(Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales y Reglamento General Europeo de Protección de Datos 2016/679)
La Agencia Española de Protección de Datos ha publicado una serie de cuestiones a valorar para determinar los requisitos que debe cumplir una obligado respecto a las actuales normativas de Protección de Datos:
- Designar al delegado de protección de datos si es obligatorio o si se asume voluntariamente.
- Elaborar el registro de actividades de tratamiento.
- Analizar las bases jurídicas de los tratamientos.
- Efectuar un análisis de riesgos
- Revisar las medidas de seguridad en función del análisis de riesgos realizado.
- Establecer mecanismos y procedimientos de gestión de quiebras de seguridad.
- Llevar a cabo, cuando sea necesario, una evaluación de impacto de la protección de datos.
- Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.
- Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.
- Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.
- Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.
- Confeccionar e implantar políticas de protección de datos.
Entre todas las obligaciones, debemos detenernos en dos que, por lo general sólo serán necesarias de manera ocasional:
Delegado de Protección de Datos (arts. 37, 38 y 39 RGPD y 34, 35, 36 y 37 LOPD-GDD). De manera resumida, sólo será necesario contar con un DPO si:
- El tratamiento lo lleve a cabo una autoridad u organismo público.
- Las actividades principales del responsable o encargado del tratamiento consistan en operaciones que requieren un seguimiento regular y sistemático del interesado a gran escala.
- Las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala categorías especiales de datos personales relacionados con condenas o delitos.
Evaluación de Impacto: (art. 35.3)De forma resumida: Deberá practicarse cuando el tratamiento de los datos personales entrañe un riesgo alto para los derechos y libertades de los usuarios.
Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
Tratamiento a gran escala de las categorías especiales de datos personales o de datos personales relativos a condenas e infracciones penales.
Observación sistemática a gran escala de una zona de acceso pública.
Estos son, por tanto, los requisitos que todo negocio debe implantar para cumplir con la actual normativa de Protección de Datos.