Instrucciones Agencia Española Protección de Datos

Recientemente, la Agencia Española de Protección de Datos ha publicado una pequeña guía dirigida a las administraciones públicas, sobre cómo organizar la adaptación al Reglamento General de Protección de Datos (en adelante, RGPD), con la idea de facilitar la referida tarea.

Me parece interesante el documento no sólo para las administraciones públicas, sino para todos los responsables y encargados de tratamiento, puesto que también les sirve de orientación en buena medida.

El texto se puede leer aquí:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/Adaptacion_RGPD_AAPP.pdf

Estas son las instrucciones que se proporcionan:

1ª. Designar al DELEGADO DE PROTECCIÓN DE DATOS en los casos que sea obligatorio según el RGPD.

2ª. Confeccionar el REGISTRO DE ACTIVIDADES DE TRATAMIENTO y poner especial atención en los tratamiento de datos especiales (sensibles) y de menores de edad.

3ª. Establecer las bases jurídicas de cada tratamiento (contratos de prestación de servicios, imperativo legal, consentimiento expreso, etc…).

4ª. Hacer un ANÁLISIS DE RIESGOS y teniendo en cuenta el mismo, determinar qué medidas de seguridad se aplicarán para proteger los datos.

5ª. Establecer procesos de VERIFICACIÓN DE LAS MEDIDAS DE SEGURIDAD.

6ª. En el caso de tratamientos de alto riesgo, se deberá llevar a cabo una EVALUACIÓN DE IMPACTO.

7ª. Adaptar las CLÁUSULAS INFORMATIVAS para que se ajusten a las previsiones del RGPD.

8ª. Establecer MEDIOS ELECTRÓNICOS para el ejercicio de los DERECHOS ARCO o derechos de los ciudadanos.

9ª. Revisar los CONSENTIMIENTOS de los interesados, puesto que ahora deben ser EXPRESOS; y dar la posibilidad de revocarlos.

10ª. Adaptar al RGPD los contratos de ENCARGADOS DE TRATAMIENTO y analizar si los mismos cumplen las obligaciones del RGPD.

11ª. Crear y aplicar POLÍTICAS DE PROTECCIÓN DE DATOS y poder demostrarlo.

12ª. Llevar a cabo un plan de FORMACIÓN para los trabajadores en materia de protección de datos.

La mayor parte de estas medidas son perfectamente aplicables a empresas, autónomos y otras entidades que traten datos y que procedan a adaptarse al RGPD, por tanto también pueden tenerlas en cuenta, con las debidas matizaciones.

 

 

Derechos ARCO en el RGPD

Derechos ARCO

Hace unos días, publicaba la Agencia Española de Protección de Datos en su web una reseña sobre los derechos de los ciudadanos en materia de protección de datos, haciendo énfasis y recordando que el Reglamento General de Protección de Datos europeo refuerza dichos derechos, lo que inevitablemente ha de ser tenido en cuenta por los responsables de fichero en su actividad diaria.

Estos son los puntos que se destacan:

1º. Además de los ya conocidos derechos ARCO (acceso, rectificación, cancelación y oposición), el Reglamento añade los derechos de portabilidad, supresión y limitación.

2º. Una vez más se recuerda que el Reglamento cambia el modo en que las organizaciones gestionan la protección de datos, siendo ahora necesaria la adopción de medidas conscientes, diligentes y proactivas.

3º. La Agencia Española de Protección de Datos pone de manifiesto que ha publicado una infografía específica sobre estos derechos, que se puede leer en el siguiente enlace:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/RGPD_Derechos_ciudadanos_AEPD.pdf

4º. El derecho de portabilidad consiste en la posibilidad de alguien que haya proporcionado sus datos a un proveedor de servicios, pueda pedir la recuperación y traslado de esos datos a otra plataforma cuando sea técnicamente posible.

5º. El derecho de supresión vendría a sustituir al actual derecho de cancelación.

6º. El citado Reglamento refuerza no sólo los derechos ejercitables antes empresas de la Unión Europea, sino también ante las ubicadas fuera de la Unión.

7º. La forma de ejercitar estos derechos será, primero, dirigir una petición a la entidad que trate los datos (la AEPD cuenta en su web con formularios para ello). Y si dicha entidad no contesta o la respuesta no se considera satisfactoria, el ciudadano ya sí podrá acudir a la AEPD y formular reclamación.

8º. Por último, la AEPD recuerda que ha lanzado un espacio web con consejos sobre cómo evitar la publicidad no deseada y otro para ayudar a reclamar sus derechos en materia de telecomunicaciones. Se pueden consultar aquí:

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/Publicidad_no_deseada/index-ides-idphp.php

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/reclamaciones_telecomunicaciones/index-ides-idphp.php

También se deja de manifiesto la existencia de un sistema voluntario de mediación al que se han adherido las principales empresas de telecomunicaciones, con el objetivo de resolver de forma ágil las reclamaciones sobre protección de datos.

Requisitos contratación encargados tratamiento

Como sabemos y según lo define el artículo 4.8) RGPD, el encargado de tratamiento es:

 

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

 

Ejemplos: el asesor fiscal que lleva la contabilidad e impuestos de una empresa y tiene que acceder a los datos personales que hay en sus facturas; o el asesor laboral que lleva las nóminas de una empresa y tiene que acceder a los datos de los trabajadores.

 

Pues bien, en aplicación de esta normativa, no se puede contratar a cualquier encargado de tratamiento, porque el artículo 28.1 del RGPD deja muy claro que el responsable de tratamiento que contrate a un encargado de tratamiento está obligado a elegir únicamente a aquellos que garanticen de suficientemente la aplicación de medidas técnicas y organizativas apropiadas, de forma que el tratamiento se ajuste al RGPD y garantice la protección de los derechos del interesado.

 

Sin embargo, nada explica el RGPD sobre cómo se pueden obtener esas garantías, más allá de la posibilidad (voluntaria, ojo) de que el encargado de tratamiento esté adherido a un código de conducta o tenga una certificación.

 

En mi opinión, fuera de estos casos, al menos habría que demostrar que se ha requerido (y que el encargado ha aportado) los siguientes documentos:

 

– Su catálogo de medidas de seguridad.

 

– Su registro de actividades de tratamiento, cuando proceda.

 

– Los datos de contacto de su Delegado de Protección de Datos y la comunicación oficial de nombramiento cuando proceda (que podrá comprobarse en el correspondiente registro de la Agencia Española de Protección de Datos).

 

¿Y se le podría pedir incluso el análisis de riesgos y/o evaluación de impacto? En principio sí. Cuestión distinta es que el encargado de tratamiento lo considere un documento más o menos confidencial.