QUIÉNES SOMOS
ASDE-Protección de Datos es una división del grupo General ASDE, S.A.
La división de Protección de Datos está compuesta por abogados, técnicos informáticos y Delegados de Protección de Datos certificados por la Agencia Española de Protección de Datos, que le asesorarán en todo momento de los aspectos relacionados con la conservación y el tratamiento de los datos personales, así como de los tramites administrativos que deberá tener en cuenta conforme a la LOPDGDD, al Reglamento Europeo y al Esquema Nacional de Seguridad,
Qué cambia y cómo afecta a mi ayuntamiento el nuevo reglamento
El Reglamento Europeo de Protección de datos surge como un intento de armonizar y homogeneizar la normativa en protección de datos, y garantizar la libre circulación de éstos datos entre los estados miembros.
Se elimina la inscripción de ficheros en la agencia de protección de datos así como la elaboración del documento de seguridad, en su lugar, se establece la responsabilidad proactiva que establece que cada responsable sea conocedor de los tratamientos de datos que realiza y en función de los riegos que entrañen para los derechos y libertades de las personas establecer unas medidas de seguridad adecuadas.
Cómo cumplir con el nuevo Reglamento
Contamos con un DPD certificado por la Agencia Española de Calidad que le llevará de la mano en todo este proceso de Adaptación.
Hemos desarrollado un proceder, fácil, sencillo, sin esfuerzo y con todas las garantías posibles ara el cumplimiento del Nuevo Reglamento.
Contará en todo el proceso con Asistencia Telefónica y de Acceso remoto incluida, para solventarles las dudas que le puedan surgir durante la adecuación.
Al finalizar la Adecuación les haremos entrega de un certificado/Diploma de haber sido formado y capaz de llevar a cabo la adaptación de la nueva ley de protección de datos.
Qué tener en cuenta…
Las entidades locales a la hora de aplicar el Reglamento General de Protección de Datos (RGPD) deberán realizar sus labores propias teniendo presente:
1.- Necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que llevan a cabo
-
el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento
-
el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento
-
el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por un tercero al que el responsable comunica los datos
La obligación de identificar y explicitar finalidades y bases legales de los tratamientos viene impuesta por el hecho de que las finalidades o la base jurídica de los tratamientos son informaciones que deben proporcionarse a los interesados y recogerse en el registro de actividades de tratamiento.
Esta identificación tiene exigencias adicionales en los casos en que se traten datos de los considerados como objeto de especial protección, que incluyen, entre otros, los datos sobre salud, ideología, religión o pertenencia étnica. El tratamiento de estos datos está, con carácter general, prohibido, y sólo podrá llevarse a cabo si es aplicable alguna de las excepciones previstas en el art. 9.2 del RGPD. Entre ellas que pueden destacarse, a los efectos de este Documento, el que el tratamiento sea necesario para satisfacer un interés público esencial, el que sea necesario para fines de prevención, asistencia sanitaria o salud pública, o que sea necesario para la gestión de los servicios de asistencia social, en todos los casos en los términos en que establezca la legislación española o de la Unión Europea.
2. En el caso de la actividad de las Administraciones Locales será muy habitual que la base jurídica de los tratamientos sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos, lo que justifica que el tratamiento debe estar establecido en una norma.
3. En los casos en que la base jurídica de los tratamientos sea el consentimiento, éste deberá tener las características previstas por el RGPD, que exige que sea informado, libre, específico y otorgado por los interesados mediante una manifestación que muestre su voluntad de consentir o mediante una clara acción afirmativa.
Los consentimientos “tácitos” inspirados en la inacción de los interesados NO son validos.
4. Necesidad de adecuar la información que se ofrece a los interesados cuando se recogen sus datos a las exigencias del Reglamento General Protección de Datos.
Debiendo ser la información “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”
5. Necesidad de establecer mecanismos visibles, accesibles y sencillos, incluidos los medios electrónicos, para el ejercicio de derechos.
Cuando se trate del ejercicio por medios electrónicos, deben incorporar procedimientos para verificar la identidad de los interesados que los utilizan.
El RGPD introduce varios nuevos derechos, entre ellos, el de limitación del tratamiento. Este derecho supone que debe suspenderse el tratamiento de datos cuando los interesados soliciten la rectificación o supresión de sus datos personales hasta que el responsable decida sobre la solicitud.
Los mecanismos para el ejercicio de derechos deben incluir los nuevos derechos.
6. Necesidad de establecer procedimientos que permitan responder a los ejercicios de derechos en los plazos previstos por el RGPD.
7. Necesidad de valorar si los encargados con los que se hayan contratado o se vayan a contratar operaciones de tratamiento ofrecen garantías de cumplimiento del RGPD.
El RGPD establece una obligación de diligencia debida en la elección de los encargados de tratamiento que deben aplicar todos los responsables, contratando únicamente encargados que estén en condiciones cumplir con el RGPD.
8.- Necesidad de adecuar los contratos de encargo a las previsiones del RGPD.
El RGPD establece que la relación entre responsables y encargados deberá formalizarse mediante un contrato o un acto jurídico que vincule al encargado.
El RGPD exige expresamente que tanto los contratos como los actos jurídicos deberán tener un contenido mínimo que excede del actualmente previsto por la normativa española de protección de datos.
9. Necesidad de establecer un Registro de Actividades de Tratamiento.
Obliga a inventariar todos los tratamientos de datos que esté llevando a cabo cada entidad local. El RGPD establece un contenido mínimo de ese registro, tanto para responsables como para encargados de tratamiento, por lo que esa tarea de inventario debe incluir la identificación de todos los elementos que deben incorporarse al registro en relación con cada tratamiento.
10. Necesidad de hacer un análisis de riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen.
El RGPD hace depender la aplicación de todas las medidas de cumplimiento que prevé para responsables y encargados del nivel y tipo de riesgo que cada tratamiento implique para los derechos y libertades de los afectados, principalmente en lo referido a la seguridad de la información.
11.- Necesidad de revisar las medidas de seguridad que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo de los mismos.
12. Necesidad de establecer mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos y reaccionar ante ellas, en particular para evaluar el riesgo que puedan suponer para los derechos y libertades de los afectados y para notificar esas violaciones de seguridad a las autoridades de protección de datos y, si fuera necesario, a los interesados.
13. Necesidad de valorar si los tratamientos que se realizan requieren una Evaluación de Impacto sobre la Protección de Datos porque supongan un alto riesgo para los derechos y libertades de los interesados y de disponer de una metodología para la llevarla a cabo.
14. Necesidad de designar un Delegado de Protección de Datos (DPD).
El RGPD prevé que todas las “autoridades u organismos públicos” nombrarán un DPD. También establece cuáles habrán de ser los criterios para su designación (cualidades profesionales y conocimientos en derecho y práctica de la protección de datos), su posición en la organización y sus funciones. Prevé, igualmente, que en el caso de las autoridades u organismos públicos puedan nombrarse un único DPD para varios de ellos, teniendo en cuenta su tamaño y estructura organizativa.
En el ámbito de las Administraciones Locales las dimensiones de las organizaciones harán inviable en muchos casos que una entidad local cuente con un DPD integrado en su plantilla, ya sea a tiempo completo o a tiempo parcial. Por ello, será preciso encontrar soluciones que permitan que los entes locales cumplan las obligaciones del RGPD en este punto de una forma que se adapte a sus especiales características. Entre las posibles opciones se encuentra la contratación de la actividad de DPD por parte de la Administración Local a profesionales externos.
En todo caso, debe asegurarse que los DPD designados reúnen los requisitos de cualificación y competencia establecidos por el RGPD y que su actividad en relación con las entidades en las que desempeñen sus funciones debe también seguir los criterios marcados por el RGPD.
La designación del DPD debe comunicarse a las autoridades de protección de datos. Asimismo, deben establecerse mecanismos para que los interesados puedan contactar con el DPD.
15. Necesidad de adaptar los instrumentos de transferencia internacional de datos personales a las previsiones del RGPD.
Descargas:
Guía de Protección de Datos para la Administración Pública
Novedades del RGLOPD
Infografía Adaptación RGLOPD
Cuánto Cuesta
27 euros/mes (IVA incluido). Ayuntamientos hasta 7.000 habitantes
47 euros /mes (IVA incluido). Ayuntamientos entre 7.000 y 20.000 habitantes
Ayuntamientos de más de 20.000 habitantes (solicitar importes)
El pago de los servicios contratados se efectúa de forma trimestral