Cumplir la normativa

Una organización no solo tiene que tratar datos personales de acuerdo con el Reglamento General de Protección de Datos, sino que también debe poder demostrar su cumplimiento. Esto incluye la aplicación de la normativa sobre protección de datos desde el diseño, el mantenimiento de un registro de las actividades de tratamiento y, en determinadas circunstancias, la realización de una evaluación de impacto sobre protección de datos. 

Protección de datos desde el diseño y por defecto

Como responsable del tratamiento, tanto cuando diseñas una operación de tratamiento como en el momento del tratamiento, debes implementar medidas y garantías adecuadas para garantizar el cumplimiento de los principios de protección de datos. También debes garantizar que, por defecto, solo se traten los datos personales necesarios para cada fin específico (esto se aplica a la cantidad de datos, el alcance del tratamiento, la limitación del almacenamiento y su accesibilidad).

En otras palabras, una organización que aplica la protección de datos desde el diseño y por defecto, es una organización que considera e incorpora la protección de datos y la privacidad de las personas en todos los aspectos, y en cada fase de sus operaciones de tratamiento, en las herramientas utilizadas o en cualquier otra actividad comercial.

Para ello, antes de llevar a cabo cualquier operación de tratamiento, tu organización debe tener en cuenta:

  • la naturaleza, el contexto y el alcance de la operación de tratamiento prevista;
  • los riesgos que puedan derivarse de las operaciones de tratamiento previstas o de cualquier otra actividad empresarial que pueda tener un impacto en los datos personales;
  • las medidas técnicas y organizativas que deben adoptarse para mitigar los riesgos detectados y, garantizar de este modo, una protección adecuada de los datos personales;
  • las medidas o procedimientos técnicos y organizativos que deban adoptarse para garantizar que el tratamiento de datos personales (incluidos, en particular, la recogida, el almacenamiento y el uso general de los datos de las personas) se limite a lo necesario a la luz de los objetivos perseguidos.

En la práctica

  • Una librería quiere aumentar sus ingresos vendiendo libros en internet. El propietario de la librería quiere crear un formulario normalizado para el proceso de pedido. En primer lugar, el propietario hace obligatorios todos los campos del formulario, incluida la fecha de nacimiento, el número de teléfono y la dirección del del cliente. Sin embargo, no todos los campos del formulario son necesarios para el fin perseguido, es decir, vender y entregar los libros.
    Por ejemplo, cuando se solicita un libro electrónico, el cliente puede descargar el producto directamente a su dispositivo. Por tanto, los campos citados no pueden ser requeridos en el formulario web para pedir libros. Así pues, el propietario de la tienda web decide crear dos formularios online: uno para encargar libros, con un campo en el que se ha de indicar la dirección del cliente y otro para encargar libros electrónicos sin un campo para la dirección del cliente. De este modo, el propietario de la librería se asegura de que solo se recogen los datos necesarios para el tratamiento.
  • Una consulta médica en la que trabajan varios médicos recopila datos sobre sus pacientes en su sistema de información organizativo. Los diferentes médicos pueden necesitar acceder a los expedientes de los pacientes, por ejemplo, cuando sustituyen a otro médico que está ausente, para informar sobre sus decisiones relativas a la atención y el tratamiento de los pacientes, y para la documentación de todas las medidas de diagnóstico, atención y tratamiento llevadas a cabo. Por defecto, el acceso se concede solo a aquellos médicos que tienen asignado el tratamiento del paciente respectivo.

Resulta útil llevar un registro de estas evaluaciones y medidas para poder demostrar que estás cumpliendo con los principios de protección de datos desde el diseño y por defecto. También puede utilizarse un mecanismo de certificación aprobado como elemento para demostrar el cumplimiento de la protección de datos desde el diseño y por defecto.

Enlace
Art. 25 RGPD

EUR-Lex

Enlace
Directrices de enlace sobre el artículo 25 Protección de datos desde el diseño y por defecto

CEPD

Obligación de llevar registros del tratamiento de datos

Como organización, tienes el deber de mantener un registro de tus actividades de tratamiento. Estos registros constarán por escrito, inclusive en formato electrónico.

Este registro te ofrece una visión general de tus actividades de tratamiento. Para crear dicho registro, debes identificar cuáles de tus actividades requieren el tratamiento de datos personales (por ejemplo, contratación, gestión de nóminas,  formación, gestión de credenciales y accesos, lista de clientes potenciales, etc.). Cada una de estas operaciones de tratamiento se describirá en el registro con la siguiente información:

  • los fines del tratamiento (por ejemplo, fidelización de clientes);
  • las categorías de datos tratados (por ejemplo, para las nóminas: nombre, apellido, fecha de nacimiento, salario, etc.);
  • quién tiene acceso a los datos (los destinatarios, por ejemplo: el departamento encargado de la contratación, el servicio informático, la dirección, los proveedores de servicios, los socios...);
  • en su caso, información relacionada con las transferencias de datos personales fuera del Espacio Económico Europeo (EEE);
  • cuando sea posible, el período de almacenamiento (período durante el cual los datos son útiles desde un punto de vista operativo y desde una perspectiva de archivo);
  • cuando sea posible, una descripción general de las medidas de seguridad.

El registro de las actividades de tratamiento es responsabilidad del responsable de tu organización. Este registro debe estar a disposición de la autoridad de protección de datos del país del EEE en el que opere, si se solicita.

Las organizaciones que empleen a menos de 250 personas no están obligadas a mencionar en su registro actividades puramente ocasionales (por ejemplo, datos tratados para eventos puntuales como la apertura de una tienda).

Enlace
Art. 30 RGPD

EUR-Lex

Enlace
Art. 30.5 RGPD

EUR-Lex

Enlace
Grupo de Trabajo del Artículo 29: documento de posición sobre las excepciones a la obligación de mantener registros de las actividades de tratamiento (aprobado por el CEPD)

Sala de redacción de la Comisión Europea

¿Cómo llevar a cabo una evaluación de impacto relativa a la protección de datos (EIPD)?

¿Qué es una EIPD?

Cuando sea probable que un tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento debe llevar a cabo una evaluación del impacto sobre la protección de datos (EIPD). Una EIPD es una evaluación escrita de una operación de tratamiento planificada. Te ayuda a identificar las garantías adecuadas para mitigar los riesgos y demostrar el cumplimiento.

 

¿Cuándo hacer una EIPD?

Si bien siempre es preferible anticipar el impacto de las operaciones de tratamiento planificadas por tu organización mediante la realización de una EIPD, es obligatorio llevar a cabo dicha EIPD cuando sea probable que el tratamiento suponga un alto riesgo para los derechos y libertades de las personas.

Concretamente, este es el caso cuando el tratamiento previsto implica:

  • el tratamiento a gran escala de datos personales sensibles y datos relacionados con condenas penales;
  • una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, incluida la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de manera similar;
  • observancia sistemática a gran escala de una zona de acceso público.

En la mayoría de los casos, las operaciones de tratamiento que cumplan dos de los siguientes criterios deberán evaluarse a través de una EIPD:

  1. evaluación o puntuación;
  2. toma de decisiones automatizada con efectos legales o similares significativos;
  3. seguimiento sistemático;
  4. datos sensibles o de carácter altamente personal;
  5. datos tratados a gran escala:
  6. cotejo o combinación de conjuntos de datos;
  7. datos relativos a los interesados vulnerables;
  8. uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas;
  9. Cuando el tratamiento en sí mismo impide a las personas ejercer un derecho o utilizar un servicio o un contrato.

¿Necesito realizar una EIPD?

¡Responda a las preguntas a través de nuestro diagrama de flujo interactivo para averiguarlo!

¿Es probable que el tratamiento dé lugar a riesgos elevados?

¿Se aplican excepciones?

Ejemplos de cuándo puede no ser necesaria una EIPD:

  • la operación de tratamiento prevista es muy similar a un tratamiento que fue objeto de una EIPD;
  • el tipo de tratamiento se encuentra en una lista de exenciones que tu autoridad de protección de datos puede haber adoptado;
  • la operación de tratamiento esté autorizada con arreglo a la legislación nacional o de la UE.

¿Necesito realizar una EIPD?

Sí, es necesario llevar a cabo la EIPD

¿Queda algún riesgo elevado después de la EIPD?

¿Necesito realizar una EIPD?

No se necesita EIPD

Consulta a tu Autoridad de Protección de Datos

No es necesario consultar a tu Autoridad de Protección de Datos

Consejos sobre EIPD

Debes ponerte en contacto con la autoridad de protección de datos del país del EEE en el que tu organización tenga su sede para averiguar si disponen de un documento de acceso público en el que se enumeren las condiciones en las que las operaciones de tratamiento requerirán una EIPD y las operaciones de tratamiento que no requerirán una EIPD.

 

Ejemplos de casos en los que se puede requerir una EIPD:

  • tratamiento de datos biométricos, por ejemplo, escaneo de huellas dactilares o rasgos faciales para identificar a pacientes;
  • utilización de datos de personas vulnerables con fines comerciales, por ejemplo, para predecir sus compras;
  • aplicación móvil que rastrea la ubicación del individuo.

 

Ejemplos de casos en los que una EIPD puede no ser requerida

  • la operación de tratamiento prevista es muy similar a un tratamiento que fue objeto de una EIPD;
  • el tratamiento está incluido en la lista opcional de operaciones de tratamiento (establecida por tu autoridad nacional de protección de datos) no sujetas a una EIPD;
  • la operación de tratamiento está autorizada por la legislación de la UE o nacional.

¿Qué incluir en una EIPD?

Tu DPIA deberá incluir:

  • una descripción de la operación de tratamiento prevista y de su finalidad;
  • una evaluación de la necesidad y la proporcionalidad;
  • los riesgos que pueda conllevar la operación de tratamiento;
  • las medidas para afrontar los riesgos.

 

Consulta previa durante una EIPD

Cuando el responsable del tratamiento no pueda encontrar medidas suficientes para reducir los riesgos a un nivel aceptable (es decir, cuando los riesgos residuales sigan n siendo elevados), se requiere consultar a la autoridad de protección de datos. En tal caso, el responsable del tratamiento deberá facilitar la siguiente información:

  • las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento;
  • la finalidad de la operación de tratamiento y la forma en que se llevará a cabo;
  • las medidas previstas para garantizar los datos personales de las personas;
  • en su caso, los datos de contacto del delegado de protección de datos de tu organización;
  • la DPIA en cuestión.

 

Después de una EIPD — ¡Pruébala, mejórala, compruébala!

Una vez que redactes tu EIPD, debes probarla; mejorarla si es necesario; llevar a cabo tu operación de tratamiento; volver a evaluar si tu EIPD se ajusta a la operación de tratamiento; y comprobar su control.

Enlace
Art. 35 RGPD

EUR-Lex

Enlace
Art. 36 RGPD

EUR-Lex

Enlace
Grupo de Trabajo del Artículo 29: Directrices sobre la evaluación de impacto en la protección de datos (EIPD)

Sala de redacción de la Comisión Europea

Enlace
Guía de evaluaciones de impacto en materia de protección de datos

Proyecto ARC

Enlace
Listas nacionales de tipos de operaciones de tratamiento de datos que requieren o no una evaluación de impacto en la protección de datos

Comisión de Protección de Datos, Autoridad de Supervisión de Irlanda

Códigos de conducta

Dependiendo de dónde se encuentre tu organización en el EEE, puede haber asociaciones u otros organismos que representen a los responsables o encargados del tratamiento. Estas asociaciones y organismos pueden elaborar códigos de conducta, incluidos mecanismos de protección de datos, a los que los responsables y encargados del tratamiento pueden adherirse para ayudar a garantizar el respeto de los datos personales de las personas de conformidad con el RGPD.

Más concretamente, estos códigos de conducta establecidos deberán garantizar, por ejemplo:

  • que los datos personales se tratan de manera justa y transparente;
  • que los fines para los que se tratan los datos personales son legítimos;
  • cómo seudonimizar los datos personales;
  • que se facilite información transparente a las personas cuyos datos personales se traten;
  • que se solicite adecuadamente el consentimiento para el tratamiento de los datos personales, especialmente los relativos a los niños;
  • que se adopten todas las medidas técnicas y organizativas para garantizar la seguridad del tratamiento de los datos de las personas;
  • que se sigan los procedimientos para la notificación de violaciones de datos personales;
  • que se sigan los procedimientos, incluidas las garantías, relacionados con las transferencias de datos personales a países y organizaciones no pertenecientes al EEE;
  • que se sigan los procedimientos relacionados con los procedimientos judiciales y las resoluciones de litigios.

Consejos

  • Debes ponerte en contacto con la asociación u organismo pertinente que elabore los códigos de conducta del RGPD, ya que pueden ayudarte a cumplir el RGPD.

Certificación

¿Qué es una certificación RGPD?

Una organización que obtiene una certificación RGPD puede utilizar dicha certificación para demostrar el cumplimiento de sus operaciones de tratamiento de conformidad con lo dispuesto en el RGPD.

Las autoridades de protección de datos del EEE podrán, por ejemplo:

  • emitir certificaciones RGPD con respecto a su propio sistema de certificación;
  • emitir ellas mismas las certificaciones del RGPD con respecto a su propio sistema de certificación, delegando la totalidad o parte del proceso de tratamiento en terceros;
  • crear su propio sistema de certificación y encomendar a organismos específicos la expedición de dichas certificaciones;
  • alentar al mercado a desarrollar mecanismos de certificación;
  • evaluar los sistemas de certificación de los organismos de certificación.

Un organismo de certificación se encarga de emitir, revisar y retirar certificaciones sobre la base de un mecanismo de certificación y unos criterios aprobados.

Los organismos de certificación deben documentar su evaluación de las operaciones de tratamiento de tu organización para las que se puede emitir una certificación RGPD.

 

Mi organización ha recibido una certificación RGPD, ¿qué es lo siguiente?

La certificación RGPD de una operación de tratamiento que tu organización lleva a cabo es válida por un máximo de 3 años, si bien puede renovarse o revocarse. Para mantener esta certificación, tu organización debe poner en práctica de forma continua y coherente las medidas en torno a la operación de protección de datos que fue certificada.

Enlace
Art. 42 RGPD

EUR-Lex

Enlace
Art. 43 RGPD

EUR-Lex

Enlace
Directrices sobre certificación e identificación de los criterios de certificación de conformidad con los artículos 42 y 43 del Reglamento

CEPD