Hoja de ruta RGPD para adaptarse a la LOPD y Reglamento General de Protección de Datos

Ruja para cumplir con la RGPD

Por
22/04/2021

Desde el 25 de mayo de 2016 que el Reglamento General de Protección (RGPD) es plenamente aplicable, tanto responsables como encargados del tratamiento están obligados a adaptarse al RGPD y la LOPD para poder demostrar que cumplen con sus previsiones. El Reglamento contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.

Hay que recordar que los Reglamentos europeos son normas directamente aplicables que no requieren normas internas de trasposición, ni en la mayoría de los casos normas de desarrollo, aunque en España el RGPD ha sido desarrollado por la Ley 3/2018 de protección de datos y garantía de derechos digitales (LOPD).

La piedra angular del RGPD es el principio de responsabilidad proactiva, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

En esta hoja de ruta se presentan las principales cuestiones que las organizaciones deberán tener en cuenta para adaptarse al RGPD y la LOPD.

En primer lugar, recomendamos el uso de la herramienta FACILITA_RGPD publicada por la AEPD, esta herramienta ayuda a las empresas que realicen un tratamiento de datos personales de escaso riesgo a adaptarse al RGPD y la LOPD. Si el tratamiento que datos que lleva a cabo el responsable o el encargado de tratamiento implican un alto riesgo para los derechos y libertades de las personas, no y no se adaptan a la herramienta, se deberán seguir los siguientes pasos:

Pasos en la hoja de ruta para adaptarse al RGPD

  1. Designar un Delegado de protección de Datos (DPD) si es obligatorio para la empresa o si lo asume voluntariamente.

Tanto el RGPD como la LOPD han prevén algunos supuestos en los que es obligatorio nombrar un DPD.

 2. Elaborar un Registro de Actividades del Tratamiento.

Cada organización deberá llevar un Registro de Actividades de Tratamiento conforme a lo previsto en el artículo 30 del RGPD. El artículo 30.1 dicta el contenido de este registro para el responsable de tratamiento, y el 30.2 detalla el contenido del Registro para el encargado de tratamiento.

  1. Realizar un Análisis de riesgo.

Uno de los requerimientos que establece el RGPD para responsables y encargados del tratamiento que realizan actividades de tratamiento con datos personales es la necesidad de llevar a cabo un análisis de riesgos de la seguridad de la información con el fin de establecer las medidas de seguridad y control orientadas a cumplir los principios de protección desde el diseño y por defecto que garanticen los derechos y libertades de las personas.

Guía práctica de análisis de riesgos en los tratamientos de datos sujetos al RGPD. AEPD.

  1. Adoptar medidas de seguridad.

A la luz de los resultados del análisis de riesgos se deberán adoptar las medidas de seguridad necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos como para salvaguardar los derechos y libertades de los interesados.

  1. Establecer los mecanismos y procedimientos necesarios para realizar la notificación de brechas de seguridad.

El RGPD prevé que si una brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas se debe notificar ante la AEPD en un plazo máximo de 72 horas desde que se tenga constancia a de su Sede electrónica.

Si además entraña un alto riesgo para los interesados, esta comunicación también deberá hacerse a los afectados sin dilación indebida, a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitirá que los afectados puedan tomar las medidas oportunas, porque en dicha comunicación se les deberá explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.

Comunica-brecha RGPD es una herramienta publicada por la AEPD para que cualquier organización, responsable de un tratamiento de datos personales, pueda valorar la obligación de informar a las personas físicas afectadas por una brecha de seguridad de los datos personales

  1. A partir de los resultados del análisis de riesgos, realizar en su caso una evaluación de impacto en la protección de datos (EIPD).

Una EIPD es un proceso ligado a los principios de protección de datos desde el diseño y protección de datos por defecto concebido para describir, de manera anticipada y preventiva, un tratamiento de datos personales, evaluar su necesidad y proporcionalidad y gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento que se lleven a cabo con los mismos, determinando las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable.

Guía práctica para las Evaluaciones de impacto en la protección de datos sujetas al RGPD.

Gestiona EIPD es un asistente para el análisis de riesgos y evaluaciones de impacto en protección de datos. Esta herramienta guía a los responsables y encargados del tratamiento en los aspectos que se deben tener en cuenta, proporcionando una base inicial para una gestión adecuada

Pasos adicionales para seguir la hoja de ruta RGPD

  •  Adecuar los formularios al derecho de información. Cuando se recaban tus datos de carácter personal, el responsable del tratamiento debe cumplir con el derecho de información.

La Guía para el cumplimiento del deber de informar:

  • Adaptar los mecanismos y procedimientos para el ejercicio de derechos utilizando servicios web siempre que sea posible.
  • Valorar si los encargados ofrecen garantías y realizar la adaptación de sus contratos al RGPD.

Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.

  • Adaptar/elaborar una política de privacidad.

Es imprescindible documentar todas las actualizaciones realizadas para poder acreditar el cumplimiento del RGPD. Para comprobarlo puedes acudir al Listado de cumplimiento normativo.

Foro
FORO JURÍDICO
Recuerda utilizar nuestro Foro para consultas o preguntas relacionadas con éste artículo.
Foro

Debes iniciar sesión para poder dejar un comentario.

ARTÍCULOS RELACIONADOS