{"id":7774,"date":"2018-06-27T00:00:00","date_gmt":"2018-06-27T00:00:00","guid":{"rendered":"https:\/\/pre.madridemprende.anovagroup.es\/noticias\/guia-de-iniciacion-al-cumplimento-del-rgpd-para-emprendedores\/"},"modified":"2022-06-08T11:01:32","modified_gmt":"2022-06-08T09:01:32","slug":"guia-de-iniciacion-al-cumplimento-del-rgpd-para-emprendedores","status":"publish","type":"noticias","link":"https:\/\/test.madridemprende.anovagroup.es\/en\/noticias\/guia-de-iniciacion-al-cumplimento-del-rgpd-para-emprendedores\/","title":{"rendered":"Gu\u00eda de iniciaci\u00f3n al cumplimento del RGPD para emprendedores"},"content":{"rendered":"
El Reglamento supone un cambio de mentalidad ya que ahora el cumplimento, estar\u00e1 basado en una responsabilidad proactiva, es decir la capacidad de construir y demostrar que el tratamiento de datos personales se lleva a cabo de acuerdo al Reglamento y con miras a la protecci\u00f3n de los derechos y libertades de las personas f\u00edsicas. La reforma pretende implantar un modelo basado en una gesti\u00f3n enfocada a los riesgos, dejando a un lado el modelo anterior m\u00e1s formal.<\/p>\n<\/div>\n
Hay que resaltar de igual modo, como la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) nos recuerda la importancia de mantener documentados todos los procesos, con el objetivo de acreditar el cumplimiento de lo expuesto en el RGPD.<\/p>\n<\/div>\n
Al respecto, la AEPD pone a disposici\u00f3n diversas gu\u00edas y herramientas encaminadas a facilitar el cumplimiento del RGPD (que se indicar\u00e1n como recursos en el presente documento), si bien y como la misma advierte, el uso de estos recursos no implica necesariamente el cumplimiento del Reglamento, por lo que siempre ser\u00e1 necesario aplicar la debida diligencia en el uso de dichas gu\u00edas y herramientas.<\/p>\n<\/div>\n
I.\u00a0DOCUMENTACI\u00d3N, RESPONSABILIDAD PROACTIVA<\/p>\n

<\/strong><\/div>\n

A continuaci\u00f3n se indica los aspectos a valorar ante un tratamiento de datos:<\/p>\n<\/div>\n
1. Privacidad desde el dise\u00f1o (Privacy by Design)<\/div>\n
2. An\u00e1lisis de riesgo<\/div>\n
3. Registro de actividades de tratamiento<\/div>\n
4. Evaluaci\u00f3n de impacto<\/div>\n
5. Informaci\u00f3n al interesado<\/div>\n
6. Contratos entre responsable y encargado de tratamiento<\/div>\n
7. Medidas de seguridad<\/div>\n
Veamos cada uno de los puntos en detalle.\u00a0<\/p>\n<\/div>\n
1.<\/strong>\u00a0Privacidad desde el dise\u00f1o<\/strong> (Privacy by Design): la protecci\u00f3n de datos desde el dise\u00f1o y por defecto recogido en el art\u00edculo 25.1 RGPD, supone para el emprendedor la obligaci\u00f3n de atender a los 7 principios b\u00e1sicos de la privacidad por dise\u00f1o. Esto conlleva que al desarrollar, dise\u00f1ar, seleccionar y usar aplicaciones, productos o servicios, deber\u00e1 tener la precauci\u00f3n de analizar qu\u00e9 situaciones pueden suponer una invasi\u00f3n a la privacidad antes de que pudiera suceder. Adem\u00e1s, las tecnolog\u00edas utilizadas deben estar pensadas para proteger la privacidad desde el inicio y debe ser parte del dise\u00f1o de la aplicaci\u00f3n, producto o servicio sin que perjudique su funcionalidad. Se debe tambi\u00e9n proteger el ciclo de vida de la informaci\u00f3n en todo momento (desde que se facilite el primer dato personal) ofreciendo visibilidad y transparencia para que cualquiera de las partes o terceros comprueben el respeto a la privacidad. Por \u00faltimo, hay que recordar que la protecci\u00f3n de los interesados afectados por el tratamiento, debe ser el principal referente a la hora de tomar decisiones.<\/div>\n
\u00a0<\/div>\n
2.\u00a0An\u00e1lisis de riesgo:<\/strong>\u00a0al igual que el concepto anterior y muy unido a \u00e9l, el Reglamento, en sus art\u00edculos 25 y 32 RGPD, trata la necesidad de llevar a cabo un an\u00e1lisis de riesgos previo al tratamiento de datos. Analizar el riesgo por ejemplo ante un acceso ileg\u00edtimo a los datos, una modificaci\u00f3n no autorizada de los datos o una eliminaci\u00f3n de los datos. La evaluaci\u00f3n de riesgos deber\u00e1 consistir en valorar la existencia de posibles amenazas as\u00ed como su impacto y la probabilidad de que realmente se materialice. Una vez identificados los riesgos, habr\u00e1 que tratar los mismos para disminuir su nivel de exposici\u00f3n. Es decir, se pretende reducir o eliminar la probabilidad de que se materialice as\u00ed como minimizar su impacto en el caso de que sea inevitable.\u00a0<\/div>\n
\u00a0<\/div>\n
Recursos a disposici\u00f3n del emprendedor: la AEPD, pone a disposici\u00f3n la \u201cGu\u00eda pr\u00e1ctica de an\u00e1lisis de riesgos en los tratamientos de datos personales sujetos al RGPD\u201d, donde se encontrar\u00e1 entre sus anexos las plantillas para valorar si ser\u00e1 suficiente con un an\u00e1lisis b\u00e1sico de riesgos o por el contrario, acudir a un an\u00e1lisis de la necesidad de la realizaci\u00f3n de una evaluaci\u00f3n de impacto:<\/div>\n
\u00a0<\/div>\n
https:\/\/www.aepd.es\/media\/guias\/guia-analisis-de-riesgos-rgpd.pdf<\/a><\/div>\n
\u00a0<\/div>\n
De igual modo, la AEPD, pone a disposici\u00f3n la \u201cGu\u00eda del Reglamento General de protecci\u00f3n de datos para Responsables de tratamiento\u201d, que adem\u00e1s de contar con contenido de inter\u00e9s para el responsable de tratamiento, en su punto 10 establece la lista de verificaci\u00f3n simplificada para tratamientos que probablemente presenten un bajo nivel de riesgo para los derechos y libertades de los interesados y que servir\u00e1 de igual modo para conocer el grado de cumplimiento:<\/div>\n
\u00a0<\/div>\n
https:\/\/www.aepd.es\/media\/guias\/guia-rgpd-para-responsables-de-tratamiento.pdf<\/a><\/div>\n
\u00a0<\/div>\n
\u00a0<\/div>\n
3.\u00a0Registro de actividades de tratamiento:<\/strong>\u00a0el Reglamento en su art\u00edculo 30 RGPD establece la obligaci\u00f3n de llevar a cabo un registro de las actividades de tratamiento. Este registro deber\u00e1 constar por escrito, inclusive en formato electr\u00f3nico y deber\u00e1 estar a disposici\u00f3n de la AEPD. La obligaci\u00f3n de contar con un registro de las actividades de tratamiento ser\u00e1 tanto para el responsable de tratamiento como para el encargado de tratamiento.\u00a0<\/div>\n
Por \u00faltimo, el reglamento establece que este registro no ser\u00e1 de aplicaci\u00f3n para empresas o organizaciones que empleen a menos de 250 personas, a menos que el tratamiento pueda entra\u00f1ar un riesgo para los derechos y libertades de los interesados, no sea ocasional (por ejemplo un sorteo), o incluya categor\u00edas especiales de datos personales o datos personales relativos a condenas e infracciones penales.<\/div>\n
Recursos a disposici\u00f3n del emprendedor: La AEPD, pone a disposici\u00f3n en el apartado 6 de la \u201cGu\u00eda pr\u00e1ctica de an\u00e1lisis de riesgos en los tratamientos de datos personales sujetos al RGPD\u201d ya indicada las plantillas para el registro de actividades de tratamiento:<\/div>\n
\u00a0<\/div>\n
https:\/\/www.aepd.es\/media\/guias\/guia-analisis-de-riesgos-rgpd.pdf<\/a><\/div>\n
\u00a0<\/div>\n
4.\u00a0Evaluaci\u00f3n de impacto:<\/strong>\u00a0recogido en el art\u00edculo 35 RGPD, se contempla el supuesto de que tras llevar a cabo un an\u00e1lisis sobre los posibles riesgos (punto 2), hayamos detectado, en particular si utiliza nuevas tecnolog\u00edas, que el tratamiento entra\u00f1e un posible alto riesgo para los derechos y libertades de las personas f\u00edsicas. El Reglamento nos facilita algunos supuestos en los que debemos realizar dicha evaluaci\u00f3n y por tanto un documento m\u00e1s a tener en cuenta por el responsable, pero no hay que olvidar que la propia AEPD establecer\u00e1 y publicar\u00e1 tambi\u00e9n una lista de los tipos de operaciones de tratamiento que requieran una evaluaci\u00f3n de impacto y asimismo una la lista de los tipos que no requerir\u00e1n.\u00a0<\/div>\n
\u00a0<\/div>\n
Supuestos como el tratamiento a gran escala de datos especiales, la observaci\u00f3n sistem\u00e1tica (por ejemplo instalaci\u00f3n de videoc\u00e1maras) a gran escala de una zona de acceso a p\u00fablico o la elaboraci\u00f3n de perfiles sobre los cuales se tomen decisiones que produzcan efectos jur\u00eddicos, ser\u00e1n objeto de una Evaluaci\u00f3n de impacto relativa a la protecci\u00f3n de datos (EIPD).<\/div>\n
\u00a0<\/div>\n
Recursos a disposici\u00f3n del emprendedor: la AEPD, pone a disposici\u00f3n la \u201cGu\u00eda practica para las evaluaciones de impacto en la protecci\u00f3n de datos sujetas al RGPD\u201d, contando con plantillas para documentar la evaluaci\u00f3n:<\/div>\n
\u00a0<\/div>\n
https:\/\/www.aepd.es\/media\/guias\/guia-evaluaciones-de-impacto-rgpd.pdf<\/a><\/div>\n
\u00a0<\/div>\n
De igual modo, la AEPD, pone a disposici\u00f3n el \u201cListado de cumplimiento normativo\u201d que al igual que la \u201cGu\u00eda del Reglamento General de protecci\u00f3n de datos para Responsables de tratamiento\u201d donde adem\u00e1s de la lista de verificaci\u00f3n simplificada, cuenta con otro listado m\u00e1s completo en su punto 9. En ambos casos la finalidad es poder valorar los aspectos que deben tener en cuenta durante los procesos de an\u00e1lisis de riesgos y evaluaci\u00f3n de impacto y de reflexi\u00f3n sobre el grado de cumplimento.<\/div>\n
\u00a0<\/div>\n
https:\/\/www.aepd.es\/media\/guias\/guia-listado-de-cumplimiento-del-rgpd.pdf<\/a><\/div>\n
\u00a0<\/div>\n
5.\u00a0Informaci\u00f3n al interesado:<\/strong>\u00a0la recogida de datos de los interesados debe realizarse atendiendo a los nuevos criterios que establece en Reglamento, ya que ahora se exige ofrecer al interesado mayor informaci\u00f3n, de acuerdo a los art\u00edculos 13 y 14 RGPD (ya sea en el formulario en papel, en formulario web, registro de aplicaciones m\u00f3viles, entrevista telef\u00f3nica\u2026).<\/div>\n
De acuerdo al considerando 58 as\u00ed como al art\u00edculo 12 del RGPD relativo al principio de transparencia se exige que toda informaci\u00f3n dirigida al p\u00fablico o al interesado sea concisa, f\u00e1cilmente accesible, f\u00e1cil de entender y que se utilice un lenguaje claro y sencillo. Hay que recordar que como en el resto de puntos es obligaci\u00f3n del emprendedor ser capaz de demostrar que el interesado consinti\u00f3 el tratamiento de sus datos personales (articulo 7 RGPD).<\/div>\n
Recursos a disposici\u00f3n del emprendedor: La AEPD, pone a disposici\u00f3n la \u201cGu\u00eda para el cumplimento del deber de informar\u201d donde se recoge el criterio de informar por capas y sus ejemplos:<\/div>\n
\u00a0<\/div>\n
https:\/\/www.aepd.es\/media\/guias\/guia-modelo-clausula-informativa.pdf<\/a><\/div>\n
\u00a0<\/div>\n
6.\u00a0Contratos entre responsable y encargado de tratamiento:<\/strong>\u00a0el RGPD nos indica en su articulo 28 RGPD, que el responsable deber\u00e1 seleccionar entre sus proveedores al encargado de tratamiento que ofrezca garant\u00edas suficientes para aplicar medidas t\u00e9cnicas y organizativas apropiadas, para garantizar el cumplimento del Reglamento y garantice la protecci\u00f3n de los derechos del interesado. El considerando 81 por su parte continua indicando que debe poseer conocimientos especializados, fiabilidad y recursos, de cara a la aplicaci\u00f3n de dichas medidas t\u00e9cnicas y organizativas (La adhesi\u00f3n a un c\u00f3digo de conducta o a un mecanismo de certificaci\u00f3n puede servir de elemento para demostrar el cumplimiento). El acuerdo debe recogerse en un contrato que fije el objeto y la duraci\u00f3n del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categor\u00edas de interesados.\u00a0<\/div>\n
\u00a0<\/div>\n
Recursos a disposici\u00f3n del emprendedor: La AEPD, pone a disposici\u00f3n la \u201cGu\u00eda Directrices para elaborar contratos entre responsables y encargados de tratamiento\u201d, si bien como advierte los modelos de cl\u00e1usulas que incluye en su Anexo 1 no tienen la consideraci\u00f3n de cl\u00e1usulas tipo a los efectos del art\u00edculo 28.8 del RGPD:<\/div>\n
\u00a0<\/div>\n
https:\/\/www.aepd.es\/media\/guias\/guia-directrices-contratos.pdf<\/a><\/div>\n
\u00a0<\/div>\n
7.\u00a0Medidas de seguridad:<\/strong>\u00a0el considerando 74 as\u00ed como el art\u00edculo 5.1 f) estable que el responsable est\u00e1 obligado a aplicar las medidas oportunas y eficaces y demostrar que son las m\u00e1s id\u00f3neas. Tendr\u00e1 en cuenta para ello la naturaleza, el \u00e1mbito, el contexto y los fines del tratamiento as\u00ed como el riesgo para los derechos y libertades de las personas f\u00edsicas. Por tanto, las medidas deber\u00e1n adecuarse en funci\u00f3n del nivel y tipo de riesgo que suponga el tratamiento, es decir adaptarse a las caracter\u00edsticas de los tratamientos, al tipo de datos que sean tratados y a la tecnolog\u00eda. De igual modo deber\u00e1 asegurarse de que las medidas se aplican correctamente y si ser\u00eda conveniente alguna medida de seguridad distinta o adicional.<\/div>\n
II. HERRAMIENTA \\\u00bbFACILITA\\\u00bb<\/p>\n

<\/strong><\/div>\n

Especial menci\u00f3n requiere la herramienta que la AEPD pone a disposici\u00f3n de los responsables que lleven a cabo tratamientos de datos personales de escaso riesgo. Con ella, lograremos obtener diversos documentos comentados en el primer apartado, simplificando por tanto la labor de cumplimento del Reglamento. En el supuesto de que la herramienta nos indique que no es posible su uso, debido a las respuestas ofrecidas, ser\u00e1 necesario llevar a cabo un an\u00e1lisis de riesgos.<\/div>\n
Los documentos que obtendremos tras responder a las preguntas, ser\u00e1n los siguientes (la herramienta tambi\u00e9n recordar\u00e1 donde incluir el contenido que se genere):<\/div>\n
\n