El Reglamento dispone de varios mecanismos para garantizar que se han implementado medidas adecuadas de protección de datos y acreditar su cumplimiento. Dichas garantías pretenden incrementar la confianza y la transparencia de las actuaciones llevadas a cabo con datos personales por Responsables y Encargados del tratamiento.
Las garantías de cumplimiento que prevé el Reglamento son:
- Mecanismos de certificación: Para Responsables o Encargados del tratamiento a título individual (Certificados, Sellos y Marcas de protección de datos).
- Códigos de conducta: Para asociaciones u organismos que representen categorías de Responsables o Encargados del tratamiento.
- Normas corporativas vinculantes: Para grupos empresariales o unión de empresas dedicadas a una actividad económica conjunta que realicen transferencias internacionales de datos.
Cualquier Responsable o Encargado del tratamiento también podrá emitir por su cuenta un certificado que garantice el cumplimiento de las disposiciones establecidas en el Reglamento.
En este artículo vamos a centrarnos en el certificado de cumplimiento emitido por el Responsable o Encargado del tratamiento. Para ello, deberemos crear diversos protocolos de actuación con el fin de poder garantizar la protección de datos en todas las fases del tratamiento:
Como la información sobre estos protocolos ya se ha se han tratado extensamente en artículos anteriores, detallaremos un resumen de los informes que debemos disponer para poder certificar que garantizamos la protección de datos conforme lo dispuesto en el Reglamento.
Este informe debe contener el cumplimiento de los principios del tratamiento para cada uno de los ficheros de datos.
La obligación de disponer de un informe de Responsabilidad proactiva recae en cualquier Responsable o Encargado del tratamiento.
ACTUACIÓN (RT y ET) | DETALLES |
Identificación de Ficheros |
|
Principios del tratamiento |
|
Este informe debe contener un registro de todos flujos de transmisión de datos entre los intervinientes y la responsabilidad adquirida en el tratamiento de cada uno de los ficheros de datos. Recordar que existe la obligación de suscribir los correspondientes contratos de protección de datos con todos los intervinientes.
La obligación de disponer de un informe del Registro de las actividades del tratamiento recae en cualquier Responsable o Encargado del tratamiento que concurra en alguna de las siguientes condiciones:
ACTUACIÓN (RT) | DETALLES |
Registro de intervinientes |
|
Registro de las actividades |
|
ACTUACIÓN (ET) | DETALLES |
Registro de intervinientes |
|
Registro de las actividades |
|
Este informe debe contener un protocolo de actuación para cada uno de los ficheros de datos, que refleje políticas concisas, transparentes, sencillas y accesibles para comunicar al interesado los detalles del tratamiento y el ejercicio de los derechos sobre sus datos.
La obligación de disponer de una Política de información recae en cualquier Responsable del tratamiento.
ACTUACIÓN (RT) | DETALLES |
Información al interesado | Información básica:
Información específica (solo si es de aplicación):
Para datos obtenidos de fuentes externas:
|
Comunicación al interesado | Cuando se obtienen los datos del interesado:
Cuando no se obtienen los datos del interesado:
No será necesario comunicar la información:
|
Derechos del interesado | Derechos básicos:
Derechos específicos (solo si es de aplicación):
|
Este informe debe contener un protocolo de actuación para cada uno de los ficheros de datos, que refleje la implementación de políticas técnicas y organizativas adecuadas que garanticen la protección de datos teniendo en cuenta los riesgos que pueda tener el tratamiento como consecuencia de la destrucción accidental o ilícita de datos, la pérdida, alteración o comunicación de datos y el acceso a los datos cuando sean transmitidos, conservados u objeto de algún otro tipo de tratamiento.
La obligación de disponer de una Política de seguridad recae en cualquier Responsable o Encargado del tratamiento.
ACTUACIÓN (RT y ET) | DETALLES |
Derechos del interesado |
|
Desde el diseño y por defecto |
|
Análisis de riesgos |
|
Evaluación de impacto | Solo cuando sea probable que exista un alto riesgo para los derechos y libertades de los interesados:
|
Violaciones de la seguridad |
|
Este informe debe contener un protocolo que determine la implantación de medidas adecuadas de protección de datos para cada uno de los ficheros de datos, mediante actuaciones específicas de seguridad aplicables a todas las fases del tratamiento: obtención, acceso, intervención, transmisión, conservación y supresión.
La obligación de implantar Medidas de protección de datos recae en cualquier Responsable o Encargado del tratamiento.
ACTUACIÓN (RT y ET) | DETALLES |
Obtención |
|
Acceso |
|
Intervención |
|
Transmisión |
|
Conservación |
|
Supresión |
|
Aunque los informes anteriormente descritos son de obligado cumplimiento para Responsables o Encargados del tratamiento, existen otro tipo de informes que serán de gran utilidad para poder garantizar la protección de datos. Estos son:
Tema anterior: 6. Derechos del interesado Curso Aplicación del GDPR: 0. Introducción
Si usted ha leído y ha comprendido los 7 temas que forman parte del curso, puede solicitar un Certificado de aprovechamiento del curso de formación si supera una prueba de aptitud de los temas tratados.
Solicitar el certificado a: gestio@ateneu.eu, poniendo en el asunto "Certificado de aprovechamiento curso Aplicación del GDPR". Una vez recibido el correo, le enviaremos un formulario con los datos necesarios para realizar la prueba y obtener el certificado.
Para saber más sobre la Protección de Datos, puedes realizar el Curso Experto en el GDPR. Este curso consiste en 20 temas formativos que han sido elaborados a partir de un riguroso estudio del nuevo Reglamento y estructurados con el objetivo de ofrecer una información clara y precisa al lector para que, al finalizar el curso, tenga un nivel de formación experta y actualizada de la protección de datos personales.
Acceso al Curso Experto en el Reglamento Europeo de Protección de Datos (GDPR-RGPD)