Implantación RGPD UE 2016/679

Reglamento General de Protección de Datos

(RGPD UE 2016/679)

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

¿A partir de que fecha se aplicará el RGPD en España? 

El REGLAMENTO (UE) 2016/679 del PARLAMENTO EUROPEO y del CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS - RGPD) será de aplicación efectiva en España desde el 25 de mayo de 2018.

Nuevos principios del RGPD UE 2016/679

  • Se amplia el ámbito territorial de aplicación a las actividades de empresas no establecidas en la UE pero que traten datos de destinatarios europeos, para ofrecer bienes y servicios o para control de su comportamiento.
  • Obtención del consentimiento.
  • Categorias especiales de datos.
  • Nuevos derechos.
  • Información a los afectados.
  • Responsabilidad proactiva.
  • Análisis de los riesgos.
  • Encargados del tratamiento.
  • Registro de actividades de tratamiento.
  • Evaluación de Impacto relativa a la Protección de Datos (EIPD).
  • Delegado de Protección de Datos (DPO).
  • Multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Servicio de Implantación RGPD

REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO DEL RESPONSABLE. 

Cumplimiento Artículo 30 RGPD UE 2016/679.

  • El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
  • Los fines del tratamiento.
  • Una descripción de las categorías de interesados y de las categorías de datos personales.
  • Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • En su caso, las transferencias de datos personales a un tercer país o una organización internacional incluida su identificación así como la documentación de garantías adecuadas.
  • Los plazos previstos para la supresión de las diferentes categorías de datos.
  • Descripción general de las medidas técnicas y organizativas de seguridad.

Nota: Si su empresa/entidad actúa también como ENCARGADO DEL TRATAMIENTO deberá elaborar, a parte del REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO DEL RESPONSABLE, el REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO COMO ENCARGADO. 


CLÁUSULAS PARA EL CUMPLIMIENTO DEL DEBER INFORMATIVO DEL RESPONSABLE.

Cumplimiento Artículos 13 y 14 RGPD UE 2016/679.

1- Introducción

2- Información básica (Primera capa) 

  • Identidad y datos de contacto del responsable y, en su caso, de su representante.
  • La finalidad del tratamiento y la base jurídica para el tratamiento del mismo.
  • Plazos de conservación de los datos o criterios para determinar el plazo.
  • De la posibilidad de solicitar el ejercicio de derechos: acceso, rectificación, supresión, limitación, oposición y portabilidad.
  • El derecho a revocar el consentimiento.
  • El derecho a presentar reclamación ante la Autoridad de Control.

3- Información ampliada (Segunda capa) 

  • Identidad del Delegado de Protección de Datos.
  • Del interés legítimo del responsable o un tercero, en el caso de uso de dichos supuestos de tratamiento.
  • De los destinatarios en caso de que existan.
  • De las transferencias internacionales incluyendo información sobre las garantías adoptadas.
  • De la existencia de decisiones individualizadas automatizadas.
  • La existencia de comunicaciones de datos, bien por requisito legal o contractual, y de la obligación a facilitar dichos datos y las consecuencias de la negativa a facilitarlos.

CONTRATOS CON LOS ENCARGADOS DEL TRATAMIENTO. 

Cumplimiento Artículo 28 RGPD UE 2016/679. 

  • Objeto del encargo del tratamiento.
  • Descripción detallada del servicio.
  • Concreción de los tratamientos a realizar.
  • Duración.
  • Naturaleza y la finalidad del tratamiento.
  • Tipo de datos personales y categorías de interesados.
  • Obligaciones del encargado del tratamiento
  • Obligaciones y derechos del responsable. 

EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS (EIPD). 

Cumplimiento Artículo 35 RGPD UE 2016/679.

Según lo dispuesto en el artículo 35 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016 relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos – RGPD), la realización de una Evaluación de Impacto en la Protección de Datos (EIPD) será obligatoria para el responsable cuando a priori sea probable que un determinado tratamiento de datos personales entrañe un alto riesgo para los derechos y las libertades de las personas físicas, que son los valores cuya protección se persigue a través de la evaluación de impacto y, en general, de todo el RGPD.

El apartado 3 del artículo 35 del RGPD establece tres tipos de tratamiento que, debido al alto riesgo que suponen para los derechos y libertades de las personas físicas requieren preceptivamente de una EIPD, enumeración que no es taxativa y podrá ser complementada por la futura ley de reforma de la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) para su adaptación al RGPD y por las autoridades de control, facultadas para publicar listas de tipos de operaciones de tratamiento que requieran una EIPD y de aquellas que no la requieran.

Los tres tipos de tratamiento enumerados en esta disposición son:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Tratamiento a gran escala de las categorías especiales de datos* o de los datos personales relativos a condenas e infracciones penales.
  • Observación sistemática a gran escala de una zona de acceso público.

*Las categorías especiales de datos son aquellos datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.


DELEGADO DE PROTECCIÓN DE DATOS (DPD). 

Cumplimiento Artículo 37 RGPD UE 2016/679.

El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.


ANÁLISIS DE RIESGOS. "Protección de datos desde el diseño y por defecto" y "Seguridad del tratamiento”.

Cumplimiento Artículos 25 y 32 RGPD UE 2016/679.

  • La seudonimización y el cifrado de datos personales.
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Solicita Presupuesto