La Agencia Española de Protección de Datos (en adelante, AEPD) en la Guía del Reglamento General de Protección de Datos para responsables de tratamiento publica en su apartado noveno una lista de verificación con la que pretende facilitar a las organizaciones la tarea de llevar de forma ordenada una valoración de su situación frente a las obligaciones más esenciales del RGPD. En suma, consiste en dotar a los responsables de una herramienta de autoevaluación en relación con la aplicación del nuevo Reglamento europeo.
Lo primero que debemos tener en cuenta es la legitimación. Para llevar a cabo un tratamiento de datos de carácter personal debemos contar con una base legal que nos legitime. El nuevo Reglamento establece que para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho. En caso de basarse en el consentimiento de los interesados la lista de verificación nos plantea si dicho consentimiento ha sido recabado conforme a los requisitos establecidos en el RGPD.
El siguiente paso viene referida a la información que se proporciona a los interesados y los derechos que asisten a los mismos. La información sobre el tratamiento deberá presentarse de forma clara, concisa, transparente y de fácil acceso. Además se informará de los mecanismos que dispone la organización a través de los cuales los afectados podrán ejercer sus derechos y, a su vez, deberá contar con procedimientos que permitan verificar la identidad de quienes solicitan acceso o ejercen los demás derechos. La AEPD, a través de la mencionada lista de verificación, presta especial atención a la efectividad de los mecanismos y procedimientos fijados en la organización para garantizar el ejercicio de los derechos de los afectados. Así pues, debemos contar con procedimientos visibles, accesibles y sencillos que sean eficaces y nos permitan atender las solicitudes en los plazos establecidos.
Respecto a las relaciones responsable-encargado, por un lado, se debe analizar la forma en la que vamos a valorar que los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD y, por otro lado, firmar con los mismos contratos de encargo que contengan todos los elementos que prevé el RGPD. La AEPD recomienda la adhesión a códigos d
e conducta o certificarse dentro de los esquemas previstos por el RGPD para demostrar que los encargados ofrecen las garantías exigidas por el nuevo Reglamento. Y, para facilitar la adopción de una correcta relación contractual, la AEPD también ha publicado recientemente Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.
En la lista de verificación también se realizan cuestiones relativas a la aplicación de medidas de responsabilidad proactiva. Como organización que ya lleve a cabo (o tenga pensado hacerlo en un futuro) se debe proceder a realizar una valoración de los riesgos implícitos a cada uno de los tratamientos. De este análisis del riesgo se deducirán todas las medidas necesarias para proteger los datos personales. Se evita así la obligatoriedad de aplicar catálogos de medidas de seguridad cerrados que, en suma, terminen perdiendo la efectividad real que se pretende. A la luz de los resultados del análisis de riesgo, las organizaciones que ya traten datos deben revisar las medidas de seguridad que aplica. Del mismo modo deben proceder las organizaciones que realicen tratamientos de alto riesgo para los derechos y libertades de los interesados con una Evaluación de Impacto sobre la Protección de Datos.
Siguiendo la línea de medidas de responsabilidad proactiva, la lista de verificación de la AEPD contiene cuestiones relativas al registro de actividades de tratamiento. Las organizaciones deben prever la forma de establecer dichos registros. Y, ante posibles quiebras de seguridad, establecer procedimientos de reacción y registro de las mismas.
Las últimas cuestiones de la lista de verificación vienen referidas al nombramiento del Delegado de Protección de Datos para los casos que resulte obligatorio. En relación al DPD se deben tener en cuenta todos los requisitos y observaciones fijados por el RGPD.
En conclusión, sin pretender ser una lista de verificación exhaustiva, ayuda a los responsables en esta etapa de transición a analizar los aspectos más esenciales que les serán exigibles a partir de mayo de 2018. Para asegurar un análisis más completo de los contratos y tratamientos y una adaptación correcta al nuevo Reglamento, se recomienda contar con la ayuda de una consultoría de protección de datos.
