Registro de actividades de tratamiento
Legitec® establecerá y documentará un registro de operaciones de tratamiento en el que se contenga la información que establece el RGPD.
Estudio de la base de legitimación de los tratamientos.
Todo tratamiento de datos necesita apoyarse en una base que lo legitime. Legitec®, de acuerdo con el análisis previo de actividades de tratamiento analizará base jurídica que legitime el tratamiento de los datos de cada actividad, ya sean obligaciones legales, relaciones contractuales, interés público, interés legítimo del responsable o encargado, protección de intereses vitales y/o consentimiento.
Cumplimiento del deber de informar mediante Elaboración de las cláusulas legales
Legitec® revisará el clausulado legal de la organización en materia de protección de datos, proponiendo las mejores prácticas aplicables para dar cumplimiento a la obligación de informar en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que asisten a los afectados. Se analizarán tanto en relación con las recogidas de información físicas, en papel o en formato electrónico, web o mediante cualquier otro método, siguiendo las mejores prácticas posibles para que se pueda demostrar la “responsabilidad activa” de la organización a la vez que sean procedimientos eficientes para nuestros clientes.
Se desarrollarán fórmulas para la obtención del consentimiento expreso del interesado en los tratamientos que así lo requieran.
Procedimientos para el ejercicio de derechos.
El RGPD contiene los ya tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) y también algunos nuevos derechos como la limitación del tratamiento o la Portabilidad. Además, establece condiciones concretas sobre el procedimiento a seguir para atender a los interesados en el ejercicio de sus derechos.
En consecuencia Legitec® articulará procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos y asesorará, a petición del cliente, para que éste dé cumplimiento en las formas y plazos previstos en la ley a los derechos que pudieran ejercitar los afectados respecto a los tratamientos realizados por la organización.
Evaluación de la relación con encargados de tratamiento.
Según el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD. Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.
Legitec® revisará los tratamientos de datos por cuenta de terceros que existen en la organización, e indicará las actuaciones a realizar para la evaluación de los proveedores, petición de certificaciones y si fuera necesario actualizará y/o redactará los contratos para regular el encargo de tratamiento de los datos por cuenta de terceros
También regularemos el acceso a datos por cuenta de terceros, aunque no exista tratamiento (Empresa de limpieza, empresa de mantenimiento, seguridad….).
Análisis de riesgo en RGPD
El RGPD condiciona la adopción de las medidas de responsabilidad activa al riesgo que los tratamientos puedan suponer. Legitec® identificará y documentará una metodología para utilizar en los análisis y evaluación de riesgos, sobre incumplimientos de protección de datos y sobre los derechos y libertades de los interesados en lo que relativo a las normativas objeto de este proyecto, y realizará un análisis que será el resultado de una reflexión documentada sobre las implicaciones de los tratamientos determinando la necesidad o no de adoptar nuevas medidas.
Seleccionar objetivos de control y controles para el tratamiento.
Los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis y evaluación de impacto previos y atendiendo a:
- El coste de la técnica
- Los costes de aplicación
- La naturaleza, el alcance, el contexto y los fines del tratamiento
- Los riesgos para los derechos y libertades
El esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática tras la fecha de aplicación del RGPD de modo que Legitec® revisará el Manual de Seguridad, si la organización dispone de él, para valorar la cobertura que se da a los objetivos de control que se hayan determinado en la Evaluación de impacto en la privacidad y el análisis de riesgos y redactará en su caso las modificaciones oportunas para que éste cumpla lo establecido en el RGPD.
Delegado de protección de datos (DPD / DPO)
El RGPD establece la figura del Delegado de Protección de Datos (DPD), que será obligatorio en determinadas circunstancias. El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes.
Legitec® determinará junto con la organización la necesidad de disponer de la figura del DPD cumpliendo con los requisitos establecidos, y especialmente su interés en formar parte del comité de seguridad, responsables de velar por la política de seguridad de la entidad. Entre los requisitos se encuentran:
- total autonomía en el ejercicio de sus funciones
- necesidad de que se relacione con el nivel superior de la dirección
- obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad.
Revisión legal de la web
Estos servicios se circunscriben a las labores de consultoría LSSI-CE (Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico). Este servicio pone su atención sobre todos aquellos aspectos que las empresas tienen que tener en cuenta para el cumplimiento de la LSSI-CE, como son los de:
- Identificación. Información que se debe suministrar desde el sitio web sobre el titular del mismo.
- Control de contenidos, propios y externos.
- Condiciones de Uso de la Web y Política de Privacidad.
- Uso de Cookies y metatags, identificación de las diferentes cookies que usa la web y redacción de la política correspondiente.
- Información sobre los productos o servicios ofrecidos, su precio, los gastos e impuestos aplicables, etc., así como sobre los procedimientos de contratos on-line (trámites, almacenamiento, condiciones aplicables, etc.)
- Publicidad o marketing mediante correo electrónico.
- Derechos de autor de los contenidos de la web.
- Propiedad intelectual e industrial de la web.
Para ello se facilitarán los siguientes documentos:
- Política de Privacidad
- Aviso Legal
- Condiciones de contratación web
- Política de Cookies
- Informe sobre envío de publicidad por vía electrónica.