Estás usando una versión desactualizada de este navegador (). Es probable que este sitio web no se muestre de forma adecuada o presente errores en su funcionamiento. Por favor, actualiza este navegador desde el sitio oficial del desarrollador. Haz click sobre este anuncio para cerrarlo. | You are using an outdated version of this browser. It is likely that this website will not display properly or could have errors. Please update this browser from the official developer site. Click on this ad to close it.

Este sitio web utiliza cookies propias y de terceros con fines estadísticos y para mejorar la experiencia del usuario. Más información

PRIVACY DATA – NUESTROS SERVICIOS

Adaptación RGPD / LOPDGDD

Nuestros servicios consisten en adaptar su empresa a la legislación europea y española en protección de datos de carácter personal (RGPD y LOPDGDD) mediante la realización y desarrollo de las siguientes acciones.

Redacción del Registro de las Actividades del Tratamiento (RAT)

Dando cumplimiento al artículo 30 del Reglamento 2.016/679 y al artículo 31 de la Ley Orgánica 3/2.018 se procede a identificar todos los tratamientos de datos personales con la finalidad de recogerlos en este Registro.

Dicho registro deberá contener la siguiente información:

  • el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
  • los fines del tratamiento;
  • una descripción de las categorías de interesados y de las categorías de datos personales;
  • las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
  • en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo2, la documentación de garantías adecuadas;
  • cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  • cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad

 

Evaluación del Impacto para la Protección de Datos (EIPD)

La Evaluación de Impacto se debe realizar antes de realizar cualquier tratamiento capaz de generar alto riesgo para los derechos y las libertades de los individuos.

Los escenarios en que debe valorarse hacer una Evaluación de Impacto es en aquellos tratamientos que impliquen una “evaluación sistemática y exhaustiva de aspectos personales de personas físicas”,  en “tratamientos a gran escala de datos sensibles” y cuando se realice una “observación sistemática a gran escala de una zona de acceso público”.

La AEPD ha publicado un listado con los tratamientos que requieren realizar una EIPD y un listado para los tratamientos que no lo requieren.

 

Análisis de Riesgos

El RGPD condiciona la adopción de las medidas de responsabilidad activa al riesgo que los tratamientos puedan suponer para los derechos y libertades de los interesados y estas medidas deberán modularse en función del nivel y del tipo de riesgo que el tratamiento conlleve.

Con el RGPD no existen medidas de seguridad obligatorias, le corresponde a cada responsable adoptar las medidas suficientes para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales a tratar, es decir realizar un buen análisis de riesgos.

Todos los Responsables por tanto deberán realizar una Valoración del Riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo.

En primer lugar se realizará una descripción de los tratamientos sujetos al análisis de riesgos  para obtener un conocimiento detallado del ciclo de vida de los datos, de las actividades realizadas y de cualquier elemento que interviene en las mismas.

En segundo lugar se realizará una Gestión de los riesgos que son aquellas actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación.

Descripción de las Medidas de Seguridad

Llevadas a cabo las tres acciones descritas con anterioridad llega el momento de determinar las medidas a adoptar para garantizar la integridad, disponibilidad y confidencialidad de los datos de carácter personales tratados dentro de la organización.

Las medidas de seguridad deberán ser proporcionales y adecuadas al riesgo detectado y deben ser tanto técnicas como organizativas.

Medidas Organizativas: Se debe informar a todo el personal con acceso a datos personales acerca de sus obligaciones con relación a los tratamientos de datos personales. Todo el personal de la organización debe conocer una información mínima sobre protección del puesto de trabajo, confidencialidad y secreto, derechos de los titulares de los datos, notificación de violaciones de seguridad de los datos…etc.

Medidas técnicas: Política de control de accesos, Usuarios y contraseñas, copias de seguridad, cifrado de datos, actualización periódica de dispositivos y ordenadores…etc.

Redacción de las Cláusulas de Consentimiento Informado

Por aplicación de los artículos 7 y 13 del Reglamento 2.016/679 cuando se procede a la recogida de datos de carácter personal debe informarse al interesado sobre una serie de circunstancia a cerca del alcance del tratamiento de datos personales que va a realizarse. Entre otros:

  • Se identificará al Responsable del tratamiento con indicación de sus datos de contacto así como los datos de contacto del Delegado de Protección de Datos (si existe).
  • Se fijarán las finalidades del tratamiento de datos personales así como los plazos de conservación previstos;
  • Se determina la legitimidad y base legal para el tratamiento de los datos, las consecuencias de no facilitar todos los datos solicitados y se identificará a los destinatarios de los datos;
  • Se informará a los interesados a cerca de los derechos que le asisten, acceso, rectificación, cancelación, portabilidad o limitación del tratamiento con indicación expresa de la existencia de una Autoridad Independiente de Control a quien puede acudir si considera que la respuesta a sus derechos no ha sido la adecuada.

 

Redacción del contrato de prestación de servicios o acceso a datos por cuenta de terceros

Toda organización cuenta con determinados prestadores de servicios profesionales cuyo servicio hace necesario conocer los datos de carácter personal tratados por aquella. Esto supone un acceso a estos datos que debe ser articulado a través de un contrato de acceso por cuenta de terceros redactado en los términos del artículo 28 del Reglamento 2.016/679 y el artículo 33 de la Ley Orgánica 3/2.018 donde se fijan las condiciones de ese acceso así como se determinan las finalidades para las cuales el Encargado del tratamiento accede a esos datos personales.

 

Redacción del contrato de prestación de servicios que no implican acceso a datos personales

Determinados contratos como limpieza, mantenimiento de locales suponen que el prestador del servicio o proveedor tenga acceso a los locales de la organización. Con el objeto de evitar que se tenga conocimiento de los datos de carácter personal puedan ser conocidos por estos proveedores es preciso la firma de estos contratos para asegurarse un nivel adecuado de confidencialidad.

 

Redacción de Formularios para el Ejercicio de Derechos

  • Derecho de acceso: El derecho de acceso es el derecho a dirigirse al responsable del tratamiento para conocer si está tratando o no datos de carácter personal y, en el caso de que se esté realizando dicho tratamiento obtener información sobre los mismos.
  • Derecho de rectificación: El ejercicio de este derecho supone que se puede obtener la rectificación de los datos personales que sean inexactos sin dilación indebida del responsable del tratamiento.
  • Derecho de oposición: Este derecho permite la oposición a que el responsable realice el tratamiento de los datos personales en determinados supuestos.
  • Derecho de supresión («al olvido»): Se puede ejercitar este derecho ante el responsable solicitando la supresión de los datos de carácter personal cuando concurran determinadas circunstancias.
  • Derecho a la limitación del tratamiento: Este nuevo derecho consiste en obtener la limitación del tratamiento de los datos que realiza el responsable, si bien su ejercicio presenta dos vertientes, pudiendo solicitar la suspensión del tratamiento de tus datos en determinados supuestos o solicitar al responsable la conservación tus datos en otros casos.
  • Derecho a la portabilidad: La finalidad de este nuevo derecho es reforzar aún más el control de los datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, se reciban los datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y se puedan transmitir a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato.
  • Derecho a no ser objeto de decisiones individuales automatizadas: Este derecho pretende garantizar que no se pueda ser objeto de una decisión basada únicamente en el tratamiento de los datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre el titular de los datos o afecte significativamente de forma similar.

 

Actualización y Mantenimiento

Dentro de este servicio se incluyen:

  • Revisión y actualización de la adaptación a petición del cliente cuantas veces sea necesarias por cambios en la organización.
  • Firma de contratos con terceros que traten datos de la entidad y firma de contratos cuando la empresa sea encargado de tratamiento de sus clientes.
  • Concienciación y formación del personal.
  • Soporte legal en la materia (consultas, informes…)
  • Asesoría jurídica para hacer frente a reclamaciones o denuncias ante la AEPD en vía administrativa.