Perkins Human Media

Herramientas RGPD para PYMES

En un post publicado el pasado 23 de febrero de 2017, la Agencia Española de Protección de Datos hace público Herramientas RGPD para PYMES, para ayudar a éstas a cumplir con el Reglamento General de Protección de Datos europeo o RGPD -REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016-.

Estas Herramientas RGPD para PYMES, dadas en dos Guías y una Directriz, siguen la traza abierta y recomendada de que todos los implicados en la adecuación e implantación de Protección de Datos vayan confluyendo en las nuevas disposiciones que se implantarán de manera efectiva a partir del 25 de mayo de 2018.

1. Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento:

Logotipo Agencia Española Protección de DatosLa presente guía hace un llamamiento en estas palabras «los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD en el momento en que sea de aplicación».

Por tanto, hay que dar a conocer/recordar que el RGPD es una norma directamente aplicable que no requiere de norma interna de trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación.

La guía suscrita conjuntamente por la Autoridad Catalana de Protección de Datos, La Agencia Vasca de Protección de Datos y la Agencia Española de Protección de Datos  hace alusión a los siguientes conceptos:

  • Bases de legitimación para el tratamiento de datos
  • Transparencia e información a los interesados
  • Derechos

o    Procedimiento para el ejercicio

o    Derecho de acceso

o    Derecho al olvido

o    Limitación de tratamiento

o    Portabilidad

  • Relaciones responsable-encargado

o    Obligaciones específicas para los encargados

o    Elección del encargado de tratamiento

o    Contenido del contrato de encargo

  • Medidas de responsabilidad activa

o    Análisis de riesgo

o    Registro de actividades de tratamiento

o    Protección de Datos desde la Protección de Datos

o    Medidas de seguridad

o    Notificación de “violaciones de seguridad de los datos”

o    Evaluación de impacto sobre la Protección de Datos

o    Delegado de Protección de Datos

  • Transferencias internacionales
  • Tratamientos de datos de menores
  • Lista de verificación
  • Lista de verificación simplificada

2. Directrices para la elaboración de contratos entre responsables y encargados del tratamiento

Este documento, tal y como se explicita en el mismo, tiene como objetivo:

«identificar los puntos clave a tener presentes en el momento de establecer la relación entre el responsable del tratamiento y el encargado del tratamiento, así como identificar las cuestiones que afectan de forma directa a la gestión de la relación entre ambos.»

«…ofrecer orientaciones, a modo de recomendación, para confeccionar el documento que regule dicha relación.»

Por tanto y en base a una pedagogía basadas en cuestiones, el documento va mostrando los siguientes elementos claves:

  • Quién es el Encargado del tratamiento y qué función fundamental tiene.
  • Qué tratamientos puede llevar a cabo.
  • Qué nivel de decisión puede asumir el encargado del tratamiento.
  • Cuestionarse la idoneidad de un Encargado de Tratamiento antes de la contratación de sus servicios.
  • Cómo regular la relación entre ambas figuras (responsable y el encargado del tratamiento)
  • Quién es responsable de los tratamientos realizados por el encargado
  • Contenidos mínimos del acuerdo

o    Las instrucciones del responsable del tratamiento
o    El deber de confidencialidad
o    Las medidas de seguridad
o    El régimen de la subcontratación
o    Los derechos de los interesados
o    La colaboración en el cumplimiento de las obligaciones del responsable
o    El destino de los datos al finalizar la prestación
o    La colaboración con el responsable para demostrar el cumplimiento

  • Ejemplo de cláusulas contractuales para supuestos en que el encargado del tratamiento trate los datos en sus locales y exclusivamente con sus sistemas

3. Guía para el cumplimiento del deber de informar.

De forma específica el objetivo de la guía en cuestión es:

«Servir de orientación sobre las mejores prácticas que den cumplimiento a la obligación de informar al interesado.»

Este objetivo se basa en el principio de trasparencia. Así mismo se aconseja desde el propio documento que la presente guía, sea cumplimentada con otras que puedan emitirse desde cualquier autoridad en Protección de Datos.

Por otro lado la presente guía va dirigida:

  • A los Responsables de Tratamientos.
  • A los profesionales que contribuyen, ya sea dentro de sus Organizaciones o bien como Encargados de Tratamiento.
  • A quienes desempeñen o vayan a desempeñar el rol de Delegado de Protección de Datos (en adelante, DPD)

La guía se pregunta acerca de qué cambia el RGPD sobre el deber de informar, en este sentido, se ofrecen a los ya conocidos los siguientes:

  • Los datos de contacto del Delegado de Protección de Datos, en su caso,
  • La base jurídica o legitimación para el tratamiento,
  • El plazo o los criterios de conservación de la información,
  • La existencia de decisiones automatizadas o elaboración de perfiles,
  • La previsión de transferencias a Terceros Países
  • El derecho a presentar una reclamación ante las Autoridades de Control

Y además, en el caso de que los datos no se obtengan del propio interesado:

  • El origen de los datos
  • Las categorías de los datos

Por tanto el Responsable del tratamiento o Encargado del tratamiento deberá de adecuar toda documentación objeto de procedimientos, modelos o formularios cuanto antes.

Esta firma ha sacado de los contenidos de estas Herramientas RGPD para PYMES sus rasgos más interesantes; puede descargar los mismos desde los enlaces siguientes:

 

Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento (5 descargas)

 

Directrices para la elaboración de contratos entre responsables y encargados del tratamiento (4 descargas)

 

Guía para el cumplimiento del deber de informar (9 descargas)

 

Fuente-Información: © AEPD
Fuente-Foto: © de su autor / © publicación