Obligaciones de consultores y asesores para cumplir con el RGPD y la LOPDGDD

Autor: Dudatis.com

Obligaciones de consultores y asesores para cumplir con el RGPD y la LOPDGDD

En esta guía, te voy a contar qué obligaciones deben cumplir los consultores y asesores para garantizar el cumplimiento de la normativa de protección de datos, en este caso el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Obligaciones de consultores y asesores

Estos profesionales pueden desempeñar dos roles distintos en el tratamiento de datos personales. Por un lado, pueden ser responsables del tratamiento cuando custodian, controlan y procesan los datos personales de sus propios clientes y empleados. Por otro lado, pueden actuar como encargados del tratamiento cuando realizan servicios para sus clientes y gestionan aspectos específicos de su negocio.

Por ejemplo, una asesoría que almacena información sobre sus clientes y empleados actúa como responsable del tratamiento. Sin embargo, si esta asesoría contrata los servicios de una empresa de diseño gráfico para la gestión de su negocio y la empresa de diseño gráfico proporciona a la asesoría acceso a los datos personales de sus empleados y otra información confidencial, la asesoría actúa como encargado del tratamiento y la empresa de diseño gráfico sería el responsable del tratamiento.

Estas diferentes perspectivas establecen distintas obligaciones para cumplir con la normativa de protección de datos.

Como encargados

Si actúas como encargado del tratamiento, debes cumplir con las siguientes obligaciones:

  • Seguir las directrices del responsable del tratamiento.
  • Respetar el deber de confidencialidad.
  • Adoptar medidas de seguridad para garantizar la seguridad de los datos.
  • Acordar el régimen de subcontratación.
  • Facilitar el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
  • Colaborar con el responsable del tratamiento para el cumplimiento de sus obligaciones.
  • Proceder según lo pactado en el contrato con el responsable en lo referente al destino de los datos una vez que ha finalizado la prestación del servicio.

Como responsables

Cuando actúas como responsable del tratamiento, debes cumplir con las siguientes obligaciones:

  • Realizar un Registro de actividades de tratamiento.
  • Elaborar un análisis de riesgos.
  • Realizar una Evaluación de impacto (cuando proceda).
  • Firmar contratos con terceros.
  • Incluir textos legales en la página web.
  • Solicitar el consentimiento a los clientes.
  • Facilitar los derechos de los usuarios.
  • Firmar contratos de confidencialidad con los empleados.
  • Nombrar un Delegado de Protección de Datos (cuando proceda).

Cómo debe adaptarse un gestor o asesor a la normativa vigente

Análisis de riesgos

Antes de realizar cualquier tipo de tratamiento de datos personales, es necesario realizar un análisis de riesgos. Este análisis permite evaluar la probabilidad de que una amenaza afecte la integridad, disponibilidad o fiabilidad de la información. En el caso de los datos personales, los mayores riesgos están en sustracciones o filtraciones públicas o ilegales.

Evaluación de Impacto

Cuando el análisis de riesgos revela un alto riesgo para los derechos y libertades de los interesados, es obligatorio realizar una Evaluación de impacto de protección de datos (EIPD). Esto aplica especialmente si se manejan datos especiales o si se realizan tratamientos de datos a gran escala de manera sistemática.

Registro de las actividades de tratamiento

Es necesario mantener un registro de todas las actividades de tratamiento de datos. Este registro debe contener información detallada sobre el tratamiento, como los datos identificativos del responsable y el encargado del tratamiento, la finalidad del tratamiento, las categorías de datos y las medidas de seguridad implementadas.

Contratos con terceros

Cuando se contrata a un proveedor externo y se le ceden datos personales, es necesario firmar un contrato de encargado del tratamiento para asegurarse de que el proveedor cumple con las obligaciones de protección de datos establecidas por el RGPD.

Contrato de confidencialidad con empleados

Debido al acceso que los empleados de una asesoría o gestoría tienen a los datos personales de los clientes, es necesario establecer un contrato de confidencialidad para asegurar que los empleados cumplen con las medidas de seguridad y no divulgan ni utilizan indebidamente los datos.

El consentimiento de los clientes

El consentimiento expreso de los clientes es necesario para llevar a cabo cualquier tratamiento de sus datos personales. Este consentimiento debe ser recabado de forma clara y específica, informando al cliente sobre la finalidad del tratamiento y cualquier posible cesión de datos a terceros.

Informa a tus clientes de sus derechos

Debes facilitar a tus clientes los mecanismos necesarios para que puedan ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y a no ser objeto de decisiones automatizadas.

La obligación de notificar brechas de seguridad

En caso de que se produzca una brecha de seguridad que ponga en riesgo los derechos y libertades de las personas, debes notificarlo a la autoridad de control en un plazo máximo de 72 horas. También es necesario informar a los interesados cuyos datos hayan sido afectados.

Textos legales para la web

Si tienes una página web, debes incluir los textos legales requeridos por la normativa de protección de datos y la LSSI-CE. Estos textos incluyen el aviso legal, la política de privacidad y la política de cookies.

¿Contratar un DPO?

Dependiendo de la magnitud y complejidad de tus actividades de tratamiento de datos, puede ser necesario designar a un Delegado de Protección de Datos (DPO). Este DPO se encargará de garantizar el cumplimiento normativo, asesorar al responsable del tratamiento y gestionar cualquier asunto relacionado con la protección de datos.

Sanciones por incumplimiento

El incumplimiento de la normativa de protección de datos puede resultar en sanciones económicas significativas. Las sanciones pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual, dependiendo de la gravedad de la infracción y otros factores considerados por la legislación.

En resumen, los consultores y asesores deben cumplir con una serie de obligaciones para garantizar el cumplimiento de las leyes de protección de datos. Esto incluye seguir las directrices del responsable del tratamiento, adoptar medidas de seguridad adecuadas, elaborar registros y evaluaciones, informar a los clientes sobre sus derechos, notificar brechas de seguridad y cumplir con los requisitos legales en su página web. Además, en algunos casos, puede ser necesario designar a un DPO para garantizar el cumplimiento normativo.

Si necesitas ayuda para cumplir con el RGPD y la LOPDGDD, puedes solicitar presupuestos a empresas especializadas en protección de datos.


0 Comentarios

En Dudatis.com, nos encanta que participes y expreses tus opiniones. Tu voz es importante para nosotros. Siéntete libre de comentar y compartir tus ideas. Esperamos con interés tus comentarios.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Apreciamos tu participación, y te pedimos que respetes nuestras normas. Recuerda que los campos marcados con * son obligatorios.