Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Cumplimiento del RGPD ¿Qué es y qué medidas debes tomar?

El cumplimiento del RGPD consiste en aplicar medidas técnicas y organizativas desde el diseño y por defecto para garantizar que los tratamientos de datos personales que se realizan en el desempeño de una actividad comercial o administrativa no ponen en riesgo el derecho a la privacidad y otros derechos y libertades de los interesados. Así mismo, también implica mantener el cumplimiento del RGPD a lo largo del tiempo.

En este artículo explicamos cómo cumplir el RGPD en todo momento.

¿Qué es cumplimiento del RGPD?

El cumplimiento del RGPD es adoptar y aplicar las medidas, acciones y procedimientos necesarios para seguir y cumplir con los principios recogidos en el artículo 5 del RGPD y hacerlo desde el diseño y por defecto.

Por lo tanto, el proceso de cumplimiento del RGPD en cualquier organización consiste en tomar, implantar y poner en práctica medidas técnicas y organizativas con el objetivo de garantizar la protección de los datos personales que tratan y poder demostrar que los tratamientos de datos que realizan son lícitos, necesarios y con una finalidad concreta, protegiendo así el derecho a la privacidad de los interesados (titulares de los datos), así como aquellos derechos y libertades fundamentales que pueden verse afectados por los tratamientos de datos realizados y los riesgos a los que pueden exponerlos.

Así mismo, cumplimiento del RGPD va más allá de la implantación del RGPD en la organización, puesto que consiste también en mantener en el tiempo el mismo grado de cumplimiento, adoptando, modificando o mejorando las medidas y procedimientos implementados para subsanar fallos y errores y hacer frente a nuevas exigencias normativas.

tarifas proteccion datos

¿Quién está obligado a cumplir el RGPD?

Está obligado a cumplir el RGPD cualquier organización y profesional que en el desarrollo de su actividad comercial (venta de productos o servicios) trate datos personales de ciudadanos o residentes de la Unión Europea o el Espacio Económico Europeo, con independencia de donde esté ubicada la organización y del tipo de productos o servicios que ofrezcan.

Las entidades y organismos públicos también están obligados al cumplimiento del RGPD en el desempeño de sus funciones.

Así mismo, también deben cumplir el RGPD aquellos particulares que lleven a cabo tratamientos de datos personales que excedan los fines personales o domésticos.

Desafíos del Cumplimiento del RGPD

A la hora de afrontar el cumplimiento del RGPD en una empresa o negocio, responsables y encargados del tratamiento deben afrontar algunos desafíos, ya que si bien hay medidas y procedimientos en materia de protección de datos que es necesario adoptar claramente recogidas y definidas en el propio Reglamento, otras muchas no están detalladas o quedan a juicio de responsables y encargados decidir si deben implantar o cómo hacerlo.

Así mismo, otro de los desafíos para el cumplimiento del RGPD lo plantea la seguridad de la información; como responsables y encargados se tiene la obligación de proteger y garantizar la confidencialidad, integridad y disponibilidad de los datos, una tarea que requiere de llevar cabo los correspondientes análisis de riesgos y evaluaciones de impacto en protección de datos, para poder implementar las medidas de seguridad más eficaces y poder minimizar el riesgo de una filtración o pérdida de datos.

Controlar quién tiene acceso a los datos personales que trata una organización es otro de los desafíos al cumplir el RGPD, que requiere de llevar una adecuada gobernanza de datos (saber qué datos se tratan, con qué finalidades, dónde se almacenan, quiénes pueden acceder a ellos y manejarlos, etc.).

Además, los responsables del tratamiento también deben garantizar y gestionar adecuadamente los derechos de los interesados, o derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición), lo que implica tener vías adecuadas para que los interesados puedan ejercerlos sin complicaciones.

Proceso de cumplimiento del RGPD

Para afrontar los desafíos expuestos el punto anterior, se debe seguir un proceso de cumplimiento del RGPD que resumimos en los siguientes pasos:

  1. Definir qué tratamientos de datos se van a realizar y qué datos personales se prevé tratar.
  2. Determinar las bases jurídicas que legitiman los tratamientos de datos que se van a realizar.
  3. Determinar dónde se «ubicarán» los datos personales.
  4. Habilitar una forma para recabar y registrar el consentimiento expreso de los interesados, cuando este sea la base jurídica para el tratamiento.
  5. Determinar si es necesario designar un DPO.
  6. Revisar el cumplimiento del deber de informar (¿la información sobre la política de protección de datos es clara?) y habilitar una vía para que los interesados puedan ejercer sus derechos ARSULIPO.
  7. Realizar los correspondientes análisis de riesgos y evaluaciones de impacto en protección de datos.
  8. Implementa las medidas de seguridad técnicas y organizativas para minimizar los riesgos identificados con los análisis de riesgos y la EIPD.
  9. Llevar un registro de actividades de tratamiento (incluso si no es obligatorio por las características de tu empresa, es recomendable hacerlo, ya que permite llevar un mejor control de los procesos y tratamientos de datos personales que se realizan).
  10. Establece un protocolo para notificar brechas de seguridad a la AEPD y los interesados afectados, así como para gestionar y solucionar la brecha de seguridad.

¿Qué necesitas para cumplir las obligaciones del RGPD?

Para cumplir las obligaciones del RGPD necesitas tener personal formado en protección de datos y con conocimiento suficiente sobre la normativa y su aplicación en la actividad habitual de tu empresa o negocio.

En caso de carecer de personal con esta formación o experiencia en materia de protección de datos, una de las mejores soluciones es contratar un Delegado de Protección de Datos o los servicios de protección de datos de una consultoría especializada en la materia. De esa forma contarás con la ayuda necesaria para saber cómo cumplir con las obligaciones del RGPD.

También te ayudará al llevar a día el cumplimiento del RGPD utilizar un software para la gestión de la protección de datos; con esta herramienta podrás llevar un registro documental de todas las medidas que has puesto en marcha, de los documentos cumplimentados, de los plazos de conservación, de la gestión de solicitudes de derechos, controlar el nivel de acceso de tus empleados a datos personales, etc. Es decir, tendrás un mejor control y visión sobre el nivel de cumplimiento del RGPD en tu organización.

Contrata un Delegado de Protección de Datos

¿Cómo valorar y mantener el cumplimiento del RGPD?

Con carácter general (y orientativo), podemos indicaros tres formas diferentes para valorar y mantener el cumplimiento del RGPD en vuestra empresa o negocio, de manera que podáis comprobar que no estáis cometiendo ningún tipo de incumplimiento RGPD, que podría derivar en denuncias y posibles sanciones por parte de la Agencia Española de Protección de Datos (AEPD) u otra autoridad de control.

1.- Elabora una checklist:

Una forma de valorar y cumplir el RGPD en tu empresa o negocio, es elaborar una checklist o lista de comprobación, que recoja no solo las medidas en protección de datos que estás obligado a implantar y observar, sino también qué tipo o categorías de datos tratas o vas a tratar y si tienes legitimidad para realizar dichos tratamientos, entre otros.

Puedes realizar esta lista de comprobación siguiendo las directrices establecidas en el RGPD, por ejemplo:

Medidas Sí/No
Se han determinado las categorías de datos a tratar
Se ha determinado la legitimidad del tratamiento
Se recaba el consentimiento explícito cuando es necesario
Determinar si se comunicarán datos a terceros
Se han firmado los contratos de encargo de tratamiento
Se necesita elaborar un registro de actividades de tratamiento
Se ha elaborado el registro de actividades de tratamiento
Se han determinado las finalidades de los tratamientos
Se han realizado los análisis de riesgos de los tratamientos
Se ha valorado la necesidad de hacer una evaluación de impacto
Se ha realizado una evaluación de impacto
Se han adoptado las medidas de seguridad técnicas y organizativas necesarias
Se ha valorado la necesidad u obligación de designar un DPO
Se ha designado un DPO
Se informa adecuadamente a los interesados sobre el tratamiento de sus datos
Se ha adecuado un protocolo para atender las solicitudes de derechos de los interesados
Se cumple responden las solicitudes de derechos en tiempo y forma
Se ha diseñado un protocolo ante brechas de seguridad
Se ha creado y publicado la política de privacidad de la página web

 

Esta tabla es solo un ejemplo de cómo podría elaborarse esa lista de comprobación para determinar, por ejemplo, el grado de cumplimiento del RGPD de PrestaShop si tienes una tienda online en esta plataforma. Cuanto más exhaustiva sea la lista de comprobación, más ítems contemple, más completa y adecuada será la valoración del grado de cumplimiento RGPD.

Si no tienes muy claro cómo hacer esta checklist, puedes recurrir al listado de cumplimiento de la AEPD.

2.- Adhiérete a un código de conducta:

Otra forma a la que puedes recurrir para valorar y mantener el cumplimiento RGPD, es adherir tu empresa a algunos de los códigos de conducta aprobados y registrados en la AEPD.

Adoptar o adherirse a un código de conducta en protección de datos es una medida completamente voluntaria, pero el proceso de adherirse al código y mantener dicha adhesión implica demostrar un grado de cumplimiento adecuado y suficiente del RGPD, sometido, normalmente, a una auditoría externa para determinar dicho grado de cumplimiento.

Sin embargo, actualmente, solo hay registrados y aprobados tres códigos de conducta, el de Autocontrol (para la actividad publicitaria), el de Farmaindustria (para los ensayos clínicos y otras investigaciones clínicas) y el de UNESPA (para el sector asegurador), por lo que si tu empresa no se dedica a ninguna de estas actividades, no podrás solicitar la adhesión a sus códigos de conducta.

3.- Certifica el cumplimiento RGPD:

Una tercera forma para cumplir el RGPD y mantener el nivel de cumplimiento es la certificación, es decir, solicitar el certificado de cumplimiento de la LOPD y RGPD que conceda algún organismo de acreditación nacional o que haya sido acreditado por la AEPD.

El proceso de certificación exige someter la política y el protocolo de protección de datos de la empresa, así como las medidas que haya adoptado a una auditoría interna y externa, para determinar si cumple con los requisitos de la certificación de protección de datos.

Obtener la certificación LOPD y RGPD significa que se cumple con los requisitos y obligaciones de la ley y, por extensión, del Reglamento, por lo que se habría valorado positiva y suficientemente el grado de cumplimiento del RGPD.

En cualquier caso, no existe una única forma para valorar y mantener el cumplimiento del RGPD, ya que las descritas más arriba son todas válidas, lo que sí hay que mantener presente es que es necesario registrar y documentar las medidas y procedimientos adoptados e implementados para poder demostrar la responsabilidad proactiva de responsables y encargado del tratamiento.

Valora y comprueba tu grado de cumplimiento RGPD con Atico34 Platform

Cómo hemos visto, no existe realmente un método estándar para valorar el cumplimiento del RGPD de una empresa o negocio, sino diferentes formas o herramientas a las que recurrir para demostrar la proactividad en protección de datos que requiere el Reglamento.

Si estás buscando una de esas herramientas o soluciones para valorar y comprobar el grado de cumplimiento del RGPD en tu empresa, Atico34 Platform es la solución que necesitas; este software para la gestión de la protección de datos te permite saber en todo momento el grado de cumplimiento RGPD de la empresa y las medidas que debes tomar o poner en marcha para corregir problemas y carencias. Además, genera los registros, informes y documentación necesarios para demostrar el cumplimiento del RGPD ante la AEPD o cualquier otra autoridad de control.

Atico34 Platform es la forma más sencilla de llevar el control del cumplimiento RGPD en tu empresa. No lo dudes y ponte en contacto con nosotros para recibir más información.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.