CHECK LIST DPO ACTUALIZADO
BLOQUE I. Principios relativos al tratamiento y legitimación
Será necesario que se responda con un SI o un NO dependiendo del caso. Las presentes preguntas van orientadas al modo en que se recogen los datos de los usuarios y cómo se tratan los mismos.
1. Se recaban únicamente los datos necesarios para la finalidad concreta *
2. Los datos personales se mantienen exactos y, en caso contrario, se actualizan *
3. Se conservan durante más tiempo del necesario *
4. Se suprimen los datos cuando no son necesario para los fines para los que fueron recogidos, o si se ha retirado el consentimiento *
5. Se han implantado medidas de seguridad para proteger la integridad y confidencialidad de los datos *
6. Todos los trabajadores tienen firmado el correspondiente acuerdo de confidencialidad *
BLOQUE II. Condiciones para el consentimiento
La normativa vigente de protección de datos establece que, para tratar determinados datos con alguna finalidad concreta, es necesario el consentimiento de la persona interesada, por lo que, en este apartado, las preguntas van orientadas al modo de obtención del mismo.
Los menores de 14 años no pueden otorgar el consentimiento, deberá ser el titular de la patria potestad el que lo conceda, de ahí la última pregunta. Responder únicamente si se tratan datos de menores de esa edad.
1. Se puede demostrar que el afectado dio su consentimiento para el tratamiento concreto *
2. Se solicita el consentimiento de forma clara, sencilla e independiente de los demás asuntos *
3. Se informa con carácter previo a recabarlo *
4. Se informa del derecho a retirarlo en cualquier momento *
5. Se envía publicidad únicamente con el consentimiento del interesado (responder únicamente en caso de envío de publicidad)
6. Se recaba el consentimiento de los menores de 14 años al titular de la patria potestad o tutor (responder únicamente en caso de tratar datos de menores de esa edad)
BLOQUE III. Tratamientos que no requieren identificación
En determinadas ocasiones, es necesario llevar a cabo un tratamiento de datos en los que sea necesario que no se identifique al interesado (por ejemplo, una organización que lleva a cabo investigaciones en datos de salud). En este sentido, será necesario proceder a la seudonimización o anonimización de datos. Responder únicamente si nos encontramos dentro de este supuesto.
1. Existe un procedimiento adecuado de seudonimización y anonimización
2. Se obtiene y/o trata información adicional con vistas a identificar al interesado cuando los fines no requieren esa identificación
3. Se puede demostrar que los datos anonimizados no permiten identificar a los interesados
4. Se cancelan los datos cuando se llega a identificar al interesado
BLOQUE IV. Información facilitada al interesado
Cuando se recaban datos de carácter personal el responsable del tratamiento debe facilitar al interesado determinada información, en aras a la transparencia en el tratamiento de sus datos personales
1. La información se facilita de forma concisa, transparente, en lenguaje claro y sencillo *
2. Se facilita por escrito a través de medios adecuados, ya sea en formato papel o electrónico *
3. Se facilita verbalmente, previa acreditación de identidad *
4. ¿Sabe cuál es la información que debe facilitarse a los interesados? *
5. Se ha asesorado con su Delegado de Protección de Datos para verificar que la información facilitada es la correcta *
6. Está actualizada la política de protección de datos *
7. Tiene la cláusula de protección de datos en los formularios web (responder únicamente si tiene página web)
8. Se facilita a los interesados los datos de contacto del Delegado de Protección de Datos *
BLOQUE V. Ejercicio de derechos
1. ¿Le han ejercitado, en el último año, alguno de los derechos especificados? *
2. Si se ha respondido a la anterior pregunta afirmativamente, indique los derechos que han sido solicitados por el interesado
3. ¿Ha puesto en conocimiento de su Delegado de Protección de Datos dicha solicitud?
BLOQUE VI. Encargados de tratamiento
El encargado de
tratamiento es aquella persona física o jurídica, autoridad pública, servicio u
otro organismo, que presta un servicio al responsable y que conlleva el
tratamiento de datos personales por cuenta de éste.
1. Se elige al encargado que ofrece mayores garantías en atención a los requisitos establecidos en el RGPD, de forma que se garantice la protección de los derechos del interesado *
2. La relación entre el responsable del tratamiento y el encargado, se rige por un contrato, escrito, de encargado de tratamiento *
3. Se remite el contrato, con carácter previo a su firma, al Delegado de Protección de Datos para su revisión *
BLOQUE VII. Registro de las actividades de tratamiento y medidas técnicas
De acuerdo con la normativa de protección de datos, cada responsable deberá llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.
Además, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, el responsable deberá aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado de los datos.
1. Existe un registro de las actividades de tratamiento *
2. Se aplican las medidas técnicas y organizativas apropiadas para cada tratamiento *
3. Se han incluido medidas para asegurar la confidencialidad, integridad disponibilidad de los sistemas y servicios de tratamiento *
4. Se han tomado medidas para garantizar que las personas autorizadas a acceder a datos solo los traten siguiente instrucciones *
BLOQUE VIII. Brechas de seguridad
Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasiona destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
1. Se ha establecido un procedimiento para identificar y gestionar las brechas de seguridad *
2. En caso de brecha, se informa al Delegado de Protección de datos a la mayor brevedad posible
3. Se documenta internamente cualquier indicente de seguridad de los datos
4. Se han implantado medidas para asegurar la capacidad de restaurar el acceso a los datos personales de forma rápida en caso de incidente *
BLOQUE IX. Evaluación de impacto
Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento.
1. Se ha realizado una Evaluación de impacto antes del tratamiento correspondiente cuando así es exigido *
2. En caso de tener que realizarse una Evalución de impacto, se recaba el asesoramiento del Delegado de Protección de datos
BLOQUE X. Transferencias internacionales
Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).
Los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD.