Cookies

En copmadrid.org utilizamos cookies propias y de terceros para desempeñar nuestros servicios, elaborar información estadística y prestar servicios concretos de páginas externas a copmadrid.org.

Puedes aceptar el uso de cookies pulsando el botón de "Aceptar" o configurar/rechazar su uso pulsando "Configurar/Rechazar". Podrás cambiar de opinión sobre tu elección en cualquier momento visitando nuestra Política de Cookies.

Colegio oficial de psicología de Madrid

Protección de datos

FAQS RGPD

¿Dónde puedo encontrar más preguntas frecuentes?

En la Agencia Española de Protección de datos (AGPD) se puede encontar un apartado muy completo de preguntas frecuentes, muy interesante los dedicados a la adecuación al Reglamento General de Protección de Datos-RGPD

Enlace al apartado de preguntas frecuentes de la AGPD

 

 
 
¿Sigue vigente el modelo de medidas de seguridad del Reglamento de desarrollo de la LOPD?

Respuesta de la AGencia de Protección de Datos

El esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática tras la fecha de aplicación del RGPD. En algunos casos los responsables podrán seguir aplicando las mismas medidas que establece el Reglamento de la LOPD si los resultados del análisis de riesgos previo se concluye que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado. En otras ocasiones será necesario completarlas con medidas adicionales o prescindir de alguna de las medidas. Se debe tener en cuenta, como ya hemos indicado en la anterior pregunta-respuesta, que las medidas técnicas y organizativas deberán establecerse de acuerdo con:

a) El coste de la técnica

b) Los costes de aplicación

c) La naturaleza, el alcance, el contexto y los fines del tratamiento

d) Los riesgos para los derechos y libertades Si antes el Reglamento de Desarrollo de la LOPD determinaba con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento, con el RGPD los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo. Además, el RGPD exige que se tomen en consideración más variables, ello como pilar básico del principio de responsabilidad proactiva.

¿Qué es un análisis de riesgos?

Según la Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD   editada por la Agencia de Protección de datos, la Gestión de riesgos es el conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que inluyen:

  • La identificación del riesgos
  • La evaluación del riesgo
  • Las medidas para su reducción o mitigación

La evauación de riesgos debe ser el resultado de una reflexión sobre las implicciones que los tratamientos de datos de carácter personal tienen sobre los interesados. Se trata de establecer hasta qué punto una actividad de tratamiento, por sus carácterísticas, el tipo de datos a los que se refiere o el tipo de operaciones puede causar un daño a los interesados. 

En este enlace se explica de forma sencilla cómo hacer un análisis de riesgos 

¿Qué diferencias hay entre el cumplimiento de la LOPD y RGPD?

La principal diferencia es que el Reglamento General de Protección de Datos RGPD supone un cambio en la forma de afrontar las medidas que van a garantizar una adecuada protección de datos. Es un enfoque proactivo, desde el diseño y por defecto y con una gestión contÍnua de los riesgos potenciacles.

En este cuadro se puede ver las principales diferencias entre ambas legislaciones de las obligaciones que conlleva.

 

OBLIGACIONES

LOPD / RDLOPD

OBLIGACIONES

RGPD
  • Inscripción de ficheros en la AEPD.
  • Deber de información sobre el tratamiento de datos.
  • Documento de seguridad e implantación de medidas de seguridad.
  • Facilitar derechos ARCO (acceso, rectificación cancelación y oposición).
  • Garantizar todos estos aspectos ante terceros (clausulado en contratos prestación de servicios)
  • Auditoría bienal (nivel medio y alto).
  • No inscripción de ficheros en AEPD, pero sí llevanza de un inventario y registro de actividades de tratamiento.
  • Deber de información, pero con más aspectos a informar y con un formato en capas.
  • Responsabilidad Proactiva:
    • Privacidad desde el diseño y por defecto.
    • Análisis de riesgo y evaluaciones de impacto.
    • Documentar medidas de seguridad.
    • Notificación de violaciones de seguridad a la AEPD  e interesados.
    • Delegado de protección de datos (DPD).
  • Facilitar derechos ARCO ampliados (acceso, rectificación, cancelación y oposición , limitación del tratamiento, portabilidad de los datos y derecho al olvido).
  • Garantizar todos los aspectos frente a terceros, clausulado en contratos de prestación de servicios ampliada,  responsabilidad propia de los encargados de tratamiento, obligación de garantizar la adecuación del encargado.
  • No auditoría bienal, pero sí cuando determine el responsable para garantizar seguridad.
¿Cúales son las bases legales para un tratamiento de datos según el RGPD?

El Reglamento General de Protección de Datos establece como bases legítimas para apoyarse a la hora de realizar un tratamiento, las siguientes bases:

  • Consentimiento.
  • Relación contractual.
  • Intereses vitales del interesado o de otras personas.
  • Obligación legal para el responsable.
  • Interés público o ejercicio de poderes públicos.
  • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos
¿Qué es un dato de carácter personal?

Es toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

¿Qué es un tratamiento de datos?

Es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

¿Qué es un fichero?

Es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

¿Quién es el responsable de tratamiento?

Es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

¿Quién es un encargado de tratamiento?

   Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento

¿Qué es la Agencia Española de Protección de Datos?

Es un ente público e independiente cuya finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación. Se halla situada en c/ Jorge Juan, 6, 28001 Madrid, su teléfono es el 901 100 099 y su página web: www.agpd.es.