Hoja de ruta RGPD para adaptarse a la LOPD y Reglamento General de Protección de Datos

Ruja para cumplir con la RGPD

Por
16/05/2025

Desde el 25 de mayo de 2016 que el Reglamento General de Protección (RGPD) es plenamente aplicable. Tanto responsables como encargados del tratamiento están obligados a adaptarse al RGPD y la LOPDGDD para poder demostrar que cumplen con sus previsiones, para ello las organizaciones deben elaborar una hoja de ruta para RGPD para adaptarse a la normativa de protección de datos.

Hay que recordar que los Reglamentos europeos son normas directamente aplicables que no requieren normas internas de trasposición, ni en la mayoría de los casos normas de desarrollo, aunque en España el RGPD ha sido desarrollado por la Ley 3/2018 de protección de datos y garantía de derechos digitales (LOPD).

La piedra angular del RGPD es el principio de responsabilidad proactiva, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

Hoja de ruta RGPD

En esta hoja de ruta RGPD se presentan las principales cuestiones que las organizaciones deberán tener en cuenta para adaptarse al Reglamento General de Protección de Datos y a la Ley orgánica de Protección de Datos y Garantía de Derechos digitales.

En primer lugar, recomendamos el uso de la herramienta FACILITA_RGPD publicada por la AEPD, esta herramienta ayuda a las empresas que realicen un tratamiento de datos personales de escaso riesgo a adaptarse al RGPD y la LOPD. Si el tratamiento que datos que lleva a cabo el responsable o el encargado de tratamiento implican un alto riesgo para los derechos y libertades de las personas, no y no se adaptan a la herramienta, se deberán seguir los siguientes pasos:

Pasos en la hoja de ruta RGPD

1. Designar un Delegado de protección de Datos (DPD o DPO)

La designación se puede hacer porque sea obligatoria para la empresa, porque así lo establezca la LOPD o el RGPD o se puede realizar de forma voluntaria.

INEAF es una entidad formadora de Delegados de protección de datos  reconocida por ANF AC, el certificado del Curso Superior Universitario en Delegado de Protección de Datos. Data Protection Officer (DPO) (Titulación Universitaria + 8 Créditos ECTS) (Preparación Certificación DPD) habilita a nuestro alumnado a presentarse al examen oficial de certificación.

La designación de un Delegado de protección de datos es una medida clave para asegurar el cumplimiento de la normativa de protección de datos en una organización.

2. Elaborar un Registro de Actividades del Tratamiento (RAT).

Cada organización deberá llevar un Registro de Actividades de Tratamiento conforme a lo previsto en el artículo 30 del RGPD. El artículo 30.1 dicta el contenido de este registro para el responsable de tratamiento, y el 30.2 detalla el contenido del Registro para el encargado de tratamiento.

3. Realizar un Análisis de riesgo.

Uno de los requerimientos que establece el RGPD para responsables y encargados del tratamiento que realizan actividades de tratamiento con datos personales es la necesidad de llevar a cabo un análisis de riesgos de la seguridad de la información con el fin de establecer las medidas de seguridad y control orientadas a cumplir los principios de protección desde el diseño y por defecto que garanticen los derechos y libertades de las personas.

Guía práctica de análisis de riesgos en los tratamientos de datos sujetos al RGPD. AEPD.

4. Adoptar medidas de seguridad.

A la luz de los resultados del análisis de riesgos se deberán adoptar las medidas de seguridad necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos como para salvaguardar los derechos y libertades de los interesados.

5. Notificación de brechas de seguridad.

El Reglamento General de Protección de Datos establece la obligación de notificar a la autoridad de control, en este caso la Agencia Española de Protección de Datos (AEPD), cualquier brecha de seguridad que suponga un riesgo para los derechos y libertades de las personas. Dicha notificación debe realizarse en un plazo máximo de 72 horas desde que el responsable del tratamiento tenga constancia del incidente, a través de la Sede electrónica de la AEPD.

En aquellos casos en los que la brecha entrañe un alto riesgo para los derechos y libertades de los interesados, el responsable deberá comunicar también el incidente a los afectados, sin dilación indebida. Esta comunicación debe realizarse por los canales habituales de contacto y empleando un lenguaje claro y accesible. Su objetivo es permitir que las personas afectadas adopten medidas para protegerse, por lo que debe incluir una descripción comprensible del incidente, sus posibles consecuencias y las recomendaciones oportunas para minimizar o evitar efectos adversos.

Para facilitar este proceso, la AEPD pone a disposición de los responsables del tratamiento la herramienta Comunica-Brecha RGPD, que permite valorar si existe obligación de informar a los interesados en función de la naturaleza y el alcance de la brecha de seguridad.

6. Evaluación de impacto en la protección de datos (EIPD).

Una Evaluación de Impacto en la Protección de Datos (EIPD) es un procedimiento preventivo que se enmarca dentro de los principios de protección de datos desde el diseño y por defecto. Su finalidad es describir de forma anticipada el tratamiento de datos personales previsto, evaluar su necesidad y proporcionalidad, e identificar los posibles riesgos que dicho tratamiento pueda representar para los derechos y libertades de las personas. Asimismo, permite establecer y aplicar las medidas técnicas y organizativas adecuadas para reducir esos riesgos a un nivel considerado aceptable.

Gestiona EIPD es un asistente para el análisis de riesgos y evaluaciones de impacto en protección de datos. Esta herramienta guía a los responsables y encargados del tratamiento en los aspectos que se deben tener en cuenta, proporcionando una base inicial para una gestión adecuada

Pasos adicionales para seguir la hoja de ruta RGPD

  •  Adecuar los formularios al derecho de información. Cuando se recaban tus datos de carácter personal, el responsable del tratamiento debe cumplir con el derecho de información.

La Guía para el cumplimiento del deber de informar:

  • Adaptar los mecanismos y procedimientos para el ejercicio de derechos utilizando servicios web siempre que sea posible.
  • Valorar si los encargados ofrecen garantías y realizar la adaptación de sus contratos al RGPD.

Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.

  • Adaptar/elaborar una política de privacidad.

Es imprescindible documentar todas las actualizaciones realizadas para poder acreditar el cumplimiento del RGPD. Para comprobarlo puedes acudir al Listado de cumplimiento normativo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ARTÍCULOS RELACIONADOS