Implantación RGPD
Implantación del RGPD 2016/679 (ue) y de la ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales
1.Registro de actividades de tratamientos de datos
Consiste en realizar un seguimiento de los tratamientos de datos que se efectúan en la entidad para determinar su conveniencia o mejora.
1.1 Revisar los tratamientos de datos personales y crear un repositorio de registros de actividades de tratamiento en base al arte. 30 RGPD.
1.2 Revisar otra normativa de posible aplicación a los diferentes tratamientos de datos (Consumidores, LSSICE, Ley de Autonomía del Paciente, normativas sectoriales, Ley de transparencia, Ley de Blanqueo de capitales, Compliance , RD-registro de jornada, Ley de Teletrabajo, Sistemas Internos de Información, etc.).
Garantiza la protección de tus datos y el cumplimiento normativo
2. Evaluación de riesgos asociados a los tratamientos
Para determinar los riesgos asociados a cada tratamiento se tendrán que analizar los diferentes tratamientos de datos que realizan los diferentes departamentos. En este sentido, se revisarán los siguientes parámetros:
2.1.- Derecho de información
2.1.1. Revisar para cada tratamiento de datos, la información que se facilita a los interesados. Esto supone tener que revisar los diversos canales, sistemas y soportes de recogida de datos: formularios, web, correo electrónico, consentimiento de los interesados, etc.
2.1.2. Diseñar para cada tratamiento un texto modelo de información a facilitar a los interesados, dependiendo de si los datos se han obtenido o no directamente.
2.2.- Consentimiento de los titulares de los datos
2.2.1 Elaborar los textos, de acuerdo a los sistemas y soportes utilizados para obtener el consentimiento del interesado (empleados, colaboradores, proveedores, clientes, clientes agro-tiendas, etc.)
2.2.2. Revisar las evidencias documentales del consentimiento.
2.2.3. Revisar y adecuar la política de privacidad a la página web, o elaborarla.
2.2.4. Redactar los documentos necesarios para regularizar las obligaciones de consentimiento que sea necesario realizar, diseñando para cada tratamiento textos y modelos de consentimiento, haciendo especial referencia a finalidad única o fines diferenciados y fines comerciales.
2.3.- Derechos de los interesados
2.3.1. Revisar los textos, sistemas y soportes utilizados para informar al interesado de sus derechos.
2.3.2. Articular procedimientos para el ejercicio de los derechos y verificación de identidad.
2.3.3. Elaborar un procedimiento a seguir ante las solicitudes que presenten los interesados.
2.4.- Garantía de los derechos digitales de las personas trabajadoras
2.4.1.Preparar los documentos de garantía de los derechos digitales de las personas trabajadoras.
2.4.2.Revisar los protocolos de registro de jornada (con o sin datos biométricos y/o de geolocalización).
2.5.- Encargados de tratamiento / proveedores
2.5.1. Identificar las distintas categorías de proveedores que tratan datos por cuenta de la entidad, elaborando un registro de proveedores con acceso a datos.
2.5.2. Identificar las distintas categorías de proveedores que tienen un acceso potencial, ocasional o continuado a datos y no realizan el tratamiento de las mismas por cuenta de la entidad.
2.5.3. Redactar un modelo de contrato que, al menos, cumpla los requisitos que establece el nuevo reglamento y la Ley 3/2018, de 5 de diciembre.
2.5.4. Circularizar el cuestionario de homologación de proveedores con acceso a datos
2.6.- Medidas de seguridad
2.6.1. Política de copias de seguridad
2.6.2. Política de contraseñas y usuarios
2.6.3. Gestión de la nube o cloud computing
2.6.4. Política de destrucción de soportes y equipos
2.6.5. Política de tablas vacías
3.- Protocolos de violaciones de seguridad
3.1. Notificación a la autoridad de control en caso de destrucción, pérdida o alteración accidental o ilícita de los datos personales que se transmitan, conserven o traten, o la comunicación o acceso no autorizado de estos datos.
3.2. Confeccionar registro de las posibles violaciones y medidas adoptadas en su caso.
3.3. Establecer mecanismos de notificación a los interesados y/o afectados, en su caso.
4.- Protocolos de ejercicio de derechos
4.1. Documentar e informar de los posibles ejercicios de derechos de los interesados, darle respuesta y dar cobertura a la entidad en respuesta a los mismos.
4.2. Establecer mecanismos para la recepción de las comunicaciones.
4.3. Establecer mecanismos de respuesta.
5.- Medidas para acreditar cumplimiento (responsabilidad proactiva), evidencias de cumplimiento y controles. compliance
5.1. Identificar las evidencias que la entidad debe recopilar para acreditar el cumplimiento de las obligaciones legales.
5.2. Incluir las evidencias recogidas o creadas en un repositorio sistematizado que permita facilitar su localización y acceso en caso de necesitar acreditar el cumplimiento de las obligaciones establecidas en el nuevo Reglamento.
5.3. Identificar las medidas exigibles a los proveedores/encargados de tratamiento.
5.4. Revisar y adecuar el calendario anual de controles periódicos con protocolos o sistemas de autoevaluación (Compliance).
5.5. Formación de los trabajadores, en su caso, sobre todo en ciberseguridad desde el punto de vista de usuario.
Garantiza la protección de tus datos con nosotros
Confía en nuestro equipo para implementar la normativa RGPD y la Ley Orgánica de Protección de Datos en tu empresa de manera ágil, completa y efectiva. Desde la evaluación de riesgos hasta la elaboración de protocolos, te acompañamos en cada paso para asegurar el cumplimiento y proteger la información de tus clientes, empleados y colaboradores.
