dasdas

Adáptese a la ley vigente

LA OBLIGACIÓN DE CUMPLIR CON LA NORMATIVA

El RGPD y la LOPD-GDD son normas jurídicas que regulan el tratamiento de datos personales de personas físicas con el fin de garantizar un nivel de seguridad adecuado

Las nuevas tecnologías, responsables de la globalización digital, nos han empujado a una nueva realidad económica y social, en la que compartimos información sobre nuestras vidas en las redes sociales, nuestros datos personales con aplicaciones móviles, nuestros datos bancarios en comercios electrónicos, etc.

Nuestros servicios han sido diseñados para asesorar a autónomos, empresas y otras entidades sobre como aplicar de forma eficaz la normativa vigente en protección de datos, dándoles un servicio de consultoría de calidad a un precio  competitivo.

A continuación encontrará una breve descripción de nuestros principales servicios en protección de datos.

ADAPTACIÓN RGPD Y LSSI-CE

Nuestra experiencia nos ha permitido desarrollar un método de trabajo basado en la participación activa del cliente a través de una plataforma online gestionada por nuestros consultores

Por esta razón entendemos el servicio Adaptación RGPD y LSSI-CE como un trabajo continuo, en el cual, en una fase temprana del servicio, el cliente dispondrá de todos los textos legales, modelos de contrato necesarios, certificado de cumplimiento, etc., que le permita cumplir desde el primer momento con las exigencias más visibles del RGPD, destinadas a informar y garantizar al interesado un uso adecuado de sus datos, para que, tras la recogida de los datos de la entidad y de la creación de un perfil de su actividad, iniciemos el diseño de los tratamientos de datos, el registro de actividad de los mismos, lo que dará paso al análisis de riesgo, cuyo resultado determinará las medidas técnicas y organizativas de seguridad y salvaguarda, que el cliente tendrá que ir implementando paulatinamente.

Este servicio incluye los siguientes puntos:

1. Recogida de datos.

2. Definición, diseño y registro de las actividades de tratamiento.

3. Revisión de procesos internos de la entidad en lo relativo al tratamiento de datos personales con el fin de realizar el análisis de riesgo y la recomendación de las medidas de seguridad necesarias.

4. Redacción de la documentación necesaria en relación con los tratamientos de datos personales llevados a cabo por la entidad. Así como la revisión y adaptación de su página web al RGPD y la LSSI-CE.

5. Acompañamiento legal en materia de protección de datos que incluye resolución de consultas, dudas o necesidades en la materia y asesoramiento jurídico dirigido a interpretar y orientar las diferentes situaciones que se generen en esta materia.

REALIZACIÓN DE EVALUACIÓN DE IMPACTO (EIPD)

La normativa exige para casos concretos la obligación de realizar una EIPD y hay ocasiones en las que, debido al alto riesgo que entraña un tratamiento, también es necesario hacerla

Nuestro servicio incluye los siguientes puntos:

1. Evaluación de impacto sobre la privacidad.

2. Evaluación de la proporcionalidad y necesidad del tratamiento.

3. Evaluación de los riesgos.

4. Medidas previstas para afrontar los riesgos evaluados.

5. Emisión de informe final de la Evaluación de Impacto.

Es obligatorio hacer una EIPD cuando:

    • El tratamiento, por su naturaleza, alcance, contexto o fines, pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas.
    • Se vayan a tratar, de forma sistemática y automatizada, datos personales, como ocurre en el caso de la elaboración de perfiles.
    • Se vayan a tratar a gran escala datos especialmente protegidos, datos relativos a condenas e infracciones penales o  datos personales relativos a menores.
    • Se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad (videovigilancia a gran escala, drones, vigilancia electrónica de datos, biometría, técnicas genéticas, geolocalización).

Siguiendo las directrices del Reglamento europeo, la Agencia Española de Protección de Datos (AEPD) ha publicado una lista con los criterios que se deben tener en cuenta para valorar la necesidad o no de realizar una EIPD.

No obstante, a continuación incluimos, a título orientativo, la lista de criterios:

    1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sus hábitos.
    2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
    3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
    4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
    5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
    6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
    7. Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.
    8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
    9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia. 10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
    10. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.

Cuando el tratamiento cumpla con dos o más criterios de dicha lista se entenderá que es necesaria realizarla. Obviamente, cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe y, por lo tanto, mayor será la certeza de la necesidad de realizar la EIPD.

La misma AEPD afirma que la lista publicada no es exhaustiva. Esto significa que, para determinar con seguridad si se debe realizar una EIPD, es necesario un estudio más detallado.

Con el fin de que se haga una idea, a continuación encontrará varios ejemplos de actividades que, por sus características, estarían obligadas a realizar una EIPD:

    • Laboratorios farmacéuticos.
    • Hospitales y clínicas.
    • Seguridad privada, vigilancia y control.
    • Comercializadoras de energía.
    • Colegios.

DELEGADO/A DE PROTECCIÓN DE DATOS (DPD)

La normativa vigente también contempla la obligación de designar esta figura para determinadas actividades

Nuestro servicio incluye las siguientes actuaciones:

1. Informar y asesorar a la entidad y a sus empleados de las obligaciones derivadas de la normativa en protección de datos.

2. Supervisar el cumplimento de la normativa aplicable en protección de datos.

3. Ofrecer el asesoramiento que se solicite.

4. Actuar como punto de contacto con la autoridad de control para cuestiones relativas al tratamiento.

Para ello se hará un examen exhaustivo de los tratamientos llevados a cabo, las medidas de seguridad aplicadas y los protocolos establecidos en esta materia. Se elaborará un informe, identificando deficiencias y proponiendo medidas para subsanarlas, incluyendo un Plan de Seguridad y Protección de Datos Personales.

El RGPD obliga a las Administraciones Públicas, a las empresas de videovigilancia, a las tecnológicas o de marketing que realicen perfiles y a los grandes hospitales y otras entidades que traten datos sensibles «a gran escala» a designar DPD.

La normativa española contempla un listado más específico, obligando a la designación de DPD en función de la actividad realizada por la entidad, sin importar el tamaño de la misma.

Listado de actividades obligadas a designar DPD, conforme a la LOPD-GDD:

    • Colegios profesionales.
    • Centros docentes de todos los niveles, desde escuelas infantiles hasta la universidad.
    • Empresas de telecomunicaciones y otros prestadores de servicios de la sociedad de la información (cuando elaboren a gran escala perfiles de los usuarios).
    • Entidades bancarias y compañías de seguros.
    • Compañías de energía, electricidad y gas.
    • Responsables de ficheros de morosos.
    • Responsables de los ficheros regulados por la ley de prevención del blanqueo de capitales(Ley 10/2010), que a su vez afecta a multitud de sectores diversos:
      • Entidades de crédito, compañías de seguros y empresas de servicios de inversión.
      • Instituciones de inversión colectiva, sociedades de inversión, fondos de pensiones, sociedades de capital-riesgo, sociedades de garantía recíproca.
      • Entidades de pago, dinero electrónico, cambio de moneda, servicios postales de giro o transferencia. Intermediarios en la concesión de préstamos o créditos.
      • Promotores inmobiliarios, APIs y agencias inmobiliarias.
      • Auditores de cuentas, contables externos y asesores fiscales.
      • Notarios y registradores.
      • Abogados, procuradores u otros profesionales (cuando actúen por cuenta de sus clientes en operaciones financieras, inmobiliarias, o cuando presten los servicios de constituir sociedades, ejercer la secretaría u otros servicios afines a una sociedad).
      • Casinos de juego.
      • Joyeros.
      • Galerías de arte y anticuarios.
      • Depósito, custodia o transporte de fondos o medios de pago.
      • Loterías y otros juegos de azar.
      • Fundaciones y asociaciones.
      • Gestores de sistemas de pago y tarjetas de crédito.
    • Agencias de publicidad (cuando elaboren perfiles de los usuarios).
    • Centros sanitarios de cualquier tamaño y especialidad (excepto consultas individuales).
    • Entidades que realicen informes comerciales de personas físicas.
    • Operadores de juego online.
    • Empresas de seguridad privada.
    • Federaciones deportivas (cuando traten datos de menores de edad).

No obstante, el hecho de que su actividad no aparezca en este listado, no significa que no deba nombrar DPD.

Para determinarlo con seguridad habría que estudiar los tratamientos de datos que realiza su entidad.