AUTOTEST: ¿Cumples con la normativa en protección de datos?

Se han cumplido 2 años desde que el Reglamento General de Protección de Datos pasase a ser de obligado cumplimiento. El más que conocido RGPD no sólo regula cualquier aspecto a tener en cuanta a la hora de tratar datos personales, sino que te exige que puedas acreditar en cualquier momento que cumples con la normativa.

En noviembre de 2019, EuropaPress afirmaba que casi la mitad de las empresas españolas todavía no se habían adaptado plenamente a la normativa europea (ver noticia). Evidentemente, no todas las empresas tienen el mismo modelo de cumplimiento normativo en esta materia, ya que dependerá de muchos factores en relación a los tratamientos que se realicen, pero sí que existen unas cuestiones mínimas y comunes a todas, que han de ser revisadas y controladas. 

En GrupoIWI te ofrecemos servicios de asesoramiento y adecuación a esta materia. Para ello ponemos a tu disposición las herramientas necesarias para cumplir con la normativa en protección de datos y la ayuda, a través de nuestro departamento de consultoría, para utilizar correctamente dichas herramientas. Además, nuestro equipo de consultores responderá cualquier pregunta que tengas sobre el tema. Pero, ¿y ahora?, ¿estás cumpliendo correctamente con la normativa?

Para que puedas responder a esta pregunta hemos elaborado el siguiente cuestionario. Como podrás ver lo hemos dividido en 12 puntos:

1. Delegado de Protección de Datos (DPD)

Figura novedosa con funciones de supervisión y control de cumplimiento, cuyo nombramiento es obligatorio en ciertos casos.  

1. ¿Está tu empresa obligada a nombrar un Delegado de Protección de Datos? 
2. En caso afirmativo, ¿lo has comunicado a la AEPD? 
3. En caso negativo, ¿puedes acreditar que tu empresa no está obligada? 
4. Aunque no sea obligatorio para tu empresa, ¿se ha valorado si es recomendable tenerlo?

2. Registro de actividades de tratamiento (RAT)

Registro interno que debe recoger de forma detallada todas las actividades que impliquen tratamiento de datos que llevas a cabo. 

1. ¿Has realizado el Registro de Actividades de Tratamiento, y cuentas con controles que permitan verificar su actualización? 
2. ¿Puedes acreditarlo?

3. Análisis de riesgos (AR)

Estudio de los activos a proteger y las amenazas que los ponen en peligro. De su resultado derivará un nivel de riesgo y las medidas que deberán aplicarse. 

1. ¿Has realizado un Análisis de Riesgos? 
2. En caso afirmativo, ¿cuentas con controles que permitan actualizarlo en caso de que tu entidad realice nuevos tratamientos, nuevas finalidades o recoja otras categorías de datos personales? 
3. ¿Puedes acreditarlo?

4. Evaluación de impacto (EIPD)

Herramienta preventiva con ciertas similitudes al AR pero que viene a reforzarlo ya que se debe realizar solo cuando el nivel de riesgo sea alto o muy alto. 

1. ¿Realiza tu empresa alguna actividad de tratamiento que haya requerido una Evaluación de Impacto? 
2. En caso afirmativo, ¿se ha realizado el informe? 
3. En caso negativo, ¿figura en el Análisis de Riesgos el análisis de la necesidad de EIPD con resultado negativo?

5. Medidas de seguridad

Acciones y controles que se aplican para tratar de reducir el nivel de riesgo y mantenerlo en niveles óptimos o residuales. 

1. ¿Has implementado todas las medidas de seguridad, tanto técnicas como organizativas, derivadas del AR y/o EIPD?
2. ¿Cuentas con mecanismos y políticas que permitan analizar su eficacia con cierta frecuencia? (controles de verificación, auditorías, etc). 
3. ¿Puedes acreditarlo?

6. Consentimientos

Es una de las 6 bases legales que legitiman un determinado tratamiento de datos y que se traduce en la forma en la que un interesado manifiesta su voluntad para algo. 

1. ¿Realiza tu empresa alguna actividad de tratamiento cuya base legal sea el consentimiento del interesado? 
2. En caso afirmativo, ¿se recaba de forma correcta (libre, inequívoco y expreso) y guardas evidencias de tenerlo? 
3. ¿Ofreces formas y sistemas suficientes para que el interesado revoque su consentimiento?

7. Interés legítimo

Es otra de esas 6 bases legales y se traduce en el objetivo que permite al Responsable realizar un tratamiento cuando no cuenta con ninguna de las otras 5 bases.

1. ¿Realiza tu empresa alguna actividad de tratamiento cuya base legal sea el interés legítimo? 
2. En caso afirmativo, ¿has realizado el juicio de ponderación de cada una de esas actividades y puedes acreditarlo?

8. Deber de informar

Es el deber básico de cualquier responsable (empresa) y pretende que el interesado conozca en todo momento todo lo relacionado con el tratamiento de sus datos.  

1. ¿Cumples con el deber de información, en el momento correcto y a través de todos los canales de recogida de datos? (información básica, adicional, textos en facturas y/o emails corporativos, cartel de videovigilancia, etc).
2. ¿Puedes acreditarlo?

9. Información a empleados

Idéntico que el anterior pero relacionado con empleados de la empresa. Es algo más completo ya que incluye obligaciones que debe cumplir el trabajador, como el deber de confidencialidad. 

1. ¿Has informado a todos los empleados que intervienen en una o varias operaciones de tratamiento, sobre el tratamiento de sus datos y los deberes de confidencialidad y secreto profesional? 
2. ¿Puedes acreditarlo?

10. Protocolos y herramientas para cumplir

Son pautas o reglas internas, con el objetivo de concienciar a las personas que tratan los datos y enseñarles a actuar en determinadas situaciones.  

1. ¿Tienes diseñados protocolos que permitan gestionar diligentemente situaciones específicas como la gestión de una brecha de seguridad o derechos que se ejerciten en materia de Protección de Datos? 
2. ¿Has comprobado que los empleados que intervengan en operaciones de tratamiento los conocen y saben utilizarlos? 
3. ¿Puedes acreditarlo?

11. Página web

Nos referimos a los textos legales que la normativa exige que un sitio web tenga implementados para que el interesado pueda acudir a ellos y ser informado de una serie de cuestiones. 

1. ¿Has implementado los textos informativos que necesite tu web? (aviso legal, política de privacidad, aviso de cookies, condiciones generales de contratación, etc).
2. ¿Cuentas con una casilla de verificación para controlar que los usuarios de la web han leído la política de privacidad en el momento en que recoges sus datos personales a través de un formulario de contacto? 
3. ¿Puedes acreditarlo?

12. Encargados del tratamiento

Son proveedores que prestan un servicio a la empresa y que para ello, necesitan tratar datos por cuenta de la misma.   

1. ¿Tienes firmados y debidamente almacenados los contratos de encargo con tus Encargados de tratamiento? 
2. ¿Has cumplido con tu deber de diligencia en relación a exigirle a tus encargados que acrediten el cumplimiento de la protección de datos en relación a los datos que tratan por tu cuenta? 
3. ¿Has implementado sistemas o controles para supervisar que el cumplimiento se mantiene? 
4. ¿Puedes acreditarlo?

Como ves, estos 12 puntos coinciden todos en una pregunta final, que persigue incidir en que siempre puedas acreditar el cumplimiento. Eso se debe a que con el RGPD y la LOPD-GDD,  de nada sirve estar en situación de cumplimiento (o disponer tan solo de documentación) si no lo puedes acreditar. Es lo que se conoce como principio de responsabilidad proactiva o “accountability” en su alocución anglosajona.

¿Quieres que nuestro equipo te informe sobre tu grado de cumplimiento de la normativa en protección de datos? Haz clic en el siguiente botón, responde al formulario y nos pondremos en contacto contigo para informarte de tu situación actual.

Recordar también que, utilizar la herramienta FACILITA que la AEPD puso a disposición de las empresas es, sin duda, un punto de partida para el cumplimiento, sin embargo esta herramienta de ayuda general, tal y como indica la propia Agencia en su página web,  sirve exclusivamente para aquellas empresas que realicen un tratamiento de datos de escaso riesgo, dejando al responsable (es decir, tú) la obligación de establecer mecanismos de responsabilidad proactiva y revisión contínua de dichas obligaciones, incidiendo sobre la idea de que el uso de este programa NO GARANTIZA el pleno cumplimiento del RGPD.

Como siempre, estamos a tu disposición en el 958 415 736 o a través de los otros canales que ponemos a tu disposición.