GRADO DE CUMPLIMIENTO
DE LA NORMATIVA VIGENTE
EN PROTECCIÓN DE DATOS

El siguiente formulario se ha diseñado teniendo en cuenta 11 puntos esenciales en la normativa en protección de datos. Como comprobarás en cada punto, es importante poder acreditar que estás cumpliendo con dicha normativa. Eso se debe a que, tanto en el RGPD como en la LOPD-GDD, de nada sirve estar cumpliendo si no lo puedes acreditar. Es lo que se conoce como principio de responsabilidad proactiva o “accountability” en su alocución anglosajona.


    A. Registro de Actividades de Tratamiento (RAT)

    La normativa actual obliga a tener un registro interno de tratamientos. En las corredurías es indispensable, ya que en él se recoge toda la información sobre los distintos tratamientos que la correduría realiza.

    1. ¿Has realizado el Registro de Actividades de Tratamiento y cuentas con controles que permitan verificar su actualización?

    NO

    2. En caso afirmativo, ¿puedes acreditarlo? (Si no tienes RAT marca NO)

    NO


    B. Análisis de Riesgos (AR)

    Estudio de los activos a proteger y las amenazas que los ponen en peligro. De su resultado derivará un nivel de riesgo y las medidas que deberán aplicarse. Junto con el RAT, es el documento más importante debe tener la correduría.

    1. ¿Has realizado un Análisis de Riesgos?

    NO

    2. En caso afirmativo, ¿cuentas con controles que permitan actualizarlo en caso de que tu entidad realice nuevos tratamientos, establezca nuevas finalidades o recoja otras categorías de datos personales? (Si no tienes AR marca NO)

    NO

    3. ¿Puedes acreditarlo? (Si no tienes AR marca NO)

    NO


    C. Evaluación de impacto (EIPD)

    Herramienta preventiva con ciertas similitudes al AR. No siempre es necesario realizarla, pero en cualquier caso, siempre es importante poder acreditar los motivos por los que no ha sido necesario hacerla.

    1. ¿Realiza tu empresa alguna actividad de tratamiento que haya requerido una Evaluación de Impacto?

    NO

    2. En caso afirmativo, ¿se ha realizado la EIPD y tiene el correspondiente informe?

    NO

    3. En caso negativo, ¿figura en el Análisis de Riesgos el resultado negativo de la necesidad de EIPD?

    NO


    D. Medidas de seguridad

    Acciones y controles que se aplican para tratar de reducir el nivel de riesgo y mantenerlo en niveles óptimos o residuales. Ya no es posible implementar medidas de seguridad tipo. Cada organización deberá implementar las que sean necesarias en relación al riesgo que conllevan sus tratamientos.

    1. ¿Has implementado todas las medidas de seguridad, tanto técnicas como organizativas, derivadas del AR y/o EIPD?

    NO

    2. ¿Cuentas con mecanismos y políticas que permitan analizar su eficacia con cierta frecuencia? (controles de verificación, auditorías, etc).

    NO

    3. En caso afirmativo, ¿puedes acreditarlo?

    NO


    E. Consentimientos

    Es una de las 6 bases legales que legitiman un determinado tratamiento de datos y que se traduce en la forma en la que un interesado manifiesta su voluntad para algo. El consentimiento no es la única base y no siempre se debe utilizar. Hay tratamientos para los cuales no es necesario el consentimiento, como por ejemplo, la realización de ciertas actuaciones por parte de la correduría en relación a ejecutar un determinado servicio que el interesado ha contratado previamente.

    1. ¿Realiza tu correduría alguna actividad de tratamiento cuya base legal sea el consentimiento del interesado?

    NO

    2. En caso afirmativo, ¿se recaba de forma correcta (libre, inequívoco y expreso) y guardas evidencias de tenerlo?

    NO

    3. ¿Ofreces formas y sistemas suficientes para que el interesado revoque su consentimiento?

    NO


    F. Interés legítimo

    Es otra de esas 6 bases legales y se traduce en el objetivo que permite al Responsable realizar un tratamiento cuando no cuenta con ninguna de las otras 5 bases. En las corredurías, se producen muchas veces cesiones de datos a las compañías, amparadas en un interés legítimo. Esta base las hace legales y necesarias, pero es indispensable contar con el juicio de ponderación para acreditar el cumplimiento.

    1. ¿Realiza tu correduría alguna actividad de tratamiento cuya base legal sea el interés legítimo?

    NO

    2. En caso afirmativo, ¿has realizado el juicio de ponderación de cada una de esas actividades y puedes acreditarlo?

    NO


    G. Deber de informar

    Es el deber básico de cualquier responsable (correduría) y pretende que el interesado conozca en todo momento todo lo relacionado con el tratamiento de sus datos. En las corredurías, las cláusulas de información son muy importantes ya que se debe de informar de ciertas actividades, como por ejemplo las cesiones de datos mencionadas anteriormente.

    1. ¿Cumples con el deber de información, en el momento correcto y a través de todos los canales de recogida de datos? (información básica, adicional, textos en facturas y/o emails corporativos, cartel de videovigilancia, etc.).

    NO

    2. En caso afirmativo, ¿puedes acreditarlo?

    NO


    H. Información a empleados

    Idéntico que el anterior pero en relación a los empleados de la correduría, en caso de tener. Es algo más completo ya que incluye obligaciones que debe cumplir el trabajador, como el deber de confidencialidad. Especial atención a si, con motivo del Covid-19, la correduría toma la temperatura a sus empleados, ya que es muy importante contar con un documento específico sobre esta medida.

    1. ¿Cuentas con plantilla?

    NO

    2. En caso afirmativo, ¿has informado a los empleados sobre el tratamiento de sus datos y los deberes de confidencialidad y secreto profesional?

    NO

    3. En caso afirmativo, ¿puedes acreditarlo?

    NO


    I. Protocolos y herramientas para cumplir

    Son pautas o reglas internas, con el objetivo de concienciar a las personas que tratan los datos y enseñarles a actuar en determinadas situaciones. En corredurías es muy importante contar al menos con un protocolo para gestión de ejercicios de derechos y otro para gestión de violaciones de seguridad.

    1. ¿Tienes diseñados protocolos que permitan gestionar diligentemente situaciones específicas como la gestión de una brecha de seguridad o derechos que se ejerciten en materia de Protección de Datos?

    NO

    2. En caso afirmativo, ¿has comprobado que los empleados que intervengan en operaciones de tratamiento los conocen y saben utilizarlos?

    NO

    3. En caso , ¿puedes acreditarlo?

    NO


    J. Página web

    Nos referimos a los textos legales que la normativa exige que un sitio web tenga implementados para que el interesado pueda acudir a ellos y ser informado de una serie de cuestiones. Especial atención al tema de las cookies, ya que en 2020 la AEPD ha cambiado el criterio y ahora hay que recabar el consentimiento para las cookies de terceros, que, por lo general, las corredurías tienen instaladas en su web.

    1. ¿Tienes página web corporativa?

    NO

    2. En caso afirmativo, ¿has implementado los textos informativos que necesite tu web? (Aviso Legal, Política de Privacidad, Política de Cookies, Condiciones generales de contratación, etc.).

    NO

    3. Además ¿cuentas con una casilla de verificación para controlar que los usuarios de la web han leído tu Política de Privacidad en el momento en que recoges sus datos personales a través de un formulario de contacto?

    NO

    4. En caso afirmativo, ¿puedes acreditarlo?

    NO


    K. Encargados del tratamiento

    Son proveedores que prestan un servicio a la empresa y que para ello, necesitan tratar datos por cuenta de la misma. Especial atención ya que las corredurías son Responsables del tratamiento y sus filiales que son externos se configuran como Encargados y deben de tener un contrato ajustado a lo que exige la normativa.

    1. ¿Tienes firmados y debidamente almacenados los contratos de encargo con tus Encargados de tratamiento?

    NO

    2. ¿Has cumplido con tu deber de diligencia en relación a exigirle a tus encargados que acrediten el cumplimiento de la protección de datos en relación a los datos que tratan por tu cuenta?

    NO

    3. ¿Has implementado sistemas o controles para supervisar que el cumplimiento se mantiene?

    NO

    4. En caso afirmativo, ¿puedes acreditarlo todo?

    NO



    Tus datos de contacto

    Los utilizaremos para gestionar y dar respuesta a tu solicitud de información.


    Información básica sobre protección de datos

    Conforme a lo establecido en el Reglamento (UE) 2016/679 (RGPD), así como lo dispuesto en la normativa nacional sobre esta materia, le informamos de que los datos personales facilitados serán responsabilidad de la entidad GrupoIWI Protección de Datos, S.L. y serán utilizados única y exclusivamente para gestionar la valoración sobre el nivel de adecuación a la normativa vigente en protección de datos llevada a cabo en este momento así como para poder generar el informe de conclusiones de dicha valoración.

    Todo ello bajo la legitimación otorgada por interés legítimo. No se cederán sus datos a terceros. No obstante es posible que determinados encargados del tratamiento externos puedan acceder a sus datos para la necesaria prestación del servicio. 

    En cuanto a sus derechos, podrá reclamar ante la Autoridad de Control Nacional y en todo momento acceder, rectificar y suprimir sus datos, limitarlos o incluso oponerse a su tratamiento, solicitar su portabilidad a otros responsables, enviándonos una comunicación dirigida a Avenida FERNANDO DE LOS RIOS, 11, PORTAL 2; OFICINA 6, CP 18100 ARMILLA, Granada, o bien enviándonos un email a cliente@grupoiwi.com

    Por último, puede consultar la información adicional y detallada sobre nuestra Política de Protección de Datos (ver).