Proyecto de Consultoría sobre el cumplimiento del RGPD
El Plan de Trabajo de un Proyecto de Consultoría sobre cumplimiento del RGPD
El Plan de Trabajo de un proyecto de consultoría, una vez tomada la decisión de contratar una empresa consultora especializada en Protección de Datos para adecuarnos a la normativa vigente europea, se basaría en una hoja de ruta. El Plan de trabajo queda dividido, por tanto, en una serie de fases que debemos completar y que ayudarán a clarificar el estado actual de adecuación o su defecto a la normativa vigente.
A grandes rasgos podríamos resumir estas fases del proyecto de consultoría sobre cumplimiento del RGPD en: realizar un registro de actividades de tratamiento de datos personales, llevar a cabo la recopilación de información relativa al tratamiento de datos personales de forma concisa, enumeración de las medidas de seguridad del tratamiento adoptadas, notificación de violaciones de seguridad de los datos personales a la Autoridad de Control en caso de producirse, concreción de la relación existente entre Responsables y Encargados de Tratamiento y ejercicio de Derechos del Interesado.
Fases del Proyecto de Consultoría en cumplimiento del RGPD
1. Registro de actividades de tratamiento de datos personales en el proyecto de consultoría.
Cada Responsable de Tratamiento deberá llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.
Dicho registro deberá contener la siguiente información:
- Nombre y datos de contacto del Responsable y del Delegado de Protección de Datos (DPD)
- Los fines del tratamiento
- Una descripción de las categorías de interesados y de las categorías de datos personales
- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales
- Documentación de garantías adecuadas en caso de las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de dicho tercer país
- Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos
- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1. del RGPD
La empresa consultora elaborará el registro de las actividades de tratamiento para los solicitantes, con la finalidad de dar cumplimiento a lo establecido en el artículo 30 del Reglamento General de Protección de Datos. El RGPD requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la anterior normativa española en materia de protección de datos personales. (LOPD).
Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados en el Reglamento. A partir de mayo de 2018 solo tendrán legitimación suficiente los tratamientos basados en el consentimiento inequívoco, con independencia de cuando se haya obtenido ese consentimiento.
2. Información
En materia informativa, el RGPD en su artículo 13 incluye cuestiones adicionales que actualmente no eran requeridas por la normativa española. El Responsable del Tratamiento debe tomar las medidas oportunas para facilitar al interesado la información relativa al tratamiento en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
3. Seguridad del Tratamiento
El artículo 32 del Reglamento General de Protección de Datos recoge el principio de la “seguridad del tratamiento” que se fundamenta en:
- Seudonimización y el cifrado de datos personales
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento
Para evaluar la adecuación del nivel de seguridad necesario para los datos se tendrán en cuenta particularmente los riesgos que presenten el tratamiento de los datos, como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
4. Notificación violaciones de seguridad de los datos personales a la autoridad de control
La autoridad de control competente a nivel nacional es la Agencia Española de Protección de Datos Personales (AEPD)
Conforme lo establecido en el artículo 33 del Reglamento General de Protección de Datos, en caso de violación de la seguridad de los datos personales, el Responsable del Tratamiento la notificará a la autoridad de control competente sin dilación indebida, y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella. Si la comunicación a la autoridad de control no se produce en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
A nivel europeo existe el Comité Europeo de Protección de Datos (European Data Protection Board – EDPB), “un organismo europeo independiente que contribuye a la aplicación coherente de las normas de protección de datos en toda la Unión Europea y promueve la cooperación entre las autoridades de protección de datos de la UE. El EDPB está compuesto por representantes de las autoridades nacionales de protección de datos y el Supervisor Europeo de Protección de Datos (EDPS). El EDPB está establecido por el Reglamento General de Protección de Datos (GDPR) y tiene su sede en Bruselas”.
5. Relación entre Responsables y Encargados de Tratamiento
Un contrato es el documento que determina las obligaciones de las partes ante la prestación del servicio o encargo que se acuerda. En este caso concreto, la relación entre el Responsable y el Encargado de Tratamiento se debe articular siempre y en todo caso mediante un contrato que debe respetar el contenido fijado por el Reglamento, ya que en caso contrario no se estarían trasladando a los encargados las obligaciones que el Reglamento específicamente prevé.
Será necesario abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, para que sean compatibles con las disposiciones generales del tratamiento establecidos en el nuevo Reglamento. También se deberán incluir en las nuevas claúsulas contractuales todos los elementos que el Reglamento considera necesarios.
6. Derechos del Interesado
Las empresas consultoras también asesorarán a los contratantes en relación con los mecanismos de recepción y gestión de solicitudes de ejercicio de derechos de los interesados que recoge el Capítulo III del RGPD:
- Derecho de acceso
- Derecho de rectificación
- Derechos de supresión
- Derecho a la limitación del tratamiento
- Derecho a la portabilidad (aspectos técnicos, organizativos y de gestión)
- Derecho de oposición
- Bloqueo de los datos
En la Escuela de Especialización Universitaria EDEU Formación predicamos con el ejemplo y ya hemos adaptado nuestra Política de Privacidad y procedimientos al RGPD en materia de protección de datos personales. ¿Te interesa continuar aprendiendo y conseguir una especialización en protección de datos?
Si es tu caso, en EDEU Formación te ayudamos a conseguirlo. ¿Cómo? ofrecemos dos cursos online de protección de datos, ambos teórico-prácticos donde tutores profesionales resolverán todas tus dudas.
Anímate a profundizar en esta materia de gran demanda en el mercado laboral, ahora que ya has aprendido tanto el Plan de Trabajo como las principales fases en que se divide un proyecto de Consultoría en cumplimiento del RGPD. E-learning de calidad a precios asequibles con EDEU Formación.
Pídenos ahora información sin compromiso sobre el Curso Monográfico de Protección de Datos o sobre el Curso sobre Protección de Datos de Carácter Personal
En sucesivos posts hablaremos sobre Auditoría de verificación del cumplimiento del RGPD. ¡Permaneced atentos!