Modulo I parte 6 del curso Reglamento Europeo Protección de Datos. Medidas de Cumplimiento

MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.5
EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. MEDIDAS DE CUMPLIMIENTO

UNIDAD DIDÁCTICA 1.5 MEDIDAS DE CUMPLIMIENTO
OBJETIVOS ESPECÍFICOS
 Conocer las claves para gestionar a lo intervinientes en el tratamiento y sus
representantes para garantizar una buenas relaciones entre ellos y la formalización de
sus posiciones jurídicas.
 Aprender a identificar y clasificar las actividades para el tratamiento de datos.

ESTRUCTURA DIDÁCTICA
Introducción
1.6.1. Las políticas de protección de datos.
1.6.2. Posición jurídica de los intervinientes. Responsables, co-responsables, encargados,
subencargado del tratamiento y sus representantes. Relaciones entre ellos y
formalización.
1.6.3. El registro de actividades de tratamiento: identificación y clasificación del
tratamiento de datos.

INTRODUCCIÓN
 Recuerda que:
El Responsable del tratamiento debe aplicar medidas técnicas y organizativas que cumplan los
principios de protección de datos.
La proactividad es la mayor novedad que presenta el Reglamento (UE) 2016/679. Exige
una previa valoración por parte del responsable o del encargado del tratamiento, del
riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a
partir de dicha valoración, adoptar las medidas que procedan.

INTRODUCCIÓN
VALORACIÓN
Legitimación y consentimiento
• ¿Cuál es la base legal de los tratamientos que
realiza y ha documentado de alguna forma el
modo en que la ha establecido?
• ¿ Está verificado que el consentimiento en el
que basa algunos de sus tratamientos reúne los
requisitos que exige el RGDP o ha previsto
cómo recabar el consentimiento de forma
adaptada al RGPD?
• ¿Ha incluido la posibilidad de basar las
cuestiones litigiosas relativas al tratamiento a
procedimiento de arbitraje?

INTRODUCCIÓN
VALORACIÓN
Información y derechos
• ¿Presenta la información de forma clara, concisa, transparente y de fácil acceso?
• ¿Contiene esa información todos los elementos que prevé el RGPD?
• ¿Contiene todos los elementos del RGDP y cuenta con mecanismos para el
ejercicio de derechos visibles, accesibles y sencillos, incluyendo como vía de
ejercitación de derechos la vía electrónica?
• ¿Cuenta con procedimientos que permitan la verificación de la identidad de
quienes solicitan acceso o ejercen los demás derechos ARCO, así como responder
a los ejercicios de derechos en los plazos previstos por el RGPD?
• ¿Sabe si es necesaria la colaboración de los encargados para responder a las
solicitudes de los interesados ? ¿Piensa incluir esta colaboración en los contratos
de encargo de servicios?

INTRODUCCIÓN
VALORACIÓN
• ¿Los tratamientos de datos que realiza
pueden ser objeto del derecho a la
portabilidad? ¿Qué formato de lectura
mecánica utilizará?
•Relaciones responsable-encargado
• ¿Cómo va a evaluar si los encargados -
contratación de servicios de tratamiento-
cuentan con garantías de cumplimiento del
RGPD?
• ¿Ha revisado los contratos para adaptar lo
necesario antes de la aplicación del RGPD?

INTRODUCCIÓN
VALORACIÓN
¿Ha incluido en los contratos cláusulas por la que se someten las cuestiones litigiosas a
procedimiento de arbitraje?
• ¿Ha realizado una valoración de riesgos y sobre las medidas de responsabilidad activa
en caso de quebrantar derechos y libertades de los interesados?
• ¿Cómo va a establecer el registro de actividades de tratamiento en su organización?
¿quién será el responsable de actualizarlo?

INTRODUCCIÓN
VALORACIÓN
• ¿Puede seguir utilizando las medidas de
seguridad previstas en el Reglamento de
la LOPD o necesita incluir medidas
adicionales para evitar los riesgos
detectados?
• ¿Qué medidas se activarán si se
detectan violaciones de seguridad de los
datos? ¿Cómo las detectará?
• ¿Cuenta con un plan establecido y un
procedimiento de acción en caso de
quiebras de seguridad?

INTRODUCCIÓN
VALORACIÓN
• ¿Dispone de un registro o herramienta similar en que pueda documentar los
incidentes de seguridad que se produzcan, aunque no sean notificados a las
autoridades de protección de datos?
• ¿Ha valorado si los tratamientos que realiza requieren una Evaluación de Impacto
sobre la Protección de Datos porque supongan un alto riesgo para los derechos y
libertades de los interesados?
• ¿Dispone de una metodología para la realización de la Evaluación de Impacto?
• Según el tipo de tratamiento que realiza y los resultados del análisis de riesgos
previo, ¿tiene que nombrar un Delegado de Protección de Datos?
• ¿Ha establecido los criterios para seleccionar al Delegado de Protección de Datos
y, en particular, para valorar sus cualificaciones profesionales y sus
conocimientos?

INTRODUCCIÓN
VALORACIÓN
• El puesto de DPD tal y como está configurado en su organización,
¿respeta los requisitos de independencia en el ejercicio de las funciones,
posición en el organigrama, ausencia de conflicto de intereses y
disponibilidad de los recursos necesarios establecidos por el RGPD?
• ¿Ha hecho pública la designación del DPD y sus datos de contacto y los
ha comunicado a la autoridad de protección de datos?
• ¿Ha establecido procedimientos para que los interesados contacten con
el DPD?

1.5.1 LAS POLÍTICAS DE PROTECCIÓN DE DATOS
Las políticas de protección de datos constan en el Articulo 4, 24 y 39 del RGPD
Responsable o encargado del tratamiento:
• Las políticas de protección de datos se encomiendan al RT o ET, cuyo tratamiento
se basa conforme a las normas que vinculan las actividades del tratamiento con
las técnicas y medidas que ejecutará el RT de protección de datos.
•Delegado de protección de datos:
• Vigilará las actividades realizadas por RT o RE.
• Dictamina las funciones del personal, así como su formación y obligaciones.

3. POSICION JURÍDICA DE LOS INTERVINIENTES
 Recuerda que:
Se debe establecer un contrato llevado a acabo por el responsable y firmado por responsable, co-
responsable, sub-encargado y representantes.
El contrato esta dividido en 5 fragmentos indicado en el RGPD:
• Obligaciones generales (Art. 24 a 3 1).
• Protección y seguridad de los datos personales(Art.32 y 34).
• Evaluación de impacto(Art. 35,36).
• DPD (Art.40 y 43).
• Códigos de conducta y certificación.

1.5.2 POSICIÓN JURÍDICA DE LOS INTERVINIENTES
1.ª Contempla obligaciones generales:
• Art. 24. Responsabilidad del Responsable del tratamiento;
• Art. 25. Protección de datos desde el diseño y por defecto;
• Art. 26. Corresponsables del tratamiento;
• Art. 27. Representantes de responsables o encargados del
tratamiento no establecidos en la Unión;
• Art. 28. Encargado del tratamiento;
• Art. 29. Tratamiento bajo la autoridad del responsable o del
Encargado del tratamiento;
• Art. 30. Registro de las actividades de tratamiento, y
• Art. 31. Cooperación con la autoridad de control;

2.ª Seguridad de los datos personales:
• Del Art. 32. Seguridad del tratamiento, al
• Art. 34. Comunicación de una violación de la seguridad de los datos
personales al interesado;
3.ª Evaluación de impacto relativa a la protección de datos y consulta
previa:
• Art. 35. Evaluación de impacto relativa a la protección de datos,
• Art. 36. Consulta previa;

4.ª Delegado de protección de datos:
• Del Art. 37. Designación del delegado de protección de datos, al
• Art. 39. Funciones del delegado de protección de datos, y
5.ª Códigos de conducta y certificación:
• Art. 40. Códigos de conducta, al
• Art. 43. Organismo de certificación.

En el contrato se debe especificar cláusulas contractuales tipo en el caso de
determinar las relaciones, que figuran en el apartado «Condiciones para le
consentimiento y «Condiciones aplicables al niño» (RGPD,7 Y8)
• La elaboración del contrato supone establecer unas medidas, y contenidos que
deben cumplir, con el fin de conseguir seguridad y acreditación del tratamiento
de datos personales establecidos en el RGPD . (Art. 28 del PLOPD*31) .
• Los encargados de dicho cumplimiento serán RT o ET .
• El RT o ET cooperan con la autoridad de control cuando está lo indique

Art.28 del PLOPD *31 indica en el aparatado 2, los riesgos más significativos
que pueden ocurrir:
• Cunado existan situaciones importantes para los adecuados como:
discriminación, robo de identidad, fraude, pérdidas financieras y de
confidencialidad, daño para la reputación, destrucción no autorizada de
la pseudonimización o perjuicio económico, moral o social .
• Cuando no se permita a los afectados llevar a cabo sus derechos ni
libertades, o en otras ocasiones, decidir y controlar sus datos personales

Art.28 del PLOPD *31 indica en el aparatado 2, los riesgos más significativos que
pueden ocurrir:
• Cuando el tratamiento de los datos no se tratase de un incidente ,o de un
accesorio de las categorías especiales de datos o de datos relacionados con la
comisión de infracciones administrativas.
• Cuando se utiliza o crean los perfiles personales de los afectados
• Cuando se encargan del tratamiento de datos de grupos de vulnerabilidad de
afectados (menores de edad y personas con discapacidad).

Art.28 del PLOPD *31 indica en el
apartado 2, los riesgos más significativos
que pueden ocurrir:
• Cuando implique una recogida y
tratamiento masivo de datos
personales afectando aun gran
número de individuos .
• Cuando l se transfieran datos
personales a terceros Estados sin
acreditar un nivel de protección .

RESPONSBLE DEL TRATAMIENTO (Articulo 24 RGPD)
• Ejecutará las medidas técnicas y organizativas para que el tratamiento de los datos
cumpla con los establecido en el RGPD, como principio de responsabilidad activa.
• Elegirán a los Encargados.
 Recuerda que:
El Responsable del tratamiento elegirá a los encargados.

CO-RESPONSABLE DEL
TRATAMIENTO(Articulo 26 RGPD)
Se entiende como co-responsable ,
cuando llevan a cabo dos o más
personas físicas la función de
responsable.
Sus funciones y relaciones serán
consensuadas por ambas partes de
acuerdo a las obligaciones
establecidas por el RGPD, de las que
serán informado los interesados.

CO-RESPONSABLE DEL TRATAMIENTO(Artículo 26 RGPD)
Los interesados tienen el derecho de ir contra alguno de los responsables,
independientemente del acuerdo o consenso llevado a cabo por los corresponsables, en
cuanto a sus obligaciones.
 Recuerda que:
El interesado siempre tiene el derecho sobre sus datos, independientemente de los acuerdos entre
responsables y corresponsables.

ENCARGADO DE TRATAMIENTO(Art. 28 RGPD)
El ET , es una persona física (jurídica) que realiza un tratamiento, por cuenta de un RT.
Por lo que tiene que verifica que las medidas técnicas y organizativas son adecuadas
para su implementación según las condiciones establecidas en el RPD, en materia de
protección de datos, derecho y libertades.
Si un empleado tiene acceso a la información personal que es administrada por el
responsable de fichero debido a su labor, no será ET.

ENCARGADO DE TRATAMIENTO(Art. 28 RGPD)
La relación profesional entre el encargado y el responsable se realizará por medio de
un contrato, que dependerá según el RGPD : del tiempo, finalidad objetivo, origen, tipo
de datos personales y categorías de interesado, obligaciones y derechos del
responsable
 Recuerda que:
Siempre debe realizarse un contrato de encargo entre encargado y responsable.

ENCARGADO DE TRATAMIENTO(Art. 28 .3 RGPD)
«a) tratará los datos personales únicamente
siguiendo instrucciones documentadas del
responsable, inclusive con respecto a las
transferencias de datos personales a un tercer país
o una organización internacional, salvo que esté
obligado a ello en virtud del Derecho de la Unión o
de los Estados miembros que se aplique al
encargado; en tal caso, el encargado informará al
responsable de esa exigencia legal previa al
tratamiento, salvo que tal Derecho lo prohíba por
razones importantes de interés público.»

«b) garantizará que las personas autorizadas para tratar datos personales se hayan
comprometido a respetar la confidencialidad o estén sujetas a una obligación de
confidencialidad de naturaleza estatutaria;
c) tomará todas las medidas necesarias de conformidad con el artículo 32;
d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro
encargado del tratamiento;»

«g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez
finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos
que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de
los Estados miembros;

«h) pondrá a disposición del responsable toda la información necesaria para demostrar
el cumplimiento de las obligaciones establecidas en el presente artículo, así como para
permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del
responsable o de otro auditor autorizado por dicho responsable»

En el RGPD establece obligaciones específicas para los Encargados que
complementan las obligaciones acordadas en el contrato.
Entre las funciones que pueden desempeñar:
Elegir DPD, aportar medidas en materia de seguridad en el tratamiento de
datos, entre otras.
En el contrato se puede especificar cláusulas contractuales tipo en el caso
de determinar las relaciones .

El Encargado del tratamiento debe cumplir
con el Reglamento utilizando fines y medios
adecuados para garantizas los derechos y
protección de datos, en caso contrario, la
responsabilidad de haber incumplido será
suya.
En el artículo 33 del Capitulo II de PLOPD*31
las funciones del encargado

En el artículo 33 del Capitulo II de PLOPD*31 las funciones del encargado:
• No se considerará revelación de datos, si el ET accede a los datos
personales necesarios para dar respuesta aun servicio responsable
• Si el responsable concede a otra persona, en su nombre a establecer
relaciones con los afectados, será considerado RT.
• El RT decidirá si los datos personales deben ser destruidos o devueltos,
una vez finalizado el servicio prestado del encargado
• Si existe una obligación legal para no ser destruidos, se devolverán al
responsable hasta que continúe la obligación

•En el artículo 33 del Capitulo II de PLOPD*31 las funciones del encargado:
• El ET , si así lo establece el RT, custodiará los datos que permanecerán
bloqueados.
• Un órgano de Administración General del Estado puede ejercer como encargado
al adquirir sus competencias.
 Sabías que:
Los Encargados tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito
del contrato que los une al responsable, y que pueden ser supervisadas separadamente por las
autoridades de protección de datos. P.ej.
Deben mantener un registro de actividades de tratamiento.
Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.

Contratos :
• Los contratos del encargado del tratamiento anteriores a la aplicación de nuevo
Reglamento ( 25 de mayo del 2018) continuarán vigentes hasta que venza la fecha
indicada del contrato .(Artículo 12 de la Ley orgánica 15/1999).
En caso de un contrato indefinido deberán transcurrir 4 años desde la fecha.
Si los contratos vaticinan la prórroga al término de su vencimiento, se adaptará al
momento anterior previsto o vaticinado de la prórroga

SUB-ENCARGADO DEL TRATAMIENTO (Articulo 28 RGPD)
• El RT autorizará previamente al encargado(inicial) para acudir a otro encargado,
cuando esto ocurra, se le adjudicará otro encargado por medio de un contrato,
con las mismas obligaciones en materia de protección de datos que rigen los RT y
ET
• El encargado( inicial) responderá por el incumplimiento de las obligaciones del
sub-encargado ante el RT.

REPRESENTANTES DE RESPONSABLES NO ESTABLECIDOS EN LA UE
(Articulo 27 RGPD)
• SI el RT o Et no está establecido en la UE, nombrarán por escrito a un
representante para la UE .
•No será necesario:
• a) Si el tratamiento de los datos es ocasional , la utilización de categorías
especiales no es abundante(RGPD 9.1), los datos personales son sobre condenas
e infracciones penales (RGPD 10), y si no supone un riesgo para los derechos y
libertades que sea improbable que entrañe un riesgo para los derechos y
libertades de las personas físicas ni autoridades púbicas .
• b) a las autoridades u organismos públicos.

• El representante estará establecido en uno de los Estados miembros en que estén
los interesados cuyos datos personales se traten en el contexto de una oferta de
bienes o servicios, o cuyo comportamiento esté siendo controlado.
• Se encomendará al representante que atienda a las consultas, en particular, de las
autoridades de control y de los interesados, sobre todos los asuntos relativos al
tratamiento.
• La designación de un representante, se entenderá sin perjuicio de las acciones que
pudieran emprenderse contra el propio responsable o encargado
REPRESENTANTES DE RESPONSABLES NO ESTABLECIDOS EN LA UE
• (Articulo 27 RGPD)
• En uno de los Estados miembros donde residen los interesados se encontrará el
representante que controlará el uso de los datos .
• El representante también atenderá a las autoridades de control e interesados

1.5.3 EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO
TRATAMIENTO BAJO LA AUTORIDAD DEL ET O ET
(Articulo 29 RGPD)
El responsable proporcionará una serie de instrucciones que deberán cumplir aquellas
personas que, bajo la autoridad y permiso del responsable o encargado , quieran tratar
los datos personales y tengan acceso a los mismos.
 Recuerda que:
La autoridad para diseñar y garantizar el cumplimiento del tratamiento es del responsable o
encargado.

La notificación de ficheros a las Autoridades de Control que ha sido eliminada por el RGPD, siendo
suplida, en cierto modo por el registro de actividades de tratamiento (Art. 30 y considerandos 82 y
89 del RGPD).
¿Quiénes deben contar con el registro?
Organizaciones o empresas que empleen a más de 250 trabajadores.
Organizaciones o empresas que realicen tratamientos de datos con las siguientes características:
1. Que traten datos de manera frecuente, de manera que el tratamiento pueda entrañar un
riesgo para los derechos y libertades del interesado,
2. Que traten categorías especiales de datos o datos relativos a condenas y delitos penales.

Los Responsables y Encargados de tratamiento de empresas de menos de 250
trabajadores deben realizar un análisis de riesgos documentado que contemple, como
mínimo:
1. Los datos tratados ¿Son datos de categorías especiales? (RGPD 9.1 y 10)
2. ¿Se realiza tratamiento de datos que permiten identificar personas cuya información
ha recibido seudonimización? (RGPD 32.1.a)
3. ¿Se realiza tratamiento de datos que permiten el acceso? P.ej. identificadores de
usuarios o claves.
4. ¿Se realiza tratamiento de datos que permiten el descifrado de información
protegida? (RGPD 32.1.a)
5. El número de interesados cuyos datos se trata ¿Con numerosos?
6. ¿Se realiza tratamiento para la toma de decisiones automatizadas?
7. Tratamiento de datos ¿Incluye la elaboración de perfiles?

8. Tratamiento de datos ¿Se gestionan datos obtenidos del interesado con otros que
provienen de distintas fuentes?
9. Los datos obtenidos para una finalidad ¿Van a ser utilizados para otras finalidades?
10. ¿Se realiza un tratamiento de grandes cantidades de datos?
11. ¿Se aplican técnicas BIG DATA?
12. ¿Se aplican técnicas como geo-posición, internet de las cosas, grabación video
vigilancia?

 Recuerda que:
Los responsables o los encargados del tratamiento deberán mantener registros de las actividades de
tratamiento que se encuentren bajo su responsabilidad, y estos registros deben constar por escrito,
incluso en formato electrónico.
Además están obligados a cooperar con la Autoridad de Control, poniendo a su disposición,
previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones
de tratamiento.

RESPONSABLE
La información que debe contener el Registro de Actividades es:
• Nombre y los datos de contacto del responsable y, en su caso, del corresponsable,
del representante del responsable, y del Delegado de Protección de Datos;
• Fines del tratamiento;
• Categorías de interesados, de datos personales y de destinatarios;
• Transferencias internacionales de datos y la documentación de las garantías
adecuadas adoptadas;
• Plazos previstos para la supresión de las diferentes categorías de datos;
• Descripción general de las medidas técnicas y organizativas de seguridad.

ENCARGADO
La información que debe contener el Registro de Actividades es:
• Nombre y los datos de contacto del encargado o encargados y de cada responsable
por cuenta del cual actúe el encargado, y, en su caso, del representante del
responsable o del encargado y del Delegado de Protección de Datos;
• Categorías de datos personales efectuadas por cuenta de cada responsable;
• Transferencias internacionales de datos y la documentación de las garantías
adecuadas adoptadas;
• Descripción general de las medidas técnicas y organizativas de seguridad.

INFORMACIÓN NO EXIGIDA PERO RECOMENDABLE
• Procedimiento para la obtención del consentimiento y sistema empleado para la
conservación y localización del mismo.
• Marco o base jurídica aplicable al consentimiento.
• Cláusulas de información utilizadas e identificación de los formularios, contratos o
documentos que las incluyan, así como el procedimiento utilizado para su
conservación y localización.
• Áreas o departamentos responsables del tratamiento, identificando la o las
personas de contacto responsables.
• Áreas o departamentos que pueden realizar tratamiento o acceso a los datos
personales.
• Información de la/s personas de contacto incluyendo el área o departamento para el
ejercicio de los derechos de los interesados.
• Volumen de datos tratados y número de personas afectadas.

ORGANIZACIÓN
Es recomendable organizar los registros sobre los ficheros
ya notificados o en base a operaciones concretas (ejemplo.
Gestión comercial).
El artículo 31 del PLOPD *31 establece que el registro
deberá especificar especificar, según sus finalidades, las
actividades de tratamiento llevadas a cabo.
 Recuerda que:
Se deberá comunicar al Delegado de Protección de Datos cualquier adición, modificación o exclusión
en el contenido del registro.

Además, los sujetos enumerados en el artículo 77.1 del PLOPD, harán público un inventario de sus
actividades de tratamiento accesible por medios electrónicos en el que constará la información
establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal.
a) Los órganos constitucionales o con
relevancia constitucional y las instituciones de
las comunidades autónomas análogas a los
mismos.
b) Los órganos jurisdiccionales.
c) La Administración General del Estado, las
Administraciones de las comunidades
autónomas y las entidades que integran la
Administración Local.
d) Los organismos públicos y entidades de
Derecho público vinculadas o dependientes de
las Administraciones Públicas.
e) Las autoridades administrativas
independientes.
f) El Banco de España.
g) Las corporaciones de Derecho público
cuando las finalidades del tratamiento se
relacionen con el ejercicio de potestades de
derecho público.
h) Las fundaciones del sector público.
i) Las Universidades Públicas.
j) Los consorcios.

Modulo I parte 6 del curso Reglamento Europeo Protección de Datos. Medidas de Cumplimiento

Recomendados

Recomendados

Más contenido relacionado

Similar a Modulo I parte 6 del curso Reglamento Europeo Protección de Datos. Medidas de Cumplimiento

Similar a Modulo I parte 6 del curso Reglamento Europeo Protección de Datos. Medidas de Cumplimiento (20)

Más de ANTONIO GARCÍA HERRÁIZ

Más de ANTONIO GARCÍA HERRÁIZ (20)

Último

Último (20)

Modulo I parte 6 del curso Reglamento Europeo Protección de Datos. Medidas de Cumplimiento