Instrucciones Agencia Española Protección de Datos

Recientemente, la Agencia Española de Protección de Datos ha publicado una pequeña guía dirigida a las administraciones públicas, sobre cómo organizar la adaptación al Reglamento General de Protección de Datos (en adelante, RGPD), con la idea de facilitar la referida tarea.

Me parece interesante el documento no sólo para las administraciones públicas, sino para todos los responsables y encargados de tratamiento, puesto que también les sirve de orientación en buena medida.

El texto se puede leer aquí:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/Adaptacion_RGPD_AAPP.pdf

Estas son las instrucciones que se proporcionan:

1ª. Designar al DELEGADO DE PROTECCIÓN DE DATOS en los casos que sea obligatorio según el RGPD.

2ª. Confeccionar el REGISTRO DE ACTIVIDADES DE TRATAMIENTO y poner especial atención en los tratamiento de datos especiales (sensibles) y de menores de edad.

3ª. Establecer las bases jurídicas de cada tratamiento (contratos de prestación de servicios, imperativo legal, consentimiento expreso, etc…).

4ª. Hacer un ANÁLISIS DE RIESGOS y teniendo en cuenta el mismo, determinar qué medidas de seguridad se aplicarán para proteger los datos.

5ª. Establecer procesos de VERIFICACIÓN DE LAS MEDIDAS DE SEGURIDAD.

6ª. En el caso de tratamientos de alto riesgo, se deberá llevar a cabo una EVALUACIÓN DE IMPACTO.

7ª. Adaptar las CLÁUSULAS INFORMATIVAS para que se ajusten a las previsiones del RGPD.

8ª. Establecer MEDIOS ELECTRÓNICOS para el ejercicio de los DERECHOS ARCO o derechos de los ciudadanos.

9ª. Revisar los CONSENTIMIENTOS de los interesados, puesto que ahora deben ser EXPRESOS; y dar la posibilidad de revocarlos.

10ª. Adaptar al RGPD los contratos de ENCARGADOS DE TRATAMIENTO y analizar si los mismos cumplen las obligaciones del RGPD.

11ª. Crear y aplicar POLÍTICAS DE PROTECCIÓN DE DATOS y poder demostrarlo.

12ª. Llevar a cabo un plan de FORMACIÓN para los trabajadores en materia de protección de datos.

La mayor parte de estas medidas son perfectamente aplicables a empresas, autónomos y otras entidades que traten datos y que procedan a adaptarse al RGPD, por tanto también pueden tenerlas en cuenta, con las debidas matizaciones.