Trabajos

Cómo adecuarse a las exigencias del Reglamento General de Protección de Datos

Análisis práctico del proceso a seguir para estar adaptado al RGPD con la antelación suficiente antes del 25 de mayo de 2018.
Raúl Pérez Cambero

Abogado. Máster en Asesoría y Consultoría en Tecnologías de la Información. Magister en Asesoría y Consultoría en Tecnologías de la Información y las Comunicaciones

Actualidad Administrativa, Nº 11, Sección Administración del siglo XXI, Noviembre 2017

I. Introducción


Ya hace más de un año que entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE  (RGPD), lo cual quiere decir que queda menos de un año para el 25 de mayo de 2018 o, dicho de otro modo, para que resulte de plena aplicación.

Transcurrido, como digo, más de un año, las dudas e incertidumbres sobre este nuevo marco normativo sigue persistiendo entre los profesionales que nos dedicamos «a la protección de datos» ya que existen aspectos sobre los que cada cual tiene su propio criterio interpretativo y todos pueden ser perfectamente válidos. Será la aplicación práctica del mismo la que irá unificando dichos criterios y resolviendo esas incertidumbres.

Por lo tanto, si los propios profesionales del sector tenemos nuestras dudas, más si cabe tendrán aquellas Organizaciones que tengan que cumplir con este nuevo texto legal. Precisamente por eso, en este artículo intentaré aclarar qué hay que hacer para adecuarse al RGPD. No se trata de hacer un análisis del mismo, lo cual ya abordé en números anteriores de esta misma publicación, sino de dar un punto de vista práctico del proceso a seguir para estar adaptado al RGPD con la antelación suficiente al famoso 25 de mayo de 2018.

II. Proceso de adecuación al RGPD



  1. ¿Qué hacer durante este plazo transitorio?


Hasta el 25 de mayo de 2018 resultará de plena aplicación la normativa actual reguladora de la protección de datos de carácter personal, es decir, la LOPD y su Reglamento de desarrollo. Por lo tanto, hasta entonces las organizaciones, públicas y privadas deberán cumplir con la citada normativa, si bien poco a poco deberán ir adecuando sus políticas internas al nuevo marco regulatorio de forma que, una vez llegue la fecha señalada, estén perfectamente adaptadas.

La Agencia Española de Protección de Datos informó de que el primer borrador del anteproyecto de modificación de la LOPD se publicaría a finales de marzo y ello ayudaría a interpretar aspectos dudosos del RGPD pero lo cierto es que hemos tenido que esperar hasta finales de junio para conocer el primer borrador de anteproyecto de modificación de la LOPD. La pretensión del legislador es que la «nueva LOPD» esté aprobada y entre en vigor en mayo de 2018, es decir, coincidiendo con la fecha en que resultará de aplicación el RGPD, lo cual es una verdadera lástima pues debería haberse aprovechado este plazo de dos años para haber trabajado en la modificación de la LOPD de forma que se conociera su contenido final y estuviera aprobada con la suficiente antelación. Cierto es que la situación política que ha existido en España impedía llevar a cabo cualquier iniciativa legislativa pero las autoridades de control y los demás grupos de interés bien podrían haber trabajado en esa «nueva LOPD».

Lo que sí han hecho las Autoridades de control españolas (Agencia Española de Protección de Datos, Autoridad Catalana de Protección de Datos y Agencia Vasca de Protección de Datos) es publicar unas guías y documentos orientados a ayudar a los responsables, encargados del tratamiento, DPO’s y profesionales del sector a cumplir con las nuevas obligaciones que contempla el RGPD.

Las cláusulas informativas que hasta ahora se venían utilizando no serán válidas una vez resulte de aplicación el RGPD

En este sentido, tenemos, entre otras, la «Guía del Reglamento General de Protección de Datos para responsables del tratamiento», la «Guía para el cumplimiento del deber de informar», el documento de «Directrices para la elaboración de contratos entre responsables y encargados del tratamiento», documento de «Orientaciones y garantías en los procedimientos de anonimización de datos personales».

También han publicado documentos de orientaciones como «El impacto del Reglamento General de Protección de Datos sobre la actividad de las Administraciones Públicas», «El delegado de protección de datos en las Administraciones Públicas», «Implicaciones prácticas del Reglamento General de Protección de Datos para entidades en el período de transición» y «El Reglamento de protección de datos en 12 preguntas».

Todos estos documentos, junto con otras publicaciones como documentos del Grupo de Trabajo del artículo 29 están a disposición de todas las personas en el sitio web de la Agencia Española de Protección de datos (www.agpd.es). Las guías estás asimismo disponibles en los sitios web de la Agencia Vasca de Protección de Datos (www.avpd.euskadi.eus) y (apdcat.gencat.cat).

Como decía, estos documentos van a ayudar a los responsables y encargados del tratamiento a adecuarse, durante este plazo transitorio, a las obligaciones del RGPD de forma que tengan regularizadas sus políticas de protección de datos con anterioridad al 25 de mayo de 2018.

Es sencillo responder a la pregunta que titula este apartado para aquellas organizaciones que tienen implementadas políticas de protección de datos conforme exige la normativa vigente (LOPD y RLOPD) pues, en la medida en que ésta es exigible hasta el 25 de mayo de 2018, podrán seguir cumpliendo con ella si bien de forma coetánea deberían ir adecuándose al RGPD.

Pero, como todos sabemos, hay organizaciones que hasta la fecha no han desarrollado políticas orientadas al cumplimiento de la LOPD  y RLOPD y otras que, aun habiéndolo hecho, las tienen muy desactualizadas porque no las han ido implementando. ¿Qué deberían hacer estas organizaciones?

La respuesta a esta pregunta es controvertida pues hay opiniones muy variadas, aquellas que consideran que lo que han de hacer es adecuarse tanto al RGPD, para estar adecuados cuando resulte de plena aplicación, como a la LOPD y RLOPD para cumplir con ellas hasta el 25 de mayo de 2018 porque están vigentes y son plenamente exigibles. Por otro lado, está la línea interpretativa que considera que lo procedente es adecuarse al RGPD toda vez que es la normativa que resultará de aplicación y, al tener una regulación más amplia y contemplar mayores obligaciones, cumpliría también con la normativa actual. Los hay también que siguen una suerte de criterio intermedio, es decir, hay que adecuarse al RGPD pero también notificar los ficheros a la AEPD para su inscripción en el Registro General.

Como se suele decir, en Derecho todo es interpretable y, sin duda, todas estas líneas interpretativas tienen sus argumentos. En mi caso, soy de la opinión de que efectivamente hay que ir adaptándose al RGPD pero, en la medida en que hasta la fecha en que éste sea de aplicación, resulta exigible la normativa actualmente vigente y, por tanto, hay que cumplir con ella. Eso pasa por continuar notificando los ficheros a la AEPD, elaborar e implantar un documento de seguridad, implantar las medidas de seguridad técnicas y organizativas necesarias que, con la condición de mínimos exigibles, serán las contempladas en el Título VIII del RLOPD, etc. Eso sí, aprovechando que es recomendable que vayan adecuándose al RGPD, las cláusulas informativas que redacten deberían recoger todo el contenido que exige el RGPD, lo mismo que el contenido del contrato de tratamiento de datos que firmen con sus encargados del tratamiento.

Puede pensarse que, siendo cierto esto, se duplica el trabajo a realizar y, si se contratan los servicios de una empresa externa especializada, también se incrementan los costes. No cabe duda de que ambas afirmaciones son ciertas pero en ningún caso pueden servir de excusa para no cumplir con la normativa actualmente vigente mientras se lleva a cabo un proceso de adecuación al RGPD. De hecho, la AEPD ha puesto de manifiesto en reiteradas ocasiones, tanto en ponencias, foros como en documentos y publicaciones que hasta el 25 de mayo de 2018 la normativa actual es totalmente exigible así que, si la autoridad de control realiza esta afirmación y es quien se encargaría de conocer de un eventual procedimiento sancionador, mejor no tentar a la suerte, si se me permite la expresión.

Dicho esto, con lo que se puede estar o no de acuerdo, como es natural, pasemos a continuación a describir cómo hacer para adecuarse al RGPD.

  1. Cumplimiento del deber de información


Es importante señalar que las cláusulas informativas que hasta ahora se venían utilizando para cumplir con esta obligación no serán válidas una vez resulte de aplicación el RGPD por cuanto que no contemplan todos los aspectos que éste exige y no hacen referencia a nuevos derechos que introduce. Por lo tanto, todas las organizaciones deberán renovar sus cláusulas informativas para cumplir correctamente con esta obligación.

El artículo 5 de la LOPD exige informar de los siguientes aspectos, cuando los datos se recaban del propio interesado: de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información; del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas; de las consecuencias de la obtención de los datos o de la negativa a suministrarlos; de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; y de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Si los datos no hubieran sido recabados del interesado, se deberá informar, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición y de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Por su parte, el RGPD incorpora importantes cambios, ya que añade nuevos aspectos sobre los que informar a los interesados. Concretamente, cuando los datos se recaben del interesado deberá informarle sobre:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias realizadas con garantías adecuadas o basadas en normas corporativas vinculantes o basada en una situación específica, la referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

g) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

h) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

i) cuando el tratamiento esté basado en el consentimiento del interesado, la existencia del derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

j) el derecho a presentar una reclamación ante una autoridad de control;

k) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

l) la existencia de decisiones automatizas, incluida la elaboración de perfiles y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

m) cuando el responsable del tratamiento proyecte el tratamiento posterior de los datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento posterior, información sobre ese otro fin y cualquier información adicional pertinente.

Ahora bien, si los datos no se han obtenido del interesado, la información a proporcionarle será la misma, salvo la indicada en la letra k), si bien habrá que añadir, además: las categorías de datos personales de que se trate; y la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

En la «Guía para el cumplimiento del deber de informar» se recomienda utilizar el sistema de información por doble capa

Como decía anteriormente, la LOPD, exige cumplir con ese deber de información en el plazo de tres meses desde el registro, salvo que ya hubiera sido informado con anterioridad, pero en este sentido el RLOPD exige que se informe:

-dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;

-si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o

- si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

En la «Guía para el cumplimiento del deber de informar» publicada por las Autoridades de control españolas se recomienda utilizar el sistema de información por doble capa, similar a la información sobre el uso de cookies, de tal forma que en una primera capa, en forma de table, se incluiría una información básica que contendría la identificación del responsable, la finalidad principal del tratamiento, la legitimación del tratamiento, destinatarios, derechos que puede ejercer y una indicación sobre dónde o cómo (enlace a la página web de la organización donde se podrá consultar la información) puede accederse a la información adicional en la segunda capa, es decir, a los aspectos anteriormente mencionados.

Personalmente no estoy muy de acuerdo con esta recomendación, salvo que se utilicen medios electrónicos para la recogida de datos ya que cuando se hace mediante soporte papel, no se debería remitir a una página web para acceder a la información adicional por cuanto que existen personas que o bien no tienen medios económicos para disponer de una conexión a internet o bien porque no tienen conocimientos sobre el medio. De mantener esa remisión a un sitio web se estaría menoscabando el derecho de información sobre el tratamiento de sus datos personales a tales personas cuando hablamos, nada menos, que de un derecho fundamental.

Es cierto que hace referencia a la posibilidad de incluir en el formulario la tabla con la información básica y en el reverso la información adicional, o mediante anexos que se entreguen al interesado, o mediante carteles, paneles, trípticos, etc, de los cuales se pueda solicitar una copia manejable para conservar pero en la práctica se soluciona de un modo más sencillo utilizando una única cláusula informativa que contenga todos los aspectos exigidos por el RGPD. Ello, naturalmente, salvo que exista una imposibilidad manifiesta por problemas de espacio o por las circunstancias en que se recaben los datos pero no como norma general.

Como quiera que el presente trabajo pretende facilitar al lector una herramienta práctica para cumplir con el RGPD, propondré a continuación un modelo de cláusula informativa, sin otro objetivo que precisamente servir de guía para poder elaborar la que se ajuste al tratamiento de datos específico de cada caso. Ya he señalado que la información a facilitar varía en función de si los datos han sido obtenidos o no del interesado, si bien el modelo que propongo a continuación responderá al primer supuesto.

«En cumplimiento de lo dispuesto por el artículo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, se le informa de los siguientes aspectos relacionado con el tratamiento de los datos de carácter personal que nos proporciona mediante este documento y, en su caso, de los que genere la relación contractual:

a) El Responsable del tratamiento de sus datos personales es [Nombre de la organización], con CIF n.o [número de CIF] y domicilio en [dirección], [Código postal], [Ciudad][Provincia].

b) [Nombre de la organización] ha designado como Delegado de Protección de Datos (DPO) a D./D.ª . ………………………….., de tal forma que Vd. podrá contactar con él en [dirección], [Código postal], [Ciudad][Provincia], o bien por correo electrónico en la siguiente dirección: dpo@dpo.es.

c) Le informamos de que los datos personales que nos proporciona son necesarios para el adecuado mantenimiento, desarrollo, cumplimiento y control de la relación contractual y la prestación de los servicios que demanda, motivo por el cual serán tratados con dicha finalidad de gestionar la relación contractual existente entre Vd. y la organización.

La base jurídica de ese tratamiento de datos es el mantenimiento, ejecución y control de la relación contractual así como el cumplimiento de las obligaciones legales correspondientes.

Asimismo, le informamos de que, salvo que marque esta casilla, utilizaremos sus datos personales para enviarle información comercial sobre nuestra organización, nuestros productos, servicios, novedades, artículos, noticias, ofertas o promociones así como otras informaciones de contenido comercial que pudieran resultar de su interés.

No obstante, Vd. puede revocar su consentimiento en cualquier momento notificándolo por escrito a [dirección], [Código postal], [Ciudad][Provincia].

La presente relación contractual implica cumplir con determinadas obligaciones legales, lo cual conlleva la necesidad de comunicar sus datos personales [especificar categorías de datos que serán objeto de comunicación] a la Administración tributaria así como a los organismos y Administraciones públicas competentes.

Los datos personales que nos proporciona mediante este documento y durante la relación contractual se conservarán durante el plazo de vigencia de la misma así como el necesario para el cumplimiento de las obligaciones legales que deriven del mismo.

Respecto al tratamiento de sus datos personales con la finalidad de envío de información comercial antes descrita, se conservarán, a pesar de que finalice la relación contractual, hasta que Vd. revoque su consentimiento.

Del mismo modo, le informamos de informamos de que en cualquier momento puede solicitarnos el acceso a sus datos personales o, en su caso, su rectificación o supresión, la limitación del tratamiento en cuyo caso únicamente los conservaremos para el ejercicio o la defensa de reclamaciones, su oposición al mismo así como su derecho a la portabilidad de los datos personales. Para ello deberá enviar una solicitud por escrito dirigida a [Nombre de la organización], [dirección], [Código postal], [Ciudad][Provincia].

Por último, le informamos de que tiene derecho a presentar una reclamación ante la autoridad de control [habrá que especificar la autoridad de control, bien la Agencia Española de Protección de Datos, Agencia Vasca de Protección de Datos o Autoridad Catalana de Protección de Datos], bien a través de su sede electrónica o en su domicilio, en [dirección], [Código postal], [Ciudad][Provincia]».

Insisto en que esta cláusula únicamente pretende ser un modelo por lo que no contiene toda la casuística que se puede producir en las organizaciones. Por ello, habrá que adecuarla al tratamiento de datos que en cada caso se realice.

  1. Derecho de acceso, rectificación, supresión, limitación del tratamiento, derecho a la portabilidad de los datos y derecho de oposición


En este caso, como quiera que nos encontramos ante derechos reconocidos al interesado, el responsable del tratamiento lo que ha de hacer es atenderlos salvo que concurra alguna de las causas previstas por el propio RGPD. Para ello, deberá articular procedimientos de atención a fin de tramitar correctamente las solicitudes que pudiera recibir. Por supuesto, adquiere una gran importancia la formación al personal a fin de que estén en disposición de informar al interesado cómo pueden ejercer sus derechos así como para que actúen con rapidez en caso de que reciban una solicitud de este tipo.

  1. Relaciones entre responsable y encargado del tratamiento 


a) Responsabilidad del responsable del tratamiento

Este es un aspecto en el que también encontramos novedades. En primer lugar, el RGPD obliga al responsable del tratamiento a aplicar medidas técnicas y organizativas apropiadas (más adelante veremos qué medidas habrá que adoptar o, mejor dicho, cómo determinar las medidas a adoptar) habida cuenta de la naturaleza, ámbito, contexto, finalidades del tratamiento y riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.

Nos olvidamos ya de la obligación de hacer una auditoría de verificación de cumplimiento de forma bienal, tal y como hasta ahora exige el RLOPD para tratamientos de nivel medio o alto sino que el RGPD establece que las medidas de seguridad se deberán revisar y actualizar cuando sea necesario. Por tanto, deberá ser el responsable del tratamiento quien, de forma diligente se encargue de determinar la necesidad o la periodicidad de las revisiones de las medidas de seguridad que adopta.

b) Protección de datos desde el diseño y por defecto

Este es un aspecto novedoso del RGPD y que adquiere gran importancia ya que exige al responsable del tratamiento que, desde la propia concepción de un nuevo producto, servicio o, por ejemplo al contratar el uso de un programa o aplicación, deberá tener en cuenta el cumplimiento de los principios de la protección de datos. Exige por tanto aplicar, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como por ejemplo, la seudonimización o la minimización, todo ello para cumplir con el RGPD y proteger los derechos de los interesados así como para garantizar que, por defecto, se traten únicamente los datos personales que sean necesarios para las finalidades específicas a que se destinarán y para que, también por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

El encargado del tratamiento tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable

Las organizaciones deberán aplicar esta obligación a toda la cantidad de datos recogidos, a la extensión de su tratamiento, a su plazo e conservación y a su accesibilidad.

Por lo tanto, cada vez que se contrate y/o se diseñe un nuevo producto, servicio o aplicación habrá que tener en cuenta que se respeten desde el inicio los principios de la protección de datos y demás obligaciones exigidas por el RGPD.

c) Encargado del tratamiento

En este sentido hay importantes novedades que introduce el RGPD y que deberá tener en cuenta el responsable del tratamiento cuando vaya a contratar un servicio que implique un tratamiento de datos por parte de un encargado del tratamiento.

En primer lugar, cuando una organización vaya a contratar un encargado del tratamiento, no podrá hacerlo con cualquier proveedor sino sólo con aquél que ofrezca las suficientes garantías para aplicar las medidas de seguridad técnicas y organizativas apropiadas, garantice asimismo la protección de los derechos del interesado.

Asimismo, debe establecer controles y prohibiciones para que el encargado del tratamiento no realice subencargos del tratamiento sin su autorización, que deberá constar por escrito. Por ello, en el contrato que firme el responsable con el encargado del tratamiento deberá recogerse la autorización o prohibición de que se realicen tales subencargos del tratamiento así como, en caso de haberlo autorizado, a sustituciones.

No obstante, esto es algo que ya preveía el RLOPD por lo que no supone ningún cambio al respecto pero, donde sí hay cambios importantes es en cuanto al contenido del contrato. En este sentido, el contrato de tratamiento de datos que deberán firmar el responsable y el encargado del tratamiento deberá tener el siguiente contenido:

  • el objeto, la duración, la naturaleza y la finalidad del tratamiento,

  • el tipo de datos personales y categorías de interesados,

  • las obligaciones y derechos del responsable,

  • el encargado del tratamiento tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, incluso en relación con las transferencias internacionales de datos a un tercer país u organización internacional, salvo que se haga en cumplimiento de una obligación legal, en cuyo caso, el encargado informará al responsable de tal obligación legal antes de iniciar el tratamiento, salvo que exista alguna prohibición legal por razones de interés público,

  • el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se hayan el encargado del tratamiento comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. Es decir, que haya firmado o regulado con su personal el correspondiente deber de confidencialidad y de secreto,

  • el encargado del tratamiento adoptará todas las medidas de seguridad técnicas y organizativas necesarias apropiadas para garantizar un nivel de seguridad adecuado al riesgo,

  • el encargado del tratamiento deberá contar con la autorización previa y por escrita del responsable del tratamiento en caso de recurrir a otro encargado del tratamiento, en cuyo caso firmará un contrato con el subencargado con las mismas obligaciones que las que hubiera estipulado con el responsable, en especial, garantías de aplicación de medidas de seguridad técnicas y organizativas apropiadas,

  • el encargado del tratamiento asistirá al responsable a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes del ejercicio de los derechos de los interesados,

  • el encargado del tratamiento ayudará al responsable a garantizar que cumple con las medidas de seguridad, con la notificación de violaciones de seguridad a la autoridad de control y al interesado y con la evaluación de impacto, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado,

  • el encargado del tratamiento, a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del cumplimiento de una ley,

  • el encargado del tratamiento pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones mencionadas en este apartado, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.


Para tener un modelo de contrato que las organizaciones puedan tomar para firmar con sus encargados del tratamiento, pueden consultar el existente en la guía publicada por las autoridades de control españolas denominado «Directrices para la elaboración de contratos entre responsables y encargados del tratamiento».

  1. Registro de las actividades de tratamiento


Como ya es de sobra sabido, el RGPD suprime la obligación de notificar los ficheros o tratamientos a la autoridad de control competente, es decir, a la Agencia Española de Protección de Datos en el caso de las empresas privadas y, en el ámbito público, de las administraciones y organismos públicos que no estén bajo el ámbito de una autoridad de control propia, como es el caso de País Vasco y Cataluña, que debían hacerlo ante la Agencia Vasca de Protección de Datos y ante la Autoridad Catalana de Protección de Datos, respectivamente.

El RGPD en lugar de exigir la notificación de ficheros a la autoridad de control competente, obliga a los responsables del tratamiento y, en su caso, a su representante, a llevar un registro de las actividades de tratamiento, que deberá contener la información que exige el propio RGPD:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias a países sobre los que no existe una decisión de la Comisión Europea de adecuación, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que se adoptan para garantizar un nivel de seguridad adecuado al riesgo.

En cuanto a esta cuestión recordemos que el RGPD, a diferencia del RLOPD, no contiene una descripción de las medidas de seguridad que, con la condición de mínimos exigibles, han de adoptar tanto el responsable del tratamiento como el encargado del tratamiento. En este sentido, en el registro de actividades del tratamiento se podrá hacer constar, respecto a las medidas de seguridad, cuáles se adoptarán respecto a los programas y sistemas de información (cifrado de datos, anonimización, acceso restringido, garantías de integridad, resiliencia y disponibilidad…), si existe adhesión a algún código de conducta, a los soportes utilizados en el tratamiento (acceso restringido mediante llave, candado, clave, tarjeta magnética…, antivirus, existencia de cámaras de seguridad, inventario de soportes, medidas para reutilización , para destrucción), a medidas en la identificación y autenticación (procedimientos de asignación, distribución y almacenamiento de contraseñas, periodicidad de cambio, limitación de intentos fallidos…), a copias de seguridad (periodicidad, procedimiento, lugar de conservación, soporte…), a la verificación, evaluación y valoración de la eficacia de las medidas de seguridad así como cualesquiera otras que se considere de interés.

Tanto el responsable del tratamiento como los encargados del mismo y, en su caso, su representante están obligados a llevar un registro de actividades

Pero esta obligación de llevar un registro de actividades del tratamiento no se exige únicamente para el responsable del tratamiento sino que los encargados del tratamiento y, en su caso, su representante, también deberán llevar un registro de todas las categorías de actividades de tratamiento que realice por cuenta de un responsable. En este caso, el contenido deberá ser el siguiente:

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;

b) las categorías de tratamientos efectuados por cuenta de cada responsable;

c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias a países sobre los que no existe una decisión de la Comisión Europea de adecuación, la documentación de garantías adecuadas;

d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que se adoptan para garantizar un nivel de seguridad adecuado al riesgo en relación con el responsable del tratamiento por cuya cuenta actúa.

Estos registros de actividades del tratamiento que deberán llevar los responsables y encargados del tratamiento y, en su caso, sus representantes, han de constar por escrito, incluyendo el formato electrónico, debiéndolo poner en todo caso, a disposición de la autoridad de control que lo solicite.

No obstante, es importante señalar que no todas las organizaciones están obligadas a cumplir con esta obligación ya que el propio RGPD exime de ello a organizaciones que tengan menos de 250 empleados, salvo que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales.

  1. Seguridad del tratamiento


En relación con las medidas de seguridad que han de adoptar las organizaciones, actúen como responsables o como encargados del tratamiento, el RGPD contiene una regulación similar a la LOPD, salvando las distancias. ¿Por qué digo similar? Porque la LOPD, en su artículo 9, exige adoptar las medidas de índole técnica y organizativas necesarias mientras que el RGPD, en lugar de exigir la adopción de medidas de seguridad necesarias, habla de medidas de seguridad apropiadas.

Por su parte, la LOPD condiciona la adopción de esas medidas de seguridad al estado de la tecnología, la naturaleza de los datos almacenados y los riegos a que están expuestos mientras el RGPD hace referencia al estado de la técnica (como la LOPD), los costes de aplicación, y la naturaleza, el contexto y los fines del tratamiento, así como riesgos (como la LOPD) de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Es importante tener en cuenta que, tal y como señala la AEPD en la «Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento», «el esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática tras la fecha de aplicación del RGPD. En algunos casos los responsables podrán seguir aplicando las mismas medidas que establece el Reglamento de la LOPD si los resultados del análisis de riesgos previo concluyen que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado. En ocasiones será necesario completarlas con medidas adicionales o prescindir de alguna de las medidas».

Pero un aspecto muy importante es que, a diferencia de nuestra actual normativa, en la que el RLOPD establece las medidas de seguridad que, con la condición de mínimos exigibles, deberán adoptar el responsable y, en su caso, el encargado del tratamiento, estableciendo tres niveles de seguridad, el RGPD no contiene una descripción de las medidas de seguridad a adoptar, sino que deberán de ser las apropiadas. Únicamente hace una enumeración de algunas medidas de seguridad apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que entre otras, incluya la seudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; y un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Y, ¿qué es la seudonimización? ¿Es lo mismo seudonimización que la disociación de datos de la LOPD? Recordemos que la seudonimización es un concepto definido por el propio RGPD: «el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable».

Por eso no hay que confundir «seudonimización» con «disociación» pues son conceptos diferentes por cuanto que en la primera es posible la identificación de la persona utilizando información adicional mientras que los procedimientos de disociación la información que se obtiene no puede asociarse a una persona física identificada o identificable.

En este sentido el Grupo de Trabajo sobre Protección de Datos del artículo 29 emitió en abril de 2.014 el Dictamen 05/2014 sobre técnicas de anonimización. en el que precisamente señala expresamente que «uno de los errores consiste en pensar que los datos seudonimizados no constituyen información anonimizada, ya que permiten singularizar a los interesados y vincularlos entre conjuntos de datos diferentes. La probabilidad de que el seudoanonimato admita la identificabilidad es muy alta; por ello, entra dentro del ámbito de aplicación del régimen jurídico de la protección de datos. Esto reviste una especial relevancia en el contexto de las investigaciones científicas, estadísticas e históricas».

La seudonimización reduce la vinculabilidad de un conjunto de datos con la identidad del interesado; se trata, por tanto, de una medida de seguridad útil, pero no es un método de anonimización.

Hace referencia también el GT del artículo 29 a algunas técnicas de seudonimización, destacando de entre las más habituales el cifrado con clave secreta (donde el poseedor de la clave puede reidentificar al interesado con suma facilidad), la función hash, la función con clave almacenada, el cifrado determinista o función hash con clave con borrado de clave y la descomposición en tokens. Por lo tanto, como digo, no hay que confundir datos seudonimizados con datos disociados pues no es lo mismo.

Por otro lado, nótese también que el RGPD, a diferencia del RLOPD, no exige realizar una auditoría bienal de verificación de cumplimiento sino que dice que, entre las medidas de seguridad a adoptar, se deberán realizar un proceso de verificación, evaluación y valoración regulares de la eficacia de las misma para garantizar la seguridad del tratamiento. Es decir, no determina una periodicidad mínima pero sí la obligación de realizar comprobaciones a fin de analizar y comprobar si las medidas de seguridad que se adoptan son las apropiadas.

Pero, puede ser que las organizaciones públicas o privadas estén adoptando medidas de seguridad conforme a lo exigido por el RGPD pero se produzcan lo que llama una violación de la seguridad, en cuyo caso deberán notificarlo a la autoridad de control y, en algunos supuestos a los interesados afectados por esa violación.

Para poder notificar una violación de seguridad ha de contarse con toda la información relacionada con el evento acaecido

Por lo tanto, en las organizaciones habrá que establecer procedimientos para poder reaccionar en caso de producirse una violación de seguridad y notificarlo a la autoridad de control en los plazos exigidos por el RGPD, es decir, sin dilación indebida y, en caso de que sea posible, en el plazo máximo de 72 horas desde que el responsable del tratamiento haya tenido conocimiento de su acaecimiento. Ello, salvo que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. En caso de que no se realice la notificación en el plazo de 72 horas, cuando se haga deberá de justificarse los motivos del retraso.

Un aspecto importante a tener en cuenta, por obvio que parezca, es que para poder notificar una violación de seguridad ha de contarse con toda la información relacionada con el evento acaecido. Es decir, lo primero que ha de hacer una organización es tener la seguridad de que la violación se ha producido y que se conoce su naturaleza y alcance. Si no se dispone de la información suficiente no se podrá determinar adecuadamente si ha existido o no un riesgo para los derechos y libertades de los interesados o, en caso afirmativo, en qué medida ha afectado.

Esta obligación que el responsable del tratamiento deberá cumplirla en el plazo indicado, no es tal para el encargado del tratamiento pues lo deberá realizar sin dilación indebida, por lo que no cabrá ese plazo de 72 horas.

No sólo bastará con tener procedimientos para la notificación de la violación de seguridad de datos personales sino que ésta tiene que tener un contenido mínimo, que será el siguiente:

a) descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados,

b) el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información,

c) descripción de las posibles consecuencias de la violación de la seguridad de los datos personales,

d) descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Todo ello lo deberán documentar convenientemente de forma que la autoridad de control podrá verificar el cumplimiento de estas obligaciones.

No obstante, si la violación de seguridad implica un alto riesgo para los derechos y libertades de las personas físicas, el responsable lo deberá comunicar, además, a los interesados sin dilación indebida. Véase que tampoco aquí se habilita el plazo de 72 horas antes indicado para la notificación de la violación de seguridad a la autoridad de control.

En este caso, la notificación al interesado deberá contener, en un lenguaje claro y sencillo, la naturaleza de la violación de la seguridad y el contenido mencionado anteriormente en los apartados b), c) y d).

Pero, siendo esta la regla general, hay supuestos en los que no será necesario comunicar la violación de seguridad al interesado:

a) si el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado,

b) si el responsable del tratamiento ha tomado medidas posteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado, o si

c) supone un esfuerzo desproporcionado, en cuyo caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

A fin de facilitar la notificación de violaciones de seguridad, el Grupo de Trabajo del Artículo 29 desarrollará un formulario estandarizado a nivel europeo para que los responsables del tratamiento puedan realizar armonizadamente estas notificaciones de violaciones de seguridad siguiendo los criterios establecidos por el RGPD.

Rara vez, por no decir, nunca convendrá al responsable del tratamiento tener que notificar a los interesados una violación de seguridad que les haya afectado por cuanto saldrá a la luz pública y la organización perderá notoriedad, por ello es recomendable adoptar previamente medidas de seguridad apropiadas, entre ellas el cifrado o bien, si ello no fuera posible, elaborar procedimientos que establezcan los pasos a realizar para poder reaccionar con celeridad ante una violación de seguridad y adoptar rápidamente medidas de seguridad para evitar que vuelva a acontecer. De esta forma se evitará, como digo, tener que notificar la violación de seguridad a los interesados.

  1. Evaluación de impacto relativa a la protección de datos


Una de las obligaciones a cumplir que mayor complejidad puede tener y, a su vez, mayor tiempo de inversión requerirá en la organización es la evaluación de impacto. Esta evaluación deberá realizarla el responsable del tratamiento siempre que sea probable que un tipo de tratamiento implica un riesgo importante para los derechos y libertades de los ciudadanos.

Pero, ¿qué es realmente una Evaluación de Impacto? La Agencia Española de Protección de Datos lo define en la «Guía para una Evaluación e Impacto en la Protección de Datos Personales» que publicó la Agencia Española de Protección de Datos en su página web, como un «análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos».

No obstante, no todos los responsables del tratamiento deberán cumplir con esta obligación sino que el RGPD exige que, en particular, se realice la evaluación en determinados supuestos:

a) si realiza una evaluación sistemática y exhaustiva de aspectos formales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b) si realiza un tratamiento a gran escala de categorías especiales de datos o de los relativos a condenas e infracciones penales; o

c) observación sistemática a gran escala de una zona de acceso público (por ejemplo, videovigilancia).

En este caso, el RGPD utiliza lo que en Derecho se denomina, conceptos jurídicos indeterminados. ¿Qué significa «evaluación sistemática y exhaustiva»? ¿Y «a gran escala»?

Para comprender mejor estos conceptos, hay un documento muy interesante del Grupo de Trabajo del artículo 29 (en adelante GT29), donde encontramos una interpretación de lo que ha de entenderse por tales términos. El documento se denomina «Directrices sobre los delegados de la protección de datos» y fue adoptado el 13 de diciembre de 2016.

En este sentido, para determinar si un tratamiento de datos se lleva a cabo «a gran escala», el GT29 recomienda tener en cuenta varios factores: el número de interesados involucrados, bien como cifra concreta o como proporción de la población correspondiente; el volumen de datos o el abanico de diferentes conceptos de datos que se procesan; la duración, o permanencia, de la actividad de tratamiento de datos; y el alcance geográfico de la actividad de tratamiento.

En cuanto a «observación habitual y sistemática», el GT29 interpreta «regular» (habitual) alguno de los siguientes significados: continuado o que se produce a intervalos concretos durante un período concreto; recurrente o repetido en momentos prefijados; o que se produce de forma constante o periódica.

Por su parte, «sistemático» lo relaciona con alguno de los siguientes significados: que se produce de acuerdo con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un plan general de recogida de datos; o llevado a cabo como parte de una estrategia.

Por lo tanto, si en nuestra organización nos encontramos ante alguno de los supuestos mencionados, deberemos hacer una evaluación de impacto, contando para ello con el asesoramiento de nuestro Delegado de Protección de Datos (como más adelante se verá, todas las autoridades u organismos públicos, a excepción de los tribunales que actúen en ejercicio de su función judicial, han de designar un DPO).

En España no estamos muy familiarizados con las evaluaciones de impacto

Cuanto más completa sea la evaluación de impacto, tanto mejor será pues se habrá realizado una mejor identificación de las operaciones y fines de tratamientos, de los riesgos, de las medidas de seguridad, etc, pero ha de tener un contenido mínimo que exige el RGPD:

  • una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, incluso, cuando proceda, el interés legítimo perseguido por la organización;

  • una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento referidas a su finalidad;

  • una evaluación de los riesgos para los derechos y libertades de los interesados, y

  • las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.


En España no estamos muy familiarizados con las evaluaciones de impacto, a diferencia de lo que ocurre en otros países con mayor tradición en este ámbito como, por ejemplo, en países anglosajones.

Por lo tanto, si la organización desconoce cómo realizar una evaluación de impacto puede acudir a la «Guía para una Evaluación e Impacto en la Protección de Datos Personales» que publicó la AEPD, cuyo contenido voy a traer a colación a fin de conocer cada una de las fases que ha de comprender.

En cuanto a las fases que la AEPD recomienda que ha que tener una EIPD, son las siguientes:


  1. Análisis de necesidad de la evaluación. La AEPD aconseja realizar una EIPD, por ejemplo, cuando se recaben nuevas categorías de datos o se utilicen las existentes para nuevas finalidades; cuando se traten de forma significativa datos de menores, en especial si tienen menos de catorce años; si se realizan evaluaciones de perfiles; si se tratan grandes volúmenes de datos personales; si se utilizan tecnologías especialmente invasivas como la videovigilancia, drones, biometría etc; si se tratan datos de un número elevado de personas; si se realizan cesiones de datos o cuando se vayan a realizar transferencias internacionales de datos a países no pertenecientes al Espacio Económico Europeo y sobre los cuales no exista una Decisión de la Comisión Europea sobre su adecuación u ofrecimiento de garantías adecuadas, entre otras.



  2. Constitución del equipo de trabajo y definición de sus términos de referencia. Resulta de capital importancia conformar un buen equipo de trabajo que se encargue de realizar la EIPD y, sobre todo, que ese equipo cuente con el apoyo y compromiso de la Dirección de la organización pues, de lo contrario, difícilmente se podrá desarrollar y e implantar. Este equipo debe ser:



Aunque no hay un criterio fijo y determinado sobre la composición del equipo de trabajo, la AEPD considera que en el mismo no debería faltar un representante –con capacidad de decisión– del proyecto sometido a evaluación, el DPO (interno o asesor externo designado para ello), el responsable de seguridad y representantes del departamento de sistemas o tecnologías de la información y de los departamentos a los que más afecte el proyecto dentro de la organización.

En cuanto al alcance de la EIPD, debe incluir una definición clara del proyecto que se va a evaluar, el contenido y extensión de la evaluación, el tiempo previsto, la forma en que se presentarán las conclusiones y recomendaciones, los mecanismos de implantación y revisión de las medidas recomendadas y la estructura del informe final que se elaborará como resultado de la evaluación.

Asimismo, hay que definir el contenido general y los apartados básicos del documento que se presentará y se publicará (en todo o en parte) como resultado del proceso de evaluación. Este informe deberá estar redactado en un lenguaje claro y comprensible que huya de tecnicismos y que exprese claramente el objetivo del proyecto, los flujos de información, los riesgos identificados, las consultas realizadas y las soluciones propuestas o implantadas.


  1. Descripción del proyecto y de los flujos de datos personales. Es también muy importante el momento en el que se vaya a realizar la EIPD ya que si se realiza al inicio del proyecto seguramente no se disponga de toda la información necesaria ya que ésta será escasa por lo que afectará al resultado que se obtendrá.



El lenguaje que se emplee deberá ser claro, directo y comprensible e incluir material gráfico que explique, de forma visual y resumida, las principales características del proyecto y de los flujos de información.

Como contenido básico que la AEPD considera ha de abordarse y documentarse podemos mencionar: un resumen del proyecto con sus principales características, incluyendo una descripción de su necesidad u oportunidad para la organización; la identificación de aspectos del proyecto que resulten especialmente relevantes para la privacidad de las personas y sean susceptibles de generar más riesgos o de dificultar el cumplimiento normativo; una descripción detallada de los medios de tratamiento y de las tecnologías que se utilizarán y, en particular, de aquellas que introduzcan mayores riesgos para la privacidad, las categorías de datos personales que se van a tratar, finalidades para las que se usarán cada una de ellas, necesidad de su utilización y colectivos afectados, quién accederá a cada categoría de datos personales y los motivos y justificaciones para ello, y los flujos de información: recogida, circulación dentro de la organización, cesiones fuera de la misma y recepciones de datos personales procedentes de otras organizaciones. – Si resulta necesario, incluir información y diagramas adicionales para ilustrar aspectos como el control de acceso o la conservación o destrucción de los datos personales.

A este respecto, la Guía de la AEPD propone una tabla muy práctica para describir los flujos de la información en la organización, incluyendo los siguientes apartados: código de identificación, descripción, origen de la información, destinatarios de la información, categoría de datos, finalidad y causa legitimadora.

No obstante, a fin de completar los flujos de información, conviene utilizar otra relativa a la evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento de los datos respecto a su finalidad, contemplando los siguientes campos: código de identificación del tratamiento, descripción del tratamiento, necesidad, finalidad y proporcionalidad respecto a la finalidad.


  1. Identificación y evaluación de los riesgos para la protección de datos. Sin duda esta es una de las fases capitales de la EIPD pero lo primero que tenemos que sabes es qué debemos entender por riesgo. La RAE lo define como «contingencia o proximidad de un daño» mientras que la AEPD lo define en su Guía sobre EIDP como «la probabilidad de que una amenaza se materialice aprovechando una vulnerabilidad de los sistemas de información o, dicho de otra manera, la probabilidad de que ocurra un incidente que cause un impacto con un determinado daño en los sistemas de información».



Los riesgos pueden ser de dos tipos, el primero y principal es el que afecta a las personas cuyos datos son tratados y que se concreta en la posible violación de sus derechos, la pérdida de información necesaria o el daño causado por una utilización ilícita o fraudulenta de los mismos.

Por otro lado, están los riesgos que puede afrontar una organización por no haber implantado una correcta política de protección de datos o por haberlo hecho de forma descuidada errónea, sin poner en marcha mecanismos eficaces de planificación, implantación, verificación y corrección.

Algunos de los riesgos que se deberían comprobar a fin de adoptar las medidas necesarias para eliminarlos o, en caso de no ser posible, mitigarlos o minimizarlos afectan a cuestiones como la legitimación de los tratamientos y cesiones de datos personales, transferencias internacionales de datos, transparencia de los tratamientos, calidad de los datos, datos especialmente protegidos, deber de secreto, acceso a datos por cuenta de terceros y, en su caso, acceso a datos de terceros, derechos del interesado o cuestiones relativas a la seguridad, entre otras.


  1. Consulta con las partes afectadas. Las consultas a las partes afectadas son muy importantes para obtener la percepción que tienen personas u organizaciones que no están implicadas en el proyecto y que, por ello, lo pueden observar desde una perspectiva más amplia, poniendo de manifiesto riesgos que no son tan evidentes o pueden pasar desapercibidos para los que trabajan o están cercanos al mismo.



La consulta con las personas cuyos datos van a ser tratados resulta imprescindible pues, por una parte, posibilitará que la organización conozca las preocupaciones de los mismos y, por otra, dotará al proyecto de transparencia.


  1. Gestión de los riesgos identificados. En la teoría general de análisis de riesgos se contemplan diversas opciones dependiendo del impacto que su materialización tendría para la organización: evitarlo o eliminarlo, mitigarlo, transferirlo o aceptarlo. No obstante, en relación con todos aquellos riesgos que suponen un incumplimiento de la normativa que resulte de aplicación, en especial la relativa a la protección de datos de carácter personal, la única opción que existe es la de evitarlos o eliminarlos.



A efectos de este artículo, resulta imposible hacer una enumeración de las medidas que habrá que adoptar para evitar o eliminar los riesgos identificados en la EIPD, mitigarlos, transferirlos o aceptarlos pues depende de muchos factores, entre ellos, el tipo de empresa, sector, recursos disponibles, etc.

No obstante, siguiendo las recomendaciones de la AEPD en su «Guía para una EIPD sobre la EIPD», se puede utilizar una tabla para gestionar adecuadamente los riesgos que se han identificado durante el proyecto de EIPD, debiendo hacer constar campos como el código de identificación del riesgo, la descripción del mismo, nivel de impacto si el riesgo se materializa, probabilidad de que se materialice, medidas propuestas, impacto tras la implantación de las medidas propuestas y, por último, la probabilidad tras la implantación de las medidas propuestas.

En este sentido, los niveles de impacto en los derechos fundamentales de los afectados y en la organización si el riesgo se materializa se podrá calificar como muy alto, alto, medio o bajo, si bien también se podrá optar por una escala numérica, por ejemplo, entre 0 y 5 o entre 0 y 10.

El lenguaje del informe debe ser lo más claro y transparente posible, huyendo de tecnicismos

Por su parte, del mismo modo se podrá cuantificar la probabilidad de materialización del riesgo, por ejemplo, como muy alta (81% – 100%), alta (61% – 80%), media (41% – 60%), baja (21% – 40%) o muy baja (0% – 20%).


  1. Análisis de cumplimiento normativo. Se trata de comprobar la conformidad del proyecto con las distintas regulaciones que pueden contener elementos relativos a la privacidad y a la protección de datos que le sean de aplicación.



Ello incluye la legislación básica de protección de datos personales pero, dependiendo del sector de la organización, también pueden existir obligaciones adicionales derivadas por ejemplo, de la legislación sanitaria, de telecomunicaciones o de servicios de sociedad de la información, blanqueo de capitales, etc.


  1. Redacción, publicación e integración del Informe final. La AEPD en su guía recomienda hacer público el informe final, bien de forma completa o parcial si existen apartados que no pueden ser divulgados por restricciones legales, comerciales o de seguridad, por ejemplo, a través del sitio web de la organización. No obstante, tengo que decir que mi opinión es contraria a esta recomendación, ¿por qué ha de hacerse público? Su contenido hace referencia a cuestiones internas que afectan, nada menos, que a riesgos y políticas de tratamiento de datos. Lo importante es que los riesgos que se han identificado durante el proyecto sean mitigados o gestionados de forma que se eliminen o, al menos, se minimicen pero no hay motivo para hacer público el informe.



¿Qué apartados deberá tener el informe final? No pueden faltar elementos como la (1) Identificación clara del proyecto, la persona o personas responsables de la EIPD y sus datos de contacto, la fecha de realización del informe y número de versión del mismo; (2) Resumen del informe con los resultados esenciales; (3) Introducción y descripción general del proceso de evaluación para aquellos lectores que no estén familiarizados con esta técnica; (4) Resultado del análisis de necesidad de la evaluación y su justificación; (5) Descripción general del proyecto con el nivel de detalle necesario; (6) Descripción detallada de los flujos de datos personales; (7) Riesgos identificados; (8) Identificación de partes interesadas o a las que afecta el proyecto, tanto internas como externas a la organización, y resultados de las consultas llevadas a cabo con las mismas; (9) Análisis de cumplimiento normativo y, en particular, detalle de posibles deficiencias detectadas y propuestas para su solución; (10) Recomendaciones del equipo responsable de la EIPD y enumeración de las medidas adoptadas o que deben adoptarse en el diseño del proyecto para eliminar o evitar, mitigar, transferir o aceptar los riesgos para la privacidad incluidas las de carácter organizativo.

Además de estos puntos, cada organización podrá incluir otros apartados que considere necesarios o convenientes para una mejor información de la alta dirección y el resto de destinatarios del informe como, por ejemplo, un análisis coste-beneficios de las distintas medidas recomendadas en el informe o cualesquiera otros que se juzguen adecuados. Finalmente, el lenguaje del informe debe ser lo más claro y transparente posible, huyendo de tecnicismos tanto legales como tecnológicos, permitiendo su comprensión a todos los destinatarios del mismo o, al menos, si no es posible dejar de evitar ciertos términos jurídicos o tecnológicos, es conveniente incluir un glosario con las definiciones y no dar por supuesto que cualquier lector los conoce con precisión.


  1. Implantación de las recomendaciones. El informe final del equipo de la EIPD debe ser remitido a la alta dirección de la organización para que tome las decisiones necesarias en relación con las recomendaciones realizadas y las medidas sugeridas, tanto para que tome las decisiones necesarias para poner en marcha los cambios o mejoras que hubieran de ser introducidas en el proceso tomando como base las sugerencias realizadas en el informe, como para que se establezca la persona o unidad responsable de coordinar que se implanten las medidas recomendadas y, para que su labor resulte eficaz, investirla de la necesaria autoridad para realizar su trabajo, y comunicar a la dirección los avances y dificultades que encuentre en el mismo.



En caso de que existan medidas que hayan de ser adoptadas por un proveedor externo habrá que hacer las modificaciones contractuales que correspondan y prever los mecanismos de control y supervisión que se deben definir y adoptar para garantizar que estos terceros realmente implantan las medidas acordadas.


  1. Revisión de los resultados y realimentación de la evaluación de impacto. Es necesario examinar el proyecto una vez operativo para comprobar que los riesgos que se han identificado se han abordado correctamente y que no existen otros nuevos que en su momento pasaron desapercibidos o que han surgido posteriormente, lo que implicaría la necesidad de realizar una nueva repetición de las fases de la EIPD.



Por ello, una EIDP acompaña al sistema de información, producto o servicio durante todo su ciclo de vida. La modificación del mismo o la incorporación de nuevas funcionalidades deberán llevar consigo la necesidad de revisar la EIPD con un alcance mayor o menor en función de la profundidad y magnitud de los cambios introducidos.

  1. Delegado de protección de datos


Teniendo en cuenta el ámbito de esta publicación (administración y organismos públicos), como señalaba en el apartado anterior, todas las autoridades u organismos públicos, excepto los tribunales que actúen en ejercicio de su función judicial, han de designar un Delegado de Protección de Datos (DPO).

Precisamente en el caso de las autoridades u organismos públicos, el RGPD permite designar un único DPO para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

A) ¿DPO interno o externo?

El RGPD establece que el DPO podrá ser interno, es decir, trabajador de la organización, o bien ser externo, lo cual implica la existencia de un contrato de prestación de servicios. Será por tanto elección de cada responsable o encargado del tratamiento optar por una u otra opción, siendo ambas igualmente válidas y teniendo cada una de ellas sus aspectos a favor y en contra.

En uno y otro caso, el DPO tiene que tener que estar dotado de plena independencia, sin estar sometido a instrucciones del responsable o del encargado del tratamiento en lo que al desempeño de sus funciones se refiere, sin perjuicio de que tendrá que rendir cuentas única y directamente al más alto nivel jerárquico de la organización.

Un aspecto que ha suscitado muchas dudas y debates es si ha de ser una persona física o, al poder ser externo mediante un contrato de prestación de servicios, puede serlo una persona jurídica como, por ejemplo, un despacho de abogados. Es evidente que podrá ser una persona jurídica pero, en aras a la transparencia y a facilitar el contacto con los interesados y con la autoridad de control, es recomendable que, aún en este segundo supuesto, se designe a una persona física que se encargue liderar las funciones de DPO en nombre de la persona jurídica que ha sido designada para cumplir con las atribuidas por el RGPD.

Por lo tanto, es una decisión que corresponde tomar a cada responsable o encargado del tratamiento, sin que exista un criterio fijo o definido.

B) ¿Qué perfil tiene que tener el DPO?

Respecto al perfil que ha de tener el DPO, el RGPD dice que para su designación habrá que atender a las cualidades profesionales de la persona que se designe y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones que ha de desempeñar.

¿Esto quiere decir que ha de ser únicamente un jurista? Evidentemente no, pues a nadie escapa que hay profesionales con un perfil técnico (ingenieros informáticos, en telecomunicaciones, etc) que conocen perfectamente la normativa y la práctica relativa a la protección de datos de carácter personal.

No hay obligación de que los datos de contacto que se publiquen sean el nombre y apellidos del DPO

En este sentido, el GT29 considera que «es de utilidad el conocimiento que el responsable del tratamiento tenga del sector empresarial y la organización. El DPO debe tener suficiente comprensión de las operaciones de tratamiento llevadas a cabo y los sistemas de información, así como las necesidades de seguridad y protección de los datos del responsable del tratamiento. En el caso de una autoridad u organismo públicos, el DPO debe tener también un conocimiento sólido de las normas y procedimientos administrativos de la organización».

C) ¿Qué funciones tiene que desempeñar el DPO?

Las funciones que deberá desempeñar un DPO, como mínimo, serán las siguientes:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que le incumben en materia de protección de datos de carácter personal;

b) supervisar el cumplimiento del RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación;

d) cooperar con la autoridad de control;

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa, y realizar consultas, en su caso, sobre cualquier otro asunto.

Pero no sólo eso, sino que la organización debe garantizar que el DPO participe en todas las cuestiones que hagan referencia a la protección de datos de carácter personal por lo que en todo lo que afecte a esta materia habrá que consultar y contar con el DPO, debiéndole respaldar en el ejercicio de sus funciones, facilitándole los recursos necesarios (económicos, formativos, instrumentales, temporales, etc) para que pueda desarrollar correctamente sus funciones y tenga acceso a los datos personales y a las operaciones de tratamiento.

Si el DPO es interno, podrá desarrollar otras funciones en la organización pero nunca podrán dar lugar a conflicto de intereses en relación con las que desempeñe como DPO.

D) ¿Qué datos de contacto hay que publicar?

El RGPD exige que los interesados puedan contactar directamente con el DPO de la organización para todo aquello que haga referencia a tratamiento de sus datos personales y al ejercicio de sus derechos. Para ello, como ya veíamos en el apartado del deber de información, cuando se recaben los datos personales de los interesados hay que facilitar determinada información, entre la que están los datos de contacto del DPO.

¿Qué datos de contacto habrán de publicarse? No hay obligación de que los datos de contacto que se publiquen sean el nombre y apellidos del DPO si se ha designado como tal a una persona jurídica pero, al objeto de facilitar el contacto entre el DPO y los interesados o entre el DPO y la autoridad de control, se recomienda que efectivamente se faciliten los datos de contacto de una persona física.

  1. Transferencias internacionales de datos


En este sentido, la regulación que contiene el RGPD no supone una gran novedad con respecto a la de la LOPD y su Reglamento de desarrollo. Lo primero que habrá que tener en cuenta es si efectivamente se realizan transferencias de datos personales a un país u organización internacional, en cuyo caso es imprescindible conocer el país de destino.

Puede parecer obvio conocer a qué país se transfieren datos en caso de hacerlo pero esto en la práctica no siempre sucede ya que en multitud de ocasiones se contratan servicios de cloud sin conocer precisamente en qué país van a estar alojados los datos o si, en caso de conocerlo, si replican o no en servidores ubicados en otros países.

Una vez realizado este análisis y conocido el país donde se transfieren los datos, si la Comisión Europea ha decidido, a través de la correspondiente Decisión, que ese país ofrece un nivel de protección adecuado, la organización no deberá solicitar ni obtener ninguna autorización específica.

En este sentido, la Comisión Europea publicará en el Diario Oficial de la Unión Europea y en su página web una lista de terceros países, territorios y sectores específicos en un tercer país, y organizaciones internacionales respecto de los cuales haya decidido que se garantiza, o ya no, un nivel de protección adecuado. Por lo tanto, si una organización tiene dudas respecto a si el país al que transfiere datos ofrece o no un nivel adecuado, sólo necesitará consultar este Diario o, más fácil aún, la propia web de la Agencia Española de Protección de Datos, donde hay una sección específica («Transferencias internacionales», dentro de la sección «Canal del responsable de ficheros»).

Pero, si la Comisión Europea no ha adoptado ninguna Decisión respecto al país al que la organización transfiere los datos personales, ésta solamente podrá realizar dicha transferencia si el tercer país o la organización internacional de destino hubieran ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

Estas garantías adecuadas se podrán aportar, sin necesidad de autorización expresa de una autoridad de control, mediante diferentes vías como pueden ser instrumentos jurídicamente vinculantes y exigibles entre las autoridades u organismos públicos, normas corporativas vinculantes, cláusulas tipo de protección de datos adoptadas por la Comisión o adoptadas por la autoridad de control y aprobadas por aquélla, códigos de conducta o mecanismos de certificación.

En todo caso, es importante tener en cuenta que si antes de la aprobación, entrada en vigor y aplicatoriedad del RGPD la organización hubiera obtenido una autorización de la autoridad de control competente, seguirá siendo plenamente válida mientras no haya sido modificada, sustituida o derogada por la citada autoridad de control.

Las normas corporativas vinculantes a las que he hecho referencia tampoco son un mecanismo novedoso pues ya se venían utilizando por grupos multinacionales de empresas. El RGPD las define como «las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta».

Teniendo en cuenta el ámbito público al que se destina este trabajo donde, por definición y salvo excepciones, no se desarrolla una actividad económica, será difícil que este supuesto se produzca en la práctica pero, si se diera esta circunstancia conviene conocer qué requisitos han de cumplir para que la autoridad de control competente las apruebe: deberán ser jurídicamente vinculantes, aplicarse y ser cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados; deberán conferir expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales; y deberán contener los elementos mínimos exigidos, que serán los enumerados en el artículo 47.2 del RGPD.

No obstante, en caso de que la Comisión Europea no haya adoptado una Decisión sobre el nivel adecuado de protección del país al que se pretendan transferir los datos personales o si no existen garantías adecuadas, para que la transferencia pueda realizarse deberá concurrir alguna de las siguientes condiciones:

a) el interesado haya prestado su consentimiento explícito después de haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas; no obstante, esto no resultará de aplicación a actividades realizadas por autoridades públicas en el ejercicio de sus poderes públicos.

b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado; tampoco resultará de aplicación a actividades realizadas por autoridades públicas en el ejercicio de sus poderes públicos.

c) la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica; tampoco resultará de aplicación a actividades realizadas por autoridades públicas en el ejercicio de sus poderes públicos.

d) la transferencia sea necesaria por razones importantes de interés público;

e) la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;

f) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;

g) la transferencia se realice desde un registro público que tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *