Accions DPO / Acciones DPO
Accions a desenvolupar pel Delegat Protecció Dades
Acciones desarrollar porDelegado Protección de Datos
                                                       FUNCIONS DATA PROTECCTION OFFICER
                                                                   Accions a desenvolupar pel DPO

  1. Comprovar l'àmbit aplicació material del Reglament de dades que realitzi l'empresa.
  2. Verificar els tractaments automatitzats de dades personals que realitza l'empresa en cada departament.
  3. Verificar els tractaments no automatitzats de dades personals que realitza l'empresa.
  4. Valorar si els tractaments realitzats per l'empresa estan expressament exclosos de l'àmbit d'aplicació.
  5. Verificar si l'empresa realitza tractaments exclosos pel Reglament.
  6. Comprovar si les dades es tracten en altres països on no regeixin les mateixes excepcions.
  7. Comprovar si les Autoritats han dictaminat una excepció a algun dels tractaments.
  8. Comprovar en quins països realitza tractaments l'empresa.
  9. Realitzar un mapa global de tractaments, situant cadascun dels tractaments en el planisferi.
  10. Delimitar l'àmbit d'aplicació material i territorial del Reglament als tractaments de dades que realitzi l'empresa.
  11. Valorar si compleix els requisits dels diferents supòsits que determinarien l'aplicació del Reglament.
  12. Analitzar si resulten aplicables als tractaments les lleis d'altres països.
  13. És molt important DPO tingui el nivell de protecció que cada país ofereix en matèria de dades personals.
  14. Conèixer en profunditat el significat dels conceptes que utilitza el Reglament i mantenir actualitzada la formació sobre aquest tema.
  15. Formar el personal de l'empresa que, pel seu treball, responsabilitat o càrrec, treballi amb dades de caràcter personal.
  16. Facilitar i explicar als responsables i col·laboradors una checklist per comprovar si una dada és personal i com a conseqüència del mateix ha de ser conforme a la normativa vigent de protecció de dades.
  17. Realitzar comprovacions periòdiques dels possibles tractaments de dades personals que realitza l'empresa que no hagin estat comunicats o detectats des de l'inici del tractament.
  18. Facilitar als responsables i col·laboradors de Màrqueting una checklist per comprovar si l'empresa està elaborant perfils. Així mateix portar un control sobre els tractaments de dades que suposin l'elaboració de perfils.
  19. Assegurar la licitud i la legitimitat dels tractaments de dades personals de l'empresa.
  20. Sol·licitar la col·laboració del responsable del tractament per assegurar aquesta finalitat.
  21. Assegurar l'existència de garanties adequades.
  22. Quan el tractament es basa en el consentiment de l'interessat, correspondrà a responsable del tractament demostrar que l'interessat va prestar consentiment per qualsevol mitjà de prova admissible en dret. La càrrega de la prova recau en el responsable del tractament.
  23. Verificar que l'obtenció dels consentiments dels interessats es compleixin les condicions exigides en el Reglament.
  24. Verificar que el procediment de captació i baixa del consentiment sigui clara, concisa i sense pertorbacions.
  25. Garantir el dret de revocació del consentiment a través de mitjans senzills, gratuïts i que no impliquin ingressos a l'empresa.
  26. Verificar que els mitjans pels quals l'interessat podrà revocar el seu consentiment no impliquen una tarificació addicional per a l'interessat.
  27. Facilitar les seves dades de contacte i estar disponible per atendre les possibles consultes dels interessats.
  28. Assegurar que els interessats rebin tota la informació abans de prestar el consentiment per al tractament de les seves dades.
  29. Analitzar tots els tractaments de dades dutes a terme per l'empresa i definir el termini de conservació.
  30. Identificar les situacions que no es requereixi informar a l'interessat de l'obtenció de les seves dades quan els mateixos no s'hagin recaptat directament de l'interessat.
  31. Classificar els documents sobre la base de criteris de confidencialitat.
  32. Assegurar que l'empresa disposa dels llistats actualitzats de tots els tractaments en els quals l'interessat és un menor d'edat.
  33. Agrupar aquestes dades en una carpeta o en un lloc separats de la resta de tractaments perquè sigui més fàcil el seu control.
  34. Limitar la realització de campanyes que impliquin el tractament de menors d'edat.
  35. Assegurar l'adopció de les obligacions recollides en el Reglament en relació al tractament de dades de menors d'edat.
  36. Establir instruccions específiques sobre el tractament de dades especialment protegides.
  37. Verificar que l'interessat hagi donat el seu consentiment explícit per al tractament d'aquestes dades.
  38. Verificar si concorre una excepció que permeti tractar les dades sense el consentiment de l'interessat.
  39.  Verificar que el tractament d'aquestes dades compleixi amb el que es disposa en el reglament.
  40. Verificar que l'empresa no tracta dades relatives a condemnes penals
  41. Verificar que en els diferents tractaments que es duen a terme en l'empresa se subministra tota la informació de manera concisa, comprensible i fàcil accés a través d'un llenguatge pla.
  42. Assegurar que es faciliti a l'interessat un sistema que pugui supervisar el tractament.
  43. Verificar que l'empresa disposa d'un protocol de resposta en el cas que un interessat exerciti el dret d'accés.
  44. Assegurar que l'empresa faciliti l'accés a les dades de l'interessat si dilacions indegudes i de manera gratuïta, llegible i intel·ligible.
  45. Verificar que l'empresa disposa d'un protocol de resposta en el cas que un interessat exerciti el dret de rectificació.
  46. Assegurar que l'empresa faciliti l'exercici del dret de rectificació a l'interessat.
  47. Assegurar que l'empresa comunica les rectificacions als destinataris als quals hagi comunicat les dades personals.
  48. Facilitar i coordinar l'exercici del dret de supressió als usuaris que compleixin amb els supòsits estipulats en el Reglament.
  49. Verificar que l'empresa d'un protocol de resposta en el cas que un interessat exerciti el dret d'oposició.
  50. Verificar que l'exercici d'oposició de l'interessat no es trobi dins de les excepcions recollides en el Reglament.
  51. Assegurar que l'empresa facilita l'exercici del dret d'oposició a l'interessat prestant especial atenció als tractaments basats en decisions automatitzades (per exemple elaboració de perfils) i els tractaments amb finalitats de Màrqueting.
  52. Assegurar que l'empresa faciliti l'exercici del dret de portabilitat de les dades als interessats transmetent les dades directament a l'un altre responsable sempre que sigui tècnicament factible.
  53. Analitzar cada sol·licitud per determinar si escau l'exercici del dret a l'oblit.
  54. Analitzar si prevalen altres drets o interessos establerts en la llei.
  55. En el supòsit que sigui obligatori facilitar l'exercici del dret a l'oblit i aplicar les mesures raonable per fer-ho efectiu.
  56. Revisar que les mesures tècniques i organitzatives que aplica el responsable del tractament siguin les apropiades.
  57. Identificar els riscos probables i que impliquin un risc alt derivat del tractament de dades personals de l'empresa.
  58. Revisar periòdicament que el responsable compleixi amb les seves obligacions.
  59. Verificar que l'empresa disposa de les degudes polítiques de protecció de dades.
  60. Identificar a tots els encarregats del tractament contractats per l'empresa i als proveïdors que accedeixen a dades personals.
  61. Definir amb Compliance el protocol de contractació d'un encarregat de tractament o d'un proveïdor amb accés a dades personals.
  62. Revisar periòdicament que els encarregats del tractament disposin del pertinent contracte o acte jurídic.
  63. Tenir llistats els codis de conducta i altres mecanismes de certificació que hagi aconseguit l'empresa.
  64. Verificar si es van renovant i/o modificant els codis de conducta i certificacions.
  65. Establir controls per verificar que es compleix el contingut dels contractes amb els encarregats del tractament.
  66. Coordinar, juntament amb el responsable, el registre de tractaments que es duen a terme en l'empresa.
  67. Verificar i fer un seguiment periòdic del registre de les activitats.
  68. Comprovar que els tractaments de dades que l'empresa pretén realitzar s'analitzi des de la fase del disseny l'impacte de la normativa de protecció de dades i s'estableixin les mesures tècniques i organitzatives oportunes.
  69. Assegurar que en el tractament de dades s'apliquin per defecte les mesures tècniques i organitzatives necessàries en funció de cada tractament.
  70. Assegurar que, davant qualsevol nou tractament en l'empresa, s'apliqui la privadesa per disseny i per defecte.
  71. Verificar, amb ajuda del responsable, que tots els tractaments compleixin amb aquesta obligació.
  72. Cooperar en l'anàlisi amb el responsable per posteriorment determinar si les mesures tècniques i organitzatives són les apropiades.
  73. Verificar que cada nou tractament queden protegits els drets dels interessats.
  74. Comprovar que els tractaments que es duen a terme en l'empresa són conformes a l'avaluació d'impacte que es va fer.
  75. Verificar que s'han tingut en compte tots els riscos identificats en l'avaluació i s'han establert les mesures de seguretat adequades a tals riscos.
  76. Revisar l'avaluació d'impacte i afegir els canvis que s'hagin produït o els nous riscos que s'hagin identificat.
  77. Assegurar que la informació a facilitar a l'autoritat de control es transmeti de manera correcta i sense dilacions indegudes.
  78. Portar un registre de totes les consultes prèvies al fet que realitzi davant l'autoritat de control.
  79. Tenir coneixement de totes les mesures de seguretat que s'estableixin en cada departament de l'empresa.
  80. Tenir un llistat de cadascuna d'elles.
  81. Portar un control periòdic que es faran test per avaluar si els controls són efectius davant possibles atacs, errors o descuits ja siguin interns o externs.
  82. Verificar que el responsable documenta qualsevol violació de les dades personals en l'empresa.
  83. Verifica que aquesta documentació inclou els fets, els seus efectes i les mesures correctores que es duguin a terme.
  84. Facilita a l'autoritat de control la verificació que es compleix amb el procediment establert en el Reglament.
  85. Portar un control de les comunicacions que es realitzin als interessats en els casos de violació de la seguretat de dades.
  86. Realitzar revisions aleatòries del contingut de les diferents notificacions que s'enviïn als interessats afectats.
  87. Conservar les evidències de tot el procediment per si, en el futur l'interessat decidís reclamar a l'empresa.
  88. Estudiar les possibilitats d'adherir-se a un codi de conducta del sector al que pertany l'empresa, en el cas que existeixi.
  89. Sol·licitar un certificat de compliment de la protecció de dades.
  90. Portar un seguiment de la certificació així com de la renovació de la mateixa cada tres anys.
  91. Conèixer els països o seccions que la Comissió hi hagi decidit que garanteixen un nivell de protecció adequat.
  92. Consultar habitualment la web oficial de la Comissió o el DOUE amb la finalitat de verificar si la Comissió segueix considerant que té un nivell de protecció adequat als països als quals l'empresa realitzi transferència de dades.
  93. Analitzar si es poden oferir les garanties adequades requerides per no haver de sol·licitar autorització a l'autoritat competent.
  94. Portar un control de les transferències internacionals.
  95. Realitzar un check list de tots els requisits que l'empresa necessitarà per poder-les dur a terme.
  96. Porta un seguiment de control de les autoritzacions atorgades amb anterioritat a l'entrada en vigor del Reglament.
  97. Controlar periòdicament que no quedin derogades, modificades o substituïdes per l'autoritat de control o la Comissió.
  98. Verificar que el contingut de les “Binding Coprporate Rules” “BCR” (Normes Corporatives Vinculants) compleix amb els requisits establerts en el Reglament.
  99. Verificar que les BCR regulen degudament els drets dels afectats i els mitjans que té per exercitar tals drets.
  100. Analitzar les excepcions establertes en el Reglament.
  101. Tramitar els processos necessaris per complir amb la mateixa quan no sigui possible acollir-se a les altres situacions establertes en la norma.
  102. Portar un registre de transferències internacionals que es facin per via de l'excepció en la qual quedi clar el motiu i la necessitat de la mateixa.
  103. Conèixer que autoritat de control és competent dels diferents tractaments de dades que l'empresa realitzi en cada estat.
  104. Conèixer les principals funcions de les activitats de les autoritats de control i, en la qual tinguin una relació important, tenir una comunicació fluïda i desenvolupar una activitat que acrediti la voluntat de complir el Reglament.
  105. Col·laborar activament en allò que pugui facilitar a les autoritats de control les seves tasques a realitzar, ja sigui proporcionant la informació que requereixin o la que arribi al seu coneixement de l'empresa i pugui ser útil per a l'autoritat de control.
  106. Identificar i conèixer l'abast dels poders de recerca, correctius, i d'autorització i consultius de les autoritats de control.
  107. El DPO deurà assegurar-se que es faciliti tota la informació que requereixin les autoritats de control en una recerca, sempre quan o que sol·licitin, sigui conforme amb la llei i, en conseqüència, pugui sol·licitar-ho.
  108. El DPO haurà de vetllar per que tot allò que sol·liciti l'autoritat de control es compleixi amb la major celeritat possible. Això sí, sempre verificant que el que se sol·licita, és conforme amb la llei i, en conseqüència, poden sol·licitar-ho.
  109. Conèixer el règim aplicable en la imposició de les sancions.
  110. Elaborar unes directrius que serveixin per prevenir les infraccions.
  111. Aplicar mesures i obtenir evidències orientades a reduir l'import de la sanció en cas d'infracció.
  112. El DPO haurà de conèixer les sancions que estableixin les normes dels estats membres en els quals l'empresa realitzi tractaments de dades.
  113. Conèixer les directrius, recomanacions i bones pràctiques que emeti el Comitè Europeu de protecció de dades.
  114. Tenir identificat i portar un seguiment de les decisions adoptades per les autoritats de control i els tribunals, portant un registre electrònic que coordina el Comitè Europeu de Protecció de Dades.
  115. El DPO haurà de tenir coneixement i facilitar tota la informació necessària per preparar la defensa dels procediments oberts contra l'empresa per haver vulnerat el dret de l'interessat com a conseqüència d'un tractament de dades personals.
  116. El DPO haurà de conèixer els supòsits en els quals es pugui suspendre un procediment de reclamació contra l'empresa.
  117. Donar assessorament al responsable del tractament en dur a terme l'avaluació d'impacte.

  119. Elaborar un registre en la qual constin totes les avaluacions d'impacte realitzades, amb la finalitat d'aprofitar-les per a futurs tractaments idèntics i similars, i no haver de repetir-les.
  120. Comprovar si l'empresa realitza tractaments inclosos en l'article 35.3 del RGPD.
  121. Comprovar periòdicament si l'empresa va a realitzar tractaments previstos en l'article 35.3 del RGPD.
  122. Comprovar si les avaluacions d'impacte realitzades en el passat cobreix l'abast dels nous tractaments.
  123. Comprovar periòdicament les llistes de tractaments subjectes o exempts d'avaluació d'impacte.
  124. Comprovar periòdicament si els tractaments que es duen a terme en l'empresa estan subjectes a una avaluació d'impacte.
  125. Assegurar que la informació a facilitar a l'Autoritat de Control es transmeti de manera correcta i sense dilacions.
  126. Portar un registre de totes les consultes prèvies que realitzi davant l'autoritat de control.
  127. Comprovar si l'empresa presta algun servei que exigeixi la utilització de dispositius connectats a internet.
  128. Comprovar si l'empresa recull dades d'usuari.
  129. Comprovar si l'empresa tracta dades d'aquests dispositius que puguin ser associats a una persona identificada o identificable.
  130. Comprovar si l'empresa informa adequadament a l'usuari dels aspectes relatius al tractament de les seves dades i drets.
  131. En el cas que el dispositiu no permeti informar a l'usuari, identificar fórmules alternatives per enviar-li la informació.
  132. Comprovar si l'empresa presta algun servei que permeti l'obtenció de dades sobre els hàbits de l'usuari del dispositiu.
  133. Comprovar si l'empresa elabora perfils dels usuaris a través d'aquestes dades.
  134. Comprovar si l'empresa informa adequadament a l'usuari d'aquestes finalitats.
  135. Comprovar si l'empresa compleix les obligacions de seguretat en els productes i serveis que subministra als usuaris.
  136. Comprovar si l'empresa té present les seves obligacions en matèries de seguretat en la fase de disseny de nous productes.
  137. Identificar els tractaments basats en tècniques BIG DATA realitzats per l'empresa.
  138. Valorar si l'empresa té un interès legítim a realitzar aquest tipus de tractaments.
  139. Assegurar la protecció de les dades personals que siguin tractats mitjançant eines Big Data.
  140. Realitzar un mapa de riscos sobre els tractaments de dades a gran escala.
  141. Identificar les campanyes publicitàries realitzades per l'empresa que es basin en el perfil o comportament de l'usuari.
  142. Valorar si l'empresa té un interès legítim a realitzar aquest tipus de tractaments.
  143. Comprovar si les dades dissociades o seudonimizados.
  144. Assegurar la protecció de les dades personals que siguin tractats en les campanyes publicitàries amb dades no dissociades.
  145. Identificar les campanyes publicitàries realitzades per l'empresa que es basa en la geolocalizació de l'usuari.
  146. Comprovar si es disposa del consentiment de l'usuari per accedir a les seves dades de geolocalizació.
  147. Comprovar si s'ha informat a l'usuari dels seus drets.
  148. Assegurar la protecció de les dades personals que siguin tractats en les campanyes publicitàries basades en la geolocalizació.
  149. Identificar les anàlisis de tendències que realitza l'empresa.
  150. Comprovar si les dades obtingudes són sotmesos a un procés de dissociació irreversible.
  151. Comprovar que només s'obtenen dades estadístiques i no identificatius.
  152. Comprovar que no s'ha realitzat cap acció posterior que obligui a conservar les dades identificat ives.
  153. Identificar si el programa de Compliance de l'empresa inclou controls basats en tècniques Big Data.
  154. Comprovar si existeix un protocol específic per realitzar aquestes anàlisis.
  155. Comprovar si el protocol ha estat valorat jurídicament i compta amb la corresponent aprovació.
  156. Comprovar que els treballadors han estat informats de l'existència d'aquestes anàlisis.
  157. Comprovar que no es produeixen violacions dels drets fonamentals dels treballadors.
  158. Verificar si l'empresa està utilitzant o ha previst utilitzar metodologies basades en Big Data per a l'anàlisi del perfil creditici.
  159. Comprovar si existeix un protocol específic per realitzar aquestes anàlisis.
  160. Comprovar si aquest protocol ha estat valorat jurídicament i compta amb la corresponent aprovació.
  161. Comprovar que els clients han estat informats de l'existència d'aquestes anàlisis.
  162. Comprovar que no es produeixen violacions dels drets fonamentals dels clients.
  163. Identificar si l'empresa està utilitzant o ha previst utilitzar informació obtinguda a les xarxes socials en els processos de selecció.
  164. Identificar si l'empresa està utilitzant o ha previst utilitzar sistema CRM socials.


Font.- Thomson Reuters - X. Ribas




                                           FUNCIONES DATA PROTECCTION OFFICER
                                           Acciones a desarrollar por el DPO

  1. Comprobar el ámbito aplicación material del Reglamento de datos que realice la empresa.
  2. Verificar los tratamientos automatizados de datos personales que realiza la empresa en cada departamento.
  3. Verificar los tratamientos no automatizados de datos personales que realiza la empresa.
  4. Valorar si los tratamientos realizados por la empresa están expresamente excluidos del ámbito de aplicación.
  5. Verificar si la empresa realiza tratamientos excluidos por el Reglamento.
  6. Comprobar si los datos se tratan en otros países donde no rijan las mismas excepciones.
  7. Comprobar si las Autoridades han dictaminado una excepción a alguno de los tratamientos.
  8. Comprobar en qué países realiza tratamientos la empresa.
  9. Realizar un mapa global de tratamientos, ubicando cada uno de los tratamientos en el planisferio.
  10. Delimitar el ámbito de aplicación material y  territorial del Reglamento a los tratamientos de datos que realice la empresa.
  11. Valorar si cumple los requisitos de los distintos supuestos que determinarían la aplicación del Reglamento.
  12. Analizar si resultan aplicables a los tratamientos las leyes de otros países.
  13. Es muy importante DPO tenga el nivel de protección que cada país ofrece en materia de datos personales.
  14. Conocer en profundidad el significado de los conceptos que utiliza el Reglamento y mantener actualizada la formación al respecto.
  15. Formar el personal de la empresa que, por su trabajo, responsabilidad o cargo, trabaje con datos de carácter personal.
  16. Facilitar y explicar a los responsables y colaboradores una checklist para comprobar si un dato es personal y como consecuencia del mismo debe ser acorde a la normativa vigente de protección de datos.
  17. Realizar comprobaciones periódicas de los posibles tratamientos de datos personales que realiza la empresa que no hayan sido comunicados o detectados desde el inicio del tratamiento.
  18. Facilitar a  los responsables y colaboradores de Marketing una checklist para comprobar si la empresa está elaborando perfiles.  Asimismo llevar un control sobre los tratamientos de datos que supongan la elaboración de perfiles.
  19. Asegurar la licitud y la legitimidad de los tratamientos de datos personales de la empresa.
  20. Solicitar la colaboración del responsable del tratamiento para asegurar esta finalidad.
  21. Asegurar la existencia de garantías adecuadas.
  22. Cuando el tratamiento se basa en el consentimiento del interesado, corresponderá a responsable del tratamiento demostrar que el interesado prestó consentimiento por cualquier medio de prueba admisible en derecho. La carga de la prueba recae en el responsable del tratamiento.
  23. Verificar que la obtención de los consentimientos de los interesados se cumplan las condiciones exigidas en el Reglamento.
  24. Verificar que el procedimiento de captación y baja del consentimiento sea clara, concisa y sin perturbaciones.
  25. Garantizar el derecho de revocación del consentimiento a través de medios sencillos, gratuitos y que no impliquen ingresos a la empresa.
  26. Verificar que los medios por los que el interesado podrá revocar su consentimiento no implican una tarificación adicional para el interesado.
  27. Facilitar sus datos de contacto y estar disponible para atender las posibles consultas de los interesados.
  28. Asegurar que los interesados reciban toda la información antes de prestar el consentimiento para el tratamiento de sus datos.
  29. Analizar todos los tratamientos de datos llevados a cabo por la empresa y definir el plazo de conservación.
  30. Identificar las situaciones que no se requiera informar al interesado de la obtención de sus datos cuando los mismos no se hayan recabado directamente del interesado.
  31. Clasificar los documentos en base a criterios de confidencialidad.
  32. Asegurar que la empresa dispone de los listados actualizados de todos los tratamientos en los que el interesado es un menor de edad.
  33. Agrupar  dichos datos en una carpeta o en un lugar separados del resto de tratamientos para que sea más fácil su control.
  34. Limitar la realización de campañas que impliquen el tratamiento de menores de edad.
  35. Asegurar la adopción de las obligaciones recogidas en el Reglamento en relación al tratamiento de datos de menores de edad.
  36. Establecer instrucciones  específicas sobre el tratamiento de datos especialmente protegidos.
  37. Verificar que el interesado haya dado su consentimiento explícito para el tratamiento de dichos datos.
  38. Verificar si concurre una excepción que permita tratar los datos sin el consentimiento del  interesado.
  39. Verificar que el tratamiento de dichos datos cumpla con lo dispuesto en el reglamento.
  40. Verificar que la empresa no trata datos relativos a condenas penales.
  41. Verificar que en los diferentes tratamientos que se llevan a cabo en la empresa se suministra toda la información de  manera concisa, comprensible y fácil acceso a través de un lenguaje llano.
  42. Asegurar que se facilite al interesado un sistema que pueda supervisar el tratamiento.
  43. Verificar que la empresa dispone de un protocolo de respuesta en el caso de que un interesado ejercite el derecho de acceso.
  44. Asegurar que la empresa facilite el acceso a los datos del interesado si dilaciones indebidas y de manera gratuita, legible e inteligible.
  45. Verificar que la empresa dispone de un protocolo de respuesta en el caso que un interesado ejercite el derecho de rectificación.
  46. Asegurar que la empresa facilite el  ejercicio del derecho de rectificación al interesado.
  47. Asegurar que la empresa comunica las rectificaciones a los destinatarios  a los que haya comunicado los datos personales.
  48. Facilitar y coordinar el ejercicio del derecho de supresión a los usuarios que cumplan con los supuestos estipulados en el Reglamento.
  49. Verificar que la empresa de un protocola de respuesta en el caso que un interesado ejercite el derecho de oposición.
  50. Verificar que el ejercicio de oposición del interesado no se encuentre dentro de las excepciones recogidas en el Reglamento.
  51. Asegurar que la empresa facilita el ejercicio del derecho de oposición al interesado prestando especial atención a los tratamientos basados en decisiones automatizadas (por ejemplo elaboración de perfiles) y los tratamientos con fines de Marketing.
  52. Asegurar que la empresa facilite el ejercicio del derecho de portabilidad de los datos a los interesados transmitiendo  los datos directamente al otro responsable siempre y cuando sea técnicamente factible.
  53. Analizar cada solicitud para determinar si procede el ejercicio del derecho al olvido.
  54. Analizar si prevalecen otros derechos o intereses establecidos en la ley.
  55. En el supuesto que sea obligatorio facilitar el ejercicio del derecho al olvido y aplicar las medidas razonable para hacerlo efectivo.
  56. Revisar que las medidas técnicas y organizativas que aplica el responsable del tratamiento sean las apropiadas.
  57. Identificar  los riesgos probables y que impliquen un riesgo alto derivado del tratamiento de datos personales de la empresa.
  58. Revisar periódicamente que el responsable cumpla con sus obligaciones.
  59. Verificar que la empresa dispone de las debidas políticas de protección de datos.
  60. Identificar a todos los encargados del tratamiento contratados por la empresa y a los proveedores que acceden a datos personales.
  61. Definir con Compliance el protocolo de contratación de un encargado de tratamiento o de un proveedor con acceso a datos personales.
  62. Revisar periódicamente que los encargados del tratamiento dispongan del pertinente contrato o acto jurídico.
  63. Tener listados los códigos de conducta y demás mecanismos de certificación que haya conseguido la empresa.
  64. Verificar si se van  renovando y/o  modificando los códigos de conducta y certificaciones.
  65. Establecer controles para verificar que se cumple  el contenido de los contratos  con los encargados del tratamiento.
  66. Coordinar, junto con el responsable, el registro de tratamientos que se llevan a cabo en la empresa.
  67. Verificar y hacer un seguimiento periódico del registro de las actividades.
  68. Comprobar que los tratamientos de datos que la empresa pretende realizar se analice desde la fase del diseño el impacto de la normativa de protección de datos y se establezcan las medidas técnicas y organizativas oportunas.
  69. Asegurar que en el tratamiento de datos se apliquen por defecto las medidas  técnicas y organizativas necesarias en función de cada tratamiento.
  70. Asegurar que, ante cualquier nuevo tratamiento en la empresa, se aplique la privacidad por diseño y por defecto.
  71. Verificar, con ayuda del responsable,  que todos los tratamientos cumplan con dicha obligación.
  72. Cooperar en el análisis con el responsable para posteriormente determinar si las medidas técnicas y organizativas son las apropiadas.
  73. Verificar que cada nuevo tratamiento quedan protegidos los derechos de los interesados.
  74. Comprobar que los tratamientos que se llevan a cabo en la empresa son conformes a la evaluación de impacto que se hizo.
  75. Verificar que se han tenido en cuenta todos los riesgos identificados en la evaluación y se han establecido las medidas de seguridad adecuadas a tales riesgos.
  76. Revisar la evaluación de impacto y añadir los cambios que se hayan producido o los nuevos riesgos que se hayan identificado.
  77. Asegurar que la información a facilitar a la autoridad de control se transmita de manera correcta y sin dilaciones indebidas.
  78. Llevar un registro de todas las consultas previas a que realice ante la autoridad de control.
  79. Tener conocimiento de todas las medidas de seguridad que se establezcan en cada departamento de la empresa.
  80. Tener un listado de cada una de ellas.
  81. Llevar un control periódico que se harán test para evaluar si los controles son efectivos ante posibles ataques, errores o descuidos ya sean internos o externos.
  82. Verificar que el responsable documenta cualquier violación de los datos personales en la empresa.
  83. Verifica que dicha documentación incluye los hechos, sus efectos y las medidas correctoras que se lleven a cabo.
  84. Facilita a la autoridad de control la verificación que se cumple con el procedimiento establecido en el Reglamento.
  85. Llevar un control de las comunicaciones que se realicen a los interesados en los casos de violación de la seguridad de datos.
  86. Realizar revisiones aleatorias del contenido de las diferentes notificaciones que se envíen a los interesados afectados.
  87. Conservar las evidencias de todo el procedimiento por si, en el futuro el interesado decidiera reclamar a la empresa.
  88. Estudiar las posibilidades de adherirse a un código de conducta del sector al que pertenece la empresa, en el caso de que exista.
  89. Solicitar un certificado de cumplimiento de la protección de datos.
  90. Llevar un seguimiento de la certificación así como de la renovación de la misma cada tres años.
  91. Conocer los países o secciones que la Comisión haya decidido que garantizan un nivel de  protección  adecuado.
  92. Consultar habitualmente la web oficial de la Comisión o el DOUE con el fin de verificar si la Comisión sigue considerando que tiene un nivel de protección adecuado a los países a los que la empresa realice transferencia de datos.
  93. Analizar si se pueden ofrecer las garantías adecuadas requeridas para no tener que solicitar autorización a la autoridad competente.
  94. Llevar un control de las transferencias internacionales.
  95. Realizar un check list de todos los requisitos que la empresa necesitará para poderlas llevar a cabo.
  96. Lleva un seguimiento de control de las autorizaciones otorgadas con anterioridad a la entrada en vigor del Reglamento.
  97. Controlar periódicamente que no queden derogadas, modificadas o sustituidas por la autoridad de control o la Comisión.
  98. Verificar que el contenido de las “Binding Coprporate Rules” “BCR” (Normas Corporativas Vinculantes) cumple con los requisitos establecidos en el Reglamento.
  99. Verificar que las BCR regulan debidamente los derechos de los afectados y los medios que tiene para ejercitar tales derechos.
  100. Analizar las excepciones establecidas en el Reglamento.
  101. Tramitar los procesos necesarios para cumplir con la misma cuando no sea posible acogerse a las demás situaciones establecidas en la norma.
  102. Llevar un registro de transferencias internacionales que se hagan por vía de la excepción en la que quede claro el motivo y la necesidad de la misma.
  103. Conocer que autoridad de control es competente de los distintos tratamientos de datos que la empresa realice en cada estado.
  104. Conocer las principales  funciones de las actividades de las autoridades de control y, en la que tengan una relación importante, tener una comunicación fluida y desarrollar una actividad que acredite la voluntad de cumplir  el Reglamento.
  105. Colaborar activamente en aquello que pueda facilitar a las autoridades de control sus tareas a realizar, ya sea proporcionando la información que requieran o la que llegue a su conocimiento de la empresa y pueda ser útil para la autoridad de control.
  106. Identificar y conocer el alcance de los poderes de investigación, correctivos, y de autorización y consultivos de las autoridades de control.
  107. El DPO deberá de asegurarse que se facilite toda la información que requieran las autoridades de control en una investigación, siempre cuando o que soliciten, sea acorde con la ley y, en consecuencia, pueda solicitarlo.
  108. El DPO deberá velar por que todo aquello que solicite la autoridad de control se cumpla con la mayor celeridad posible. Eso sí, siempre verificando que lo que se solicita, es acorde con la ley y, en consecuencia, pueden solicitarlo.
  109. Conocer el régimen aplicable en la imposición de las sanciones.
  110. Elaborar unas directrices que sirvan para prevenir las infracciones.
  111. Aplicar medidas y obtener evidencias orientadas a reducir el importe de la sanción en caso de infracción.
  112. El DPO deberá conocer las sanciones que establezcan las normas de los estados miembros en los que la empresa realice tratamientos de datos.
  113. Conocer las directrices, recomendaciones y buenas prácticas que emita el Comité Europeo de protección de datos.
  114. Tener identificado y llevar un seguimiento de las decisiones adoptadas por las autoridades de control y los tribunales, llevando un registro electrónico que coordina el Comité Europeo de Protección de Datos.
  115. El DPO deberá tener conocimiento y facilitar toda la información necesaria para preparar la defensa de los procedimientos abiertos contra la empresa por haber vulnerado el derecho del interesado como consecuencia de un tratamiento de datos personales.
  116. El DPO deberá conocer los supuestos en los que se pueda suspender un procedimiento de reclamación contra la empresa.
  117. Dar asesoramiento al responsable del tratamiento al llevar a cabo la evaluación de impacto.
  118. Elaborar un registro en la que consten todas las evaluaciones de impacto realizadas, con el fin de aprovecharlas para futuros tratamientos idénticos y similares, y no tener que repetirlas.
  119. Comprobar si la empresa realiza tratamientos incluidos en el artículo 35.3 del RGPD.
  120. Comprobar periódicamente si la empresa va a realizar tratamientos previstos en el artículo 35.3 del RGPD.
  121. Comprobar si las evaluaciones de impacto realizadas en el pasado cubre el alcance de los nuevos tratamientos.
  122. Comprobar periódicamente las listas de tratamientos sujetos o exentos de evaluación de impacto.
  123. Comprobar periódicamente si los tratamientos que se llevan a cabo en la empresa están sujetos a una evaluación de impacto.
  124. Asegurar que la información a facilitar a la Autoridad de Control se transmita de manera correcta y sin dilaciones.
  125. Llevar un registro de todas las consultas previas que realice ante la autoridad de control.
  126. Comprobar si la empresa presta algún servicio que exija la utilización  de dispositivos conectados a internet.
  127. Comprobar si la empresa recoge datos de usuario.
  128. Comprobar si la empresa trata datos de estos dispositivos que puedan ser asociados a una persona identificada o identificable.
  129. Comprobar si la empresa informa adecuadamente al usuario de los aspectos relativos al tratamiento de sus datos y derechos.
  130. En el caso que el dispositivo no permita informar al usuario, identificar fórmulas alternativas para enviarle la información.
  131. Comprobar si la empresa presta algún servicio que permita la obtención de datos sobre los hábitos del usuario del dispositivo.
  132. Comprobar si la empresa elabora perfiles de los usuarios a través de dichos datos.
  133. Comprobar si la empresa informa adecuadamente al usuario de dichas finalidades.
  134. Comprobar si la empresa cumple las obligaciones de seguridad en los productos y servicios que suministra a los usuarios.
  135. Comprobar si la empresa tiene presente sus obligaciones en materias de seguridad en la fase de diseño de nuevos productos.
  136. Identificar los tratamientos basados en técnicas BIG DATA realizados por la empresa.
  137. Valorar si la empresa tiene un interés legítimo en realizar este tipo de tratamientos.
  138. Asegurar la protección de los datos personales que sean tratados mediante herramientas Big Data.
  139. Realizar un mapa de riesgos sobre los tratamientos de datos a gran escala.
  140. Identificar las campañas publicitarias realizadas por la empresa que se basen en el perfil o comportamiento del usuario.
  141. Valorar si la empresa tiene un interés legítimo en realizar este tipo de tratamientos.
  142. Comprobar si los datos disociados o seudonimizados.
  143. Asegurar la protección de los datos personales que sean tratados en las campañas publicitarias con datos no disociados.
  144. Identificar las campañas publicitarias realizadas por la empresa que se basa en la geolocalización del usuario.
  145. Comprobar si se dispone del consentimiento del usuario para acceder a sus datos de geolocalización.
  146. Comprobar si se ha informado al usuario de sus derechos.
  147. Asegurar la protección de los datos personales que sean tratados  en las campañas publicitarias basadas en la geolocalización.
  148. Identificar los análisis de tendencias que realiza la empresa.
  149. Comprobar si los datos obtenidos son sometidos a un proceso de disociación  irreversible.
  150. Comprobar que sólo se obtienen datos estadísticos y no identificativos.
  151. Comprobar que no se ha realizado ninguna acción posterior que obligue a conservar los datos identificativos.
  152. Identificar si el programa de Compliance de la empresa incluye controles basados en técnicas Big Data.
  153. Comprobar si existe un protocolo específico para realizar estos análisis.
  154. Comprobar si el protocolo ha sido valorado jurídicamente y cuenta con la correspondiente aprobación.
  155. Comprobar que los trabajadores han sido informados de la existencia de estos análisis.
  156. Comprobar que no se producen violaciones de los derechos fundamentales de los trabajadores.
  157. Verificar si la empresa está utilizando o ha previsto utilizar metodologías basadas en Big Data para el análisis del perfil crediticio.
  158. Comprobar si existe un protocolo específico para realizar estos análisis.
  159. Comprobar si este protocolo ha sido valorado jurídicamente y cuenta con la correspondiente aprobación.
  160. Comprobar que los clientes han sido informados de la existencia de estos análisis.
  161. Comprobar que no se producen violaciones de los derechos fundamentales de los clientes.
  162. Identificar si la empresa está utilizando o ha previsto utilizar información obtenida en las redes sociales en los procesos de selección.
  163. Identificar si la empresa está utilizando o ha previsto utilizar sistema CRM sociales.
Fuente.- Thomson Reuters - X. Ribas


Share by: