ALDC Abogados
Búsqueda en los contenidos de la web
ALDC Abogados especialistas en Derecho Digital

Servicio de Adecuación al Reglamento de Protección de Datos

¿En qué consiste el servicio de adecuación al RGPD y a la LOPDGDD de ALDC ABOGADOS?

Nuestro servicio de adecuación al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales prestado por ALDC ABOGADOS consiste en la revisión de los tratamientos de datos llevados a cabo de una organización, su finalidad y el tipo de operaciones que se llevan a cabo sobre éstos y la proposición de medidas dirigidas a cumplir lo dispuesto en la mencionada normativa.

Prestamos un servicio personalizado que tiene en cuenta las características de la organización objeto de adecuación para que nuestros clientes puedan tratar los datos personales con las máximas garantías. Para ello, contamos con abogados y técnicos que nos permiten abordar todos los aspectos de estos procesos con rigor y profesionalidad.

Nuestro objetivo es dotar a nuestros clientes de las herramientas, políticas y procedimientos que les permitan tratar y gestionar sus datos personales con todas las garantías.

¿En que fases se estructura el servicio de adecuación a la normativa de protección de datos de ALDC ABOGADOS?

El servicio de adecuación a la normativa de protección de datos comprende las siguientes fases:

a)  Designación de un Delegado de Protección de Datos: De común acuerdo con el cliente, si resulta procedente, nombraremos un Delegado de Protección de datos o, en su caso, un coordinador de las políticas de protección de datos.

b)  Recogida de información: El objetivo es alcanzar un conocimiento del estado en el que se encuentra el Responsable del Tratamiento respecto del cumplimiento de las obligaciones y deberes derivados de la normativa vigente en materia de Protección de Datos, desde los puntos de vista jurídico y técnico-organizativo. Para ello realizaremos las siguientes actuaciones:

  • Celebración de entrevistas con las personas de la organización que tratan datos personales en el desarrollo de su actividad.
  • Solicitud, para su análisis, de los documentos utilizados por la organización relacionados con la protección de datos.
  • Análisis de los procedimientos y medidas adoptadas para tratar la información de la que es responsable.

c)  Elaboración de un Registro de Actividades del Tratamiento: Definiremos y documentaremos los tratamientos llevados a cabo, al objeto de poder elaborar un Registro de Actividades del Tratamiento y facilitar la identificación de los riesgos a los que en materia de seguridad está expuesto el Responsable del Tratamiento.

d)  Análisis de Riesgos Legales: Procederemos a analizar desde un punto de vista legal, entre otras, las siguientes actuaciones en relación con el tratamiento de datos de carácter personal:

  • Licitud de los tratamientos
  • Fuentes de recogida de datos personales: Formularios, contratos, locuciones telefónicas, páginas web
  • Procedimientos establecidos para la gestión de las solicitudes de ejercicio de derechos
  • Comunicaciones de Datos
  • Encargados de tratamiento
  • Transferencias Internacionales

Este análisis lo plasmaremos en un informe en el que recogeremos el grado de cumplimiento de las distintas actuaciones sobre los tratamientos realizados, así como las medidas para solucionar las posibles contingencias detectadas.

e)  Evaluación de Impacto: Procederemos, en primer lugar, a analizar la necesidad o no de llevar a cabo de una Evaluación de Impacto. En caso de que correspondiese, procederemos a realizarla respecto de aquellos tratamientos que estén afectados.

f)  Análisis de Riesgos Técnicos: El RPGD incluye la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas. Este análisis implica tanto la valoración de los riesgos, como las medidas y planes a aplicar para su minimización.

Este análisis de riesgos debe ser una herramienta viva, en constante revisión, actualizándose en la medida que tengamos nuevos activos implicados en la protección de datos, nuevos tratamientos de la información o simplemente que establezcamos nuevas salvaguardas no previstas inicialmente.

g)  Implantación: Concluidos los análisis anteriores, procederemos, previo consenso con el Responsable del Tratamiento, a la ejecución y efectiva implantación de las medidas correctoras que hayamos propuestos, comprendiendo, entre otras, la redacción y/o adaptación de las Políticas de Seguridad, la Redacción y/o adaptación de contratos de acceso a datos por cuenta de terceros, así cómo de cláusulas de protección de datos en los distintos contratos y medios de recogida de datos personales.

Las medidas que una organización adopte para cumplir con los requerimientos del GDPR y la LOPDGDD deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas. En consecuencia, adaptaremos las medidas propuestas a las características de la organización afectada.

h)  Formación: Una política de protección de datos efectiva requiere que todos los miembros de una organización que traten datos personales deben tener los conocimientos necesarios para poder actuar de manera adecuada. Por ello, desde ALDC ABOGADOS proporcionamos materiales informativos y pedagógicos para su difusión interna e impartimos sesiones formativas en al que analizamos los aspectos más relevantes para la organización en esta materia.

i)  Verificación: Una vez finalizada la fase de Implantación por el cliente, con nuestra colaboración, procederemos a revisar si ésta se ha llevado a cabo de modo efectivo. Para ello, llevaremos a cabo las siguientes actuaciones:

  • Revisión de la implantación de todas las medidas jurídicas, técnicas y organizativas propuestas.
  • Elaboración de un informe en la valoremos si la implantación de estas medidas ha sido efectiva.
  • En el caso de que algunas de hubiera medidas pendientes de ser implantadas, documentaremos las razones de la falta de implantación y las medidas a adoptar para resolver dicha situación.

¿Una vez terminada la adecuación, ya cumplimos con el GDPR?

El cumplimiento de la normativa de protección de datos nos exige, tal y como establece el GRPD y la LOPDGDD, un esfuerzo continuado que implica la realización de controles periódicos de las medidas adoptadas. Estos controles nos permiten por un lado, tener un conocimiento real del modo en que tratamos los datos y por otro, poder acreditar ante terceros el cumplimiento por nuestra parte de la normativa de protección de datos.

¿Tengo que hacer auditorias de protección de datos cada dos años?

El GDPR no establece un periodo concreto para realizar auditorias como requería la legislación anterior. Sin embargo, el Reglamento de Protección de Datos exige que haya un control continuo  y proactivo del cumplimiento de los procedimientos adoptadas. En ALDC ABOGADOS ayudamos a nuestros clientes a realizar de una manera sencilla estas comprobaciones. Así mismo, recomendamos llevar a cabo, en función de la complejidad de la organización, hacer revisiones integrales puntuales  e integrales que nos permitan tener una imagen del grado de cumplimiento lo que contribuirá a que, en caso de se que sea necesario poder acreditar de manera eficaz que seguimos los requerimientos de la normativa de protección de datos.

¿Qué es un análisis de riesgos?

Actividades y tareas que permiten controlar la posibilidad de que se materialice una amenaza y sus consecuencias negativas, desde la perspectiva de la privacidad mediante una secuencia de actividades que incluyen su identificación y evaluación, así como, las medidas para su reducción o mitigación.

¿Qué es una Evaluación de Impacto?

De acuerdo con lo recogida en la "GUÍA PRÁCTICA PARA LAS EVALUACIONES DE IMPACTO EN LA PROTECCIÓN DE DATOS SUJETAS AL RGPD" de la Agencia Española de Protección de Datos "la EIPD es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable."

¿Es obligatorio realizar una Evaluación de Impacto?

Siempre tenemos que analizar si es necesario llevar a cabo una Evaluación de Impacto. Si determinamos que el tratamiento va a suponer un alto riesgo para los derechos y libertades para las personas físicas, deberemos proceder a su realización.

Así mismo, el Reglamento de Protección de datos establece tres supuestos cuando es obligatorio su realización:

a)  Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b)  Tratamiento a gran escala de las categorías especiales de datos personales o de datos personales relativos a condenas e infracciones penales;

c)  Observación sistemática a gran escala de una zona de acceso público;

d)  Conforme a la disposición adicional decimoséptima de la LOPDGDD, relativa a los tratamientos de datos de salud, cuando se lleve a cabo un tratamiento de datos personales con fines de investigación en salud pública y, en particular, biomédica, entre otras obligaciones, será necesario realizar una evaluación de impacto relativa a la protección de datos, que deberá incluir de modo específico los riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos.

¿Qué es un Registro de Actividades del Tratamiento?

Es un documento en el que tanto el responsable como los encargados recogen información sobre los tratamientos de datos personales que llevan a cabo. Se encuentran obligadas a mantener un Registro de Actividades del Tratamiento, aquellas entidades que empleen a más de 250 trabajadores y aquellas otras que, sin alcanzar esa cifra lleven a cabo tratamientos que puedan entrañar un riesgo para los derechos y libertades del interesado, no sea ocasional o incluyan categorías especiales de datos o relativos a condenas e infracciones penales.

En todo caso, recomendamos que cualquier organización cuente con este registro, al ser un instrumento muy valioso a la hora desarrollar nuestras políticas de protección de datos. De este modo, podremos conocer la realidad de los tratamientos que llevamos a cabo, facilitando la puesta en marcha de las medidas necesarias para garantizar el cumplimiento de los requerimientos de la normativa de protección de datos.

¿Tengo que declarar los ficheros a la Agencia Española de Protección de Datos?

No, el Reglamento de Protección de Datos elimina esa obligación. En su lugar, siempre que resulte procedente deberán contar con un Registro de Actividades de Tratamiento.

¿Tengo que formar al personal de mi empresa en protección de datos?

Una política de protección de datos efectiva exige contar con la participación de todos los miembros de la organización que tratan datos personales. Para ello, es necesario que conozcan las políticas y procedimientos adoptados en materia de protección de datos.

A nuestro entender, la manera más eficaz es poner en marcha un programa de formación continuada en el que se combinen sesiones formativas, con el envío periódico de comunicaciones en las que se traten sobre aquellos aspectos de las políticas de protección de datos que al Responsable del Tratamiento más le interesa incidir.

¿Cuánto cuesta adecuarse al RGPD?

En ALDC ABOGADOS no creemos en tarifas planas que no tienen en cuenta la realidad de los trabajos a desarrollar. No queremos convertir el proceso de adecuación en una mera puesta a disposición de modelos y plantillas que no garantizan el cumplimiento de los requerimientos de la normativa.

Apostamos por los trabajos personalizados. Calculamos nuestros honorarios en función de la complejidad de la organización y los tipos de datos objeto de tratamiento. Queremos ofrecer a nuestros clientes unas tarifas adecuadas a la realidad de los trabajos y garantizar que se alcancen los fines que estos persiguen.

Por ello, nuestros clientes conocen, desde el primer momento, el importe de los servicios. Trabajamos con honorarios cerrados para evitar sorpresas.