre otras, el apartado b) menciona a centros docentes, establecimientos financieros de crédito, entidades aseguradoras y reaseguradoras, distribuidores y comercializadores de energía eléctrica y gas natural, entidades que desarrollen actividades de publicidad y prospección comercial cuando realicen actividades de elaboración de perfiles, centros sanitarios, empresas de seguridad privada, etc. Puedes ver el listado de entidades obligadas en “El delegado de protección de datos”

Funciones del delegado de protección de datos

En cuanto a las funciones que el RGPD asigna al DPD, se trata como mínimo de las siguientes:

• Informar y asesorar a la organización y su personal acerca de sus obligaciones en materia de protección de datos. 

• Supervisar el cumplimiento de la normativa de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal y las auditorías correspondientes. 

• Ofrecer asesoramiento acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación. 

• Cooperar con la autoridad de control y actuar como interlocutor y punto de contacto de la misma. 

• Atender las cuestiones que le sean sometidas por los afectados, incluido las relativas al ejercicio de sus derechos. 

• Intervenir en casos de reclamación ante las autoridades de control, para mediar entre el afectado y la organización. 

En cuanto a la posición que el DPD debe ocupar en la organización que le nombra, ésta debe garantizar los siguientes requisitos:

• Participación del DPD en todas las cuestiones relativas a protección de datos.

• Total autonomía en el ejercicio de sus funciones.

• Reporte al nivel jerárquico más alto de la organización.

• Facilitar al DPD todos los recursos necesarios para desarrollar su actividad.

En Datusmas Disponemos del reconocimiento a la cualificación profesional y las competencias requeridas de Delegado de protección de datos a través de la obtención de la Certificación ES2312969, en base al esquema de certificación de la Agencia Española de protección de datos DPD-AEPD.

El nombramiento del DPD sólo es obligatorio en determinados casos, si bien puede ser designado de forma voluntaria. 

7. Atender las solicitudes de los derechos en protección de datos

Los derechos también llamados ARSULIPO son los (derechos de acceso, rectificación, supresión, limitación, portabilidad, retirada del consentimiento y oposición) antiguamente también llamados derechos ARCO. Estos derechos pueden ser ejercidos por cualquier persona física cuyos datos personales sean objeto de tratamiento. Cualquier usuario o titular de datos personales puede solicitar el ejercicio de estos derechos ante la empresa o entidad que trate sus datos. La normativa de protección de datos permite que se puedan ejercer ante el responsable del tratamiento estos derechos. Los derechos se legislan del artículo 12 al artículo 22 del REGLAMENTO (UE) 2016/679  relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales. 

Estos derechos se caracterizan por lo siguiente: 

El ejercicio de estos derechos es gratuito.

Si las solicitudes son manifiestamente infundadas o excesivas el responsable podrá: Cobrar un canon proporcional a los costes administrativos soportados o negarse a actuar. 

Las solicitudes deben responderse en el plazo de un mes, dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.

El responsable está obligado a informar sobre los medios para ejercitar estos derechos. Estos medios deben ser accesibles.

Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.

Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control.

Puedes ejercer los derechos directamente o por medio de tu representante legal o voluntario.

Cabe la posibilidad de que el encargado sea quien atienda tu solicitud por cuenta del responsable si ambos lo han establecido en el contrato o acto jurídico que les vincule.

8. Protocolo de notificaciones de brechas de seguridad

¿En primer lugar describimos que es una brecha de seguridad?

Una brecha de seguridad es un incidente de seguridad que ocurre cuando se produce una violación o acceso no autorizado a los datos personales que una empresa o entidad tiene bajo su custodia. También puede ser cualquier evento que comprometa la confidencialidad, integridad o disponibilidad de los datos personales que una organización tiene bajo su responsabilidad.

Una brecha de seguridad se produce cuando:

• Se pierde, destruye, altera o se accede de manera no autorizada a datos personales.

• Estos datos personales son divulgados, copiados, transmitidos, consultados o utilizados de manera no autorizada.

• Esto ocurre de manera accidental o deliberada.

Algunos ejemplos de brechas de seguridad pueden ser:

• El robo o pérdida de un dispositivo que contenga datos personales.

• Un ciberataque que permita el acceso no autorizado a los sistemas de la empresa.

• Un error humano que provoque la divulgación inadecuada de información confidencial.

• El mal funcionamiento de los sistemas de seguridad que deje expuestos los datos.

El RGPD añade 2 obligaciones novedosas con respecto a las brechas de seguridad:

1 notificar toda brecha de la seguridad de los datos a la autoridad de control, a menos que sea improbable que constituya un riesgo para los derechos y libertades de los interesados; y 

2 adicionalmente, comunicar la violación o brecha a las personas afectadas por la misma, cuando sea probable que entrañe un alto riesgo para sus derechos y libertades.

1 el RGPD establece que la notificación de la brecha de seguridad a la autoridad de control debe realizarse, a más tardar, en el plazo de 72 horas a contar desde que se tenga constancia de la misma.

La notificación se efectúa a través de la sede electrónica de la AEPD, debiendo incluir, entre otras informaciones:

- La naturaleza de la brecha;

- Categorías de datos y de interesados afectados;

- Medidas adoptadas para solventar la brecha;

- Si procede, medidas aplicadas para paliar los posibles efectos negativos sobre los interesados.

2 cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

Esta comunicación al interesado se realizará en un lenguaje claro y sencillo en relación a la naturaleza de la violación de la seguridad de los datos personales. 

¿Qué medidas de seguridad debo aplicar para proteger los datos personales?

Las medidas de seguridad que debes aplicar para proteger los datos personales deben ser proporcionales al riesgo asociado al tratamiento de los datos personales y para ello se debe de realizar un análisis de riesgos. Algunas medidas de seguridad que puedes aplicar son:

Encriptación de los datos personales, controles de acceso a los datos personales, formación del personal sobre protección de datos, realización de copias de seguridad, instalación de antivirus, navegación VPN, entre otras.

¿Cómo debo informar a los titulares de los datos personales sobre el tratamiento de sus datos personales?

Debes informar a los titulares de los datos personales sobre el tratamiento de sus datos personales antes de empezar a tratar sus datos. La información que debes proporcionar a los titulares de los datos personales es la siguiente:

La identidad y los datos de contacto del responsable del tratamiento, los fines del tratamiento, los destinatarios de los datos, el plazo de conservación, la legitimación para realizar el tratamiento de los datos, los derechos que asisten a los titulares de los datos, si están sometidos a decisiones automatizadas de tratamientos de datos.

¿Cómo puedo obtener el consentimiento de los titulares de los datos personales para el tratamiento de sus datos personales?

El consentimiento debe ser expreso, libre, informado e inequívoco. Este debe de ser EXPLÍCITO: mediante una declaración expresa y recogido de modo que sea demostrable y verificable. En la práctica implica una declaración escrita y firmada o en el entorno digital mediante una clara acción afirmativa que pueda registrarse.

Otras características que debe cumplir la solicitud de consentimiento: formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas.

Se solicitará el consentimiento cuando no exista otra causa legitimadora para el tratamiento de los datos personales, que concretamente son: Solicitud de medidas precontractuales, ejecución de un contrato, cumplimiento de una obligación legal, misión de interés público, ejercicio de poderes públicos, interés legítimo del responsable o de un tercero. 

Servicios de protección de datos para diferentes sectores

Videovigilancia

Saber más

 

Sector sanitario

Saber más

Comunidades  propietarios

Saber más

Empresas y autónomos

Saber más 


Hoteles 

Saber más 

Inmobiliarias

Saber más 

Centros educativos

Saber s

Fundaciones y asociaciones

Saber s

 


Guarderías

Saber más 

Academias de enseñanza 

Saber más 

Autoescuelas

Saber más 

Veterinarios

Saber más 


Podcast sobre el reglamento europeo de protección de datos