Empresa de Protección de Datos en Madrid – Acorán

Su consultoría de confianza

Acoran

Adaptación a LOPD - LSSI

Nuestra labor como consultores es acompañar al cliente en todas las fases de implantación de la Protección de Datos en su Empresa.

Planes de Igualdad

Acorán presta servicios con el objetivo de cumplir los derechos de la mujer y reducir situaciones de discriminación por razones de sexo.

Secreto Empresarial

El secreto empresarial es aquella información que una compañía clasifica como reservada debido a la ventaja competitiva que le aporta.

Formación

Identificar los problemas o puntos a mejorar en diferentes áreas funcionales de la empresa, y decidir si estos problemas se pueden resolver a través de la formación.

Acoran

Protección de Datos Madrid

Somos una empresa dedicada a la Consultoría en Protección de Datos y a la Formación.

Ofrecemos a nuestros clientes un trato excepcional y un servicio diferenciado, personalizado y completo, siempre enmarcando las actividades realizadas con la mayor integridad y calidad.

LEY PROTECCIÓN DE DATOS MADRID

¿Quiere saber si su empresa cumple con la LOPD?

¡Nuestros Expertos en LOPD le ponen al día!

Adecuación Vigente

Adecuación permanente

Garantizamos la vigencia de tu adaptación de forma permanente (para siempre) gracias al asesoramiento constante.

Consultor asignado

Consultor a tu disposición

En todo el proceso podrás hacer consultas y resolver todas tus dudas con un consultor a tu completa disposición.

Liberación completa

Liberación completa

Nuestro equipo trabaja por y para tí, para que no tengas que preocuparte de nada.

Portal Cliente

Portal del cliente

Podrás acceder y descargar toda la documentación del proceso a través de esta cómoda plataforma.

ADECUACIÓN DE LA ORGANIZACIÓN AL RGPD Y A LA LOPD-GDD

¿Sabías que la LOPD es una obligación legal cuyo incumplimiento es sancionable hasta 20 millones de euros?

Adecuación Acorán

Nuestra labor como consultores en Protección de Datos viene definida por el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales que tienen por objeto garantizar y proteger en los concerniente al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

ADAPTACIÓN A LA LOPD

Analizamos en qué situación se encuentra la Empresa
  • Realizamos una auditoría previa para ver la situación en la que se encuentra la Organización.
  • Elaboramos el Registro de Actividades de Tratamientos como Responsable y si es necesario también como Encargado del Tratamiento.
  • Analizamos los Riesgos que tiene la Organización y emitimos un informe sobre ellos.
  • Redactamos las cláusulas de información y determinamos cómo recabar el consentimiento de los usuarios (clientes, trabajadores, asociados, propietarios…).
  • Redactamos los contratos de Encargados del Tratamiento con terceras empresas que tengan acceso a Datos.
  • Redactamos los Textos legales para e-mails y páginas Web.
Servicio de Mantenimiento y asesoramiento durante todo el año de contrato

CONSULTORES EN LOPD

Están obligados a cumplir con el RGPD con la LOPD-GDD todas aquellas personas, empresas o entidades que el ejercicio de su actividad tenga que utilizar datos de carácter personal de clientes, proveedores, vecinos, pacientes, alumnos, etc…

Nosotros velamos en su organización para que los datos personales que le faciliten cumplan con los objetivos que marca el reglamento, asesorándole sobre cómo debe tratar dichos datos aplicando las garantías que la ley establece.

Importante comunicar que a partir del 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos y que desde el 7 de diciembre también ha entrado en vigor la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales que supone nuevas obligaciones y revisión de los procesos en materia de Protección de Datos.

DELEGADO DE PROTECCIÓN DE DATOS

Nos preocupamos por sus datos
Delegado Acorán
El Delegado de Protección de Datos es una nueva figura clave en el Reglamento General de Protección de Datos. Su objetivo principal será ayudar a los responsables y encargados de tratamiento a cumplir con la legislación.

Esta figura es obligatoria en determinadas entidades y organizaciones, pero también se puede designar de manera voluntaria para ayudar al cumplimiento normativo.

DELEGACIÓN PROTECCIÓN DE DATOS

Los responsables o encargados del tratamiento deben publicar los datos de contacto del Delegado de Protección de Datos a los usuarios de sus datos y también comunicarlos a las autoridades supervisoras correspondientes.

La figura del Delegado de Protección de Datos debe involucrarse desde las fases más tempranas posibles en todas las cuestiones relacionadas con la protección de datos y en consecuencia de esto, debe participar con regularidad en las reuniones con los cuadros directivos, ya que es recomendable que esté presente cuando se tomen decisiones con implicaciones para la protección de datos para que pueda prestar un asesoramiento adecuado.

ENTIDADES, CONOCIMIENTOS Y FUNCIONES DEL DPD

Conforme al Reglamento General de Protección de Datos, es obligado designar un Delegado de Protección de Datos cuando:

  • El tratamiento lo lleva a cabo una autoridad u organismo público (con independencia del tipo de datos que se traten);
  • Las actividades principales del Responsable de Tratamiento o del Encargado del Tratamiento consisten en operaciones de tratamiento que, en razón de su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala;
  • Las actividades principales del Responsable de Tratamiento o del Encargado del Tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

Conforme a la Ley Orgánica de Protección de Datos y Garantías Digitales, es obligado designar un DPD cuando se trate de las siguientes entidades:

  • Colegios profesionales y sus consejos generales.
  • Centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Establecimientos financieros de crédito. Entidades aseguradoras y reaseguradoras. Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Empresas de seguridad privada.
  • Federaciones deportivas cuando traten datos de menores de edad.

EVALUACIÓN DE IMPACTO EN PROTECCIÓN DE DATOS

Realizamos un Análisis de la necesidad de Evaluación
Auditoría Acorán
Una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es la realización de un análisis de los riesgos que un producto o servicio puede entrañar para la protección de los datos de los usuarios y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

Una Evaluación de Impacto en la Protección de Datos Personales es una herramienta que va más allá de una evaluación de cumplimiento normativo.

EVALUACIÓN DEL IMPACTO

Lista orientativa de tipos de tratamiento que requieren una evaluación de impacto relativa a la protección de datos según artículo 35.4 RGPD

  1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
  2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
  3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
  4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
  5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
  6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
  7. Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.
  8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
  9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
  10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
  11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.

IMPACTO EN PROTECCIÓN DE DATOS

Realizamos un Análisis de la necesidad de Evaluación.

  • Elaboramos una descripción del Proyecto
    Análisis en profundidad del proyecto para obtener con detalle las categorías de datos que se tratan, los usuarios de los datos, los flujos de la información y las tecnologías utilizadas.
  • Identificamos los riesgos
    Análisis de los posibles riesgos que se puedan dar dentro de la organización en relación con los datos personales.
    Valoración de que esos riesgos sucedan, indicando también los daños que causarían en caso de que se dieran.
  • Realizamos una gestión de los riesgos identificados
    Determinación de los controles y las medidas que tiene que adoptar la organización para eliminar, mitigar, transferir o aceptar los riesgos detectados.
  • Comprobamos y Analizamos del cumplimiento normativo
    Verificar que el producto o el servicio que se está desarrollando cumple con los requerimientos legales en materia de Protección de datos.
  • Realizamos el informe final
    En el que se incluye una relación detallada de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o mitigarlos.
  • Se Implantan las recomendaciones indicadas en el informe

Revisión y realimentación

En el que se incluye una relación detallada de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o mitigarlos.

AUDITORÍA DE PROTECCIÓN DE DATOS

Recopilamos la información acerca del grado de mantenimiento y cumplimiento del Documento de Seguridad
Auditoría Acorán

La auditoría de protección de datos es un proceso sistemático, es decir el auditor debe recopilar la información mediante la obtención de evidencias recogiendo una amplia gama de información para poder elaborar el informe final.

La auditoría es una herramienta de control y supervisión que permite ayudar a las organizaciones a eliminar o minimizar los fallos encontrados en las estructuras o vulnerabilidades existentes en la organización de una empresa en materia de protección de datos.

¿Qué es una auditoría en Protección de Datos?

Medio a través del cual se efectúa el control sobre si la organización cumple con todos los puntos en virtud del GDPR.

La auditoría de protección de datos verifica el cumplimiento del Reglamento atendiendo al diseño técnico-organizativo del Responsable del tratamiento y aplicando las disposiciones específicas según la categoría de datos o de tratamiento que se lleven a cabo.

La auditoría se realiza para comprobar el nivel de seguridad y adecuar el nivel de seguridad de los datos personales que se gestionan. Lo habitual será querer conocer las debilidades e incumplimientos que tiene la organización y para tener garantías de que la entidad está cumpliendo y así disminuir riesgos.

ASPECTOS TÉCNICOS Y ORGANIZATIVOS A ANALIZAR EN LA AUDITORÍA BASADA EN EL SISTEMA INTEGRAL DE GESTIÓN

Principios del tratamiento:

  • Legitimación del tratamiento (licitud)
  • Finalidad del tratamiento (limitación de los fines)
  • Limitación del tratamiento (minimización de los datos)
  • Actualización de datos (exactitud) Conservación de datos (limitación del plazo de conservación)
  • Protección de datos (integridad y confidencialidad)

Responsabilidad del tratamiento:

  • Personal autorizado
  • Encargados del tratamiento
  • Subcontratación del tratamiento
  • Corresponsables del tratamiento
  • Destinatarios de datos

Política de seguridad:

  • Derechos de los interesados
  • Desde diseño y por defecto
  • Riesgos del tratamiento
  • Evaluación de impacto (si existe)
  • Violaciones de la seguridad

Medidas específicas de seguridad: Acceso a documentos

  • Acceso a equipos y redes informáticas
  • Acceso a categorías especiales de datos (si existen)
  • Seguridad de la contraseña Protección de equipos y redes informáticas
  • Copias de respaldo Transporte y transmisión de datos
  • Conservación de datos Conservación de categorías especiales de datos (si existen)
  • Destrucción de datos
  • Transferencias internacionales