Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Implantación RGPD: Guía práctica 2022

En este artículo explicamos cómo llevar a cabo la implantación RGPD en empresas, negocios y en cualquier otro tipo de organización que trate con datos personales y deba cumplir con las obligaciones del Reglamento General de Protección de Datos.

Cómo implantar el RGPD en 11 pasos

Desde la entrada en vigor del RGPD en mayo de 2018 en España, cualquier tipo de organización, pública o privada, así como profesionales que traten con datos personales de ciudadanos de la UE, independientemente de dónde se encuentre su sede, deben cumplir con las obligaciones de este Reglamento o enfrentar sanciones RGPD (que pueden llegar a alcanzar los 20 millones de euros).

El RGPD para autónomos y empresas comprende la observación y el cumplimiento de diferentes principios y requisitos, que pueden volverse más exigentes en función del volumen de datos personales que se traten y la categoría de datos tratados.

Pasos par la implantacion del Rgpd

11 pasos para implantar el Rgpd

En las siguientes líneas encontraréis una guía práctica que hemos estructurado en 11 pasos o fases para llevar a cabo la implantación RGPD en cualquier tipo de organización o entidad o negocio particular.

1.- Protección de datos proactiva

El RGPD exige que el responsable del tratamiento (persona física o jurídica que trata datos personales) y el encargado del tratamiento (persona física o jurídica que trata datos personales por encargo del responsable) ser proactivos en la protección de datos, esto significa que deben ser capaces de demostrar que cumplen con los principios de:

  • Licitud, transparencia y lealtad en el tratamiento
  • Limitación de finalidad del tratamiento
  • Minimización de datos
  • Exactitud de los datos
  • Limitación del plazo de conservación de los datos
  • Integridad y confidencialidad de los datos

Para lo que deben cumplir con las obligaciones que veremos en los siguientes pasos, aplicándolas desde el diseño y por defecto, es decir, que antes de llevar a cabo cualquier tratamiento de datos personales, responsables y encargados habrán cumplido con estas exigencias y requisitos de acuerdo al Reglamento.

Además, la auditoría RGPD, aunque no se contempla explícitamente en el Reglamento, es la manera adecuada de demostrar la responsabilidad proactiva en protección de datos por parte de responsables y encargados del tratamiento. Realizadas cada uno o dos años por una consultora especializada en la materia e independiente de la organización, determinará si esta cumple adecuada y suficientemente con la normativa y dónde es necesario mejorar o aplicar nuevas medidas.

2.- Determinar el tipo y volumen de datos que se van a tratar

Para saber qué obligaciones debe cumplir la organización o el profesional y en qué grado, es necesario, primero, determinar el tipo de datos personales que se tiene previsto tratar y en qué volumen, así como si serán tratamientos habituales.

El RGPD establece dos categorías de datos personales:

  • Datos personales básicos, que suponen un nivel de riesgo menor para los derechos y libertades de los interesados (como, por ejemplo, los datos identificativos, académicos, laborales, etc.)
  • Datos de categorías especiales, también denominados datos sensibles, cuyo tratamiento puede suponer un mayor riesgo para los derechos y libertades fundamentales de los interesados:
    • Origen étnico o racial
    • Opiniones políticas
    • Creencias religiosas o filosóficas
    • Afiliación sindical
    • Datos genéticos
    • Datos biométricos usados para identificar al individuo
    • Datos relativos a la salud
    • Datos relativos a la vida sexual y/o la orientación sexual

3.- Hacer análisis de riesgos y EIPD

Definidos las categorías de datos a tratar y los tratamientos de datos previstos, el siguiente paso es realizar el análisis de riesgos correspondiente a cada uno de esos tratamientos, para saber qué amenazas pueden comprometer la integridad, confidencialidad y disponibilidad de los datos al tratarlos, además de suponer un riesgo para los derechos y libertades de los interesados.

El análisis de riesgos determinará en qué grado pueden materializarse esas amenazas (por ejemplo, la posibilidad de un ciberataque a los sistemas informáticos de la empresa) y qué impacto tendrían en los derechos y libertades de los interesados (y si a través de ese ciberataque se han accedido a las bases de datos de clientes y estos han quedado expuestos).

Si el nivel de impacto en derechos y libertades es muy elevado y los efectos negativos para los interesados, así como si se tratan datos de categorías especiales, o se tratan datos de manera sistemática o a gran escala, también deberá realizarse una EIPD (evaluación de impacto en protección de datos).

Tanto de los análisis de riesgos como de la EIPD se obtendrá un informe, cuyas conclusiones servirán para diseñar e implantar las medidas de seguridad necesarias para minimizar el nivel de riesgo y la posibilidad de que las amenazas se materialicen. Y en caso de que llegarán a producirse, reducir el impacto negativo para los interesados.

tarifas proteccion datos

4.- Llevar el registro de actividades de tratamiento

El registro de actividades de tratamiento, obligatorio desde la entrada en vigor del RGPD para empresas con más de 250 empleados, si se tratan datos de categorías especiales o se tratan datos de manera habitual o a gran escala, es un documento en el que se registra toda la información relativa a los tratamientos de datos que lleva a cabo la organización o profesional.

Debe mantenerse siempre actualizado y por escrito (incluido en formato electrónico) y, si bien se trata de una documentación de carácter interno, siempre debe ponerse a disposición de la AEPD (Agencia Española de Protección de Datos) cuando esta lo solicite en el proceso de una inspección o investigación.

El contenido de cada registro de actividades de tratamiento debe incluir, como mínimo:

  • Identidad del responsable del tratamiento (y si procede, del encargado del tratamiento y el Delegado de Protección de Datos)
  • Finalidad del tratamiento
  • Descripción de categorías de interesados y categorías de datos
  • Descripción de categorías de destinatarios (también los previstos)
  • Transferencias internacionales y sus garantías
  • Descripción de las medidas de seguridad aplicadas (en la medida de lo posible y sin que aporten información que pueda suponer un riesgo para la privacidad)
  • Plazos de conservación de los datos previstos

5.- Implementar las medidas de seguridad

Responsables y encargados del tratamiento deben implementar las medidas técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos recabados y almacenados en sus sistemas informáticos o archivos físicos.

Existen diferentes medidas de seguridad, desde las soluciones de seguridad informática, hasta las propias medidas organizativas adoptadas por la organización o el profesional, pero siempre deben responder a las amenazas y riesgos detectados en el análisis de riesgos y la EIPD, además de implantarse antes de comenzar el propio tratamiento de datos.

6.- Determinar la designación del DPO

Responsables y encargados del tratamiento deben determinar si necesitan designar un Delegado de Protección de Datos (DPO). De acuerdo al artículo 37 del RGPD, deberán hacerlo cuando:

  • El tratamiento lo realice una autoridad u organismo público (con excepción de los tribunales en el ejercicio de la función judicial)
  • Se traten datos de manera habitual y sistemática a gran escala
  • O se traten datos a gran escala de categorías especiales o datos relativos a condenas e infracciones penales

El DPO puede designarse de manera interna o contratarlo de manera externa (tanto un profesional por cuenta ajena como a través de una consultora especializada en protección de datos).

Entre sus funciones están asesorar a la organización en todo lo relacionado con la normativa de protección de datos y su cumplimiento, así como funcionar de enlace entre la organización y la AEPD.

7.- Determinar si se cederán datos a terceros

Es posible que para cumplir con determinadas obligaciones legales o para ofrecer algunos de los servicios, se deban ceder datos personales de clientes, empleados, suscriptores, etc., a otra empresa o profesional, que podrá acceder y tratar dichos datos.

En esos casos es necesario que los responsables del tratamiento firmen con estas empresas o profesionales un contrato de encargado del tratamiento, convirtiendo a estas en encargados del tratamiento. El responsable detallará en el contrato las obligaciones del encargado, los tratamientos de datos que hará a cuenta del responsable, las medidas de seguridad, la finalidad de esos tratamientos, los plazos de conservación y qué hacer con los datos una vez cumplida su finalidad.

tarifas proteccion datos autonomos

8.- Cumplir con el deber de informar a los interesados

Para cumplir con el principio de transparencia, los responsables del tratamiento deben informar a los interesados siempre que se vayan a tratar sus datos personales de cómo se gestionarán dichos datos y lo que implica el tratamiento, para lo que suministrarán información sobre:

  • Identidad y datos de contacto del responsable del tratamiento (y en su caso, del encargado del tratamiento y el DPO)
  • Finalidad del tratamiento
  • Legitimidad del tratamiento
  • Si los datos se cederán a terceros
  • Si se producirán transferencias de datos internacionales (fuera de la UE)
  • El plazo de conservación de los datos previsto
  • A través de qué vía y cómo pueden reclamar sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)
  • La posibilidad de reclamar ante la AEPD

La información se suministrará siempre con carácter previo al tratamiento de datos, utilizando el medio o soporte más adecuado en función del tratamiento y de cuándo y dónde se vayan a recabar los datos. Se optará, cuando así sea necesario, por ofrecer esta información en dos capas informativas, una primera con la información básica y la indicación de dónde poder consultar toda la información (que constituirá la segunda capa informativa).

Cumplir con el deber de informar es especialmente importante cuando la base legitimadora para el tratamiento no es el consentimiento de los interesados, sino alguno de los otros supuestos contemplados en el artículo 6 del RGPD.

9.- Recabar el consentimiento expreso

El consentimiento en el RGPD es la primera base legitimadora para cualquier tratamiento de datos personales (salvo que, como decíamos en el punto anterior, concurra alguno de las otras bases jurídicas contempladas en el artículo 6).

Este consentimiento debe ser expreso, es decir, el interesado debe darlo mediante una acción afirmativa (como la firma de la cláusula de protección de datos). Y debe ser informado, cumpliendo lo visto en el punto anterior, de manera que el interesado sepa para qué finalidad lo está dando.

El consentimiento RGPD debe quedar registrado, puesto que puede ser necesario demostrar que lo hemos obtenido de acuerdo a lo establecido en el Reglamento, de manera que la implantación del RGPD implica contar con los medios técnicos que permitan hacerlo, como puede ser un software RGPD con el que llevar al día y actualizada la gestión de la protección de datos.

El consentimiento se debe recoger para cada finalidad diferente o nuevo tratamiento que se vaya a llevar a cabo. Además, debe ser fácilmente revocable y el responsable facilitar la forma de hacerlo.

10.- Informar de las brechas de seguridad

El RGPD obliga a los responsables del tratamiento a informar de las brechas de seguridad puedan producirse y afectar los datos personales que gestionan. Si esas brechas de seguridad exponen los datos de manera que puedan ponerse en riesgo los derechos y libertades de los interesados, deberá notificarse de ello a la AEPD y los propios interesados en un plazo no superior a 72 horas, a contar desde que se detectó la incidencia.

Para poder realizar la notificación en tiempo, se recomienda contar con un protocolo para la gestión de brechas de seguridad que permita no solo comunicarlas en plazo, sino también atajarlas y solventarlas lo más rápido posible.

11.- Obligaciones para páginas web

En el caso de que la organización o el profesional tengan una página web para promoción de su negocio o para la venta o contratación de productos o servicios, estos sitios online deberán cumplir con estas obligaciones legales también:

  • Tener el aviso legal
  • Tener la política de privacidad
  • Tener una política de cookies y habilitado el aviso o banner de cookies para recabar el consentimiento para su uso
  • Adaptar cualquier formulario de la web para poder recabar el consentimiento, si se a través de él se recaban datos personales

¿Necesitas ayuda para implantar el RGPD en tu empresa?

La implantación del RGPD en empresas u otro tipo de organizaciones y negocios, supone cumplir en mayor o menor medida con los pasos que hemos visto en el punto anterior, lo que implica, si se quieren hacer las cosas bien y evitar caer en infracciones y que nos impongan cuantiosas sanciones, tener conocimientos suficientes sobre el propio Reglamento y sobre Derecho, puesto que se deben redactar diferentes tipos de documentos legales, como los contratos de encargo de tratamiento o los textos legales web, además de mantenerse actualizado sobre cualquier posible modificación o novedad legislativa que pueda afectar a la protección de datos.

Por otro lado, también es necesario responder en tiempo y forma a las reclamaciones de derechos ARSULIPO de los interesados. Así como mantener y comprobar la efectividad de las medidas de seguridad adoptadas y actualizarlas cuando sea necesario o vayamos a llevar a cabo un nuevo tratamiento de datos.

Por todos estos motivos, se recomienda contratar ayuda y asesoramiento especializado en protección de datos, como el que te ofrecemos en Grupo Atico34, cuyo equipo de profesionales expertos en la materia se asegurarán de tu empresa, organización o negocio cumpla con todas las obligaciones derivadas del tipo de datos personales que manejes, su volumen y los tratamientos de datos que lleves a cabo. Además, contarás con un servicio de asesoramiento 24/7, que resolverá cualquier duda que puedas tener.

¿Cuánto cuesta la implantación del RGPD?

El precio de protección de datos no tiene por qué ser caro; las tarifas de Grupo Atico34 están adaptadas a las necesidades de tu empresa, organización o negocio, al tipo y volumen de datos personales que vayas a gestionar, y a las obligaciones RGPD reales que debas cumplir.

Además, todos nuestros clientes tienen acceso a una plataforma online de gestión de protección de datos, para saber en todo momento el nivel de cumplimiento de la normativa, controlar el acceso a los datos almacenados y obtener todos los documentos legales que necesiten, siempre completamente personalizados a las características y actividad de la empresa. Así como un servicio de asesoramiento y ayuda disponible todos los días del año.

Evita que la protección de datos te salga cara por una inadecuada o insuficiente implantación del RGPD en tu organización o negocio y contrata asesoramiento profesional.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.