Técnico Especializado en cualquier punto de España

Técnico Especializado en cualquier punto de España

Podemos desplazar a un técnico a cualquier punto de España para el estudio a medida de sus necesidades en materia de protección de datos de carácter personal.

Las empresas, profesionales o cualquier tipo de organización recogen y tratan datos de personas físicas (clientes, pacientes, empleados, etc.) y son, por tanto, responsables de la seguridad y protección de dichos datos.

La protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental que ha sido regulado a lo largo de los años en diversas normativas y recientemente actualizado a través del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).

Esta nueva normativa de la Unión Europea busca un equilibrio entre los derechos de los ciudadanos a la protección de sus datos personales y la libre circulación de los mismos, e intenta lograr una regulación más uniforme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada y tecnológica.

Descripción del servicio

Realizamos Consultoría en protección de datos de acuerdo con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) y con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD).

  • Informe de Análisis de Riesgo. Análisis inicial en relación a los posibles riesgos para la protección de los datos que trata el Cliente.
  • Visita Técnica a las instalaciones del Cliente.
  • Confección de un nuevo Documento de Seguridad de su Clínica.
  • Generación de toda la documentación necesaria para el cumplimiento de la normativa: Registro de Actividades, Informes, Contratos, Cláusulas (para pacientes, mails, web), compromisos de confidencialidad, autorizaciones, etc.
  • Informe de Auditoría. Elaborados por un equipo profesional especializado.
  • Informe de Evaluación de Impacto sólo en caso de que el análisis de riesgos efectuado determine la necesidad de realizarlo.
  • Asesoramiento permanente en relación a la protección de datos a través de portal de clientes (www.stericycle.es), teléfono y mail.
  • Seguimiento del resultado de la Evaluación de Impacto y/o Auditoria mediante el envío continuado de alertas.
  • Servicio de Delegado de Protección de Datos (DPO) cuando procede.

Stericycle dispone de un servicio de adaptación a la normativa vigente sobre protección de datos que comprende las siguientes actuaciones en diversas fases:

  • Fase 1.- Análisis inicial de riesgos para los derechos y libertades de los interesados cuyos datos trata el Cliente.
  • Fase 2.- Visita técnica a las instalaciones del Cliente para la recopilación de todos los datos necesarios según la normativa vigente en Protección de Datos.
  • Fase 3.- Generación de toda la documentación necesaria para el cumplimiento de la normativa (Registro de Actividades, informes, contratos, cláusulas y consentimientos, auditorías, notificaciones), en base a los datos obtenidos en la Fase 2. Se realizará Evaluación de Impacto sólo en caso de que el análisis de riesgos efectuado en la fase 1 determine la necesidad de realizarlo.
  • Fase 4.- Suministro al Cliente de la documentación generada en la Fase 3.
  • Fase 5.- Con carácter anual, nueva visita a las instalaciones del Cliente para la revisión y toma de datos de las modificaciones encontradas, y generación posterior de nuevos informes que serán remitidos al Cliente.

Confíe en un solo especialista líder en el España

El Servicio de Protección de Datos incluye Delegado de Protección de Datos, en todos aquellos casos en que dicha designación o nombramiento sea obligatorio en virtud de lo dispuesto en el artículo 37.1 del RGPD y en el artículo 34.1 del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, así como en todos aquellos casos en que las partes acuerden dicha designación con carácter voluntario.

La nueva norma es compleja y los datos deben tratarse de forma segura. Para lograr la adaptación de nuestros clientes a esta nueva normativa, será necesaria no sólo la adopción de nuevas medidas de seguridad, y la redacción de nuevos informes, sino también una mayor concienciación, implicación y compromiso por parte de las organizaciones para analizar y minimizar el riesgo resultante del tratamiento de datos personales.

Con la adaptación a la normativa en protección de datos se consigue una mejora en la confidencialidad, integridad y disponibilidad de los datos personales que maneja, además de aportar a sus clientes o pacientes la tranquilidad de saber que sus datos personales contarán con la protección adecuada.

Preguntas Frecuentes

Con la aplicación del RGPD, ¿sigue siendo obligatoria la inscripción de ficheros?

Desde el 25 de mayo de 2018 ha desaparecido la obligación de inscribir ficheros, tanto de responsables públicos o privados, en el Registro de Ficheros de la Agencia Española de Protección de Datos, y en los registros de las autoridades autonómicas competentes.

¿Se debe cumplir con el contenido del derecho de información del RGPD para los tratamientos realizados antes de su aplicación?

Respecto a los afectados a quienes se les haya recabado sus datos de carácter personal con anterioridad a la aplicación del RGPD (25 de mayo de 2018), y que por tanto, se haya informado en los términos descritos por la LOPD, el responsable no tiene que enviar una comunicación al respecto con el contenido del derecho de información del RGPD. Es decir, este derecho de información del RGPD no se aplica de forma retroactiva.

No obstante, desde la aplicación del RGPD todos los formularios o medios de recogida de datos personales, deberán adecuarse a la citada norma en aras de cumplir con el contenido del derecho de información.

¿Qué actuaciones hay que realizar para adecuarse al RGPD?

  • Designar al delegado de protección de datos si es obligatorio o si se asume voluntariamente.
  • Elaborar el registro de actividades de tratamiento.
  • Analizar las bases jurídicas de los tratamientos.
  • Efectuar un análisis de riesgos.
  • Revisar las medidas de seguridad en función del análisis de riesgos realizado.
  • Establecer mecanismos y procedimientos de gestión de quiebras de seguridad.
  • Llevar a cabo, cuando sea necesario, una evaluación de impacto de la protección de datos.
  • Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.
  • Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.
  • Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.
  • Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.
  • Confeccionar e implantar políticas de protección de datos.

¿Qué derechos reconoce el RGPD a los afectados?

Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión ("derecho al olvido"), oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles). Estos derechos se ejercitarán ante el responsable del tratamiento. También es posible ejercitarlos en los casos de que existiese un encargado de tratamiento ante éste, siempre y cuando el responsable y dicho encargado así lo hubiesen convenido.

Cuando se ejercitan estos derechos, el responsable del tratamiento debe responder en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. Si se prorrogase, el responsable informará al afectado de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

¿Qué es una violación de seguridad de los datos ("quiebra de seguridad")?

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como "quiebras de seguridad", de una forma muy amplia, e incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como la norma establece. Los daños producidos por una quiebra de seguridad pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados como consecuencia de su uso por quien ha accedido a ellos de forma no autorizada hasta usurpación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.

Se considera que se tiene constancia de una quiebra de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance. La mera sospecha de que ha existido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados.

¿Son válidos los contratos con encargados de tratamiento anteriores al RGPD?

Los contratos con encargados de tratamiento concluidos con anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.

Indicar al respecto que la Disposición transitoria quinta, Contratos de encargado del tratamiento, del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, que se está tramitando en el Congreso (la norma todavía no ha sido aprobada), dice que: “Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y, en caso de haberse pactado de forma indefinida, hasta transcurridos cuatro años desde la citada fecha.”

En caso de que los contratos previesen su prórroga al término de su vencimiento, ya fuera por mutuo acuerdo entre las partes o en ausencia de denuncia por cualquiera de ellas, deberá producirse su adaptación con anterioridad al momento en que estuviera prevista dicha prórroga.

¿Qué obligaciones se deben cumplir para la instalación de videocámaras?

La videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad. No se podrán captar imágenes de la vía pública con fines de seguridad, ya que es competencia de las Fuerzas y Cuerpos de Seguridad, salvo el caso que resulte imprescindible para la finalidad que se pretende o resulte imposible evitarlo por razón de la ubicación de las cámaras. En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Está prohibida la instalación en baños, vestuarios, o lugares análogos.

El tratamiento de las imágenes con fines de seguridad mediante la videovigilancia debe adecuarse al RGPD, de manera que hay que configurar el registro de actividades de tratamiento regulado en el artículo 30 del RGPD.

Asimismo, se tiene que dar cumplimiento al derecho de información del artículo 13. Para ello se puede optar por un sistema de capas de la siguiente forma:

  • Colocar un cartel donde aparezca que es una zona videovigilada, la identidad del responsable y la posibilidad del ejercicio de los derechos previstos en los artículos 15 a 22 del RGPD.
  • Mantener a disposición de los afectados el resto de información referida en el artículo 13.

También se deberán adoptar las medidas de seguridad, teniendo en cuenta lo siguiente: El artículo 32 del RGPD determina que se establezcan las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo. Por otra parte, si se encarga a un tercero la gestión de las cámaras, estaremos ante la figura del encargado del tratamiento, quién deberá cumplir los requisitos que regula el artículo 28 del RGPD.

En aquellos supuestos en que las cámaras no graban imágenes pero sí se permite la reproducción en tiempo real de las mismas, también supone un sometimiento a lo dispuesto en el RGPD, debido a que existe un tratamiento de datos personales. De esta forma, hay que cumplir con la citada norma. Entre las obligaciones que hay que adoptar estarían, por ejemplo, lo referente tanto al registro de actividades de tratamiento como el derecho el derecho de información, a los que nos hemos referido anteriormente.

¿Cuál es la edad para que los menores puedan prestar consentimiento para tratar sus datos personales?

El RGPD permite a los estados miembros establecer una edad inferior, siempre que no sea menor de 13 años. En el caso de España, el Reglamento de Desarrollo de la LOPD fija la edad a partir de la que el consentimiento de los menores es válido en los 14 años con carácter general. Será la nueva ley orgánica de protección de datos, norma que todavía está en tramitación, la que fije dicha edad. Hasta que se apruebe la misma, y en base al considerando 41 del RGPD, seguirá siendo aplicable lo dispuesto en el Reglamento de desarrollo de la LOPD, es decir, 14 años.

¿Pueden acceder los padres a las historias clínicas de sus hijos mayores de 14 años?

El artículo 154 del Código Civil habilitaría el acceso de los padres a la información sanitaria de sus hijos sobre los que ostenten la patria potestad para velar adecuadamente por su salud en cumplimiento de las obligaciones que impone el ejercicio de la patria potestad.

La habilitación para acceder al historial clínico se refiere sólo a los titulares de la patria potestad y no a cualesquiera familiares. A su vez, el menor de edad también podría ejercer el derecho de acceso a su historia clínica a partir de los 14 años, si bien este ejercicio no puede entenderse como limitación al derecho de los titulares de la patria potestad del menor no emancipado a acceder a su historia clínica.

Las reclamaciones en los casos de la negativa a entregar las historias clínicas de los menores a los progenitores que ostenten la patria potestad habrán de dirigirse a las autoridades sanitarias o judiciales correspondientes.

Contactar


Complete este formulario y uno de nuestros especialistas en nuestros servicios se pondrá en contacto con usted para analizar sus necesidades y proporcionarle un presupuesto gratuito.