Consultoría en Protección de Datos
La Consultoría en Protección de Datos de Grupo Adaptalia le garantiza el cumplimiento normativo legal, tecnológico y de organización para su compañía. Dando soluciones diversas para cada tipo de aspecto a tratar y sector empresarial.
Evolución de la Consultoría en Protección de Datos
En el mundo de hoy, los avances tecnológicos y la informática han facilitado a las organizaciones la posibilidad de almacenar gran cantidad de datos personales tanto de sus clientes y proveedores como de sus propios trabajadores o candidatos. Referidos, entre otros, al número de teléfono y correo electrónico personal, gustos y preferencias o datos de salud.
Antes de la entrada en vigor del RGPD y la nueva LOPDGDD, para que las organizaciones trataran lícitamente los datos de carácter personal, se les exigía cumplir con la anterior Ley de Protección de Datos y su Reglamento de Desarrollo.
Sin embargo, los riesgos que entrañan los nuevos sistemas de tratamiento, el incremento en la magnitud del intercambio y la recogida de datos y la falta de armonización entre las normativas de los diferentes Estados Miembros, impulsaron que las instituciones europeas promulgaran el Reglamento General de Protección de Datos (RGPD). El RGPD de obligatorio cumplimiento desde el 25 de mayo de 2018, junto con la nueva LOPDGDD, de obligado cumplimiento desde el 7 de diciembre de 2018, implican que las organizaciones deben estar adaptadas a las nuevas exigencias impuestas por ambas.
Principales cambios
RGPD y LOPDGDD
Plan de actuación en
Consultoría de
Protección de Datos
Delegado de Protección
de Datos
Evaluación
de Impacto
Auditorías
Comercio Electrónico
Formación
Sanciones
Principales cambio RGPD y LOPDGDD
| LOPD 15/1999 | RGPD/LOPDGDD | |
 SANCIONES | Entre 900€ y 600.000€ |
|
 INVENTARIO | Inscripción obligatoria de ficheros de datos | Registro de Actividades de Tratamiento y gestión de datos |
 DPO y EIPD | No es obligatorio | Obligatorio supuestos tasados por ley Recomendable en otros casos |
 RESPONSABILIDAD PROACTIVA | Medidas impuestas en función de la tipología de los datos (DERECHO ROMANO – REACTIVO) | Adopción de las medidas adecuadas de forma proactiva (DERECHO ANGLOSAJÓN) |
 NOTIFICACIÓN | No existe obligación de comunicar violaciones de seguridad | Obligación de comunicar violaciones de seguridad en 72 horas a la AEPD |
 DERECHO DE LOS INTERESADOS | Derechos ARCO | Nuevos derechos: Portabilidad de los datos, derecho al olvido, limitación del tratamiento y oposición a ser objeto de decisiones automatizadas. Nuevo catálogo de derechos digitales. |
 CONSENTIMIENTO | Consentimiento tácito | Consentimiento requiere clara acción afirmativa |
| SANCIONES |
LOPD 15/1999 Entre 900€ y 600.000€ RGPD/LOPDGDD
|
| INVENTARIO |
LOPD 15/1999 Inscripción obligatoria de ficheros de datos RGPD/LOPDGDD Registro de Actividades de Tratamiento y gestión de datos |
| DPO y EIPD |
LOPD 15/1999 No es obligatorio RGPD/LOPDGDD Obligatorio supuestos tasados por ley Recomendable en otros casos |
| RESPONSABILIDAD PROACTIVA |
LOPD 15/1999 Medidas impuestas en función de la tipología de los datos (DERECHO ROMANO – REACTIVO) RGPD/LOPDGDD Adopción de las medidas adecuadas de forma proactiva (DERECHO ANGLOSAJÓN) |
| NOTIFICACIÓN |
LOPD 15/1999 No existe obligación de comunicar violaciones de seguridad RGPD/LOPDGDD Obligación de comunicar violaciones de seguridad en 72 horas a la AEPD |
| DERECHO DE LOS INTERESADOS |
LOPD 15/1999 Derechos ARCO RGPD/LOPDGDD Nuevos derechos: Portabilidad de los datos, derecho al olvido, limitación del tratamiento y oposición a ser objeto de decisiones automatizadas. Nuevo catálogo de derechos digitales. |
| CONSENTIMIENTO |
LOPD 15/1999 Consentimiento tácito RGPD/LOPDGDD Consentimiento requiere clara acción afirmativa |
Plan de Actuación en Consultoría de Protección de Datos
Grupo Adaptalia es consciente de la importancia del principio de accountability que instaura reglamento europeo en protección de datos. Por ello, ha diseñado un plan de actuación para aquellas entidades que confíen en sus servicios. Nuestro plan de actuación en consultoría de protección de datos establece un mapa de ruta completo para asegurar la legalidad y seguridad de las empresas.
Dicho plan, marca unas pautas para que sepan cómo afrontar las obligaciones de la nueva normativa vigente, especificando qué documentación necesitan implantar o actualizar. Así como cuáles son las medidas técnicas y organizativas que deben adoptar para garantizar la seguridad de los datos de carácter personal. Y el procedimiento a seguir en caso de que llegue a producirse una violación de seguridad.
ADAPTACIÓN
Textos legales y contratos en relación a:
- Empleados
- Clientes y Proveedores
- Página web
Informes de necesidad RAT, DPO y EIPD
EQUIPO DE TRABAJO
CAPACITACIÓN
CONSULTORÍA
Revisión de contratos, formularios, cláusulas
Deber de información y base de legitimación
Nombramiento de seguridad
Nombramiento del DPO (cuando corresponda)
Evaluaciones de Impacto (EIPD)
Procedimientos, controles y protocolos de seguimiento
ACCOUNTABILITY
Auditorias
Registros de accesos
Protocolo de contraseñas: identificación y autenticación
Inventario de soportes y documentos
Copias de seguridad, Cifrado, UTM, Pseudonimización
GENERACIÓN DE EVIDENCIAS
Textos Legales y Guía de Implantación del Nuevo Reglamento Europeo de Protección de Datos
Grupo Adaptalia es consciente de los desafíos que entraña la nueva normativa en materia de protección de datos. Por ello, como parte de su consultoría protección de datos, ha elaborado una documentación personalizada para sus clientes. Dicha documentación contiene los textos legales que deben implantar para poder dar cumplimiento a la normativa sobre protección de datos.
Este plan de actuación se encuentra totalmente adaptado al reglamento europeo de protección de datos y a la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales. Además, aparece acompañado de una guía que explica detalladamente cómo y dónde deben incorporarse los distintos clausulados o leyendas legales. Por ejemplo, contratos de prestación de servicios, página web, etc. Y, en su caso, con quién deben firmarlos (clientes, proveedores, empleados, etc.)
Registro de Actividades de Tratamiento
Con carácter previo al tratamiento de datos de carácter personal, la anterior normativa exigía a las organizaciones la inscripción de sus ficheros en la Agencia Española de Protección de Datos (AEPD).
La regulación vigente no impone la obligación de dicha inscripción. En su lugar, exige llevar a cabo un registro de actividades de tratamiento. Este registro es obligatorio para aquellas organizaciones que empleen a un número superior o igual a 250 trabajadores. O bien, cuando el número de trabajadores sea inferior a esta cifra pero los tratamientos de datos puedan entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales. No obstante de acuerdo al Principio de Responsabilidad Proactiva, y al hecho de que cualquier tratamiento conlleva un riesgo intrínseco, siempre es recomendable y un valor añadido la llevanza de este Registro de Actividades de Tratamiento para cualquier organización.
Consultoría Protección de Datos y el Valor Añadido de los Registros de Actividades de Tratamiento
No obstante, GrupoAdaptalia es consciente de la importancia del principio de responsabilidad proactiva. También de las circunstancias cambiantes del tratamiento de datos que realizan las empresas. Para cumplir plenamente con el Principio de Accountability, se encarga de elaborar este registro interno y ponerlo a disposición de todos sus clientes. Lo cual supone, sin duda, un valor añadido para quienes confían en nuestros servicios.
Nombramiento del Responsable de Protección de Datos- Data Security Protection Officer (DSPO)
Dentro de nuestro abanico de soluciones en consultoría de protección de datos, ofrecemos el nombramiento del DSPO. Para que las entidades sepan identificar las especialidades de cada tratamiento de datos y que éstos se efectúen con las debidas garantías, es conveniente que designen dentro de su organización interna a un Responsable de protección de datos (Data Security Protection Officer, DSPO)
Si bien su nombramiento no viene impuesto por el RGPD, es una figura de carácter esencial. En consecuencia, contar con un Responsable de Protección de Datos implica que existe al menos una persona dentro de la organización que tiene ciertos conocimientos en materia de protección de datos. Además, en caso de que se produzca algún incidente que ponga en riesgo la seguridad de los datos personales, conocerá el procedimiento a seguir y qué debe hacerse si se quieren ceder datos personales a otra empresa, etc.
En cualquier caso, no es intención de GrupoAdaptalia que el Responsable sea capaz de resolver todos y cada uno de los problemas que puedan suscitarse. Sino que tan sólo sepa identificarlos y enmendar los de menor relevancia. Nosotros prestamos total asistencia ante cualquier duda que pueda surgirle. Por eso mismo, estamos en estrecha y continua comunicación con los empleados que deseen plantearnos alguna consulta o incidencia originada en el seno de su organización.
Formación Actualizada en nuestra Consultoría Protección de Datos
Para que la persona elegida por la empresa acredite tener unos conocimientos básicos en la materia, GrupoAdaptalia pone a disposición de sus clientes un curso formativo para DSPO (Data Security Protection Officer) (pueden ver nuestro Curso Protección de Datos). Tras la superación de este curso, GrupoAdaptalia acreditará la capacitación del usuario a través de la expedición de un título que demostraría que ha superado satisfactoriamente el curso formativo.
Notificación y Registro de Violaciones de Seguridad
Una violación de seguridad es cualquier incidente que ocasione la destrucción, pérdida, alteración accidental o ilícita de los datos de carácter personal. Así como su comunicación o acceso no autorizado.
Son ejemplos típicos de violación de seguridad la pérdida de un ordenador portátil, el acceso no autorizado a la base de datos de una organización o el robo de información por un empleado que ha sido despedido. En el supuesto de que la violación de seguridad entrañe un riesgo para los derechos y libertades de los interesados, la organización dispone de un plazo de 72 horas para comunicar la violación de seguridad a la AEPD.
Si además la violación de seguridad entraña un alto riesgo para los derechos y libertades de los interesados, también deberá notificarse a estos últimos. GrupoAdaptalia ha diseñado un procedimiento de actuación para que el personal sepa qué hacer en caso de producirse una violación de seguridad. Este procedimiento, junto con las indicaciones y el continuo contacto con el cliente, ayudará a gestionar cualquier quiebra de seguridad que llegue a producirse en el futuro.
Tanto la comunicación a la Agencia de Protección de Datos como el registro de violación de seguridad, serán llevadas a cabo por GrupoAdaptalia. Actuaremos en representación del cliente. En caso de que sea necesaria la notificación a los interesados, GrupoAdaptalia dará las indicaciones precisas a la organización afectada para que dicha notificación sea llevada a cabo con las debidas garantías.
INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS | |
| RESPONSABLE | GRUPO ADAPTALIA LEGAL- FORMATIVO S.L. 91 553 34 08 |
| FINALIDAD | Resolver las dudas que nos plantea a través del formulario. Y según proceda, además, facilitarle la información que nos solicita a través de los formularios. |
| LEGITIMACIÓN | Consentimiento del interesado |
| DESTINATARIOS | No se cederán datos a terceros, salvo autorización expresa u obligación legal |
| DERECHOS | Acceder, rectificar y suprimir los datos, portabilidad de los datos, limitación u oposición a su tratamiento, transparencia y derecho a no ser objeto de decisiones automatizadas |
| INFORMACIÓN ADICIONAL | Puede consultar la información adicional y detallada sobre nuestra Política de Privacidad en https://www.grupoadaptalia.es/politica-de-privacidad/ |
Constitución en la Figura Del Delegado de Protección de Datos- Data Protection Officer (DPO)
El Reglamento Europeo de Protección de Datos (RGPD) incorpora una figura ausente en la anterior regulación. Se trata del Delegado de Protección de Datos (Data Protection Officer, DPO). El DPO se configura como una persona interna o externa de la empresa, física o jurídica, que tenga un cierto conocimiento en Derecho y en la práctica de protección de datos.
Su nombramiento es obligatorio cuando se trate de autoridades u organismos públicos. O bien, cuando sean empresas que realicen entre sus actividades principales operaciones de tratamiento que requieran el seguimiento regular y sistemático de interesados a gran escala. O tratamientos a gran escala de categorías especiales de datos. A esto hay que añadir todas aquellas organizaciones que enumera la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), y que por sus características deben designar obligatoriamente Delegado de Protección de Datos.
A tal fin, Grupo Adaptalia ofrece su constitución en esta figura. Combinamos las destrezas y puntos fuertes individuales de varios profesionales especializados en materia de protección de datos, quienes, trabajando en equipo, pueden desempeñar sus tareas y servir de forma más eficiente a sus clientes.
FUNCIONES
Supervisión del cumplimiento normativo
Asesoramiento
Mantenimiento Registro de Actividades de Tratamiento
Riesgos asociados a los tratamientos
Cooperación y enlace con la autoridad de control
Asesoramiento en evaluaciones de impacto
PERFÍL
Conocimientos en Derecho y en materia de protección de datos
Esquema AEPD-ENAC
Certificación no obligatoria
POSICIÓN
Interno o Externo
Persona física o jurídica
Casos Obligatorios Nombramiento DPO
El artículo 37 apartado 1, del RGPD requiere la designación de un DPD en tres casos específicos:
Autoridades y Organismos Públicos
Empresas que tengan entre sus actividadesprincipales la observación habitual y sistemática de interesados a gran escala
Tratamientos a gran escala de categorías especiales de datos o datos personales relacionados con condenas o infracciones penales
Por lo que respecta a la LOPDGDD, en su artículo 34 se establece la designación obligatoria de DPD en los siguientes supuestos:
Colegios
Profesionales
Centros
Docentes
Servicios Comunicaciones Electrónicas
Servicios de la Sociedad de la Información
Entidades de Crédito, Inversión y Solvencia Patrimonial y PBC
Publicidad y
Prospección Comercial
Empresas de Seguridad Privada
Distribuidor Electricidad
Entidades Aseguradoras
Operadores de Juego Electrónico
Centros Sanitarios
Fundaciones y Asociaciones
INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS | |
| RESPONSABLE | GRUPO ADAPTALIA LEGAL- FORMATIVO S.L. 91 553 34 08 |
| FINALIDAD | En caso de enviarnos el formulario de contacto del Boletín Informativo, la finalidad es facilitarle por correo electrónico las últimas novedades en Protección de Datos, servicios de la Sociedad de la Información y Prevención de Blanqueo, así como de cualquier otra materia jurídica relacionada. |
| LEGITIMACIÓN | Consentimiento del interesado |
| DESTINATARIOS | No se cederán datos a terceros, salvo autorización expresa u obligación legal |
| DERECHOS | Acceder, rectificar y suprimir los datos, portabilidad de los datos, limitación u oposición a su tratamiento, transparencia y derecho a no ser objeto de decisiones automatizadas |
| INFORMACIÓN ADICIONAL | Puede consultar la información adicional y detallada sobre nuestra Política de Privacidad en https://www.grupoadaptalia.es/politica-de-privacidad/ |
Evaluaciones de Impacto en la Auditoría de Protección de Datos
Las Evaluaciones de Impacto son un ejercicio de análisis exhaustivo (a mayores) de los riesgos que un determinado sistema de información, producto o servicio, puede entrañar a la protección de datos de los interesados. Es una medida dentro de nuestra consultoría en protección de datos que se toma cuando es probable que el tratamiento de los datos entrañe un alto riesgo para los derechos y libertades de los interesados.
Tales evaluaciones de impacto no son más que la expresión de las comúnmente conocidas como PIAS. La única diferencia estriba en que la anterior regulación no las regulaba, si bien la Agencia venía recomendando a las organizaciones su realización. Con la entrada en vigor del RGPD, la novedad que se introduce es que esta recomendación pasa a ser una obligación. Al menos, cuando sea probable que el tratamiento pueda ocasionar un alto riesgo para los derechos y libertades de los interesados.
Al respecto, Grupo Adaptalia, con facultades ampliamente reconocidas en la realización de Evaluaciones de Impacto, pone a disposición de sus Clientes este servicio. Queremos concienciar a nuestros clientes que, independientemente de la obligatoriedad de realizarlas, las conciban como un activo para su organización. Las ventajas de las Evaluaciones de Impacto son múltiples.
Fundamentalmente, permiten eliminar o mitigar los riesgos sobre el derecho a la protección de datos antes de que el sistema se desarrolle. Así, se evitan los costes económicos y reputacionales que puede conllevar su descubrimiento a posteriori (o incluso su materialización).
Auditorías
El objetivo de las auditorías en protección de datos es conocer cuál es el grado de cumplimiento de la normativa que la organización ha alcanzado. Eso es así, una vez finalizado el proyecto de adecuación en materia de protección de datos, De este modo, se puede determinar si es suficiente o si, por el contrario, aún resultan necesarios más cambios.
Grupo Adaptalia alienta a sus clientes a valorar positivamente la contratación de este servicio. Siendo uno de los valores añadidos dentro de nuestra consultoría en protección de datos. Si la organización decide contratar una auditoría externa con Grupo Adaptalia, uno de nuestros expertos auditores analizará si la organización ha establecido las medidas más adecuadas para la correcta implantación de las normativa sobre protección de datos. Así como si se cumplen con las medidas de seguridad que la normativa vigente exige a las entidades que adopten a tenor de las particularidades concretas de su organización.
Comercio Electrónico
Definición
También conocido como e-commerce, consiste en la compra y venta de productos o de servicios a través de medios electrónicos, como pueden ser las págnas web o las redes sociales.
Cumplimiento de la Ley
Si nuestro negocio cuenta con comercio electrónico, deberemos cumplir con la normativa, teniendo en cuentalos derechos de los consumidores, así como, nuestras obligaciones como empresario.
Protección del Empresario
De esta forma protegeremos a nuestro negocio de las posibles sanciones que pudieran derivarse de la comisión de alguna infracción.
Normativa a Tener en Cuenta
LSSICE
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
LOCM
Ley 7/1996, de 15 de enero, de Ordenación del Comercio Minorista
LGDCU
Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios yotras leyes complementarias
LCGC
Ley 7/1998, de 13 de abril, sobre Condiciones de la Contratación
Formación
Cursos Formativos Adaptados al Reglamento Europeo para el Data Security Protection Officer y resto del personal
Grupo Adaptalia ofrece a sus clientes una formación de calidad con el Curso formativo DSPO (Data Security Protection Officer). De este modo, podrá demostrar la capacitación del Responsable de Protección de Datos.
Este curso está destinado a que el Responsable de protección de datos adquiera unos conocimientos adecuados sobre el reglamento. También, conocerá las obligaciones que le asisten a su organización. Y por supuesto, las medidas de seguridad que deberá adoptar para garantizar la protección de los datos. Finalmente, sabrá qué hacer en caso de producirse una violación de seguridad. Consulte nuestro Curso Protección de Datos.
El RGPD impone multas muy severas a las organizaciones. Al mismo tiempo que establece un sistema dual para fijar la cuantía de la multa.
Las multas podrán ser:
– De hasta 10 millones de euros o, para las empresas, un 2% del volumen del negocio total anual.
Supuestos: incumplimiento de la adopción de medidas de seguridad. O, por ejemplo, no nombrar al Delegado de Protección de Datos cuando corresponda.
– De hasta 20 millones de euros o, para las empresas, un 4 % del volumen de negocio total anual.
Supuestos: vulneración de los derechos de los afectados. También el incumplimiento de los principios básicos de tratamiento, etc.
Se impondrá siempre la opción más gravosa. Es decir, si la multa de 20 millones de euros es menor que la multa inferida de aplicar el 4% del volumen de negocio total anual, se optará por este segundo sistema.
Nuestra Consultoría en Protección de Datos se ocupa también de la Defensa en procedimientos sancionadores de la AEPD. Así como ante la Jurisdicción Contencioso Administrativa.
ME INTERESA, Quiero más información
(llamada gratuita)
Consúltenos sin compromiso e infórmese de nuestros servicios de Consultoría en Protección de Datos.
Grupo Adaptalia es su Asesoría Jurídica Protección de datos
SERVICIOS
INFORMACIÓN
DESTACADOS
LOCALIZACIÓN