Autotest definitivo: 12 preguntas para saber si tu empresa cumple correctamente con la protección de datos

Como ya sabrás, la Protección de Datos es una normativa que obliga prácticamente a todas las empresas y autónomos a cumplir con una serie de obligaciones y exigencias con respecto a los datos personales que tratan y a tener que acreditarlo en cualquier momento.

Evidentemente, no todas las empresas tienen el mismo modelo de cumplimiento normativo en esta materia, ya que dependerá de muchos factores en relación a los tratamientos que se realicen, pero sí que existen unas cuestiones mínimas y comunes a todas, que han de ser revisadas y controladas. 

Para ello, existen ciertas empresas que ofrecen servicios de asesoramiento y adecuación a esta materia, para que estés en todo momento en una situación de cumplimiento. Pero, ¿estás seguro de estar en esa situación?

Este autotest que ha elaborado Grupo IWI Protección de Datos te ayudará a comprobarlo.

• Delegado de Protección de datos (DPD). Figura novedosa con funciones de supervisión y control de cumplimiento, cuyo nombramiento es obligatorio en ciertos casos.  

1. ¿Está tu empresa obligada a nombrar un Delegado de Protección de Datos? 
2. En caso afirmativo, ¿Lo has comunicado a la AEPD? 
3. En caso negativo, ¿Puedes acreditar que tu empresa no está obligada? 
4. ¿aunque no sea obligatorio para tu empresa, has valorado si es recomendable tenerlo?

• Registro de Actividades de Tratamiento (RAT). Registro interno que debe recoger de forma detallada todas las actividades que impliquen tratamiento de datos que llevas a cabo. 

1. ¿Has realizado el Registro de Actividades de Tratamiento, y cuentas con controles que permitan verificar su actualización? 
2. ¿Puedes acreditarlo?

• Análisis de Riesgos (AR). Estudio de los activos a proteger y las amenazas que los ponen en peligro. De su resultado derivará un nivel de riesgo y las medidas que deberán aplicarse. 

1. ¿Has realizado un Análisis de Riesgos? 
2. En caso afirmativo, ¿Cuentas con controles que permitan actualizarlo en caso de que tu entidad realice nuevos tratamientos, nuevas finalidades o recoja otras categorías de datos personales? 
3. ¿Puedes acreditarlo?

• Evaluación de Impacto (EIPD). Herramienta preventiva con ciertas similitudes al AR pero que viene a reforzarlo ya que se debe realizar solo cuando el nivel de riesgo sea alto o muy alto. 

1. ¿Realiza tu empresa alguna actividad de tratamiento que haya requerido una Evaluación de Impacto? 
2. En caso afirmativo, ¿Se ha realizado el informe? 
3. En caso negativo, ¿figura en el Análisis de Riesgos el análisis de la necesidad de EIPD con resultado negativo?

• Medidas de seguridad. Acciones y controles que se aplican para tratar de reducir el nivel de riesgo y mantenerlo en niveles óptimos o residuales. 

1. ¿Has implementado todas las medidas de seguridad, tanto técnicas como organizativas, que se han derivado del AR y/o EIPD?, 
2. ¿cuentas con mecanismos y políticas que permitan analizar su eficacia con cierta frecuencia? (controles de verificación, auditorias, etc) 
3. ¿Puedes acreditarlo?

• Consentimientos. Es una de las 6 bases legales que legitiman un determinado tratamiento de datos y que se traduce en la forma en la que un interesado manifiesta su voluntad para algo. 

1. ¿Realiza tu empresa alguna actividad de tratamiento cuya base legal sea el consentimiento del interesado? 
2. En caso afirmativo ¿Se recaba de forma correcta (libre, inequívoco y expreso) y guardas evidencias de tenerlo? 
3. ¿Ofreces formas y sistemas suficientes para que el interesado revoque su consentimiento?

• Interés Legítimo. Es otra de esas 6 bases legales y se traduce en el objetivo que permite al Responsable realizar un tratamiento cuando no cuenta con ninguna de las otras 5 bases. 

1. ¿Realiza tu empresa alguna actividad de tratamiento cuya base legal sea el Interés Legítimo? 
2. En caso afirmativo ¿Has realizado el juicio de ponderación de cada una de esas actividades y puedes acreditarlo?

• Deber de Información. Es el deber básico de cualquier responsable (empresa) y pretende que el interesado conozca en todo momento todo lo relacionado con el tratamiento de sus datos.  

1. ¿cumples con el deber de información, en el momento correcto y a través de todos los canales de recogida de datos? (información básica, adicional, textos en facturas y/o emails corporativos, cartel de videovigilancia, etc) 
2. ¿Puedes acreditarlo?

• Información a empleados. Idéntico que el anterior pero relacionado con empleados de la empresa. Es algo más completo ya que incluye obligaciones que debe cumplir el trabajador, como el deber de confidencialidad. 

1. 1. 1. ¿Has informado a todos los empleados que intervengan en una o varias operaciones de tratamiento, sobre el tratamiento de sus datos y los deberes de confidencialidad y secreto profesional? 
      2. ¿Puedes acreditarlo?

• Protocolos y herramientas para cumplir. Son pautas o reglas internas, con el objetivo de concienciar a las personas que tratan los datos y enseñarles a actuar en determinadas situaciones.  

1. 1. 1. ¿Tienes diseñados protocolos que permitan gestionar diligentemente situaciones específicas como la gestión de una brecha de seguridad o derechos que se ejerciten en materia de Protección de Datos? 
      2. ¿Has comprobado que los empleados con intervención en operaciones de tratamiento los conocen y saben utilizarlos? 
      3. ¿Puedes acreditarlo?

• Página web. Nos referimos a los textos legales que la normativa exige que un sitio web tenga implementados para que el interesado pueda acudir a ellos y ser informado de una serie de cuestiones. 

1. 1. 1. ¿Has implementado los textos informativos que necesite tu web? (aviso legal, política de privacidad, aviso de cookies, condiciones generales de contratación, etc) 
      2. ¿Cuentas con una casilla de verificación para controlar que los usuarios de la web han leído la política de privacidad en el momento en que recoges sus datos personales a través de un formulario de contacto? 
      3. ¿Puedes acreditarlo?

•  Encargados de tratamiento. Son proveedores que prestan un servicio a la empresa y que para ello, necesitan tratar datos por cuenta de la misma.   

1. 1. ¿Tienes firmados y debidamente almacenados los contratos de encargo con tus Encargados de tratamiento? 
   2. ¿Has cumplido con tu deber de diligencia en relación a exigirle a tus encargados que acrediten el cumplimiento de la protección de datos en relación a los datos que tratan por tu cuenta? 
   3. ¿Has implementado sistemas o controles para supervisar que el cumplimiento se mantiene? 
   4. ¿Puedes acreditarlo?

Como ves, estos 12 puntos coinciden todos en una pregunta final, que persigue incidir en que siempre puedas acreditar el cumplimiento. Eso se debe a que con el RGPD y la LOPD-GDD,  de nada sirve estar en situación de cumplimiento (o disponer tan solo de documentación) si no lo puedes acreditar. Es lo que se conoce como principio de responsabilidad proactiva o “accountability” en su alocución anglosajona.

Recordar también que, utilizar la herramienta FACILITA que la AEPD puso a disposición de las empresas, es sin duda un punto de partida para el cumplimiento, sin embargo esta herramienta de ayuda general, tal y como indica la propia Agencia en su página web,  sirve exclusivamente para aquellas empresas que realicen un tratamiento de datos de escaso riesgo, dejando al responsable (la empresa) la obligación de establecer mecanismos de responsabilidad proactiva y revisión contínua de dichas obligaciones, incidiendo sobre la idea de que el uso de este programa NO GARANTIZA el pleno cumplimiento del RGPD.

Más información

• 7 claves para cumplir con la normativa de protección de datos
• ¿Qué empresas deben contar con un Delegado de Protección de Datos?
• La AEPD actualiza su Guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos
• 5 consejos para cumplir con la ley de protección de datos en tus campañas de marketing
• La AEPD presenta su herramienta Gestiona como ayuda para realizar análisis de riesgos y evaluaciones de impacto en la protección de datos