LOS 10 ASPECTOS BÁSICOS DE PROTECCIÓN DE DATOS

This entry is also available in:
  1. Tipos de datos personales: Datos básicos u ordinarios (Nombre, Apellidos, Teléfono, Domicilio, etc.) y datos especiales o sensibles (salud, religión, orientación sexual, ideología, afiliación a sindicatos y similares). 
  1. Consentimiento inequívoco y bases de legitimación: La persona a la que pertenezcan los datos a tratar, ha de dar su consentimiento de forma previa, expresa e informada y se ha de poder evidenciar (por escrito en un contrato o autorización, mediante grabación, mediante checkbox, etc.). Cuando no sea posible evidenciar mediante consentimiento o contrato el tratamiento de datos, será posible legitimarlo en otras bases, pero solo si se trata de un tratamiento por intereses vitales (ejemplo, llamada a emergencias), en interés público (ejemplo, registro civil), por obligación legal de la entidad que lo va a tratar (ejemplo, identificación de personas) o por interés legítimo (ejemplo, cámaras de seguridad).
  1. Derechos de las personas como titulares de datos personales
    • Derecho de acceso para conocer de qué datos disponen y su uso.
    • Derecho de rectificación, si la información es inexacta o incompleta.
    • Derecho de oposición a que se traten sus datos.
    • Derecho de supresión o derecho al olvido: eliminación de sus datos.
    • Derecho a la limitación del tratamiento de los datos.
    • Derecho a la portabilidad: capacidad para solicitar que sus datos se traspasen directamente de una organización a otra.
    • Derecho a no ser objeto de decisiones individuales automatizadas.
  1. Mantener informado al interesado: La entidad como Responsable del tratamiento y propietaria de la base de datos (ejemplo un operador de telefonía) y sus proveedores, como Encargados del tratamiento, deberán mantener informado al titular de los datos de una forma concisa, transparente, de fácil acceso y con un lenguaje claro y sencillo. 
  1. Responsable del tratamiento y Delegado de Protección de Datos: En toda actividad que se gestionen datos personales tiene que haber, como mínimo un responsable (persona física) de la protección de los mismos que garantice el cumplimiento de lo dispuesto en el RGPD. Que puede ser el Responsable de Seguridad (CISO). Si la actividad de la entidad depende principalmente del tratamiento de datos personales, será necesario el nombramiento de un DPO que asuma dichas funciones y se coordine en la parte de seguridad con el CISO.
  1. Principio de responsabilidad proactiva: Implica que toda persona o entidad que trate datos de un tercero deba ser consciente de qué datos trata, para qué, cómo y durante cuánto tiempo. Para ello deberá realizar un análisis de riesgos sobre los distintos tratamientos que va a llevar a cabo y en función de los resultados establecer medidas de seguridad que permitan garantizar la privacidad y cumplir con la normativa.
  1. Registro de actividades de tratamiento (RAT): Para evidenciar el control sobre esta responsabilidad proactiva las entidades públicas y privadas están obligadas a disponer de un registro interno de las actividades del tratamiento de datos. Excepto en las empresas privadas que tengan menos de 250 trabajadores y no traten datos sensibles o que entrañen un riesgo para los afectados, en cuyo caso será recomendable, pero no obligatorio.
  1. Protección de datos concebida desde el diseño y por defecto: Es necesario tomar medidas desde el inicio del diseño del tratamiento de datos para cumplir con la normativa y, por defecto, solo se debe gestionar la información personal estrictamente necesaria. Esto no se debe limitar únicamente al desarrollo seguro a nivel técnico, sino que se deberá aplicar a todo proyecto que implique un nuevo tratamiento de datos (ejemplo, sustituir el control de accesos con tarjeta, por huella dactilar, proponerse prestar un nuevo servicio o producto, abrir sede en otro país, etc.).
  1. Evaluación de impacto: Es una evaluación de riesgos específica y complementaria a lo anterior. En aquellos tratamientos de datos que conlleven un alto riesgo, por ejemplo, la manipulación de información sensible a gran escala (ejemplo, datos de salud) o un cambio importante de tecnología en el tratamiento (ejemplo, automatización de servicios), se tendrá que realizar una evaluación de impacto de forma previa al inicio. 
  1. Notificación de una vulneración: Se deberá denunciar a la Policía y notificar a la Agencia Española de Protección de Datos, o a las autoridades de control del país correspondiente, en un plazo de 72 horas, cuando se produzca una violación de seguridad (destrucción, pérdida o alteración accidental o ilícita) de datos personales. En el caso de que esta violación sea de alto riesgo, se deberá informar también a los titulares o a los medios de comunicación cuando de forma individual no sea posible.