Checklist DPO
BLOQUE I. PRINCIPIOS RELATIVOS AL TRATAMIENTO Y LEGITIMACIÓN
Las presentes preguntas van orientadas al modo en que se recogen los datos de los usuarios, así como la finalidad de los mismos (es decir, para qué se tratan los datos). Las tres últimas preguntas van enfocadas a la seguridad de los datos y el acceso a los mismos por personas no autorizadas.
1. No se tratan los datos con fines distintos que para los recogidos *
2. Se recaban únicamente los datos necesarios para la finalidad concreta *
3. Los datos personales se mantienen exactos y en caso contrario se actualizan *
4. Se conservan durante más tiempo del necesario *
5. Se tratan con fines estadísticos, históricos, de archivo en interés público o de investigación científica *
6. Se han implantado medidas de seguridad para proteger la integridad y confidencialidad de los datos *
7. Se han implantado medidas de seguridad contra el tratamiento no autorizado o ilícito de los datos *
8. Se han implantado medidas de seguridad para evitar su pérdida, destrucción o daño accidental *
BLOQUE II. TRATAMIENTO BASADO EN EL CONSENTIMIENTO DEL INTERESADO
La normativa vigente de protección de datos establece las situaciones en las que es necesario el consentimiento de la persona interesada por lo que, en este apartado, las preguntas van orientadas al modo de obtención del mismo, así como la posibilidad de retirarlo.
Los menores de 14 años no pueden otorgar el consentimiento, deberá ser el titular de la patria potestad el que lo conceda, de ahí las dos últimas preguntas. Responder únicamente si se tratan datos de menores de esa edad.
1. Se puede demostrar que el afectado dio su consentimiento para el tratamiento *
2. Se solicita el consentimiento de forma clara, sencilla e independiente de los demás asuntos *
3. Se solicita el consentimiento de forma inteligible y de fácil acceso *
4. Se informa con carácter previo a recabar el consentimiento *
5. Se ofrecen medios de fácil acceso para retirar el consentimiento en cualquier momento *
6. Se suprimen los datos cuando no son necesarios en relación con los fines para los que fueron recogidos *
7. Se suprimen los datos cuando se retira el consentimiento en que se basa el tratamiento *
8. Se recaba el consentimiento de menores de 14 años al titular de la patria potestad o tutela sobre el niño
9. En caso afirmativo a la anterior pregunta, se verifica que el consentimiento fue dado por el titular de la patria potestad o tutela sobre el niño
BLOQUE III. TRATAMIENTOS QUE NO REQUIEREN IDENTIFICACIÓN
En determinadas ocasiones, es necesario llevar a cabo un tratamiento de datos en los que sea necesario que no se identifique al interesado (por ejemplo, una organización que lleva a cabo investigaciones en datos de salud). En este sentido, será necesario proceder a la seudonimización o anonimización de datos. Responder únicamente si nos encontramos dentro de este supuesto.
1. Se obtiene y/o trata información adicional con vistas a identificar al interesado cuando los fines no requieren esa identificación.
2. Existe un procedimiento adecuado de seudonimización
3. Se puede demostrar que los datos anonimizados no permiten identificar a los interesados
4. Se informa al interesado y se recaba su consentimiento cuando se llega a su identificación
5. Se cancelan los datos cuando se llega a identificar al interesado
BLOQUE IV. INFORMACIÓN FACILITADA AL INTERESADO
Cuando se recaban datos de carácter personal el responsable del tratamiento tiene el deber de facilitar al interesado determinada información al respecto en aras de la transparencia en el tratamiento de sus datos personales. Las preguntas van orientadas a esta obligación concreta.
1. Se toman medidas para facilitar al interesado toda la información relativa al tratamiento *
2. La información se facilita de forma concisa, transparente e inteligible, en lenguaje claro y sencillo *
3. Se facilita por escrito o por otros medios, incluidos los electrónicos *
4. Se facilita verbalmente, previa acreditación de su identidad *
5. Se facilitan la identidad y los datos de contacto del responsable y, en su caso, del representante cuando se solicitan los datos *
6. Se facilitan los datos de contacto del delegado de protección de datos *
7. Se facilitan los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento *
8. Se facilita información sobre la legitimación *
9. Se informa sobre las cesiones *
10. Se informa del plazo de conservación de los datos personales o los criterios utilizados para determinarlo *
11. Se informa sobre la existencia del derecho a solicitar el acceso, rectificación o supresión, la limitación del tratamiento, a oponerse y el derecho a la portabilidad *
12. Si el tratamiento se basa en el consentimiento se informa de la existencia del derecho a retirarlo en cualquier momento *
13. Antes de realizar tratamientos de datos personales para una finalidad distinta de la que fueron recogidos, se informa al interesado *
BLOQUE V. EJERCICIO DE DERECHOS
El interesado tiene la posibilidad de ejercer determinados derechos ante el responsable que trata sus datos.
Éstos son los que a continuación se indican: derecho de acceso a los datos tiene el responsable del interesado sobre su persona; rectificación de los datos inexactos; oposición a que el responsable realice un determinado tratamiento de éstos; supresión de los datos que le conciernen; limitación del tratamiento de los mismos; y portabilidad (recibir los datos que ostenta el responsable para poder transmitírselos a otro responsable).
El plazo para contestar al referido ejercicio de los derechos, es de un mes, pudiendo prorrogarse dos meses más en caso de que existan numerosas solicitudes o las mismas sean complejas.
1. ¿Le han ejercitado, en el último año, alguno de los derechos especificados? *
2. Si ha respondido a la pregunta anterior afirmativamente, indique los derechos que le han solicitado
3. Se responde al interesado en el plazo de un mes desde la recepción de la solicitud
4. Se responde, ante el ejercicio de derechos complejos o ante numerosas solicitudes, en el plazo máximo de tres meses desde la recepción de la solicitud
5. Se informa por medios electrónicos cuando se recibe la solicitud por esos mismos medios, salvo que solicite que se realice por otro medio
6. De ser el caso, se informa de las razones por las que no se puede llevar a efecto el ejercicio del derecho solicitado y de la posibilidad de presentar una reclamación la Agencia Española de Protección de Datos u otra autoridad de control
7. Se facilita grautitamente el ejercicio de derechos *
8. Se solicita información para acreditar la identidad de la persona física que ejerce sus derechos
BLOQUE VI. RESPONSABLE DEL TRATAMIENTO, CORRESPONSABLE Y ENCARGADOS
Existe corresponsabilidad cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Las preguntas relativas a la corresponsabilidad únicamente deberán ser contestadas para el caso de existiera la misma.
En cuanto al encargado de tratamiento es aquella persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable y que conlleva el tratamiento de datos personales por cuenta de éste.
1. Se aplican medidas técnicas y organizativas apropiadas *
2. Las medidas se revisan y actualizan cuando es necesario *
3. Está actualizada la política de protección de datos
4. Tiene la cláusula de protección de datos en los formularios web
5. Se envía publicidad siempre con el consentimiento del interesado (responder únicamente si envía publicidad)
6. Se han determinado de modo transparente, y de mutuo acuerdo, las responsabilidades respectivas de los corresponsables en el cumplimiento de las obligaciones impuestas por el RGPD
7. El acuerdo de corresponsabilidad fija las respectivas obligaciones de suministro de información al interesado
8. El acuerdo entre corresponsables del tratamiento refleja las funciones y relaciones respectivas de ambos en relación con los interesados
9. Los aspectos esenciales del acuerdo están a disposición del interesado
10. Se elige el encargado que ofrecen garantías suficientes conforme con los requisitos del RGPD y garantizando la protección de los derechos del interesado *
11. El encargado del tratamiento no recurre a otro encargado sin la autorización previa por escrito del responsable *
12. El tratamiento por el encargado se rige por un contrato de encargado de tratamiento por escrito *
13. El contrato establece el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados así como las obligaciones y derechos del responsable y del encargado *
BLOQUE VII. REGISTRO DE ACTIVIDADES
De acuerdo con la normativa de protección de datos, cada responsable deberá llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Es necesario que en dicho registro se contenga una información mínima, por lo que las preguntas van orientadas al contenido del mismo.
1. Existe un registro de las actividades de tratamiento *
2. El registro recoge el nombre y los datos de contacto del responsable y, en su caso del corresponsable. *
3. El registro recoge los fines del tratamiento *
4. Recoge una descripción de las categorías de datos personales *
5. Recoge las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales *
6. Recoge la posibilidad de transferencias de datos personales a un tercer país o una organización internacional. *
7. Incluye los plazos de conservación *
BLOQUE VIII. SEGURIDAD DE LOS DATOS PERSONALES
Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, el responsable deberá aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado de los datos.
1. Se aplican las medidas técnicas y organizativas apropiadas para cada tratamiento *
2. Se han incluido medidas para asegurar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento *
3. Medidas para asegurar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en cado de incidente físico o técnico *
4. Se han tomado medidas para garantizar que las personas autorizadas a acceder a datos sólo los tratan siguiendo instrucciones *
BLOQUE IX. BRECHAS DE SEGURIDAD
Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
1. Se ha establecido un procedimiento para identificar y gestionar las brechas de seguridad *
2. Existe un procedimiento para que los encargados del tratamiento notifiquen las brechas al responsable en el momento en que tengan conocimiento de ellas *
3. En caso de haber una brecha de seguridad, se notifican, como máximo, en el plazo de 72 horas *
4. Se documenta cualquier brecha de seguridad de los datos personales *
5. En la documentación se incluyen los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas
6. La comunicación al interesado se lleva a cabo en un lenguaje claro y sencillo, describiendo la naturaleza de la brecha
BLOQUE X. EVALUACIÓN DE IMPACTO (EIPD) RELATIVA A LA PROTECCIÓN DE DATOS
Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento. Responder únicamente si se ha llevado ha realizado una evaluación de impacto.
1. Se recaba asesoramiento del DPD
2. Se ha realizado EIPD antes del tratamiento correspondiente cuando así es exigido
3. La EIPD incluye una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, y cuando procede el interés legítimo perseguido
4. Incluye una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad
5. Se reexaminan las EIPD siempre que es necesario y cuando exista un cambio de los riesgos que representen las operaciones de tratamiento
6. Se consulta a la autoridad de control antes de proceder al tratamiento cuando una EIPD muestre que el mismo entrañaría un alto riesgo si no se toman medidas para mitigarlo
BLOQUE XI. TRANSFERENCIAS A PAÍSES TERCEROS U ORGANIZACIONES INTERNACIONALES
Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).
Los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD.