Ayudamos a cumplir
Reglamento Europeo
Protección
Datos Personales

Somos su Delegado
​de Protección de
​Datos Externo
​
​(DPD)

---

Política de
​Protección
​de Datos
​
​(PPD)

---

  Diseño de las Actividades
​de Tratamiento 
​
​(DAT)

---

Base Legal
​de las Actividades
de Tratamiento
​
(BLA)

---

Análisis de Riesgos de los Tratamientos
​
​(ART)

---

Evaluación de Impacto de Protección de Datos
​ 
​(EIPD)

---

Registro de
Actividades
​
​(RAC)

---

Deber de Información y Transparencia
​
​(DIT)

---

Ejercicio de Derechos
​de los titulares
​
(DRS)

---

Somos su Delegado de Protección de Datos Externo

(DPD)

El responsable
y el encargado de tratamiento
deben contar con
la ayuda de
una persona
con conocimientos especializados
en Derecho
y práctica en materia de protección de datos.

– Reglamento Europeo de Datos Personales

• ​Directrices de las autoridades europeas sobre el Delegado de Protección de Datos

"Toda persona tiene derecho a la protección de datos de carácter personal que le conciernan"

 - art. 16 del Tratado de Funcionamiento de la Unión Europea

Responsabilidad 
proactiva 
​del responsable

(RPA)

El Reglamento Europeo de Protección de Datos establece la necesidad de toda organización que trate datos personales aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que sus actividades de tratamiento son conforme con el Reglamento.

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el Reglamento prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
​
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

• Guía del Reglamento para Responsables de tratamiento (AEPD)
• Adaptación al RGPD – sector privado

Política de Protección
​de Datos

(PPD)

La Política de Protección de Datos se define en función de la actividad principal que constituye el objeto social de la empresa así como tomando en consideración las concretas actividades de tratamiento de datos personales que se realizan.

Incluye toda la información relevante desde el punto de vista de la garantía de los derechos y libertades de los titulares de los datos (identificación del responsable del tratamiento, categorías de usuarios y de datos tratados, fines y bases legales del tratamiento, medidas técnicas y organizativas adoptadas, etc)

Diseño de Actividades
​de Tratamiento

(DAT)

El diseño adecuado de las actividades de tratamiento es un aspecto clave para poder garantizar los derechos y libertades de los titulares de datos personales.

La fase de diseño de una actividad de tratamiento define el flujo de datos personales, así como todos los elementos que intervendrán a lo largo del mismo.

Esta fase es idónea para definir las medidas de control y seguridad en función de riesgo al que esté expuesta la actividad de tratamiento y garantizar así la adecuación a los requerimientos y obligaciones que impone el nuevo Reglamento Europeo de Protección de Datos.

• Directrices para la elaboración de contratos entre responsables y encargados del tratamiento

Base Legal Actividades
​de Tratamiento

(BLA)

Para que el tratamiento de datos personales sea lícito, los datos deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato. 

Análisis de Riesgos de Tratamientos

(ART)

Ante la constante evolución tecnológica y los procesos de transformación digital que sufren las actividades de tratamiento de datos personales, el nuevo Reglamento Europeo de Protección de Datos Personales establece un nuevo enfoque basado en la gestión continua de los riesgos asociados a los tratamientos de datos personales.

El proceso de gestión de riesgos exige:

1) identificar
2) evaluar
3) tratar

las amenazas y riesgos para los derechos y libertades de los titulares de datos personales con ocasión del tratamiento de sus datos personales.

El acceso ilegítimo a los datos personales (confidencialidad), y su modificación (integridad) o eliminación (disponibilidad) no autorizada son riesgos y amenazas típicos asociados a las actividades de tratamiento, y el responsable del tratamiento tiene la obligación de valorar la probabilidad de que alguno de esos riesgos p se materialicen y adoptar, en consecuencia, las medidas técnicas y organizativas necesarias para mitigar tales riesgos.

• Guía de Análisis de Riesgos (AEPD)
• Listado de Cumplimiento Normativo (AEPD)

Evaluación de Impacto de Protección de Datos 

(EIPD)

En aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento debe realizar una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

​El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento.  

• Guía de Evaluación de Impacto (AEPD)​

Registro de Actividades

(RAC)

Cada empresa debe llevar un Registro de Actividades de tratamiento efectuadas bajo su responsabilidad. 

​Dicho registro debe contener toda la información indicada a continuación:
​

1. el nombre y los datos de contacto del responsable, y del delegado de protección de datos;
2. los fines del tratamiento;
3. una descripción de las categorías de interesados y de las categorías de datos personales; 
4. las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destina­tarios en terceros países u organizaciones internacionales;
5. en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identi­ ficación de dicho tercer país u organización internacional:
6. cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
7. cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad aplicadas

​Deber de Información
y Transparencia​

(DIT)

El deber de información y el principio de transparencia exige que el responsable de tratamiento informe a los titulares de datos personales de sus actividades de tratamiento utilizando un  lenguaje sencillo, claro y entendible.

Guía para el cumplimiento del deber de informar

Ejercicio de Derechos

(DRS)

El titular de los datos personales tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen, así como ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, 

• Infografía elaborada por AEPD sobre los derechos RGPD