En una auditoría de protección de datos de carácter personal, se verifica que el tratamiento que en nuestra empresa u organización se hace de los datos, está dentro de la legislación, e incluso se puede ir más allá, estableciendo parámetros más rigurosos a la hora de proteger los datos de nuestros empleados, clientes, proveedores, colaboradores, etc.
A lo largo de la unidad se han compartido muchos documentos de consulta sobre los distintos aspectos que cubre la legislación en protección de datos, como directivas, guías, la mayor parte de ellas creadas por la AEPD, y que serán de gran utilidad a la hora de interpretar la legislación y aplicarla convenientemente. Finalmente, vamos a poner en común un procedimiento para llevar a cabo dicha validación en el contexto de una empresa privada u organización, que es el caso más común, ya que para las administraciones públicas, es de obligado cumplimento la designación de un DPD, que cumpliría esta función.
Los artículos 37 y 39 del Reglamento europeo regulan la figura del Delegado de Protección de Datos. La obligatoriedad de designación se establece en tres supuestos:
- Si el tratamiento de los datos corre a cargo de una autoridad u organismo público.
- Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
- Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.
En el caso de que la organización a auditar se encuentre dentro de alguno de estos supuestos, la gestión de las actividades y operaciones sobre los datos ha de ser llevada a cabo por una persona que tenga la certificación de DPD, no basta con ser auditor/a ni con tener experiencia en la auditoría de sistemas informáticos.
Téngalo en cuenta para cumplir con la legislación, si bien, siempre debería de nombrar a alguien dentro de la organización con conocimiento para validar las acciones del DPD subcontratado.
Herramienta "Facilita_RGPD" para datos de escaso riesgo
La AEPD presta una especial consideración a las necesidades específicas de las PYMES, micropymes y profesionales, que por su actividad, se puede presumir que los tratamientos de datos personales que realizan presentan un escaso nivel de riesgo. Para ellos, la AEPD ha elaborado la herramienta FACILITA_RGPD, que proporciona ayuda para la elaboración del registro de actividades de tratamiento, las cláusulas informativas, las cláusulas contractuales para encargados del tratamiento y las medidas de seguridad a adoptar.
Se trata de un tutorial que, mediante una batería de preguntas, solicita información de los datos personales que necesita nuestra organización.Sólo es una herramienta apta para aquellos que traten datos de escaso riesgo, lo que la hace muy limitada en su posibilidad de uso: las respuestas a las tres primeras preguntas determinarán si nuestra organización se engloba en ese marco o no, y podemos anticipar que no serán muchos quienes se puedan acoger a esta herramienta, dado el carácter restringido del concepto "escaso riesgo".
Están excluidas del uso de esta herramienta :
Las organizaciones que estén en sectores como el de sanidad, solvencia y patrimonio, generación y uso de perfiles, actividades políticas, sindicales o religiosas, servicios de telecomunicaciones, seguros, entidades bancarias y financieras, actividades de servicios sociales, publicidad y videovigilancia de grandes infraestructuras como estaciones de ferrocarril o centros comerciales.
También están excluidas aquellas organizaciones que traten datos que revelen el origen étnico o social, de opiniones políticas y religiosas, de afiliación sindical (excepto cuotas sindicales), genéticos, biométricos (dirigidos a identificar de manera unívoca a una persona), de salud física o mental, relativos a la vida sexual o a la orientación sexual, relativos a condenas o infracciones penales y de geolocalización.
Por último, se excluyen también las organizaciones que realizan tratamientos en los que se realicen o analicen perfiles, se haga publicidad y prospección comercial masiva a potenciales clientes, prestación de servicios de explotación de redes públicas o servicios de comunicación electrónica (prestador de servicios de Internet de la Ley General de Telecomunicaciones), se gestionen los asociados o miembros de partidos políticos, sindicatos, iglesias o comunidades religiosas, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, se gestione, controlen o vendan medicamentos o si se realizan tratamientos de historiales clínicos o sanitarios.
En definitiva, en el caso de que la empresa u organización tenga la obligación de elaborar una evaluación de impacto en la protección de datos (una PIA, en sus siglas en inglés: Privacy Impact Assesment), estará excluida del uso de Facilita_RGPD.
Tras elegir la actividad, procederemos a rellenar una nueva batería de preguntas acerca de los datos personales que se tratan en la organización: de clientes o potenciales clientes, de empleados o candidatos a serlo, proveedores, empresas que presten servicios varios (de desarrollo informático o de programas, correo electrónico, hosting, o servicios de limpieza, etc.), o si se captan imágenes de vigilancia. Al mismo tiempo, si efectivamente se efectúan esos tratamientos de datos personales, se nos preguntará qué datos concretos son, el modo de obtenerlos, la finalidad, si se van a entregar a terceros para distintos tratamientos, etc.
Al término del cuestionario, se nos descargará automáticamente el informe, que ya será personalizado: clausulas informativas para incluir en los distintos formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento y un anexo con medidas de seguridad orientativas consideradas mínimas (todo ello se genera en función de los datos que introduzcamos: podrá haber más o menos documentos, y éstos serán más o menos extensos).
El acceso a la herramienta se lleva a cabo a través de este enlace:
https://www.aepd.es/guias-y-herramientas/herramientas/facilita-rgpd
Tenga en cuenta que la utilización de Facilita_RGPD se limita a aquellas entidade u organizaciones consideradas de "Escaso Riesgo". es decir, que no están obligadas a llevar a cabo un análisis de riesgo.
Listado de cumplimiento
A grandes rasgos, la siguiente infografía elaborada por la AEPD resume los pasos a seguir para validar el cumplimiento en el caso de que no podamos usar la herramienta Facilita_RGPD
Infografía Adaptación RGPD Sector Privado (
Fuente)
Más concretamente, podemos servirnos de este Listado de Cumplimiento, elaborado por la AEPD, que nos ayudará a garantizar, entre otros:
- Cumplir los principios relativos al tratamiento (licitud, consentimiento, categorías especiales de datos...)
- Cumplir los derechos del interesado/a (transparencia, información, ARCO, etc.)
- El Responsable del Tratamiento cumple con sus funciones.
- La protección de datos se lleva a cabo desde el diseño y por defecto.
- Se lleva a cabo el Registro de Actividades de Tratamiento.
- Se notifican las brechas de seguridad dentro de lo establecido.
- Se realiza una EIPD.
- El DPD cumple con sus funciones.
- La transferencia de datos se hace dentro de lo establecido.
En este procedimiento, vamos validando que todas las respuestas a las diferentes cuestiones del listado "cumplen" con la norma, y de no ser así, ya sabemos que debemos implementar medidas para adaptarnos a lo establecido.
Esta píldora formativa está extraída del Curso online de Auditoría de seguridad informática y de protección de datos personales.
