Checklist DPO

PRINCIPIOS RELATIVOS AL TRATAMIENTO Y LEGITIMACIÓN

Las presentes preguntas van orientadas al modo en que se recogen los datos de los usuarios, así como la finalidad de los mismos (es decir, para qué se tratan los datos). Las tres últimas preguntas van enfocadas a la seguridad de los datos y el acceso a los mismos por personas no autorizadas.

No se tratan los datos con fines distintos que para los recogidos *

Se recaban únicamente los datos necesarios para la finalidad concreta *

Los datos personales se mantienen exactos y en caso contrario se actualizan *

Se conservan durante más tiempo del necesario *

Se tratan con fines estadísticos, históricos, de archivo en interés público o de investigación científica *

Se han implantado medidas de seguridad para proteger la integridad y confidencialidad de los datos *

Se han implantado medidas de seguridad contra el tratamiento no autorizado o ilícito de los datos *

Se han implantado medidas de seguridad para evitar su pérdida, destrucción o daño accidental *

TRATAMIENTO BASADO EN EL CONSENTIMIENTO DEL INTERESADO

La normativa vigente de protección de datos establece que, para tratar determinados datos con alguna finalidad concreta, es necesario el consentimiento de la persona interesada, por lo que, en este apartado, las preguntas van orientadas al modo de obtención del consentimiento, así como la posibilidad de retirarlo. 

Los menores de 14 años no pueden otorgar el consentimiento, deberá ser el titular de la patria potestad el que lo conceda, de ahí las dos últimas preguntas. Responder únicamente si se tratan datos de menores de esa edad. 


Se puede demostrar que el afectado dio su consentimiento para el tratamiento *

Se solicita el consentimiento de forma clara, sencilla e independiente de los demás asuntos *

Se solicita el consentimiento de forma inteligible y de fácil acceso *

Se informa con carácter previo a recabar el consentimiento *

Se ofrecen medios de fácil acceso para retirar el consentimiento en cualquier momento *

Se suprimen los datos cuando no son necesarios en relación con los fines para los que fueron recogidos *

Se suprimen los datos cuando se retira el consentimiento en que se basa el tratamiento *

Se recaba el consentimiento de menores de 14 años al titular de la patria potestad o tutela sobre el niño

En caso afirmativo a la anterior pregunta, se verifica que el consentimiento fue dado por el titular de la patria potestad o tutela sobre el niño

TRATAMIENTOS QUE NO REQUIEREN IDENTIFICACIÓN

En determinadas ocasiones, es necesario llevar a cabo un tratamiento de datos en los que sea necesario que no se identifique al interesado (por ejemplo, una organización que lleva a cabo investigaciones en datos de salud). En este sentido, será necesario proceder a la seudonimización o anonimización de datos (ver glosario). Responder únicamente si nos encontramos dentro de este supuesto.

Se obtiene y/o trata información adicional con vistas a identificar al interesado cuando los fines no requieren esa identificación.

Existe un procedimiento adecuado de pseudonimización

Se puede demostrar que los datos anonimizados no permiten identificar a los interesados

Se informa al interesado y se recaba su consentimiento cuando se llega a su identificación

Se cancelan los datos cuando se llega a identificar al interesado

INFORMACIÓN FACILITADA AL INTERESADO

Cuando se recaban datos de carácter personal el responsable del tratamiento tiene el deber de facilitar al interesado determinada información al respecto en aras de la transparencia en el tratamiento de sus datos personales. Las preguntas van orientadas a esta obligación concreta.

Se toman medidas para facilitar al interesado toda la información relativa al tratamiento *

La información se facilita de forma concisa, transparente e inteligible, en lenguaje claro y sencillo *

Se facilita por escrito o por otros medios, incluidos los electrónicos *

Se facilita verbalmente, previa acreditación de su identidad *

Se facilitan la identidad y los datos de contacto del responsable y, en su caso, del representante cuando se solicitan los datos *

Se facilitan los datos de contacto del delegado de protección de datos *

Se facilitan los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento *

Se facilita información sobre la legitimación *

Se informa sobre las cesiones *

Se informa del plazo de conservación de los datos personales o los criterios utilizados para determinarlo *

Se informa sobre la existencia del derecho a solicitar el acceso, rectificación o supresión, la limitación del tratamiento, a oponerse y el derecho a la portabilidad *

Si el tratamiento se basa en el consentimiento se informa de la existencia del derecho a retirarlo en cualquier momento *

Antes de realizar tratamientos de datos personales para una finalidad distinta de la que fueron recogidos, se informa al interesado *

EJERCICIO DE DERECHOS

El interesado tiene la posibilidad de ejercer determinados derechos ante el responsable que trata sus datos. 

Éstos son los que a continuación se indican: derecho de acceso a los datos tiene el responsable del interesado sobre su persona; rectificación de los datos inexactos; oposición a que el responsable realice un determinado tratamiento de éstos; supresión de los datos que le conciernen; limitación del tratamiento de los mismos; y portabilidad (recibir los datos que ostenta el responsable para poder transmitírselos a otro responsable). 

El plazo para contestar al referido ejercicio de los derechos, es de un mes, pudiendo prorrogarse dos meses más en caso de que existan numerosas solicitudes o las mismas sean complejas.


¿Le han ejercitado alguno de los derechos especificados? *

Si ha respondido a la pregunta anterior afirmativamente, indique los derechos que le han solicitado

Se responde al interesado en el plazo de un mes desde la recepción de la solicitud

Se responde, ante el ejercicio de derechos complejos o ante numerosas solicitudes, en el plazo máximo de tres meses desde la recepción de la solicitud

Se informa por medios electrónicos cuando se recibe la solicitud por esos mismos medios, salvo que solicite que se realice por otro medio

De ser el caso, se informa de las razones por las que no se puede llevar a efecto el ejercicio del derecho solicitado y de la posibilidad de presentar una reclamación la Agencia Española de Protección de Datos u otra autoridad de control

Se facilita grautitamente el ejercicio de derechos *

Se solicita información para acreditar la identidad de la persona física que ejerce sus derechos

RESPONSABLE DEL TRATAMIENTO, CORRESPONSABLE Y ENCARGADOS

Existe corresponsabilidad cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Las preguntas relativas a la corresponsabilidad únicamente deberán ser contestadas para el caso de existiera la misma. 

En cuanto al encargado de tratamiento es aquella persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable y que conlleva el tratamiento de datos personales por cuenta de éste. 


Se aplican medidas técnicas y organizativas apropiadas *

Las medidas se revisan y actualizan cuando es necesario *

Está actualizada la política de protección de datos

Tiene la cláusula de protección de datos en los formularios web

Se envía publicidad siempre con el consentimiento del interesado (responder únicamente si envía publicidad)

Se han determinado de modo transparente, y de mutuo acuerdo, las responsabilidades respectivas de los corresponsables en el cumplimiento de las obligaciones impuestas por el RGPD

El acuerdo de corresponsabilidad fija las respectivas obligaciones de suministro de información al interesado

El acuerdo entre corresponsables del tratamiento refleja las funciones y relaciones respectivas de ambos en relación con los interesados

Los aspectos esenciales del acuerdo están a disposición del interesado

Se elige el encargado que ofrecen garantías suficientes conforme con los requisitos del RGPD y garantizando la protección de los derechos del interesado *

El encargado del tratamiento no recurre a otro encargado sin la autorización previa por escrito del responsable *

El tratamiento por el encargado se rige por un contrato de encargado de tratamiento por escrito *

El contrato establece el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados así como las obligaciones y derechos del responsable y del encargado *

REGISTRO DE ACTIVIDADES

De acuerdo con la normativa de protección de datos, cada responsable deberá llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Es necesario que en dicho registro se contenga una información mínima, por lo que las preguntas van orientadas al contenido del mismo.

Existe un registro de las actividades de tratamiento *

El registro recoge el nombre y los datos de contacto del responsable y, en su caso del corresponsable. *

El registro recoge los fines del tratamiento *

Recoge una descripción de las categorías de datos personales *

Recoge las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales *

Recoge la posibilidad de transferencias de datos personales a un tercer país o una organización internacional. *

Incluye los plazos de conservación *

SEGURIDAD DE LOS DATOS PERSONALES

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, el responsable deberá aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado de los datos.

Se aplican las medidas técnicas y organizativas apropiadas para cada tratamiento *

Se han incluido medidas para asegurar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento *

Medidas para asegurar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en cado de incidente físico o técnico *

Se han tomado medidas para garantizar que las personas autorizadas a acceder a datos sólo los tratan siguiendo instrucciones *

BRECHAS DE SEGURIDAD

Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

Se ha establecido un procedimiento para identificar y gestionar las brechas de seguridad *

Existe un procedimiento para que los encargados del tratamiento notifiquen las brechas al responsable en el momento en que tengan conocimiento de ellas *

En caso de haber una brecha de seguridad, se notificn, como máximo, en el plazo de 72 horas *

Se documenta cualquier brecha de seguridad de los datos personales *

En la documentación se incluyen los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas

La comunicación al interesado se lleva a cabo en un lenguaje claro y sencillo, describiendo la naturaleza de la brecha

EVALUACIÓN DE IMPACTO (EIPD) RELATIVA A LA PROTECCIÓN DE DATOS

Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento. Responder únicamente si se ha llevado ha realizado una evaluación de impacto.

Se recaba asesoramiento del DPD

Se ha realizado EIPD antes del tratamiento correspondiente cuando así es exigido

La EIPD incluye una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, y cuando procede el interés legítimo perseguido

Incluye una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad

Se reexaminan las EIPD siempre que es necesario y cuando exista un cambio de los riesgos que representen las operaciones de tratamiento

Se consulta a la autoridad de control antes de proceder al tratamiento cuando una EIPD muestre que el mismo entrañaría un alto riesgo si no se toman medidas para mitigarlo

TRANSFERENCIAS A PAÍSES TERCEROS U ORGANIZACIONES INTERNACIONALES

Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).

Los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD.


Se realizan transferencias a países, o sectores de los mismos, u organizaciones internacionales declarados de nivel de protección adecuado por la Comisión Europea *

Se realizan transferencias mediante garantías adecuadas que ofrezcan a los interesados derechos exigibles y posibilidad de acciones legales

Existe un código de conducta junto con compromisos vinculantes y exigibles en el tercer país que permita aplicar garantías adecuadas

Existe un mecanismo de certificación junto con compromisos vinculantes y exigibles en el tercer país que permita aplicar garantías adecuadas

Existen acuerdos administrativos entre autoridades y organismos públicos que incorporen disposiciones que incluyan derechos efectivos y exigibles para los interesados

Se dispone del consentimiento explícito del interesado y se le ha informado de los posibles riesgos