Entradas

Abogados asesoramiento protección de datos

28 de enero, Día Internacional de la Protección de Datos. Letradox® Abogados

Se trata de  una fecha proclamada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los EEMM de la UE. El principal objetivo es el de informar y concienciar sobre los derechos y obligaciones como usuarios de Internet.

Al respecto, el Consejo de Europa proclamó esta fecha, como Día Europeo de la Protección de Datos en una resolución de 26 de abril de 2006 . 

Asimismo, encontramos el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal («Convenio 108»). Se trata del único instrumento internacional jurídicamente vinculante en el ámbito de la protección de datos.

La pretensión  del Convenio no es otra que la de  proteger el derecho a la vida privada. Este mismo está reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. 

Así pues, tanto los derechos relativos a la vida privada como a la protección de datos también están consagrados en la ley.  Concretamente,  en los artículos 7 y 8 de la Carta de Derechos Fundamentales de la UE y en el artículo 16 del TFUE.

Dicho Convenio 108, establece y reconoce  la obligación que debe darse entre las partes. Esta no es otra que la  de incorporar en su ordenamiento jurídico interno las disposiciones necesarias para garantizar el respeto de sus datos personales. 

Además, fue una de las principales fuentes de inspiración para la elaboración del acervo de la Unión Europea  en el ámbito de la protección de datos. 

Por lo tanto, la firma de dicho  Convenio 108, se consideró como el impulso para que en el año 1981 se regulase lo relativo al tratamiento automatizado de datos personales. 

Esto se debe a que anteriormente, solo se había incluido el reconocimiento de determinados Derechos Humanos. Únicamente se recogía el derecho y reconocimiento del respeto a la vida privada y familiar. Por lo que, no se había considerado, hasta ahora, el derecho a la protección de datos personales. 

Además,  este día  28 de  enero, se celebra en multitud de países, no sólo a nivel europeo. No obstante, mundialmente  es más conocido como “Data  Privacity Day”.

Así pues, durante este día, se pretender concienciar a ciudadanos sobre la importancia del tratamiento de nuestros datos personales y la LOPD.

Se pretende que tanto personas físicas como jurídicas tomen en consideración de la importancia de su buen tratamiento. Así como, de las consecuencias de la cesión o mala práctica en el uso de los mismos. 

En lo que concierne a nivel nacional,  encontramos la  Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. 

En el mismo Preámbulo, se destaca la protección de las personas físicas en relación con el tratamiento de datos personales. Y es que, se trata  de un derecho fundamental protegido por el art 18.4 de la CE. 

De esta manera, nuestra Constitución fue pionera en el reconocimiento del derecho fundamental a la protección de datos personales. Dispuso en el precepto señalado ut supra, que:«la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. 

Por su parte, el Tribunal Constitucional ya señaló en su Sentencia 94/1998 de 4 de mayo que “nos encontramos ante un derecho fundamental a la protección de datos” que se reconoce a las personas. 

Igualmente, la Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e independiente. El cual  consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporciona. 

Lo que se pretende es la buena y correcta aplicación del Reglamento Europeo 2016/679 de 27 de abril de 2016 relativo a la protección de personas físicas en lo que respecta al tratamiento de datos personales. 

En definitiva, el avance tecnológico y las nuevas formas de comunicación hacen que el futuro de la protección de datos y la privacidad tengan más sentido que nunca. De tal modo, habrá que hacer frente a nuevos retos por lo que se necesitarán buenos profesionales en el sector. 

Desde Letradox® Abogados te garantizamos esfuerzo y trabajo para conseguir resultados satisfactorios.  

No dude en ponerse en contacto con nosotros. 

Contactar con cita previa 

Despacho en Madrid: 

Calle Jorge Juan nº141 Esc.Izd. 3ºA (junto a metro O´Donnell).

Despacho en Alcalá de Henares:

Calle Mayor nº26, 2ºB “Oficina Insula”.

Email: info@letradox.es

Teléfonos: 912980061 – 645958948

Foto publicada sin consentimiento ¿Cómo actuar?

Las novedades sobre la Protección de Datos ¡fácil de entender!

¿Por qué es importante la protección de datos?

– Diariamente estamos facilitando nuestros datos de carácter personal para realizar actividades cotidianas.

Y más aún, con las nuevas tecnologías los datos de carácter personal circulan por internet a una gran velocidad.

Como en compras online, reservas de viajes, transferencias bancarias…

– Hay quien dice incluso que los datos son el petróleo del siglo XXI.

– Estamos hablando de un gran mercado y es importante que exista una legislación que regule este mercado para garantizar la seguridad del mismo.

– Como usuarios necesitamos estar seguros que nuestros datos no van a ser usados para fines ilícitos o tratados de forma irregular.

– Como empresas o titulares de negocios necesitamos tratar los datos personales de forma adecuada.

No solo para evitar sanciones, también el desprestigio que supone para la empresa una mala gestión.

Como puede ser una fuga de datos.

¿Cómo adaptar mi empresa al Reglamento Europeo de Protección de Datos?

– Reglameto UE 2016/679 (RGPD)
– Cambia el modelo de gestión de la protección de datos
– Privacidad desde el diseño y por defecto
– No basta con cumplir la normativa, hay que poder demostrarlo, por lo que todo tiene que estar muy bien documentado.
– Importante contar con asesoramiento jurídico experto.
¿Qué sanciones hay en caso de incumplimiento?
Se prevén sanciones económicas de hasta 20 millones de euros o un 4% del volumen de facturación anual global de la empresa.

¿Qué es el DPO?
El Delegado de Protección de Datos es una nueva figura creada por el RGPD, obligatoria para determinadas empresas.

Pero muy recomendable para todas.

Se trata de una figura cuya principal función es coordinar y dirigir la política de protección de datos de una empresa o negocio. Y además servir de nexo de unión entre el responsable y la autoridad de control (AGPD).

Puede ser una persona de la propia empresa o contratarse a un profesional externo.

Pero,eso si, siempre será nombrado atendiendo a sus cualificaciones profesionales.

No es obligatorio que esté acreditado, sin embargo, siempre ofrecerá más garantías un DPO acreditado.
(No olvidemos que hay que acreditar el cumplimiento)

¿Cuáles son las novedades principales del Reglamento General de protección de datos?

Además de implantar el modelo de privacidad desde el diseño y por defecto y la figura del DPO.

El reglamento contiene otras importantes novedades.

– Forma de obtención del consentimiento
– Nuevos derechos para los interesados (derecho al olvido, portabilidad, limitación).
– Necesidad de notificar las violaciones de privacidad a la AGPD en un plazo de 90 días

¿Qué plazo tengo para adaptar mi empresa a lo dispuesto en la directiva?

El RGPD entró en vigor en 2016, pero él mismo retrasa su aplicación hasta el 25 de mayo de 2018.

Ese día la nueva normativa será plenamente aplicable y todas las empresas tienen que estar adaptadas a ella.

¿Qué servicios ofrece Letradox a las empresas en relación a protección de datos?
Sistema 360, acompañamos al cliente en todo el proceso.
– Implementación o adaptación (obtención del consentimiento, formación a los miembros de la empresa, Análisis de riesgos, Evaluaciones de Impacto, Registro de actividades de tratamiento…)
– Procedimientos ante la AGPD
– Procedimientos judiciales relacionados con esta materia

Puedes ver este vídeo relacionado:

 

¿Qué novedades incorpora el nuevo Reglamento General de Protección de Datos? ¿Qué tiene que hacer mi empresa para adaptarse al mismo?

A partir del 25 de mayo de 2018 será plenamente aplicable la nueva normativa europea sobre protección de datos de carácter personal.
Esta nueva legislación supone un gran cambio en todo el modelo de gestión de los datos de carácter personal a nivel europeo. Pero con implicaciones mundiales.

En este artículo vamos a repasar brevemente las principales novedades que incorpora el Reglamento General de Protección de Datos.

Y como éstas pueden afectar a nuestros negocios.

El 27 de abril de 2018 fue aprobado el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO.

Es relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Aunque fue aprobado en 2016, su artículo 99.2 determina que su aplicación se producirá a partir del 25 de mayo de 2018.

Este Reglamento es de aplicación directa en todo el territorio de la Unión.

Sin embargo, el mismo habilita a los Estado miembros a desarrollar sus propias leyes internas para desarrollar y precisar determinados aspectos del mismo.

En España, el Proyecto de Ley Orgánica de Protección de Datos se encuentra en fase de tramitación parlamentaria.

No obstante, el mismo tendrá que estar plenamente en vigor desde el momento en que sea aplicable el Reglamento General de Protección de Datos.

Cabe destacar que esta nueva normativa supone un cambio de un modelo más formalista en cuanto a las acciones a realizar por las empresas (registro de ficheros, elaboración de documento de seguridad…).

Pasa a un sistema de Responsabilidad Activa, en el que es el propio responsable quien tiene que acreditar que el tratamiento de los datos de carácter personal que está llevando a cabo es acorde con la normativa vigente.

No podemos olvidar que una de las principales novedades del Reglamento es el incremento de la cuantía de las sanciones económicas. Sobre todo en caso de incumplimiento de sus disposiciones.

Así, una empresa puede llegar a ser multada con hasta 20 millones de euros o hasta el 4% del volumen de su facturación anual.

Además, en esta era de la comunicación en la cual nos encontramos.

Con unos consumidores cada día más formados en el uso de las herramientas digitales y su implementación para realizar acciones de la vida cotidiana.

Tales como: consultar su banco online o contratar unas vacaciones.

Un error en la gestión de los datos de carácter personal imputable a una compañía puede suponer perjuicios irreparables a nivel reputacional. Pues nadie quiere tratar con una empresa que no garantice una adecuada protección de los datos personales de sus usuarios.

Por todo ello, hemos de tener muy presente la necesidad de adaptar nuestro negocio a la normativa sobre protección de datos antes de que sea demasiado tarde.

A grandes rasgos, el RGPD incorpora las siguientes novedades:

El consentimiento

Se trata de uno de los supuestos que legitiman el tratamiento de los datos por parte del responsable.
El RGPD destaca que el mismo tiene “darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen” (Considerando 32)

No será válido, por tanto, el consentimiento obtenido por omisión o inactividad.

Tratamientos de datos de menores

El RGPD fija la edad para el consentimiento de los menores en relación a sus datos de carácter personal a los 16 años. Para menores de esta edad será necesario el consentimiento de sus padres o tutores.

Sin embargo, el RGPD permite que los Estados miembros fijen una edad inferior siempre que no sea por debajo de los 13 años. Precisamente el Proyecto de la LOPD en tramitación fija en 13 años de edad la edad mínima para que un menor pueda prestar su consentimiento en esta materia.

Nuevos Derechos de los interesados

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 contenía los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).

La nueva normativa incorpora otros derechos como:

El Derecho a la Portabilidad, el Derecho al Olvido, o el Derecho a la limitación del tratamiento.

Este Derecho a la Portabilidad se refiere a la posibilidad de obtener del responsable una copia de los datos de carácter personal que le hayamos facilitado anteriormente en un formato “estructurado, de uso común y lectura mecánica”, para poder transmitirlo a otro responsable.

El Derecho al Olvido es la concreción de los tradicionales derechos de rectificación y oposición aplicados al entorno online.

Siguiendo con la interpretación que el Tribunal de Justicia de la Unión Europea realizó de esta cuestión en su importante sentencia de 13 de mayo de 2014.

El derecho al olvido supone la posibilidad de ejercitar estos derechos frente a los buscadores.

Sin necesidad de dirigirse contra el alojador del contenido.

La limitación del tratamiento consiste en la posibilidad de solicitar al responsable del tratamiento una limitación en el uso de los datos en determinadas circunstancias.

Como son: inexactitud de los datos, ilicitud del tratamiento, que los datos ya no sean necesarios para los fines que se recogieron pero sí para la gestión de reclamaciones o que el interesado se haya opuesto al tratamiento.

Durante el tiempo que tarde el responsable en verificar que esa oposición cumple todos los requisitos.

Análisis de riesgo

Se trata de un elemento fundamental de la nueva regulación.

Es necesario determinar el riesgo que las actividades llevadas a cabo por el responsable pueden suponer para los derechos y libertades de los titulares de los datos.

Para ello se hace imprescindible el análisis exhaustivo de estas actividades.

El mismo debe quedar plasmado a través de documentos que permitan al responsable demostrar que efectivamente se ha llevado a cabo este análisis con el fin de determinar qué medidas se deben aplicar para evitar y paliar esos riesgos y cómo han de aplicarse.

Registro de actividades de tratamiento

Todos los responsables y encargados del tratamiento de datos de carácter personal deben llevar un registro de las actividades que realizan con esos datos.

El registro debe reflejar, entre otras cuestiones:

Nombre y datos de contacto del responsable,

Encargado, así como sus representantes y el Delegado de Protección de Datos;

Categorías de tratamientos efectuadas por cada responsable;

Transferencias internacionales de datos;

Medidas de seguridad activa aplicadas al tratamiento…

Evaluación de impacto sobre la protección de datos (EIPD)

Cuando el responsable pretenda llevar a cabo tratamientos que conlleven un alto riesgo para los derechos y libertades de los interesados.

Debería realizar una Evaluación de Impacto sobre la protección de datos.

La EIPD es un instrumento para determinar qué riesgos supone el nuevo tratamiento para los titulares de los datos antes de que el mismo llegue a materializarse.

Debiendo implementarse las medidas oportunas para evitarlo.

Notificación de violaciones de seguridad de los datos.

El Reglamento exige la notificación a la Agencia Española de Protección de Datos (o entidad de control competente en cada caso) de las violaciones de seguridad de los datos que se hayan producido.

Esta comunicación tendrá que producirse antes de transcurridas 72 horas desde que el responsable tenga conocimiento de la misma.

Se exceptúan de esta obligación aquellos casos en que se considere improbable que dicha violación de la seguridad pueda afectar a los titulares de los datos.

Cualquier violación de la seguridad tiene que estar documentada.

Delegado de Protección de Datos

Es una nueva figura creada por el Reglamento General de Protección de Datos que será obligatoria para los siguientes casos:

– Autoridades u organismos públicos.

– Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática a gran escala.

– Responsables o encargados que tengan entre sus actividades principales el tratamiento de datos personales de categorías especiales de datos (datos sensibles).

Además, el Proyecto de Ley Orgánica de Protección de Datos, actualmente en tramitación, amplía los supuestos obligatorios a otros.

Como: colegios profesionales, centros docentes de enseñanza reglada.

También entidades que exploten redes y presten servicios de comunicaciones electrónicas.

O incluso prestadores de servicios de la sociedad de la información, establecimientos financieros de crédito.

Entidades aseguradoras y reaseguradoras, entidades que desarrollen actividades de publicidad y prospección comercial…

Transferencias internacionales

En esencia sigue el mismo régimen que la normativa anterior.

Aunque incorpora algunas novedades como las siguientes:

Se amplían los elementos para ofrecer garantías de la seguridad de la trasferencia.

Como son las Normas Corporativas Vinculantes, los Códigos de Conducta o los Esquemas de Certificación.

En estos casos no se hará necesaria la autorización por parte de la autoridad de control.

También se añade la posibilidad de que el responsable pueda transferir datos a terceros países.

Sobre todo que no presenten un nivel adecuado de protección. Si esa transferencia es necesaria para servir a intereses legítimos imperiosos del responsable del tratamiento.

Si no prevalecen sobre ellos los intereses o los derechos y libertades del interesado. Y si el responsable ha evaluado todas las circunstancias concurrentes en la transferencia de datos.

Por todo lo dicho, podemos concluir que es necesario adaptarse lo antes posible a esta nueva regulación.

Y hacerlo asesorado por abogados expertos en la materia que puedan guiarnos en las fases de la aplicación.

Estableciendo un plan de trabajo y asegurándose que cada gestión realizada es acorde a derecho.

Solo de este modo podremos evitar:

Tanto la imposición de sanciones por parte de la Agencia Española de Protección de Datos.

Como el desprestigio que puede producir una gestión inadecuada de los datos de carácter personal.

Te estamos esperando para ayudarte a la nueva normativa de protección de datos.

Llámanos a los tlf. 645958948 / 912980061 / info@letradox.es

 

Confesiones religiosas

La adaptación al Reglamento de Protección de Datos

La adaptación al Reglamento de Protección de Datos 

PROTECCIÓN DE DATOS
Una rama fundamental en LETRADOX ABOGADOS

En LETRADOX ABOGADOS aunamos innovación y vanguardia. La innovación está en el ADN de Letradox. Estamos en constante actualización y cambio, estudiando las tendencias y adelantándonos a lo que está por venir.

Un ejemplo de ello y de un sector en el que desde el despacho apostamos fuerte es sin duda el de PROTECCIÓN DE DATOS.

Hoy queremos también hacer una presentación específica de este sector de la mano de Marián Rojo, abogada de Letradox Abogados, experta en protección de datos.

En nuestro vídeo podréis ver concretamente la respuesta a las preguntas más frecuentes en este sector.

Será el primero de muchos vídeos específicos orientados exclusivamente a esta rama del Derecho.

Desde Letradox consideramos que la protección de datos es cosustancial a la sociedad moderna.

Por que la recogida y tratamiento de datos, sobre todo a gran escala, es uno de los desafíos a los que se enfrenta nuestra sociedad. Además la protección jurídica de todo ello y todas las cuestiones jurídicas que entrañan es uno de los retos del legislador. Quien, viendo la necesidad de la regulación ya desde 1999 con la Ley Orgánica de Protección de Datos introdujo los conceptos que sentaron las bases.

En mayo de 2018 una importante regulación entrará en vigor; la directiva de la UE sobre protección de datos será ya una realidad y muchas empresas y organismos aún no se han adecuado a las nuevas exigencias.

También en este vídeo queremos transmitir un mensaje claro a todas las empresas que aún no han hecho los deberes en protección de datos y no saben cómo empezar.

Queremos además transmitirles un mensaje de tranquilidad, porque desde el despacho podemos resolver las dudas y ayudar a su empresa en la adaptación a la normativa de protección de datos.

En este vídeo repasamos el por qué es importante la protección de datos, cuales son los principales retos de las empresas con la nueva directiva, qué servicios ofrece Letradox Abogados y muchas otras cuestiones muy interesantes a fin de que conozca qué no está haciendo bien y cómo remediarlo.
¿Por qué es importante la protección de datos?
¿Cómo adaptar mi empresa a la directiva de protección de datos?
¿Qué sanciones hay en caso de incumplimiento?
¿Qué es el DPO?
¿Cuáles son las novedades principales de la directiva en protección de datos?
¿Qué plazo tengo para adaptar mi empresa a lo dispuesto en la directiva?
¿Tiene Letradox experiencia en protección de datos?
¿Qué servicios ofrece Letradox a las empresas en relación a protección de datos?

Resolvemos también las dudas:

Hoy, en LETRADOX ABOGADOS , hablamos de protección de datos con Marián Rojo y Mercedes de Parada, dale al play:

 

(link vídeo).

LETRADOX ABOGADOS
Marián Rojo y Mercedes de Parada
Abogadas
C/ Jorge Juan nº141, 3ºA. Madrid
Tlfs. 912980061/645958948
Fax: 912980061
info@letradox.es

Análisis de los riesgos en Protección de Datos por LETRADOX ABOGADOS

ANÁLISIS DE RIESGOS EN LOS TRATAMIENTOS
DE DATOS PERSONALES
SUJETOS AL RGPD

LETRADOX ABOGADOS
Despacho de abogados en Alcalá de Henares
Bufete en Madrid
Tlf. (+34) 645958948
Tlf: 912980061
info@letradox.es
www.letradox.com

En LETRADOX ABOGADOS , abogados expertos en Protección de Datos. Basándonos en el documento de la Agencia Española de Protección de Datos.

Por ello hemos confeccionado este resumen sobre los riesgos en los tratamientos de datos personales sujetos al RGPD. Como continuación de nuestros artículos sobre el nuevo Reglamento.

¿A qué riesgos está sometida tu empresa en el tratamiento de datos personales? ¿Cómo intentar neutralizar esos riesgos y cumplir con la normativa?

Hoy, en Letradox, todas las respuestas.

El 25 de mayo de 2018 entro en vigor el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales (RGPD).

CONSIDERACIONES GENERALES

Llamamos Gestión de riesgos al conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza. A través de una secuencia de actividades que incluyen la identificación y evaluación del riesgo.

Así como las medidas para su reducción o mitigación.
Se puede dividir en tres etapas:

Identificación, evaluación y tratamiento de los riesgos.

Un riesgo lo podemos definir como la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas. La evaluación de riesgos consiste en valorar el impacto de la exposición a la amenaza.

También junto a la probabilidad de que esta se materialice.

El impacto se determina en base a los daños que se pueden producir si la amenaza se materializa.

Además el objetivo de tratar los riesgos es disminuir su nivel de exposición con medidas de control que permitan reducir la probabilidad o impacto de que estos se materialicen.

El RGPD centra su atención en las amenazas sobre los derechos y libertades de los interesados.  Además trata de ver como es una actividad de tratamiento, por sus características.

También el tipo de datos a los que se refiere o el tipo de operaciones que puede causar un daño a los interesados.

PROTECCION DE DATOS DESDE EL DISEÑO Y LA GESTION DE RIESGOS

La exposición a los riesgos con impacto en la protección de datos se produce desde el inicio o puesta en marcha de los tratamientos. Además evolucionando en función de las variaciones del contexto y de factores o elementos que intervienen en las mismas.

El RGPD introduce los conceptos de protección de datos desde el diseño y por defecto, para garantizar los derechos y libertades de los interesados desde una actividad de tratamiento.

El responsable del tratamiento que utilice datos personales debe aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo:

– pseudonimización, cifrado de datos personales
– Confidencialidad, integridad, disponibilidad, resiliencia permanente de sistemas de tratamiento
– Proceso de verificación, evaluación y valoración regulares de la eficacia.

A la hora de definir una actividad de tratamiento hay que saber cuales son las finalidades del tratamiento de datos personales. Corresponde a cada organización decidir el nivel de agregación o segregación para elaborar el registro de actividades de tratamiento.

Como, ponderar la optimizaron de la gestión de la protección de datos para que resulte útil, ágil, efectiva y permita alcanzar los objetivos que la legislación busca.

También puede resultar útil al responsable y al encargado del tratamiento a la hora de elaborar el registro de actividades de tratamiento volver.

Los ficheros que la organización hubiera descrito con anterioridad.

Por ello, la AEPD ha incluido la posibilidad de obtener una copia en electrónico del contenido completo de la declaración de sus ficheros incorporadas al registro de tratamientos de la entidad las actividades que realiza sobre los datos personales de las personas deberá fijarse en las nuevas obligaciones que el RGPD describe sobre el responsable de tratamiento y el encargado de tratamiento.

Art. 5 RGPD, establece los principios relativos al tratamiento de datos personales:

– licitud, lealtad y transparencia
– Limitación de la finalidad
– Minimizaron de datos
– Exactitud
– Limitación del plazo de conservación
– Integridad y confidencialidad

Para determinar si un tratamiento entraña escaso riesgo.

AEPD ha puesto a disposición de los responsables de tratamiento de datos personales la herramienta Facilita_RGPD, destinada a las personas y empresas.

Para las personas y entidades que no cubran sus necesidades on la herramienta se debe evaluar si las actividades entrañan un alto riesgo para los derechos y libertades del interesado.

Una EIPD no se requiere siempre para ello hay que realizar un análisis previo para determinar de forma preliminar el nivel de riesgo al que puede estar expuesto el tratamiento y tomar la decisión adecuada en base a ello.

Para determinar si es necesario o no una EIPD se puede seguir una breve metodología constituida por dos fases:

La primera, análisis de las listas de tratamientos previstos en la regulación (art 35.3, 35.4 y 35.5).

Posteriormente, análisis de la naturaleza, alcance, contesto y fines de tratamiento (art.35.1).

Con caracter general hay que realizar una IPD cuando un tratamiento puede suponer un alto riesgo para los derechos y las libertades de las personas físicas.

Sobre todo si se utilizan nuevas tecnologías y teniendo en cuenta la naturaleza, alcance, contexto o finalidades del tratamiento.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Puede identificase como el conjunto de operaciones dirigidas a conseguir una determinada finalidad que se legitiman en una misma base jurídica.

Cada tratamiento incluirá una serie de operaciones. Se deben incluir en el registro de actividades en el momento previo antes de su puesta en marcha.

La identificación y descripción de las acts de tratamiento es una obligación y necesidad en las fases iniciales para facilitar el análisis de riesgos.

Posteriormente cada responsable deberá valorar el grado de segregación o agregación al que somete sus tratamientos.

Es fundamental que el registro de acts este permanentemente actualizado y en un formato claro y legible que facilite su comprensión por parte de terceros.

El registro de actos de tratamiento debe incluir toda la información que recoge el articulo 30 RGPD.

ANALISIS BASICOS DE RIESGOS

El análisis básico de riesgos es un análisis de mínimos que tiene como objetivo simplificar el proceso de análisis de riesgos en aquellas actividades de tratamiento con baja exposición al riesgo.

Se deben describir adecuadamente las actividades de tratamiento proceso que facilitara la documentación del registro de actividades de tratamiento.

La descripción de los tratamientos sujetos al análisis de riesgos permite obtener un conocimiento del ciclo de vida de los datos, de las actividades realizadas y de cualquier elemento que interviene en las mismas.

Las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares.

También simplifica el análisis y permite establecer medidas de seguridad por defecto. El ciclo de vida de los datos se puede dividir en etapas:

– captura de datos
– clasificación, almacenamiento
– Uso, tratamiento
– Cesión o transferencia de los datos a un terceros para su tratamiento
– Destrucción

Los elementos involucrados en cada una de las etapas del ciclo de vida de los datos en las actividades de tratamiento se pueden clasificar en:

– Actividades de tratamiento sobre los datos de carácter personal
– Datos
– Intervinieres
– Tecnología

Las actividades de tratamiento donde se puede aplicar el enfoque de gestión de riesgos por defecto.

Además considerando que han sido analizadas previamente mediante el análisis de la necesidad de realizar una EIPD se situaran siempre en un nivel de riesgo no elevado.

Los principales riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas se diferencian en:

Riesgos asociados a la protección de la información.

Y también riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

El proceso de gestión de riesgos se estructura en tres fases:

Identificación, evaluación y tratamiento.

Para ayudaros en esta compleja cuestión sobre riesgos en el tratamiento de los datos personales, estamos a vuestra disposición en LETRADOX ABOGADOS.

También nos podéis escribir a info@letradox.es

Y además llamarnos a los tlf 912980061 / 645958948

además pedir cita para atenderos y resolver vuestras cuestiones sobre Protección de datos.

Esperamos que este artículo os haya sido de utilidad.

Atte
Mercedes de Parada y Marián Rojo
Abogadas

LETRADOX ABOGADOS
www.letradox.com