Consultoría RGPD

Legitec® determinará los requerimientos iniciales del RGPD y resto de normas aplicables relacionadas con la protección de datos, realizando un análisis de la brecha para conocer el estado de implantación de controles que establecen las normas aplicables y lo que está pendiente para el pleno cumplimiento, identificando las deficiencias en relación a los cambios normativos que se hayan producido, nuevos tratamientos o aquellos cancelados, respecto a cualquier implantación de la que se disponga en la organización en relación con la normativa de protección de datos de carácter personal.

Este análisis se considerará el punto de partida y será uno de los indicadores de evolución de la implantación.

Registro de actividades de tratamiento

Legitec® establecerá y documentará un registro de operaciones de tratamiento en el que se contenga la información que establece el RGPD.

Estudio de la base de legitimación de los tratamientos.

Todo tratamiento de datos necesita apoyarse en una base que lo legitime. Legitec®, de acuerdo con el análisis previo de actividades de tratamiento analizará base jurídica que legitime el tratamiento de los datos de cada actividad, ya sean obligaciones legales, relaciones contractuales, interés público, interés legítimo del responsable o encargado, protección de intereses vitales y/o consentimiento.

Cumplimiento del deber de informar mediante Elaboración de las cláusulas legales

Legitec® revisará el clausulado legal de la organización en materia de protección de datos, proponiendo las mejores prácticas aplicables para dar cumplimiento a la obligación de informar en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que asisten a los afectados. Se analizarán tanto en relación con las recogidas de información físicas, en papel o en formato electrónico, web o mediante cualquier otro método, siguiendo las mejores prácticas posibles para que se pueda demostrar la “responsabilidad activa” de la organización a la vez que sean procedimientos eficientes para nuestros clientes.

Se desarrollarán fórmulas para la obtención del consentimiento expreso del interesado en los tratamientos que así lo requieran.

Procedimientos para el ejercicio de derechos.

El RGPD contiene los ya tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) y también algunos nuevos derechos como la limitación del tratamiento o la Portabilidad. Además, establece condiciones concretas sobre el procedimiento a seguir para atender a los interesados en el ejercicio de sus derechos.

En consecuencia Legitec® articulará procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos y asesorará, a petición del cliente, para que éste dé cumplimiento en las formas y plazos previstos en la ley a los derechos que pudieran ejercitar los afectados respecto a los tratamientos realizados por la organización.

Evaluación de la relación con encargados de tratamiento.

Según el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD. Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.

Legitec® revisará los tratamientos de datos por cuenta de terceros que existen en la organización, e indicará las actuaciones a realizar para la evaluación de los proveedores, petición de certificaciones y si fuera necesario actualizará y/o redactará los contratos para regular el encargo de tratamiento de los datos por cuenta de terceros

También regularemos el acceso a datos por cuenta de terceros, aunque no exista tratamiento (Empresa de limpieza, empresa de mantenimiento, seguridad….).

Análisis de riesgo en RGPD

El RGPD condiciona la adopción de las medidas de responsabilidad activa al riesgo que los tratamientos puedan suponer. Legitec® identificará y documentará una metodología para utilizar en los análisis y evaluación de riesgos, sobre incumplimientos de protección de datos y sobre los derechos y libertades de los interesados en lo que relativo a las normativas objeto de este proyecto, y realizará un análisis que será el resultado de una reflexión documentada sobre las implicaciones de los tratamientos determinando la necesidad o no de adoptar nuevas medidas.

Seleccionar objetivos de control y controles para el tratamiento.

Los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis y evaluación de impacto previos y atendiendo a:

• El coste de la técnica
• Los costes de aplicación
• La naturaleza, el alcance, el contexto y los fines del tratamiento
• Los riesgos para los derechos y libertades

El esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática tras la fecha de aplicación del RGPD de modo que Legitec® revisará el Manual de Seguridad, si la organización dispone de él, para valorar la cobertura que se da a los objetivos de control que se hayan determinado en la Evaluación de impacto en la privacidad y el análisis de riesgos y redactará en su caso las modificaciones oportunas para que éste cumpla lo establecido en el RGPD.

Delegado de protección de datos (DPD / DPO)

El RGPD establece la figura del Delegado de Protección de Datos (DPD), que será obligatorio en determinadas circunstancias. El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes.

Legitec® determinará junto con la organización la necesidad de disponer de la figura del DPD cumpliendo con los requisitos establecidos, y especialmente su interés en formar parte del comité de seguridad, responsables de velar por la política de seguridad de la entidad. Entre los requisitos se encuentran:

• total autonomía en el ejercicio de sus funciones
• necesidad de que se relacione con el nivel superior de la dirección
• obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad.

Revisión legal de la web

Estos servicios se circunscriben a las labores de consultoría LSSI-CE (Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico). Este servicio pone su atención sobre todos aquellos aspectos que las empresas tienen que tener en cuenta para el cumplimiento de la LSSI-CE, como son los de:

• Identificación. Información que se debe suministrar desde el sitio web sobre el titular del mismo.
• Control de contenidos, propios y externos.
• Condiciones de Uso de la Web y Política de Privacidad.
• Uso de Cookies y metatags, identificación de las diferentes cookies que usa la web y redacción de la política correspondiente.
• Información sobre los productos o servicios ofrecidos, su precio, los gastos e impuestos aplicables, etc., así como sobre los procedimientos de contratos on-line (trámites, almacenamiento, condiciones aplicables, etc.)
• Publicidad o marketing mediante correo electrónico.
• Derechos de autor de los contenidos de la web.
• Propiedad intelectual e industrial de la web.

Para ello se facilitarán los siguientes documentos:

• Política de Privacidad
• Aviso Legal
• Condiciones de contratación web
• Política de Cookies
• Informe sobre envío de publicidad por vía electrónica.

Esta fase corresponde con la implantación y operación del sistema cuya responsabilidad recaerá en la propia entidad con apoyo de la empresa asesora. Los distintos pasos que se prevén son los siguientes:

Definir un plan de tratamiento del riesgo.

Este plan identificará las acciones, responsabilidades y prioridades para administrar los riesgos identificados.

Implementar el plan de tratamiento del riesgo.

Se implantarán los objetivos de control como necesarios de acuerdo a la priorización, así como la asignación de las responsabilidades.

Implementar los controles seleccionados para alcanzar los objetivos de control.

Dar cumplimiento a los objetivos de control.

Implantar y ejecutar programas de aprendizaje y conocimiento.

Este programa permite que exista el nivel de conocimiento y sensibilidad necesario en la organización para la operación del SGSI y conocimiento de sus obligaciones y responsabilidades.

Gestionar operaciones y recursos del SGSI.

Implantación de procedimientos de detección y tratamiento de incidentes de seguridad.

Realización de evaluación de impacto en la privacidad y análisis de riesgos (EIPD)

Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados o si así lo establece la normativa vigente.

Una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es un análisis de los riesgos que las actividades de tratamiento pueden entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

 Legitec® establecerá una metodología para evaluar el impacto en la privacidad de las actividades de tratamiento de datos personales de la organización y, tras haber consultado con todas las partes implicadas, tomar las medidas necesarias para evitar o minimizar los impactos negativos.

Las EIPDs para ser efectivas deben establecerse también con un ciclo continuo PDCA (Plan, Do, Check, Act). Las fases principales de esta EIPD serán:

Estas evaluaciones de impacto podrán integrarse con otros procesos de análisis de riesgos si así se cree conveniente durante la implantación del SGSI.

Protección de Datos desde el Diseño y por Defecto

Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.

Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD.

Legitec® asesorará para que los responsables adopten las medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos, así como que se aplican de forma efectiva los principios del RGPD y del ENS en cualquier nuevo proyecto que se pretenda llevar a cabo.

Controles para la adecuación legal

Legitec® realizará con carácter periódico revisiones del SGSI para la correcta actualización de los controles, procedimientos y manuales y seguimiento de las posibles deficiencias que se puedan cometer tanto por los usuarios como los responsables del tratamiento.

Establecer procedimientos de monitorización.

Poner en marcha procedimientos que traten de identificar debilidades de seguridad de forma temprana e incidentes y comprobar el adecuado cumplimiento de las actividades asignadas

Revisión del SGSI.

Se revisará incidentes, quejas y sugerencias de los distintos actores afectados por el SGSI.

Revisar evaluaciones de riesgos y nivel de riesgo residual/aceptable.

Se deben tomar en cuenta los cambios producidos en: organización, tecnología, objetivos y procesos de negocios, amenazas y cambios externos que puedan afectar el SGSI.

Registrar acciones y acontecimientos.

Poner en marcha registros como mecanismos de control del SGSI para permite observar a futuro los puntos donde se producen problemas.

Asesorar en la implementación de cualquier mejora identificada

Asesorar en :

• La comunicación de las acciones y las mejoras a las partes interesadas
• Comprobar la eficacia de las acciones.
• Cómo llevar a cabo las acciones correctivas y preventivas apropiadas, como mecanismo de mejora del SGSI.

Certificar la adecuación al RGPD

Una vez se haya concluido la adecuación de su entidad a la normativa de protección de datos y se considere correctamente implantado el ciclo de revisión del sistema de gestión de protección de datos se emitirá el certificado de excelencia en protección de datos de Legitec®.

Este certificado podrá ser utilizado para demostrar ante sus clientes su compromiso con el cumplimiento normativo, facilitando la contratación de sus servicios ya que ellos tendrán que hacer una selección de proveedores asegurando el cumplimiento normativo de los mismos.

Asesoría Jurídica y Técnica:

Durante la vigencia del contrato firmado, la organización, en cualquier momento, podrá consultar sobre cualquier cuestión en materia de protección de datos o LSSI. Si la consulta lo requiere, se elaborará un informe para dar respuesta a la misma, y se generará la documentación necesaria. No existiendo un límite máximo de consultas.

Legitec® prestará asistencia legal ante inspecciones de la Agencia Española de Protección de Datos, incoadas de oficio o por reclamaciones o denuncias de terceras personas físicas o jurídicas, por un supuesto de vulneración de la normativa de protección de datos. La asistencia legal se limitará a aquellas actuaciones que resulten necesarias hasta el agotamiento de la vía administrativa. Cualquier actuación que sobrepase esta vía, ya sea contencioso-administrativa, civil o penal requerirá la previa aprobación, por parte del cliente del correspondiente presupuesto presentado por Legitec® a tal efecto.