Adecuación al Reglamento Europeo Reglamento Europeo 2016/679 (RGPD) y la ley orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales (LOPDGDD)
Para llevar a cabo una adecuación a la normativa de protección de datos las empresas, autónomos o cualquier entidad que trate datos de carácter personal tanto privada como publica para que los tratamientos sean conformes al RGPD. Se deberían realizar las siguientes actuaciones:
- Adecuar los formularios de recogida de datos personales para informar a los interesados sobre el tratamiento de datos que se realice adecuándolos así al artículo 13 del RGPD.
- Elaborar el registro de actividades de tratamiento. Los responsables y encargados del tratamiento de datos personales deberán mantener un registro de las actividades de tratamiento:
Este registro deberá contener:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos; b) las finalidades del tratamiento; c) una descripción de las categorías de interesados y de las categorías de datos
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales; e) las transferencias de datos personales a un tercer país o una organización internacional f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos; g) una descripción general de las medidas técnicas y organizativas de seguridad.
- Efectuar un análisis de riesgos. Los responsables y encargados del tratamiento deben llevar a cabo una valoración del riesgo de sus tratamientos realicen, con el fin de determinar qué medidas aplicar y cómo hacerlo. Este análisis del riesgo variará en función de:
a) Los tipos de tratamiento.
b) La naturaleza de los datos.
c) El número de interesados afectados.
d) La cantidad y variedad de tratamientos que realice una misma organización.
- Implantar las medidas de seguridad en función del análisis de riesgos realizado y apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
- Establecer procedimientos de gestión de quiebras de seguridad.
- Evaluación de impacto: En algunos tipos de tratamiento se deberá de realizar una EVALUACIÓN DE IMPACTO en la Protección de los Datos Personales (EIPD) que determine los riesgos específicos que supone tratar ciertos datos y, tras ese análisis, afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.
- Adaptar los procedimientos para atender a los derechos de acceso, rectificación, supresión, limitación, portabilidad, retirada del consentimiento y oposición en relación al tratamiento de datos personales.
- Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD y realizar los contratos con encargados de tratamiento necesarios.
- Implantar políticas de protección de datos.
- Designar al delegado de protección de datos si fuera obligatorio o si se asume voluntariamente.