Implantación LOPDGDD + RGPD
Consultoría Implantación Inicial LOPDGDD 3/2018 + RGPD UE 2016/679
El servicio de implantación inicial del LOPDGDD 3/2018 y RGPD UE 2016/679 en profesional autónomo, empresa o entidad, incluye la generación de la siguiente documentación legal:
- Evaluación y realización del Análisis de Riesgo (AR) e informe ejecutivo del resumen de riesgos detectados, activos afectados e interpretación de datos.
- Creación y generación de ficheros del Registro de Actividades de Tratamiento (RAT), dentro del cual se incluye el Plan de Acción y Medidas de Seguridad (PAMS).
- Redacción de las cláusulas informativas (CI) para los formularios de recogida de datos en formato papel.
- Redacción de los contratos con los encargados del tratamiento (CET) vinculados al responsable del tratamiento, conforme al artículo 28 RGPD UE 2016/679.
- Elaboración de los acuerdos de confidencialidad con empleados y/o usuarios autorizados con acceso a datos personales.
- Certificado de cumplimiento normativo RGPD UE 2016/679.
Servicio de mantenimiento anual LOPDGDD 3/2018 + RGPD UE 2016/679
El servicio de mantenimiento anual, a partir del 2º año y siguientes, para el cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos – RGPD UE 2016/679), del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, de 24 de noviembre de 2017, (pendiente de aprobación y entrada en vigor) y demás normativa complementaria de desarrollo, incluye:
- Actualización permanente y/o modificación del registro de actividades de tratamiento.
- Elaboración de acuerdos de confidencialidad, cláusulas, contratos con encargados del tratamiento y protocolos de actuación.
- Redacción y actualización permanente de los textos legales y cláusulas informativas a los cambios de la normativa vigente en materia de protección de datos personales de aplicación en cada momento.
- Auditoría del cumplimiento normativo RGPD UE 2016/679.
- Certificado anual de cumplimiento normativo RGPD UE 2016/679.
- Asesoramiento personalizado telefónico y/o correo electrónico para planteamiento y resolución de consultas.
Evaluación de impacto relativa a la protección de datos (EIPD)
El apartado 3 del artículo 35 del RGPD UE 2016/679 establece tres tipos de tratamiento que, debido al alto riesgo que suponen para los derechos y libertades de las personas físicas, requieren preceptivamente de una EIPD, relación que podrá verse aumentada y complementada con la entrada en vigor del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, de 24 de noviembre de 2017, y por las autoridades de control, facultadas para publicar listas de tipos de operaciones de tratamiento que requieran una EIPD y de aquellas que no la requieran.
Los tres tipos de tratamiento enumerados en esta disposición son:
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
- Tratamiento a gran escala de las categorías especiales de datos* o de los datos personales relativos a condenas e infracciones penales.
- Observación sistemática a gran escala de una zona de acceso público.
* Las categorías especiales de datos son aquellos datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
Oportunamente, la Autoridad de Control establecerá y publicará las listas de tipos de operaciones de tratamiento que requieran o no de una EIPD.
Delegado de protección de datos (DPD)
Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del RGPD UE 2016/679:
a) El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
b) Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
c) Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
Igualmente, los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 34.1 del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, de 24 de noviembre de 2017, y, en todo caso, cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
ñ) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.