Conoce Atico34 - Solicita presupuesto
ConsejosLOPDGDD & RGPD

¿Cómo cumplir con el RGPD?

Para cumplir el RGPD, responsables y encargados del tratamiento deben ser proactivos, adoptar y poner en práctica los procesos y procedimientos que se derivan de los principios de la protección de datos, así como aplicar medidas técnicas y organizativas desde el diseño y por defecto, para garantizar la seguridad de los datos personales que tratan en el desempeño de su actividad.

¿Quién está obligado a cumplir el RGPD?

Están obligados a cumplir el RGPD las empresas, organizaciones, autónomos y entidades públicas que, en el desempeño de su actividad principal, traten con datos personales, con independencia de su tamaño, número de empleados o volumen de negocio (de la misma forma que deben cumplir con la LOPD).

Así mismo, también deben cumplir el RGPD las comunidades de propietarios y aquellos particulares que realicen algún tratamiento de datos personales que exceda la esfera doméstica y personal (sería el caso, por ejemplo, de quienes ponen una cámara de videovigilancia en su plaza de aparcamiento en el garaje comunitario).

Pese a qué lleva años en vigor, todavía siguen surgiendo dudas respecto a cómo cumplir con el RGPD, especialmente por las modificaciones que se han ido practicando y por las resoluciones y guías que las autoridades de control han ido publicando con los años para aclarar parte de esas dudas o para explicar cómo se aplican algunas de las diversas obligaciones que debe cumplir el responsable del tratamiento según el RGPD en distintos ámbitos.

¿Cómo cumplir el RGPD en 5 pasos?

El cumplimiento del RGPD se puede llevar a cabo en 5 pasos, que os detallamos a continuación.

Estos 5 pasos son válidos tanto para cumplir el RGPD para autónomos como para empresas, organizaciones, entidades públicas o comunidades de propietarios.

pasos cumplir rgpd

5 pasos para cumplir con el RGPD

Informa a los interesados y responde al ejercicio de sus derechos

Como responsable del tratamiento, siempre deberás informar a tus clientes sobre el tratamiento de sus datos, esta información debe ser siempre clara, fácilmente accesible y redactada en un lenguaje comprensible. Como mínimo, esa información debe contener:

    • Los datos identificativos del responsable del tratamiento
    • En su caso, datos identificativos del encargado del tratamiento y del Delegado de Protección de Datos (DPO)
    • La finalidad del tratamiento
    • Base legitimadora del tratamiento
    • Las categorías de datos tratados
    • Los destinatarios de los datos
    • Si procede, consecuencias de no facilitar los datos solicitados
    • Plazo de conservación de los datos
    • Si se producirán transferencias internacionales de datos
    • Derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)
    • Posibilidad de reclamar ante la AEPD (Agencia Española de Protección de Datos)

El cómo suministres esta información dependerá del medio en el que estés recogiendo los datos personales, pero siempre, en el momento en que vayas a tratar datos personales, debes dar esta información a los interesados (que pueden ser tus clientes, tus empleados, socios, etc.).

En cuanto a los derechos ARSULIPO, tienes la obligación de facilitar una vía para que los interesados puedan enviar sus solicitudes de ejercicio de derechos y responder siempre a estas, justificando adecuadamente, en su caso, cuando niegues el derecho solicitado.

Asegúrate de que tienes una base legitimadora para el tratamiento

Para poder tratar los datos personales de tus clientes, empleados, etc., debes tener una base legitimadora válida. La principal base legitimadora es el consentimiento expreso de los interesados, pero el RGPD recoge otras bases legitimadoras aparte del consentimiento, que podrán usarse en lugar de este, cuando se cumplan los requisitos descritos en ellas.

Estas bases legitimadoras están recogidas en los artículos 6 y 9 del RGPD. No contar con una base legitimadora adecuada o válida para llevar a cabo un tratamiento de datos, convierte a este tratamiento en ilícito, lo que implica que podrían denunciarte y ser sancionado por la AEPD.

Realiza análisis de riesgos y aplica medidas de seguridad

El RGPD es claro, el responsable del tratamiento debe implementar las medidas técnicas y organizativas necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos y para ello es necesario realizar, con carácter previo, un análisis de riesgos de la actividad de tratamiento de datos que se planea o prevé hacer, para poder identificar las amenazas para los derechos y libertades de los interesados que puede suponer dicha actividad de tratamiento.

El análisis de riesgos sirve para determinar la probabilidad de que la amenaza se materialice y el impacto que tendría sobre esos derechos y libertades y, en función de esas conclusiones, adoptar y aplicar las medidas de seguridad que contribuyan a minimizar las probabilidades de materialización de las amenazas o, en caso de que ocurran, reducir su nivel de impacto.

tarifas proteccion datos

Ten un protocolo de respuesta ante brechas de seguridad

Cuando un incidente de seguridad deriva en una brecha de seguridad que ponga en riesgo los datos personales que custodias, y esto supone un riesgo para los derechos y libertades de los interesados cuyos datos se hayan visto afectados, como responsable del tratamiento tienes la obligación de notificar esa brecha de seguridad tanto a la AEPD como a los propios interesados, para lo que dispones de un plazo máximo de 72 horas.

Para asegurarte de que cumples con dicho plazo para hacer la notificación, es muy recomendable tener implementado un protocolo de respuesta ante brechas de seguridad; dicho protocolo contendrá las medidas a tomar para solucionar el problema y volver a la normalidad, así como para informar a la AEPD y los interesados en tiempo y forma. Al seguir el protocolo, no olvidarás reportar el incidente, tal y como exige la normativa.

Además, tener este protocolo contribuirá a solucionar antes el incidente y poder limitar los daños que pudiera causar.

Documenta y registra todos los procesos

Ser proactivos en protección de datos, como establece el RGPD y la LOPD, implica que eres tú, como responsable del tratamiento, el que debe demostrar que cumple con las obligaciones de la normativa. Para poder llevar a cabo esta labor, debes documentar y registrar todos los procesos, políticas y procedimientos relacionados con la protección de datos que lleves a cabo. Uno de esos documentos es el registro de actividades de tratamiento, otro es el registro en el que guardes los consentimientos recogidos, también puedes documentar los análisis de riesgos y las medidas de seguridad implementadas, etc.

Así mismo, también puedes solicitar un certificado de cumplimiento RGPD, ya que para obtener este tipo de certificación, es necesario pasar una auditoría de protección de datos, en la que se evaluará el nivel de cumplimiento de las obligaciones de la normativa y las medidas de seguridad aplicadas.

Comprueba si necesitas designar un DPO

Finalmente, y como consejo extra, comprueba si por la actividad de tu empresa (artículo 34 de la LOPDGDD) o por el volumen o categoría de datos que tratas (artículo 37 del RGPD), necesitas designar un Delegado de Protección Datos.

Además, ten en cuenta que las empresas con más de 50 trabajadores, obligadas a tener un canal de denuncias internas, también deben nombrar un DPO, aun cuando no sea necesario por su actividad.

Tras este repaso a las principales obligaciones que debe cumplir el responsable del tratamiento según el RGPD, esperamos que tengas más claro cómo cumplir el RGPD, pero si todavía tienes dudas o necesitas ayuda, no dudes en ponerte en contacto con Grupo Atico34 y nuestro equipo de expertos en protección de datos te ayudarán y asesorarán para que tu empresa cumpla con la normativa; más de 12 años de experiencia en la materia nos avalan.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.