Implantación

La implantación/readaptación representa el cumplimiento del Reglamento General de Protección de Datos (RGPD 2016/679), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos.

Leer más

Evaluación EIPD

La realización de Evaluaciones de Impacto sobre la protección de datos (aplicables de forma obligatoria en ciertos tratamientos) tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos.

Leer más

Delegado DPD

El Reglamento requiere que los Delegados de Protección de Datos (DPD) sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones.

Leer más

Agencias estatales

Logo AEPD

Agencia Española de Protección de Datos.

La Agencia Española de Protección de Datos es un Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada. Actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones. De entre las varias funciones que se le atribuyen a la AEPD, se encuentran la de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

Logo APDCat

Autoridad Catalana de Protección de Datos

La Autoridad Catalana de Protección de Datos es el organismo independiente que tiene por objeto garantizar, en el ámbito de las competencias de la Generalidad, los derechos a la protección de datos personales y de acceso a la información vinculada a ellos. Desde este organismo se informa sobre cuales son los derechos en esta materia, como se ejercen y què hay que hacer en caso de que no sean respetados. También se informa y asesora sobre las obligaciones que prevé la legislación y se controla que las entidades las cumplan. El ámbito de actuacióçn de la Autoridad Catalana de Protección de Datos comprende los ficheros y los tratamientos que llevan a cabo:

  • Las instituciones públicas
  • La Administración de la Generalidad
  • Los entes locales
Leer más

Implantación / Readaptación

La implantación/readaptación representa el cumplimiento del Reglamento General de Protección de Datos (RGPD 2016/679), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos.

Fechas importantes:

  • Entrada en vigor: 25 de mayo del 2016
  • Comienzo de aplicación: 25 de mayo del 2018

Los motivos que han creado la necesidad de un nuevo reglamento se pueden agrupar en 4 puntos:

  • Desarrollo y evolución de la tecnología.
  • Globalización.
  • Aumento del tratamiento de datos personales.
  • Armonizar la normativa entre todos los países de la UE.

El objetivo no es otro que dar un mayor control a los ciudadanos sobre su información privada, en un mundo de teléfonos inteligentes, redes sociales, banca por internet y transferencias globales de datos e información.v

Principios

El RGPD contiene muchos conceptos, principios y mecanismos similares a los que las organizaciones cumplen con la LOPD en la actualidad, teniendo así una buena base de partida para evolucionar hacia una correcta aplicación del nuevo Reglamento.

Sin embargo, el RGPD modifica varios aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.

Algunos elementos de carácter general constituyen entre otros la mayor innovación del RGPD para los responsables:
*El principio de responsabilidad proactiva (accountability)
El RGPD describe: este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevá, aseguróndose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
*Registro de actividades del tratamiento (Art.30 RGPD)
Cada responsable y su representante llevarán un registro de actividades de tratamiento que contendrá:

  • Nombre y datos de contacto del responsable, del corresponsable, del representante y del DPO.
  • Fines del tratamiento.
  • Categorías de interesados.
  • Categorías de datos personales.
  • Las transferencias de datos a un tercer país.
  • Descripción general de las medidas técnicas y organizativas de seguridad.

ComSeveral, seguirá ofreciendo servicios integrales con respecto a lo que implica en cada organización el cumplimiento del RGPD.

LOPD

Resumen del servicio de Implantación / Readaptación

  • Análisis del tratamiento, usuarios, encargados del tratamiento, medidas de seguridad que dispongan en la organización, etc... (Trazabilidad completa del tratamiento de datos de carácter personal)
  • Redactar todos los contratos que la Ley obliga (Encargados de tratamiento, usuarios, transferencias internacionales, etc.…).
  • Redactar todas las cláusulas legales que se exigen. (Facturas, presupuestos, consentimientos, contratos, formularios, registros...). Clausulas por capas. (Deber de informar Art. 13 RGPD)
  • Elaboración del registro de actividades del tratamiento.
  • Entregar los derechos, ampliados con el RGPD
  • Entrega del manual de funciones y obligaciones del personal.
  • Asesoramiento, modificación, cancelación e insertar, cualquier tipo de contrato nuevo.
  • Redactar los carteles informativos. (Video vigilancia y carteles para informar a usuarios)
  • Análisis de sistemas, hardware, software, firewall, red, licencias, permisos, etc.
  • Análisis de los equipos informáticos, detección de contraseñas y bloqueos, controles de acceso.
  • Evaluación de impacto (EIPD) solo para las organizaciones que según RGPD la requieran.
  • Servicio de Delegado de Protección de Datos (DPO) para quienes lo requieran según el RGPD.
  • Representación de cara a la Agencia de Protección de Datos en caso de inspección.
  • Tramitación de cualquiera de los derechos en caso de solicitud de un usuario.
  • Entrega del certificado que emite comSeveralconforme está adaptada al cumplimiento de RGPD.

Evaluación de Impacto (EIPD) (Art. 35 RGPD)

La realización de Evaluaciones de Impacto sobre la protección de datos (aplicables de forma obligatoria en ciertos tratamientos) tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos. Por ello, posiblemente no sería acorde con el espíritu del Reglamento exigir que todo tratamiento que pueda potencialmente suponer un alto riesgo para los derechos de los interesados deba ser objeto de una Evaluación de Impacto pese a haber comenzado antes de que resulte aplicable.

LOPD

Sin embargo, en la medida en que esos tratamientos incorporen, a partir de mayo de 2018, nuevos datos, debe entenderse que, pese a que el tratamiento siga siendo el mismo, se estaría aplicando a nuevos interesados cuyos derechos y libertades podrían estar en riesgo a partir de la fecha en que sus datos comienzan a ser tratados. Por ello, en esos casos sí sería necesario que se llevara a cabo una EIPD en los supuestos a los que se refiere el RGPD.
La evaluación de impacto relativa a la protección de datos se basa en:

  • Descripción sistemática de las operaciones de tratamiento.
  • Evaluación de la necesidad y proporcionalidad del tratamiento.
  • Medidas de seguridad previstas para afrontar los riesgos.

El enfoque de riesgo

El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.

De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten. La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones.

Delegado de Protección de datos (DPD) (Art. 37 -39 RGPD)

El Reglamento requiere que los Delegados de Protección de Datos (DPD) sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones.

Se regula la figura y funciones del Delegado de Protección de Datos, dichas funciones son.

  • Informar y asesorar al responsable.
  • Supervisar el cumplimiento.
  • Asesorar en la EIPD y supervisar su aplicación.
  • Cooperar con la autoridad de control y ser el punto de contacto.

Mantenimiento RGPD

ComSeveral presta un servicio integral en todos los servicios relacionados con la seguridad de la información, en este caso en los mantenimientos se basa en diferentes artículos del RGPD.

Art. 12. RGPD. Transparencia y modalidades

1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado.

Art. 24. RGPD. Responsabilidad del responsable del tratamiento.

1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

Art. 28. RGPD. Encargado del tratamiento.

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

LOPD

Art. 30. RGPD. Registro de las actividades de tratamiento.

3. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.

4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.

Resumen mantenimiento.

  • Análisis y estudio de nuevos tratamientos. Licitud del tratamiento.
  • Redacción de nuevos contratos (Encargados de tratamiento, usuarios, transferencias internacionales).
  • Redacción de nuevas cláusulas legales. (Facturas, presupuestos, consentimientos, contratos, formularios, registros...). Cláusulas por capas. (Deber de informar Art. 13 RGPD).
  • Revisión y actualización del registro de actividades del tratamiento y de las medidas técnicas y organizativas de seguridad.
  • Funciones y obligaciones del personal para nuevas incorporaciones.
  • Asesoramiento, modificación, cancelación y redacción de cualquier tipo de contrato nuevo.
  • Representación de cara a la Agencia de Protección de Datos en caso de inspección.
  • Tramitación de cualquiera de los derechos en caso de solicitud de un usuario.
  • Entrega del certificado que emite comSeveral conforme está adaptada al cumplimiento de RGPD.