Claves prácticas para la adecuación al RGPD y LOPD-GDD

El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD-GDD) establecen un marco legal que garantiza la privacidad y protección de los datos personales que obliga a los responsables del tratamiento (sean éstas personas jurídicas o físicas) llevar a cabo un proceso de adecuación al RGPD y LOPD-GDD de sus actividades de tratamiento de datos personales a las exigencias de estas normativas

Todas las organizaciones, incluyendo los autónomos que recojan y traten datos personales, deben adecuar sus actividades de tratamiento a los requisitos del RGPD y LOPD-GDD, aplicando medidas técnicas y organizativas apropiadas para asegurar y demostrar el cumplimiento de la normativa de protección de datos.

Este enfoque, basado en el principio de responsabilidad proactiva, requiere que las organizaciones analicen qué datos tratan, con qué finalidades y qué operaciones realizan. Con esta información, deben definir cómo aplicarán las medidas previstas por el RGPD, asegurándose de que estas sean adecuadas para cumplir la norma y que puedan demostrarlo ante interesados y autoridades.

Claves prácticas para la adecuación al RGPD y LOPD-GDD

A continuación se ofrece una lista (no exhaustiva) de verificación (checklist) que sirve de guía paso a paso para que cualquier empresa y autónomo puedan iniciar su proceso de adecuación al RGPD y LOPD-GDD:

1. Licitud del tratamiento

Los datos personales deben ser tratados de forma legítima, debiendo las actividades de tratamiento estar respaldas por una de las bases jurídicas que consagra el RGPD.

  • Identificar la base legal de cada tratamiento: Determinar si el tratamiento se basa en el consentimiento, ejecución de un contrato, cumplimiento de una obligación legal, protección de intereses vitales, interés público o interés legítimo.
  • Documentar y registrar la base legal correspondiente para cada actividad de tratamiento.
  • Realizar evaluaciones periódicas para confirmar que la base legal sigue siendo válida.

2. Transparencia (deber de información)

El principio de transparencia exige que los interesados estén plenamente informados sobre el uso de sus datos personales. La información proporcionada debe ser concisa, inteligible y fácilmente accesible, y debe incluir, entre otra, identidad del responsable, fines y base jurídica del tratamiento, categorías de datos y destinatarios, y derechos de los interesados y cómo ejercerlos.

  • Redactar una política de privacidad clara, concisa y de fácil acceso en el sitio web.
  • Informar a los interesados sobre la identidad del responsable, los fines del tratamiento, y derechos de los interesados.
  • Implementar un sistema de capas de información: primera capa con información básica y segunda capa con detalles adicionales.

3. Consentimiento

El consentimiento es una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Para que el consentimiento sea válido debe ser libre y específico (si coacción y para fines definidos), así como informado e inequívoco. Además, debe quedarse registrado y poder ser retirado en cualquier momento de manera sencilla.

  • Obtener el consentimiento expreso (no siendo válido el uso de casillas ya marcadas o la inacción) para cada fin específico.
  • Facilitar la retirada del consentimiento de forma sencilla y en cualquier momento.
  • Mantener un registro de todos los consentimientos otorgados (quién otorgó el consentimiento, cuándo, cómo y para qué, así como la información que se le suministró en el momento de obtenerlo) y cualquier modificación o retirada.
  • Utilizar sistemas de gestión de consentimiento que permitan actualizaciones y retiradas, registrando los cambios para auditorías.

4. Derechos de los interesados

El RGPD otorga a los interesados (titulares de los datos personales) una serie de derechos fundamentales: acceso, rectificación, supresión (derecho al olvido), limitación, portabilidad, oposición y no ser objeto de decisiones automatizadas.

En general, los responsables del tratamiento deben facilitar el ejercicio de estos derechos mediante procedimientos visibles, accesibles y simples. Asimismo, es obligatorio que se permita la presentación de solicitudes a través de medios electrónicos, especialmente cuando el tratamiento se realiza utilizando estos mismos medios.

  • Acceso: Permitir a los interesados conocer si se están tratando sus datos personales y obtener una copia de los mismos.
  • Rectificación: Facilitar la corrección de datos inexactos o incompletos.
  • Supresión (Derecho al olvido): Ofrecer la opción de solicitar la eliminación de sus datos personales.
  • Limitación del tratamiento: Restringir temporalmente el tratamiento de los datos en ciertos casos (ej., cuando se impugne la exactitud de los datos).
  • Portabilidad: Permitir que los interesados reciban sus datos en un formato estructurado, comúnmente utilizado, para transferirlos a otro responsable.
  • Oposición: Respetar el derecho a oponerse al tratamiento de datos por motivos personales o en caso de marketing directo.
  • No ser objeto de decisiones automatizadas: Garantizar que los interesados no sean sometidos a decisiones automatizadas sin intervención humana, especialmente aquellas que puedan tener efectos significativos.
  • Implementar un sistema de gestión de solicitudes de derechos de los interesados, con procedimientos claros y plazos para responder en un máximo de un mes.
  • Responder a las solicitudes en un plazo de 30 días, ampliable a 60 en casos complejos.
  • Mantener un registro de las solicitudes recibidas y acciones tomadas.

5. Protección de datos desde el diseño y por defecto

Entre las medidas de responsabilidad activa se encuentra la protección de datos desde el diseño y por defecto. Estas deben aplicarse antes de iniciar el tratamiento y durante su desarrollo.

Estas medidas reflejan un enfoque proactivo, considerando la protección de datos desde la fase de diseño de cualquier tratamiento, producto o servicio que implique datos personales.

Desde el principio, los responsables deben implementar medidas organizativas y técnicas para integrar garantías que apliquen efectivamente los principios del RGPD.

Estas medidas aseguran que solo se traten los datos necesarios, limitando la cantidad, extensión, tiempo de conservación y accesibilidad de los datos.

  • Incorporar medidas de privacidad desde el diseño en cada nuevo proyecto o sistema.
  • Configurar todos los sistemas para que, por defecto, solo recojan y traten los datos estrictamente necesarios.
  • Limitar el acceso a los datos únicamente a quienes lo necesiten para fines legítimos.

6. Contratos de encargo de tratamiento

Siempre que se vaya a externalizar servicios de tratamientos de datos, las organizaciones deberán elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RPGD. 

Por otro lado, las relaciones entre las organizaciones responsables del tratamiento y el encargado deberán formalizarse en un contrato o en un acto jurídico que vincule al encargado respecto al responsable.

  • Comprobar que los encargados (y los subencargados) ofrecen las garantías exigidas por el RGPD.
  • Formalizar contratos de encargo con todos los terceros que traten datos personales en nombre de la organización.
  • Asegurarse de que los contratos incluyan instrucciones detalladas sobre la seguridad y confidencialidad de los datos.

7. Registro de actividades de tratamiento

El RGPD exige a los responsables mantener un registro de actividades de tratamiento de datos para demostrar su cumplimiento.

Este registro debe incluir información, entre otra, como: (i) nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos, si aplica; (ii) finalidades del tratamiento; (iii) categorías de interesados y de datos personales tratados, y (iv) transferencias internacionales de datos, si las hubiera.

  • Crear y mantener un registro de todas las actividades de tratamiento de datos personales.
  • Asegurarse de que el registro incluya la finalidad del tratamiento, categorías de interesados y destinatarios, transferencias internacionales, plazos de conservación y medidas de seguridad.
  • Revisar y actualizar el registro en caso de cambios en los tratamientos.

8. Gestión del riesgo y medidas de seguridad

El artículo 32 del RGPD exige a los responsables de datos personales establecer medidas de seguridad adecuadas al riesgo, considerando la tecnología, costes, naturaleza y finalidad del tratamiento, y los riesgos para los derechos y libertades de las personas.

Para mantener la seguridad, el responsable debe evaluar y mitigar los riesgos inherentes al tratamiento de datos, como la destrucción, pérdida, alteración o acceso no autorizado, que podrían causar daños físicos, materiales o inmateriales a los interesados. 

  • Realizar evaluaciones de riesgo para identificar posibles vulnerabilidades.
  • Implementar medidas de seguridad técnicas: cifrado de datos, control de acceso y autenticación, copias de seguridad regulares, firewalls y sistemas de detección de intrusiones.
  • Establecer medidas organizativas: políticas internas de seguridad, formación del personal en protección de datos, protocolos de actuación ante incidentes.
  • Monitorizar y revisar periódicamente las medidas de seguridad implementadas.

9. Gestión de brechas de seguridad

Una brecha de datos personales es un incidente de seguridad que provoca la destrucción, pérdida, alteración, o acceso no autorizado a datos personales. Estas brechas pueden causar daños a las personas afectadas, por lo que es importante evitarlas y, en caso de ocurrir, gestionarlas adecuadamente.

El artículo 33 del RGPD obliga a los responsables a notificar las brechas a la autoridad de control si representan un riesgo para los derechos de las personas, y si el riesgo es alto, también deben informar a los afectados (artículo 34). Esta notificación debe hacerse en 72 horas desde que se conoce la brecha.

  • Establecer un protocolo de respuesta ante incidentes de seguridad que incluya la notificación a la autoridad de control en un plazo de 72 horas.
  • Documentar todas las brechas, incluyendo las medidas adoptadas para remediarlas y prevenir incidentes futuros.
  • Comunicar la brecha a los afectados cuando pueda suponer un alto riesgo para sus derechos y libertades.

10. Cultura corporativa de protección de datos

Fomentar una cultura de protección de datos dentro la organización contribuye a garantizar que todas las actividades de tratamiento de datos personales se realice conforme a la normativa. Esto implica mucho más que simplemente implementar medidas de cumplimiento. Se trata de involucrar a todos los niveles de la empresa, desde la alta dirección hasta cada empleado, para que la protección de datos sea una prioridad en las operaciones diarias. 

  • Involucrar a la alta dirección para que promueva activamente el cumplimiento de la normativa de la protección de datos, integrándola en la estrategia general de la organización. 
  • Capacitar a todos los empleados en protección de datos y buenas prácticas en su gestión.
  • Establecer programas de formación continua y campañas de concienciación y sensibilización periódicas para asegurar que todos los empleados comprendan y apliquen las normativas.

La adecuación al RGPD y la LOPD-GDD no solo evita sanciones, sino que también mejora la reputación y fortalece la confianza de clientes y socios.

En AUFERIL, entendemos la complejidad de la normativa de protección de datos y ofrecemos soluciones integrales de adecuación al RGPD y LOPD-GDD a empresas y autónomos que simplifican el cumplimiento normativo. Si necesitas asistencia para la adecuación de tu empresa al RGPD y la LOPD-GDD o deseas más información sobre nuestros servicios, no dudes en contactarnos a través de nuestro correo electrónico info@auferil.es o por teléfono o WhatsApp (+34 676 351 757).