El Reglamento General de Protección de Datos o Reglamento 2016/679 es la ley de protección de datos básica en Europa.
Su alcance es general, es directamente obligatoria en todo el territorio de la Unión (UE) y contiene numerosas novedades respecto del régimen de protección de datos anterior.
Introducción al Reglamento General de Protección de Datos
En efecto, el Reglamento General de Protección de Datos, que también recibe las denominaciones de RGPD (acrónimo de Reglamento General de Protección de Datos) o de Reglamento Europeo de Protección de Datos, hace referencia al Reglamento (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Qué es el Reglamento General de Protección de Datos
Lo primero es deshacer la confusión que puede ocasiona la utilización del término “Reglamento”.
Reglamento, como norma europea, por tanto con alcance general y eficacia directa en el territorio de los estados miembros. No es por tanto una referencia a “reglamento” o normativa interna del derecho español que desarrolla una Ley. Aplica a todo tipo de empresas, entidades, asociaciones, administraciones públicas (excepto órganos judiciales) y, por supuesto, también el RGPD aplica a empresarios autónomos.
El Reglamento General de Protección de Datos no es una norma menor ni una norma que precise una habilitación legal para ser directamente aplicable en España. La LOPDGDD de 2018 concreta y detalla determinados aspectos del Reglamento 2016/679, pero no toca en lo esencial sus principios ni disposiciones.
¿El RGPD o la GPDR?
GDPR es el acrónimo de General Data Protection Regulation, que no es otra cosa que el equivalente en inglés de Reglamento General de Protección de Datos.
“Regulation” es “Reglamento” (norma europea de alcance general y efecto directo) y no “regulación”.
Por esta circunstancia, al utilizar el acrónimo de Reglamento General de Protección de datos en idioma español se aconseja utilizar la fórmula “el RGPD” y no “la GDPR”.
El Reglamento 206/679 y el desplazamiento de la normativa nacional de protección de datos.
Con la vigencia plena del Reglamento General de Protección de Datos que se produjo el día 25 de mayo de 2018, quedó desplazada la aplicación de la LOPD de 1999 y del Real Decreto 1720/2007, es decir del Reglamento de desarrollo de Ley Orgánica de Protección de Datos.
La derogación formal de la LOPD de 1999 se producirá con la aprobación de la Ley Orgánica 3/2018 de 5 de diciembre, conocida como LOPDGDD, a través de su Disposición Derogatoria Única. No obstante, seguirán vigentes los artículos 22, 23 y 24 de la anterior Ley Orgánica de Protección de Datos.
No hay un pronunciamiento expreso sobre la vigencia del Real Decreto 1720/2007, por lo que se ha de entender que sus disposiciones son aplicables en la medida que no contradigan ni se opongan a lo establecido en el Reglamento General de Protección de Datos.
La LOPDGDD dota de concreción a ciertos aspectos del Reglamento General de Protección de Datos dejados por el legislador europeo a las normativas de los Estados miembros (supuestos concretos en que es necesaria en una organización la designación de un Delegado de Protección de Datos, tipificación de infracciones, prescripción de las mismas, y otros aspectos).
Características del Reglamento General de Protección de Datos
Entre las características del Reglamento 2016/679 veremos la estructura de la norma europea de protección de datos, sus aspectos claves, con especial análisis de los principios de la protección de datos, y resaltaremos o pondremos foco en las principales diferencias con el régimen anterior de la Directiva 95/46 y con las leyes de protección de datos en España (en especial, la anterior LOPD de 1999)
Estructura del RGPD
El Reglamento General de Protección de Datos se estructura en dos partes bien diferenciadas.
Por un lado, los Considerandos o Razonamientos, o Razones. En total, el RGPD cuenta con 173 Considerandos que están siendo fundamentales para los operadores jurídicos a la hora de interpretar y aplicar preceptos de la parte dispositiva.
Por otro lado, la parte dispositiva, los preceptos del Reglamento Europeo de Protección de Datos propiamente dichos.
Así, la parte dispositiva del Reglamento 2016/679 consta de 99 artículos estructurados en 11 Capítulos.
➡Capítulo I del RGPD: Disposiciones Generales (artículos 1 a 4)
➡Capítulo II del RGPD: Principios (artículos 5 a 11)
➡Capítulo III del RGPD: Derechos del interesado (artículos 12 a 23, estructurados en estas Secciones: Sección 1 “Transparencia y modalidades”; Sección 2 “Información y acceso a los datos personales”; Sección 3 “Rectificación y supresión”; Sección 4 “Derecho de oposición y decisiones individuales automatizadas”; Sección 5 “Limitaciones”).
➡Capítulo IV del RGPD: Responsable del tratamiento y encargado del tratamiento (artículos 24 a 43, estructurados en estas Secciones: Sección 1 “Obligaciones generales”; Sección 2 “Seguridad de los datos personales”; Sección 3 “Evaluación de impacto relativa a protección de datos y consulta previa”; Sección 4 “Delegado de Protección de Datos”; Sección 5 “Códigos de conducta y certificación”).
➡Capítulo V del RGPD: Transferencias de datos personales a terceros países u organizaciones internacionales (artículos 44 a 50).
➡Capítulo VI del RGPD: Autoridades de control independientes (artículos 51 a 59, estructurados en estas Secciones: Sección 1 “Independencia” y Sección 2 “Competencia, funciones y poderes”).
➡Capítulo VII del RGPD: Cooperación y coherencia (artículos 60 a 76, estructurados en estas Secciones: Sección 1 “Cooperación y Coherencia”; Sección 2 “Coherencia”; Sección 3 “Comité europeo de protección de datos”
➡Capítulo VIII del RGPD: Recursos, responsabilidades y sanciones (artículos 77 a 84).
➡Capítulo IX del RGPD: Disposiciones relativas a situaciones específicas de tratamiento (artículos 85 a 91)
➡Capítulo X del RGPD: Actos delegados y actos de ejecución (artículos 92 y 93) .
➡Capítulo XI del RGPD: Disposiciones finales (artículos 94 a 99).
Aspectos claves del RGPD
¿Cuál es la misión del Reglamento 206/679?
El Reglamento General de Protección de Datos tiene como misión fundamental la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales.
El tratamiento de los datos personales debe respetar la total esfera de libertades y de derechos fundamentales de las personas.
Ya no hay vinculación del RGPD a unos derechos concretos como puedan ser el derecho al honor, el derecho a la intimidad, o el derecho a la dignidad, a más de otros.
El Reglamento 2016/679 busca un protección transversal y universal y, según el Considerando primero del propio RGPD
«…pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas.»
En definitiva, y como proclama el Considerando 4, “el tratamiento de los datos personales debe estar concebido para servir a la humanidad”.
Por eso, el Reglamento General de Protección de Datos no configura el derecho a la protección de datos como un derecho absoluto, sino que debe mantener el equilibrio con otros derechos, con arreglo al principio de proporcionalidad.
La rápida evolución tecnológica y la globalización son los principales motores del cambio de modelo de protección de datos.
Por un lado, la tecnología permite que se traten datos personales tanto por empresas privadas como por administraciones públicas en una escala sin precedentes.
Por otro lado, las personas físicas con el uso de funcionalidad de comunicación totalmente arraigadas, como internet y las redes sociales, participan en flujos internacionales de datos prácticamente infinitos.
El legislador europeo es consciente, y así lo expresa en el texto del Reglamento General de Protección de Datos, de que los principios de la Directiva 95/46/CE siguen siendo plenamente válidos.
Pero esa validez no ha impedido que la sociedad europea se siga notando desprotegida en cuanto al tratamiento de datos por la creciente actividad en línea.
El Reglamento General de Protección de Datos aspira a presentarse como la solución homogénea y coherente en toda Europa, a través de una norma de alcance general y eficacia directa, para combatir esa inquietud de los europeos.
Pretensión de aplicación “universal” del RGPD
En cuanto al ámbito territorial, el Reglamento General de Protección de Datos se aplica al tratamiento de datos personales
…en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
Con esa pretensión de aplicación universal del RGPD, la norma será de obligado cumplimiento para empresas o entidades no establecidas en el territorio de la Unión Europea cuando las actividades de tratamiento estén relacionados con: a) la oferta de bienes y servicios cuando vaya dirigida a ciudadanos de la Unión, o b) el control de su comportamiento, en la medida en que dicho control tenga lugar en la Unión Europea.
El RGPD es aplicable respecto de los tratamientos de datos personales de personas físicas que residan en el territorio de la Unión Europea, con independencia de su nacionalidad u otra condición.
Los principios del Reglamento General de Protección de Datos
Los principios clave del RGPD se expresan en el Considerando 39 y en su artículo 5.
No son principios disruptores respecto de los que ya se recogían en la Directiva 95/46/CE, salvo el fundamental principio de responsabilidad proactiva (accountability) que viene a expresar que ya no es suficiente con no incumplir.
La normativa de protección de datos personales debe cumplirse activamente y además se debe estar en condiciones de demostrar dicho cumplimiento.
Este sí que constituye uno de los aspectos novedosos del RGPD en una comparativa con la anterior legislación de protección de datos.
El resto de principios guía del Reglamento son los siguientes:
🔎 Licitud: Los datos se tratarán con el consentimiento del interesado o sobre alguna otra base legítima expresamente prevista en el artículo 6.1. del RGPD.
🔎 Lealtad: Para las personas físicas debe quedar totalmente claro que se están tratando datos que les conciernen.
🔎 Transparencia: Exige que las circunstancias del tratamiento se comuniquen a los interesados de forma accesible y fácil de entender.
🔎 Limitación de los fines: Los datos se tratarán para fines determinados y expresamente declarados.
🔎 Minimización de datos: Solo se deben obtener o recabar los datos necesarios para alcanzar los fines. También expresa restricciones respecto al perímetro de los tratamientos.
🔎 Exactitud: Los datos deberán permanecer actualizados.
🔎 Limitación del plazo de conservación: Los datos serán guardados o almacenados durante no más tiempo del necesario para conseguir los fines o hasta la prescripción legal de responsabilidades.
🔎 Confidencialidad, Integridad, Disponibilidad (y Resiliencia): Presiden la aplicación de medidas de seguridad para la protección de datos en todas las fases del tratamiento.
¿En qué se concretan cada uno de estos principios?
🔐 Confidencialidad, en el sentido de que los datos personales no deben ser accesibles a personas no autorizada a su tratamiento.
🔐 Integridad, porque los datos personales deben quedar indemnes del riesgo de alteración ya sea accidental o ilícita.
🔐 Disponibilidad, en el sentido de que los datos deben poder recuperarse de forma rápida en caso de incidente físico, técnico o de otra naturaleza.
Protección de Datos desde el diseño y por defecto en el Reglamento General
El enfoque principal del Reglamento General de Protección de Datos está en el riesgo para los datos personales propiciado por el tratamiento (intervinientes, herramientas y medios, cesiones, etc) de los mismos.
Por ese motivo se impone al responsable del tratamiento la obligación de aplicar, tanto en el momento de determinar los medios del tratamiento como en el momento de iniciar dicho tratamiento, una serie de medidas de seguridad para los datos, que sean adecuadas en virtud de una serie de criterios (expresados en el artículo 25 del Reglamento 2016/679).
La seguridad de los tratamientos de datos personales debe realizarse en todo momento de forma que se salvaguarden los principios que hemos resaltado anteriormente: confidencialidad, integridad y disponibilidad.
Corresponsabilidad en el tratamiento de datos y tratamientos por encargo
El Reglamento General de Protección de Datos establece que en las situaciones en que varios responsables del tratamiento determinen conjuntamente los medios y fines de ese tratamiento deberán atribuirse claramente las responsabilidades de cada uno de ellos.
Eso, en la práctica hará que hablemos de la necesidad de celebrar los oportunos contratos de corresponsabilidad en materia de protección de datos personales.
Por otra parte, el artículo 28 no introduce como novedad la figura del encargo del tratamiento, pero sí la reacondiciona bastante para sujetarla a los principios del RGPD y, en especial, al principio de responsabilidad proactiva y accountability.
De esta manera, el RGPD impone al responsable del tratamiento la obligación de elegir encargados de tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas.
El encargado debe estar en condiciones, o será un prestador “inelegible” desde el punto de vista del Reglamento General de Protección de Datos, de asegurar que los tratamientos que se le encarguen cumplan el canon de seguridad del artículo 25.
Igualmente, las relaciones entre responsable y encargado del tratamiento se documentarán en un contrato o acto jurídico que deberá tener una serie de estipulaciones acerca de los aspectos citados por el RGPD en su artículo 28.3.
Registro de Actividades de Tratamiento
Se introduce esta pieza documental básica en el esquema de accountability del RGPD.
Ya no es necesaria la inscripción de ficheros en el Registro General de Protección de Datos de la AEPD pero se sigue considerando una buena medida de proactividad la gestión de un inventario o registro de los procesamientos de datos llevados a cabo por la empresa u organización.
Como tal Registro, el RGPD impone al responsable del tratamiento (y, en su caso, al encargado del tratamiento) la obligación de efectuar su llevanza, es decir, un mantenimiento continuo y diligente, procurando su puesta al día de forma proactiva y sin interrupción.
El análisis de riesgos RGPD y la EIPD
Siendo el enfoque del Reglamento 2016/679 el riesgo, los instrumentos dedicados a analizar el riesgo inherente a los tratamientos de datos personales para sus titulares (no tanto para las organizaciones), ocupan un lugar fundamental en el esquema de adaptación de las organizaciones al Reglamento General de Protección de Datos.
El Análisis básico de riesgos no aparece mencionado literalmente en el Reglamento 2016/679.
Sin embargo, de una lectura conjunta de los artículos 25 y 32 del RGPD, deriva la obligación práctica de las organizaciones de evaluar la adecuación del nivel de seguridad de la organización respecto del tratamiento de datos personales que llevan a cabo.
El Análisis básico de riesgos se configura como es instrumento de auditoría de protección de datos para evaluar con carácter de mínimos esa adecuación en tratamientos de escaso riesgo.
En circunstancias donde exista probabilidad de que los tratamientos entrañasen un alto riesgo para los derechos y las libertades de las personas físicas, el instrumento a llevar a cabo por el responsable es la Evaluación de Impacto en Protección de Datos.
Estos serían los Requisitos de una Evaluación de Impacto en Protección de Datos
El Delegado de Protección de Datos
El Reglamento General de Protección de Datos configura novedosamente el perfil del Delegado de Protección de Datos y le atribuye una importancia capital en la proactividad de la empresa a la hora de adaptarse a la ley de protección de datos.
La denominación oficial es la de Delegado de Protección de Datos. También le conoceremos por sus acrónimos en español, DPD, o en inglés, DPO (Data Protection Officer).
Este «viejo conocido» (un perfil que venía siendo utilizado asiduamente en algunos países europeos) es en realidad una institución totalmente nueva tal y como regula sus funciones y su estatus el Reglamento 2016/679.
El artículo 37 del RGPD expresa las situaciones en que una empresa u organización precisará contar con un Delegado de Protección de Datos, que podrá ser un empleado o bien un profesional externo, al que, en todo caso, se designará personalmente ante la Agencia Española de Protección de Datos.
Entre las funciones clave del Delegado de Protección de Datos interesa ahora destacar esa función de enlace o intermediario entre la organización y la autoridad de control (AEPD), que configura al Delegado de Protección de Datos como una pieza básica en el esquema de accountability del RGPD.
Aquí puedes encontrar todos los detalles sobre la figura del Delegado de Protección de Datos.
Cooperación entre diversas autoridades de control
¿Cómo se rigen las relaciones entre la Agencia Española de Protección de Datos y otras autoridades de control en materia de protección de datos?
Con el Reglamento General de Protección de Datos, por primera vez la normativa de protección de datos prevé un entorno de cooperación y coherencia para la actuación simultánea de varias autoridades de control en materia de protección de datos.
El Reglamento General de Protección de Datos crea el Comité Europeo de Protección de Datos (cuyo inmediato precedente ha sido el Grupo de Trabajo del Artículo 29, Article 29 Working Party o WP29).
El Comité Europeo de Protección de Datos (CEPD, o en inglés, EDPB, European Data Protection Board) se configura así como la autoridad encargada de la aplicación coherente del Reglamento General de Protección de Datos en toda Europa.
Dicha autoridad europea de protección de datos se compone de un representante de la respectiva autoridad nacional de protección de datos y del Supervisor Europeo de Protección de Datos (EDPS, o European Data Protection Supervisor).
Si en un Estado miembro hubiese más de una autoridad de protección de datos, como sucede en el caso español, se nombrará a un representante común ante el Comité Europeo de Protección de Datos, conforme a lo dispuesto por la normativa nacional respectiva.
Notificación de violaciones de seguridad a la autoridad de control
El Reglamento General de Protección de Datos introduce la obligación por parte del responsable del tratamiento de notificar a la Agencia de Protección de Datos (autoridad de control de cada Estado miembro) aquellas violaciones de seguridad que puedan constituir un riesgo para los derechos y libertades de las personas físicas, en el perentorio plazo de 72 horas.
El encargado del tratamiento deberá notificar al responsable del tratamiento “sin dilación indebida” las brechas de seguridad en los tratamientos de datos personales que realice a cuenta de dicho responsable.
La notificación de brechas de seguridad no es un requisito totalmente novedoso en nuestro ordenamiento jurídico (ya existía por ejemplo en el ámbito de las Telecomunicaciones) pero con el Reglamento General de Protección de Datos, esta obligación del responsable del tratamiento se generaliza y compete a todos los sistemas de gestión de la información (cualquier que sea el sector) donde suceda una de estas violaciones de la seguridad.
Al igual que el artículo 33 del RGPD prevé esta notificación de brechas de seguridad a la respectiva autoridad de control en materia de protección de datos en el plazo de 72 horas, el artículo 34 impone a los responsables del tratamiento la obligación de comunicar las brechas de seguridad que entrañen un alto riesgo para sus derechos y libertades a los propios interesados y “sin dilación indebida”.
Adaptación de empresas y organizaciones al Reglamento General de Protección de Datos
El Reglamento General de Protección de Datos tiene varios focos prioritarios.
En primer lugar, está muy orientado a favor de la protección de los derechos de los interesados y de favorecer la total disposición por parte de estos de sus datos personales. Muy especialmente, se refuerzan con el Reglamento los deberes de transparencia e información a los afectados.
Por otro lado, el RGPD tiene enfoque en el riesgo. Por ello impone a responsables del tratamiento de datos personales y a encargados del tratamiento una obligación proactiva de conseguir en todo momento niveles adecuados en la seguridad de los tratamientos de datos personales de forma que no se vean afectados los principios de confidencialidad, integridad y disponibilidad.
En tercer lugar, y respecto al antiguo modelo normativo de protección de datos, el Reglamento General de Protección de Datos nos dice que ya no basta con no incumplir, sino que se generaliza una obligación de cumplimiento activo y diligente del RGPD y, además, que se ha de estar en condiciones de demostrar dicho cumplimiento (principio de accountability).
Cláusulas informativas adaptadas al Reglamento General de Protección de Datos
En los artículos 12, 13 y 14 del Reglamento General de Protección de Datos se establece la forma en que hay que informar de las condiciones del tratamiento de datos personales a los titulares de dichos datos.
El RGPD hace mucho hincapié en que las cláusulas informativas sean sencillas, fácilmente accesibles y entendibles para el interesado.
También expresa el Reglamento 2016/679 el contenido de esa información cuando los datos sean facilitados por el propio interesado y también en el supuesto de que un responsable del tratamiento esté tratando datos personales no facilitados por el propio titular de los datos.
El contenido de ese derecho de los interesados a ser informados se ha visto notablemente modificado por el RGPD. Se incrementan los detalles de la información a los siguientes:
☑Los datos de contacto del Delegado de Protección de Datos
☑La base jurídica o legitimación para el tratamiento.
☑El plazo o los criterios para la conservación de los datos personales
☑La existencia de decisiones automatizadas o elaboración de perfiles
☑Si están previstas transferencias a países situados fuera de la Unión Europea
☑El derecho a presentar una reclamación ante la Agencia Española de Protección de Datos
Para el caso de que los datos no se hayan obtenido directamente del interesado, se informará a estos además de:
☑La categoría de los datos recabados u obtenidos
☑El origen de dichos datos
El deber de informar hay que cumplirlo en el momento en que se solicitan los datos, de forma previa a la recogida de la información personal. Por tanto, no se puede informar a los afectados por el tratamiento después de haber recopilado su información personal.
El cumplimiento de los deberes de información relativos a la protección de datos personales debe ser cumplido por el responsable de forma que éste pueda acreditar dicho cumplimiento, en virtud del principio de accountability ya mencionado.
La Agencia Española de Protección de Datos recomienda un sistema de información multinivel basado en capas informativas.
Una primera capa, extractada o resumida de información básica (primera capa) y una segunda capa, de información adicional y detallada (segunda capa).
Puede obtenerse más detalle de este sistema informativo multinivel en la Guía para el cumplimiento del deber de informar publicada por la propia AEPD.
Las empresas y organizaciones deberán efectuar una revisión profunda de las cláusulas informativas de aquellos formularios o espacios tanto físicos (papel) como digitales (web y otros formatos) donde se recojan datos de los interesados.
Por otra parte, es muy conveniente que en aquellos documentos que sirvan para establecer una primera comunicación con el interesado se introduzcan cláusulas informativas relativas a cómo efectúa la empresa el tratamiento de dichos datos (facturas, contratos, documentos comerciales, email corporativo, etc).
Una buena medida de cumplimiento proactivo del Reglamento General de Protección de Datos es el contar con una Política interna (Política de Información) donde las personas autorizadas por el responsable del tratamiento (empleados y colaboradores) conozcan cómo se debe cumplir este deber de informar por parte de la empresas en los diferentes espacios y plataformas.
Consonancia de la actividad empresarial con los principios del RGPD
La adecuación de los tratamientos de datos personales realizados por las empresas y organizaciones a los principios del Reglamento General de Protección de Datos es de importancia capital.
La ausencia de una adaptación real y constante de la actividad empresarial a estos principios del RGPD podría dar lugar a elevadas sanciones económicas para el responsable del tratamiento.
No olvidemos que el incumplimiento de los principios básicos del Reglamento General de Protección de Datos es constitutivo de infracciones calificadas como muy graves.
Hemos enumerado anteriormente y de forma ordenada cuáles son esos principios clave del RGPD.
En nuestro servicio de Adaptación al RGPD nos ocupamos de que tu empresa u organización tenga las directrices personalizadas y concretas para que se produzca esa adecuación a principios y directrices básicas de la norma.
Pasos básicos de adaptación al RGPD
¿Cuáles serían los documentos básicos de cumplimiento del RGPD? ¿Qué necesita tener tu empresa para cumplir el Reglamento General de Protección de Datos?
Hemos querido finalizar esta parte aludiendo de forma resumida a los documentos esenciales con los que debe contar una empresa u organización que quiera adaptarse a lo dispuesto en el RGPD.
🗒 Registro de Actividades de Tratamiento
Como hemos dicho anteriormente, el Registro de Actividades de Tratamiento constituye un ejercicio proactivo por parte del responsable de crear “y mantener” un inventario de todos aquellos procesos de datos en los que está implicada su total actividad como empresa, administración pública u organización de otro tipo.
También, en su caso, elaborar el Registro de Actividades de Tratamiento como encargado de tratamiento es una obligación de empresas y organizaciones que necesiten acceder a los datos por cuenta de un responsable al que se le presta un servicio.
📋 Informe de determinación de no necesidad de realizar una EIPD
En caso de alto riesgo para derechos y libertades de los interesados, se realizará una Evaluación de Impacto relativa a la Protección de Datos.
📊 Análisis básico de riesgos
Considerado que el tratamiento de datos realizados reviste escaso riesgo para derechos y libertades de los interesados, se realizará un Análisis de Riesgos de mínimos, tratando las diversas amenazas y riesgos con medidas de control adecuadas hasta que dichos riesgos se mitiguen o se reduzcan a niveles aceptables.
🔏Establecimiento de una Política de Seguridad
Es necesario documentar las obligaciones que asume el responsable del tratamiento y también las personas autorizadas al tratamiento por parte del responsable (empleados) en lo relativo a medidas técnicas y organizativas que sean la salvaguarda de los indispensables criterios de confidencialidad, integridad y disponibilidad de la información personal tratada.
Es conveniente también que dicha Política de Seguridad interna instrumente una serie de excepciones basadas en autorizaciones puntuales al régimen de prohibición de actos relativos al tratamiento de información personal por parte de los trabajadores de la organización.
🤝 Protocolo relativo al ejercicio de derechos por parte del interesado
Es conveniente que tanto el responsable del tratamiento como los empleados de la organización conozcan tanto los derechos que pueden ejercer los interesados respecto a su información personal, como el cauce para hacer efectivo esos derechos, y esté prevista en la organización cómo se va a responder ante las solicitudes de los afectados.
Estas previsiones se pueden instrumentalizar en un protocolo interno de obligado conocimiento para las personas que en la organización se encarguen de la atención a los derechos de los interesados.
También es muy conveniente desde el punto de vista de accountability tener a disposición de los interesados modelos o plantillas para el ejercicio de sus respectivos derechos de protección de datos.
📅 Fijación de los plazos de conservación
Cumplida la finalidad del tratamiento, los datos no pueden conservarse «eternamente». Las diferentes normativas generales y sectoriales fijan plazos de conservación durante los cuales los datos permanecerán bloqueados.
El establecimiento de los plazos de conservación se realizará de forma individualizada para cada una de las actividades de tratamiento.
🔜 Protocolo de notificación de brechas de seguridad
Recordemos: 72 horas para notificar la brecha de seguridad a la autoridad de control y la comunicación de violaciones de seguridad a los interesados, «sin dilación indebida».
Sin perjuicio de que se utilice el modelo previsto en la Agencia de Protección de Datos para notificar la brecha de seguridad (en los supuestos que proceda) a la autoridad de control, es muy conveniente que el responsable del tratamiento tenga previsto un protocolo o documento informativo interno que constituy un preparatorio de la actuación de notificación de la brecha en caso de producirse y que dicha notificación no sea fruto de una improvisación de acciones, ya que, como hemos dicho anteriormente, el plazo para efectuar la notificación de brechas de seguridad a la AEPD es tan solo de 72 horas.
📲Adaptación al RGPD de la web corporativa
En el apartado web, los documentos clave de cumplimiento del Reglamento General de Protección de Datos son la Política de Privacidad y, en la medida en que el RGPD entronca con la LSSI, la Política de Cookies.
Sin perjuicio de ello habrán de revisarse los formularios de captación de datos y todas aquellas funcionalidades de la web que permitan el tratamiento de datos personales y de metadatos así como su cesión a terceros.
📝Regulación de intervinientes en el tratamiento
Contratos o acuerdos de corresponsabilidad de tratamiento (donde esta figura exista) así como contratos a celebrar con los encargados de tratamiento, adecuados a lo dispuesto en el artículo 28 del RGPD.
En cumplimiento del principio de accountability también se revisará que puede demostrarse que las respectivas cesiones de datos a terceros se han realizado con la base jurídica del RGPD adecuada.
También se celebrarán los oportunos contratos o acuerdos de confidencialidad entre el responsable del tratamiento y las personas autorizadas por este al tratamiento de los datos (empleados, colaboradores, etc).
