Adaptación Al Reglamento General De Protección De Datos Europeo (RGPD)

Se encuentran obligados al cumplimiento de lo establecido en el Reglamento Europeo en materia de protección de datos, todas aquellas personas que como consecuencia de su actividad traten datos personales de personas físicas, debiendo cumplir con todas las exigencias y formalidades necesarias para evitar una vulneración en el tratamiento de dicha información.

Afecta por tanto esta normativa desde autónomos sin trabajadores a cargo hasta comunidades de vecinos, empresarios con trabajadores, asociaciones, cooperativas o cualquier otro tipo de entidad, que traten datos de carácter personal de clientes, proveedores, empleados, etc.

Para cumplir con estas obligaciones, desde OR-abogados y de la mano de Cristina Sandoval García, abogada especializada en esta materia, ponemos a vuestra disposición nuestros servicios, con el fin de conseguir una mayor concienciación y cumplimiento y dotar a nuestros clientes de un servicio personalizado y profesional.

En función de las necesidades de cada cliente en cuestión, nuestros servicios incluyen:

  • Toma de datos in situ y verificación de la documentación existente en materia de protección de datos.
  • Documento de Seguridad y anexos, que incluyen entre otros, contratos de prestación de servicios y protocolo para el ejercicio, por los titulares de los datos, de los derechos establecidos en el RGPD, así como protocolo de actuación interno para las notificaciones de violaciones de seguridad.
  • Registro de actividades del tratamiento. Están exentas las  organizaciones  que  empleen  a  menos  de  250  trabajadores,  a  menos  que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.
  • Análisis de riesgos en los tratamientos de datos personales sujetos al RGPD, cuando por la información tratada sea necesario.

Para las grandes organizaciones, el análisis deberá llevarse a cabo  utilizando alguna de las metodologías de análisis de riesgo existentes. En las organizaciones  de  menor  tamaño  y  con  tratamientos  de  poca  complejidad:  el  análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.

  • Evaluación de impacto del tratamiento de datos personales (EIPD), en caso de ser necesaria, pues en cada actividad de tratamiento se debe valorar la necesidad de llevar a cabo la misma en función del resultado del previo análisis de riesgos, que será el que determine el nivel de riesgo al que puede estar expuesto el tratamiento.

En definitiva, se establece la obligación de realizar esta Evaluación de Impacto para las organizaciones que realicen un tratamiento de datos que pueda implicar un alto riesgo para los derechos y libertades de las personas físicas. En todo caso, habrá que acreditar la no necesidad de esta evaluación de impacto.

Lista indicativa de supuestos en que se considera que los tratamientos conllevan un alto riesgo:

  • Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
  • Tratamientos a gran escala de datos sensibles.
  • Observación sistemática a gran escala de una zona de acceso público.
  • Comunicación a la AEPD de la designación de un Delegado de Protección de Datos (DPD), que será obligatorio en:
    • Autoridades y organismos públicos.
    • Responsables o  encargados  que  tengan  entre  sus  actividades  principales  las  operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
    • Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
  • Tratamiento de datos de carácter personal en página web o tienda online de conformidad con lo establecido en el RGPD.

Implantación del nuevo reglamento de protección de datos y de la Ley de Servicios de la sociedad de la información y de comercio electrónico (LSSICE) en la web, incluyendo, política de privacidad, aviso legal, condiciones de venta o prestación de servicios, política de cookies e información acerca de las mismas y clausulas informativas en aquellos formularios web que recaben datos de carácter personal.