Protección de Datos

Stericycle realiza servicio de consultoría en Protección de datos de acuerdo con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) y con la Ley Orgánica 3/2018 de 5 de diciembre, de Proteccion de Datos Personales y garantía de los derechos digitales (LOPD-GDD), ayudando al cumplimiento de las mismas, así como de posibles actualizaciones y novedades de la normativa vigente que afecte a la Proteccion de Datos Personales.

Técnico Especializado en cualquier punto de España

Podemos desplazar a un técnico a cualquier punto de España para el estudio a medida de sus necesidades en materia de protección de datos de carácter personal.

Las empresas, profesionales o cualquier tipo de organización recogen y tratan datos de personas físicas (clientes, pacientes, empleados, etc.) y son, por tanto, responsables de la seguridad y protección de dichos datos.

La protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental que ha sido regulado a lo largo de los años en diversas normativas y recientemente actualizado a través del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).

Esta nueva normativa de la Unión Europea busca un equilibrio entre los derechos de los ciudadanos a la protección de sus datos personales y la libre circulación de los mismos, e intenta lograr una regulación más uniforme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada y tecnológica.

Descripción del servicio

Realizamos Consultoría en protección de datos de acuerdo con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) y con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD).

  • Informe de Análisis de Riesgo. Análisis inicial en relación a los posibles riesgos para la protección de los datos que trata el Cliente.
  • Visita Técnica a las instalaciones del Cliente.
  • Confección de un nuevo Documento de Seguridad de su Clínica.
  • Generación de toda la documentación necesaria para el cumplimiento de la normativa: Registro de Actividades, Informes, Contratos, Cláusulas (para pacientes, mails, web), compromisos de confidencialidad, autorizaciones, etc.
  • Informe de Auditoría. Elaborados por un equipo profesional especializado.
  • Informe de Evaluación de Impacto sólo en caso de que el análisis de riesgos efectuado determine la necesidad de realizarlo.
  • Asesoramiento permanente en relación a la protección de datos a través de portal de clientes (www.stericycle.es), teléfono y mail.
  • Seguimiento del resultado de la Evaluación de Impacto y/o Auditoria mediante el envío continuado de alertas.
  • Servicio de Delegado de Protección de Datos (DPO) cuando procede.

Solicitar Presupuesto

Thank You! We have received your request and a representative will contact you shortly to discuss your business needs.

Submission Error - Please Refresh and Try Again

Stericycle dispone de un servicio de adaptación a la normativa vigente sobre protección de datos que comprende las siguientes actuaciones en diversas fases:

  • Fase 1.- Análisis inicial de riesgos para los derechos y libertades de los interesados cuyos datos trata el Cliente.
  • Fase 2.- Visita técnica a las instalaciones del Cliente para la recopilación de todos los datos necesarios según la normativa vigente en Protección de Datos.
  • Fase 3.- Generación de toda la documentación necesaria para el cumplimiento de la normativa (Registro de Actividades, informes, contratos, cláusulas y consentimientos, auditorías, notificaciones), en base a los datos obtenidos en la Fase 2. Se realizará Evaluación de Impacto sólo en caso de que el análisis de riesgos efectuado en la fase 1 determine la necesidad de realizarlo.
  • Fase 4.- Suministro al Cliente de la documentación generada en la Fase 3.
  • Fase 5.- Con carácter anual, nueva visita a las instalaciones del Cliente para la revisión y toma de datos de las modificaciones encontradas, y generación posterior de nuevos informes que serán remitidos al Cliente.

Confíe en un solo especialista líder en España

El Servicio de Protección de Datos incluye Delegado de Protección de Datos, en todos aquellos casos en que dicha designación o nombramiento sea obligatorio en virtud de lo dispuesto en el artículo 37.1 del RGPD y en el artículo 34.1 de la LOPD-GDD, así como en todos aquellos casos en que las partes acuerden dicha designación con carácter voluntario.

La nueva norma es compleja y los datos deben tratarse de forma segura. Para lograr la adaptación de nuestros clientes a esta nueva normativa, será necesaria no sólo la adopción de nuevas medidas de seguridad, y la redacción de nuevos informes, sino también una mayor concienciación, implicación y compromiso por parte de las organizaciones para analizar y minimizar el riesgo resultante del tratamiento de datos personales.

Con la adaptación a la normativa en protección de datos se consigue una mejora en la confidencialidad, integridad y disponibilidad de los datos personales que maneja, además de aportar a sus clientes o pacientes la tranquilidad de saber que sus datos personales contarán con la protección adecuada.

¿Por qué Stericycle?

Sus socios únicos a nivel nacional

Gestionamos todos los flujos de residuos generados en la actividad médica, realizamos servicios de dosimetría, nos ocupamos de la protección radiológica y la destrucción segura de la información. Realizamos capacitación y formación relacionada con el cumplimiento y le ayudamos con consultoría de sostenibilidad. 

Sus expertos en reducción de riesgos

Reducimos su riesgo a través de una cadena de custodia completa y sistemas de seguimiento patentados en tiempo real, además de ser expertos en cumplimiento para mantenerlo informado de los desarrollos regulatorios europeos, comunitarios y locales.

Su campeón de la sostenibilidad

En 2020, nuestros productos ecológicos y nuestra orientación en materia de sostenibilidad permitieron a nuestros clientes reciclar 499 mil toneladas de papel, eliminar de forma segura 18 mil toneladas de residuos farmacéuticos; y evitar las emisiones de gases de efecto invernadero mientras evitaba el depósito en vertedero de 47 mil toneladas de residuos cortopunzantes de plástico.1

1. Fuente: Datos de Stericycle, 2020

Contáctenos hoy para obtener su presupuesto

Preguntas Frecuentes

En virtud de este principio, la información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Se deberán evitar las fórmulas especialmente farragosas y que incorporan remisiones a los textos legales.

Las cláusulas informativas deberán explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia.

El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD. Los responsables deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.

Este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.

A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

El RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos que realizan son conformes con el Reglamento y estar en condiciones de demostrarlo.

Estas medidas de responsabilidad activa son:

  • Análisis de riesgo

  • Registro de actividades de tratamiento

  • Protección de Datos desde la Protección de Datos

  • Medidas de seguridad

  • Notificación de "violaciones de seguridad de los datos"

  • Evaluación de impacto sobre la Protección de Datos

  • Delegado de Protección de Datos

Esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, si bien la responsabilidad sobre este cumplimiento recae en el responsable o encargado.

El Delegado de Protección de Datos (DPD), debe nombrarse atendiendo a sus cualidades profesionales y en particular debe contar con conocimientos especializados del Derecho y práctica en protección de datos, no se le exige ningún tipo de titulación y tampoco tiene que estar certificado.

Actúa de forma independiente y entre las funciones que se le atribuyen están las de informar y asesorar al responsable o encargado del tratamiento además de supervisar que cumplen con el RGPD. No obstante, el detalle de todas sus funciones está incluido artículo 39 del RGPD. Además conviene precisar que el DPD puede ser personal interno o externo, persona física o persona jurídica.

La videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad. No se podrán captar imágenes de la vía pública con fines de seguridad, ya que es competencia de las Fuerzas y Cuerpos de Seguridad, salvo el caso que resulte imprescindible para la finalidad que se pretende o resulte imposible evitarlo por razón de la ubicación de las cámaras. En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. En ningún caso se admitirá la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos.

El tratamiento de las imágenes con fines de seguridad mediante la videovigilancia debe adecuarse al RGPD, de manera que hay que configurar el registro de actividades de tratamiento regulado en el artículo 30 del RGPD.

Asimismo, se tiene que dar cumplimiento al derecho de información del artículo 13. Para ello se puede optar por un sistema de capas de la siguiente forma:

  • Colocar un cartel donde aparezca que es una zona videovigilada, la identidad del responsable y la posibilidad del ejercicio de los derechos previstos en los artículos 15 a 22 del RGPD.

  • Mantener a disposición de los afectados el resto de información referida en el artículo 13.

También se deberán adoptar las medidas de seguridad, teniendo en cuenta lo siguiente: El artículo 32 del RGPD determina que se establezcan las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo. Por otra parte, si se encarga a un tercero la gestión de las cámaras, estaremos ante la figura del encargado del tratamiento, quién deberá cumplir los requisitos que regula el artículo 28 del RGPD.

Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.

En aquellos supuestos en que las cámaras no graban imágenes pero sí se permite la reproducción en tiempo real de las mismas, también supone un sometimiento a lo dispuesto en el RGPD, debido a que existe un tratamiento de datos personales. De esta forma, hay que cumplir con la citada norma. Entre las obligaciones que hay que adoptar estarían, por ejemplo, lo referente tanto al registro de actividades de tratamiento como el derecho el derecho de información, a los que nos hemos referido anteriormente.

El RGPD permite a los estados miembros establecer una edad inferior a 16  años, siempre que no sea menor de 13 años. En el caso de España tras la publicación de la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en el artículo 7 se establece que el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.


El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela.

El artículo 154 del Código Civil habilitaría el acceso de los padres a la información sanitaria de sus hijos sobre los que ostenten la patria potestad para velar adecuadamente por su salud en cumplimiento de las obligaciones que impone el ejercicio de la patria potestad.

La habilitación para acceder al historial clínico se refiere sólo a los titulares de la patria potestad y no a cualesquiera familiares. A su vez, el menor de edad también podría ejercer el derecho de acceso a su historia clínica a partir de los 14 años, si bien este ejercicio no puede entenderse como limitación al derecho de los titulares de la patria potestad del menor no emancipado a acceder a su historia clínica.

Las reclamaciones en los casos de la negativa a entregar las historias clínicas de los menores a los progenitores que ostenten la patria potestad habrán de dirigirse a las autoridades sanitarias o judiciales correspondientes.

Desde el 25 de mayo de 2018 ha desaparecido la obligación de inscribir ficheros, tanto de responsables públicos o privados, en el Registro de Ficheros de la Agencia Española de Protección de Datos, y en los registros de las autoridades autonómicas competentes.

  1. Designar al delegado de protección de datos si es obligatorio o si se asume voluntariamente.

  2. Elaborar el registro de actividades de tratamiento.

  3. Analizar las bases jurídicas de los tratamientos.

  4. Efectuar un análisis de riesgos.

  5. Revisar las medidas de seguridad en función del análisis de riesgos realizado.

  6. Establecer mecanismos y procedimientos de gestión de quiebras de seguridad.

  7. Llevar a cabo, cuando sea necesario, una evaluación de impacto de la protección de datos.

  8. Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.

  9. Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.

  10. Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.

  11. Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.

  12. Confeccionar e implantar políticas de protección de datos.

Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión ("derecho al olvido"), oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles). Estos derechos se ejercitarán ante el responsable del tratamiento. También es posible ejercitarlos en los casos de que existiese un encargado de tratamiento ante éste, siempre y cuando el responsable y dicho encargado así lo hubiesen convenido.

Cuando se ejercitan estos derechos, el responsable del tratamiento debe responder en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. Si se prorrogase, el responsable informará al afectado de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como "quiebras de seguridad", de una forma muy amplia, e incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como la norma establece. Los daños producidos por una quiebra de seguridad pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados como consecuencia de su uso por quien ha accedido a ellos de forma no autorizada hasta usurpación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.

Se considera que se tiene constancia de una quiebra de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance. La mera sospecha de que ha existido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados.

Los contratos con encargados de tratamiento concluidos con anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.

Indicar al respecto que la Disposición transitoria quinta de la de la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y Garantía de los Derechos Digitales, dice que:

“Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del RGPD”