Empresa de Protección de Datos en Madrid – Acorán

Analizamos en qué situación se encuentra la Empresa

• Realizamos una auditoría previa para ver la situación en la que se encuentra la Organización.
• Elaboramos el Registro de Actividades de Tratamientos como Responsable y si es necesario también como Encargado del Tratamiento.
• Analizamos los Riesgos que tiene la Organización y emitimos un informe sobre ellos.
• Redactamos las cláusulas de información y determinamos cómo recabar el consentimiento de los usuarios (clientes, trabajadores, asociados, propietarios…).
• Redactamos los contratos de Encargados del Tratamiento con terceras empresas que tengan acceso a Datos.
• Redactamos los Textos legales para e-mails y páginas Web.

Servicio de Mantenimiento y asesoramiento durante todo el año de contrato

Están obligados a cumplir con el RGPD con la LOPD-GDD todas aquellas personas, empresas o entidades que el ejercicio de su actividad tenga que utilizar datos de carácter personal de clientes, proveedores, vecinos, pacientes, alumnos, etc…

Nosotros velamos en su organización para que los datos personales que le faciliten cumplan con los objetivos que marca el reglamento, asesorándole sobre cómo debe tratar dichos datos aplicando las garantías que la ley establece.

Importante comunicar que a partir del 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos y que desde el 7 de diciembre también ha entrado en vigor la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales que supone nuevas obligaciones y revisión de los procesos en materia de Protección de Datos.

La figura del Delegado de Protección de Datos debe involucrarse desde las fases más tempranas posibles en todas las cuestiones relacionadas con la protección de datos y en consecuencia de esto, debe participar con regularidad en las reuniones con los cuadros directivos, ya que es recomendable que esté presente cuando se tomen decisiones con implicaciones para la protección de datos para que pueda prestar un asesoramiento adecuado.

Conforme al Reglamento General de Protección de Datos, es obligado designar un Delegado de Protección de Datos cuando:

• El tratamiento lo lleva a cabo una autoridad u organismo público (con independencia del tipo de datos que se traten);
• Las actividades principales del Responsable de Tratamiento o del Encargado del Tratamiento consisten en operaciones de tratamiento que, en razón de su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala;
• Las actividades principales del Responsable de Tratamiento o del Encargado del Tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

Conforme a la Ley Orgánica de Protección de Datos y Garantías Digitales, es obligado designar un DPD cuando se trate de las siguientes entidades:

• Colegios profesionales y sus consejos generales.
• Centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
• Entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
• Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
• Entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
• Establecimientos financieros de crédito. Entidades aseguradoras y reaseguradoras. Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
• Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
• Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
• Entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
• Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
• Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
• Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
• Empresas de seguridad privada.
• Federaciones deportivas cuando traten datos de menores de edad.

Lista orientativa de tipos de tratamiento que requieren una evaluación de impacto relativa a la protección de datos según artículo 35.4 RGPD

1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
7. Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.
8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.

Realizamos un Análisis de la necesidad de Evaluación.

• Elaboramos una descripción del Proyecto
  Análisis en profundidad del proyecto para obtener con detalle las categorías de datos que se tratan, los usuarios de los datos, los flujos de la información y las tecnologías utilizadas.
• Identificamos los riesgos
  Análisis de los posibles riesgos que se puedan dar dentro de la organización en relación con los datos personales.
  Valoración de que esos riesgos sucedan, indicando también los daños que causarían en caso de que se dieran.
• Realizamos una gestión de los riesgos identificados
  Determinación de los controles y las medidas que tiene que adoptar la organización para eliminar, mitigar, transferir o aceptar los riesgos detectados.
• Comprobamos y Analizamos del cumplimiento normativo
  Verificar que el producto o el servicio que se está desarrollando cumple con los requerimientos legales en materia de Protección de datos.
• Realizamos el informe final
  En el que se incluye una relación detallada de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o mitigarlos.
• Se Implantan las recomendaciones indicadas en el informe

Revisión y realimentación

En el que se incluye una relación detallada de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o mitigarlos.