Aspectos básicos para un proceso de normalización de “garantías” y el Registro de Actividades
Normalización RGPD
La normalización o adecuación de una organización al actual marco normativo estará asociado a diferentes aspectos o características, de acuerdo:
- La actividad de la empresa
- Tipo de datos de carácter personal que trata la empresa
- Los terminales y/o usuarios lógicos que acceden al sistema informático de la empresa
- Sistema o estructura informática de la empresa: Servidores y Aplicaciones
- Estructura orgánica de la empresa
- Acciones comerciales o promocionales realizadas a través de correo electrónico, redes sociales y sitio web
La normalización de una organización contará, a título enunciativo y no limitativo, sujeto a los criterios anteriores, con:
- Registro de actividades
- Manual de Seguridad y Políticas de Tratamiento de Datos de acuerdo con el RGPD
- Compromisos de confidencialidad y de adhesión a las políticas de tratamiento de datos según perfil de usuarios y empleados
- Análisis de Riesgos
- Evaluación de impacto (de acuerdo con registro de actividades realizado)
- Revisión, actualización o elaboración de contratos con proveedores
- Revisión, actualización o elaboración de los textos legales implementados en los sitios web
- Propuesta de políticas de revisión y evaluación de lo realizado.
- Revisión de los contratos con cliente (cláusulas de protección de datos)
- Plan de Formación
Registro de Actividades
El registro de actividades de tratamiento es un informe, de carácter obligatorio para todas las empresas y entidades públicas, que debe documentar los flujos de datos personales, en su ámbito organizativo e informático, de acuerdo a los siguientes extremos
- (1) Responsable o Corresponsables que tratan datos
- (2) Tipos de datos que se tratan
- (3) Finalidades de uso de los datos
- (4) Base de Legitimación
- (5) Existencia de transferencias de datos fuera del Estado Español y/o UE
- (6) Mantenimiento de los datos
- (7) Procedimientos de ejercicio de derechos
- (8) Medidas de Seguridad a implementar de acuerdo al ámbito organizativo (soporte papel, archivo, usuarios y departamentos.
El registro de actividades deberá estar a disposición de la Agencia Española de Protección de Datos, como Autoridad de control, así como otras organizaciones de ámbito público con competencia al respecto.