La obligación de adaptar y actualizar la normativa de protección de datos es crucial para todas las organizaciones, tanto privadas como públicas, independientemente de su sector o tamaño. Desde autónomos hasta grandes corporaciones, todos deben cumplir con la normativa vigente para evitar sanciones y proteger la información sensible de sus clientes. Esta normativa exige la implementación de medidas técnicas y organizativas, como la actualización de políticas de privacidad y la formación continua de los empleados. Además, las empresas deben manejar los datos de manera responsable, utilizando sistemas de almacenamiento seguros y obteniendo el consentimiento explícito de los clientes. Adaptarse a la normativa es una obligación legal y una responsabilidad ética que contribuye a mantener la confianza de los clientes y la reputación de la empresa. Por lo tanto, es esencial que todas las organizaciones se comprometan a cumplir con las normativas vigentes y adopten las mejores prácticas en protección de datos personales, tal como se establece en la Ley de Protección de Datos Personales.

-
Deber de informar
•El responsable deberá informar al interesado (clientes, potenciales clientes,
proveedores, etc.) de la finalidad con la que va a tratar sus datos, para que este
le preste su consentimiento.
•Ejemplo: cláusula de deber de información -
Deber de confidencialidad
•El responsable deberá hacer un uso diligente y confidencial de los datos
personales del interesado y no difundirlo ni transmitirlos a terceros ni
utilizarlos para temas personales. -
Implementar medidas de seguridad técnicas y organizativas
•El responsable debe garantizar que existen medidas de seguridad, de carácter
preventivo o reactivo, cuya función y objetivo es garantizar la confidencialidad,
integridad y disponibilidad de los datos personales.
•Ejemplo: realizar copias de seguridad, cifrado de datos, actualizaciones, etc. -
Contrato con encargado de tratamiento
•El encargado de tratamiento es la persona física o jurídica, autoridad pública, servicio u organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de este.
•Ejemplo: Contrato con la gestoría que lleve las nóminas de los trabajadores, que será el encargado de tratamiento. -
Registro Actividades de Tratamiento (R.A.T) Art. 30 RGPD
•Aunque este documento es obligatorio para empresas de más de 250 trabajadores, es
una buena práctica elaborarlo e irlo actualizando ya que gracias al mismo, el propio
responsable gestiona el riesgo de los tratamientos de datos que realiza. -
Elaboración de EIPD (Evaluación de Impacto de Protección de Datos)
•Es una herramienta que permite evaluar de manera anticipada cuáles son los
potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos.
•Ejemplo: realización de una EIPD previa a la implementación de sistema biométrico en la empresa -
Formación
•La formación es un aspecto clave, ya que permite prevenir incumplimientos de la normativa vigente, actuando como un control preventivo y demostrando por parte del responsable un principio de responsabilidad proactiva.
•Ejemplo: Formación general sobre PD o específica sobre un tema concreto. -
Atender solicitudes de los interesados
El responsable deberá atender las solicitudes que reciba por parte de los intersados cuando ejerciten sus derechos (acceso, rectificación, supresión, oposición, portabilidad y limitación al tratamiento y a no ser objeto de decisiones automatizadas).
•El responsable dispone del plazo de 1 mes para dar respuesta a la solicitud -
Notificación y registro de brechas de seguridad
•El responsable deberá notificar a la Agencia Española de Protección de Datos (AEPD) en el plazo máximo de 72 horas que ha sufrido una brecha de seguridad. Además, en el caso de que entrañe un riesgo alto para sus derechos y libertades, también deberá comunicárselo a los interesados afectados.
•Ejemplo: hackeo