X CERRAR

Preguntas Frecuentes sobre la Protección de Datos

En la Agencia Española de Protección de datos (AGPD) se puede encontar un apartado muy completo de preguntas frecuentes, muy interesante los dedicados a la adecuación al Reglamento General de Protección de Datos-RGPD

Enlace al apartado de preguntas frecuentes de la AGPD

 

 
 

Respuesta de la AGencia de Protección de Datos

El esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática tras la fecha de aplicación del RGPD. En algunos casos los responsables podrán seguir aplicando las mismas medidas que establece el Reglamento de la LOPD si los resultados del análisis de riesgos previo se concluye que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado. En otras ocasiones será necesario completarlas con medidas adicionales o prescindir de alguna de las medidas. Se debe tener en cuenta, como ya hemos indicado en la anterior pregunta-respuesta, que las medidas técnicas y organizativas deberán establecerse de acuerdo con:

a) El coste de la técnica

b) Los costes de aplicación

c) La naturaleza, el alcance, el contexto y los fines del tratamiento

d) Los riesgos para los derechos y libertades Si antes el Reglamento de Desarrollo de la LOPD determinaba con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento, con el RGPD los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo. Además, el RGPD exige que se tomen en consideración más variables, ello como pilar básico del principio de responsabilidad proactiva.

Según la Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD   editada por la Agencia de Protección de datos, la Gestión de riesgos es el conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que inluyen:

  • La identificación del riesgos
  • La evaluación del riesgo
  • Las medidas para su reducción o mitigación

La evauación de riesgos debe ser el resultado de una reflexión sobre las implicciones que los tratamientos de datos de carácter personal tienen sobre los interesados. Se trata de establecer hasta qué punto una actividad de tratamiento, por sus carácterísticas, el tipo de datos a los que se refiere o el tipo de operaciones puede causar un daño a los interesados. 

En este enlace se explica de forma sencilla cómo hacer un análisis de riesgos 

La principal diferencia es que el Reglamento General de Protección de Datos RGPD supone un cambio en la forma de afrontar las medidas que van a garantizar una adecuada protección de datos. Es un enfoque proactivo, desde el diseño y por defecto y con una gestión contÍnua de los riesgos potenciacles.

En este cuadro se puede ver las principales diferencias entre ambas legislaciones de las obligaciones que conlleva.

 

OBLIGACIONES

LOPD / RDLOPD

OBLIGACIONES

RGPD

  • Inscripción de ficheros en la AEPD.
  • Deber de información sobre el tratamiento de datos.
  • Documento de seguridad e implantación de medidas de seguridad.
  • Facilitar derechos ARCO (acceso, rectificación cancelación y oposición).
  • Garantizar todos estos aspectos ante terceros (clausulado en contratos prestación de servicios)
  • Auditoría bienal (nivel medio y alto).

  • No inscripción de ficheros en AEPD, pero sí llevanza de un inventario y registro de actividades de tratamiento.
  • Deber de información, pero con más aspectos a informar y con un formato en capas.
  • Responsabilidad Proactiva:
    • Privacidad desde el diseño y por defecto.
    • Análisis de riesgo y evaluaciones de impacto.
    • Documentar medidas de seguridad.
    • Notificación de violaciones de seguridad a la AEPD  e interesados.
    • Delegado de protección de datos (DPD).
  • Facilitar derechos ARCO ampliados (acceso, rectificación, cancelación y oposición , limitación del tratamiento, portabilidad de los datos y derecho al olvido).
  • Garantizar todos los aspectos frente a terceros, clausulado en contratos de prestación de servicios ampliada,  responsabilidad propia de los encargados de tratamiento, obligación de garantizar la adecuación del encargado.
  • No auditoría bienal, pero sí cuando determine el responsable para garantizar seguridad.

El Reglamento General de Protección de Datos establece como bases legítimas para apoyarse a la hora de realizar un tratamiento, las siguientes bases:

  • Consentimiento.
  • Relación contractual.
  • Intereses vitales del interesado o de otras personas.
  • Obligación legal para el responsable.
  • Interés público o ejercicio de poderes públicos.
  • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos

Es toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

   Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento

Es un ente público e independiente cuya finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación. Se halla situada en c/ Jorge Juan, 6, 28001 Madrid, su teléfono es el 901 100 099 y su página web: www.agpd.es.

Legislación

SERVICIOS

Colegiación Formación Empleo Biblioteca Oficina de Amparo COPM Ejercicio profesional Acreditaciones Institución de Mediación Premios colegiales Club exclusivo COPM

 

En copmadrid.org utilizamos cookies propias y de terceros para desempeñar nuestros servicios, elaborar información estadística y prestar servicios concretos de páginas externas a copmadrid.org.

Puedes aceptar el uso de cookies pulsando el botón de “Aceptar” o configurar/rechazar su uso pulsando “Configurar/Rechazar”. Podrás cambiar de opinión sobre tu elección en cualquier momento visitando nuestra  Política de Cookies.