La protección de los datos generados o recopilados en un despacho profesional, es una cuestión de vital importancia y una obligación legal. Con la entrada en vigor del Reglamento Europeo de Protección de Datos, se ha abierto un nuevo marco normativo en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
La protección de datos de carácter personal, establece una serie de obligaciones a nivel legal, organizativo, formativo e informativo para empresas, profesionales y administraciones públicas que sean titular de datos de carácter personal.
El desconocimiento no exime a los despachos profesionales del cumplimiento de la normativa y por tanto tampoco los libra de recibir las sanciones económicas que suponen su incumplimiento.
Tanto la obligación de cumplir con la ley como las sanciones son independientes respecto al tamaño de la empresa y el tipo de actividad. Todos somos iguales ante la ley.
Este Manual Práctico permitirá a los profesionales la implementación en sus despachos de todas las medidas necesarias para garantizar los criterios de seguridad obligatorios para la protección de datos personales de sus clientes. Es decir, la integridad, la confidencialidad, la disponibilidad y, por último, la resiliencia.
I. Introducción
1. El Reglamento (UE) 2016/679 y su aplicación efectiva y los cambios legislativos que provoca
2. El ámbito de aplicación de la nueva normativa
A) Subjetivo
B) Objetivo
C) Material
D) Territorial
3. Los nuevos fundamentos de que parte el RGPD
A) La responsabilidad proactiva
B) El riesgo
C) El empoderamiento del ciudadano, y la confianza y la transparencia en el tratamiento de datos personales
D) El criterio relativo a la autoorganización
E) La existencia de una mayor responsabilidad en el responsable y en el encargado de tratamiento y el consiguiente aumento de las sanciones previstas: ejercicio de una protección de datos de carácter preventiva
F) Los principios que informan el nuevo régimen jurídico de la protección de datos de carácter personal
II. Pautas para la implantación del nuevo régimen jurídico establecido por el RGPD
1. Nombramiento de un delegado de protección de datos
2. Creación de un registro general de actividad
3. Determinación de la base de legitimación
A) El consentimiento
B) La relación contractual
C) Los intereses vitales del interesado o de otras personas
D) La existencia de una obligación legal para el responsable
E) La existencia de un interés público o ejercicio de poderes públicos
F) La existencia de unos intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos
4. El deber de información al interesado
5. La consideración de los derechos reconocidos en el RGPD
A) El derecho de acceso
B) El derecho de rectificación
C) El derecho de cancelación/supresión/derecho al olvido
D) El derecho de limitación del tratamiento
E) El derecho a la portabilidad
F) El derecho de oposición al tratamiento, incluida la elaboración de perfiles
6. Las relaciones entre el responsable y el encargado del tratamiento. El tratamiento de datos por terceros. Los contratos de prestación de servicios y las nuevas exigencias de la contratación
A) El profesional como responsable del tratamiento
B) Obligaciones fundamentales del profesional en su actuación como responsable del tratamiento
C) El profesional como encargado del tratamiento
D) ¿Cuál es el contenido de un contrato de prestación de servicios, o de encargo de tratamiento a tercero, tras la aplicación efectiva del Reglamento General?
E) Otras cuestiones que se deben tener en consideración
F) El tratamiento por abogados y procuradores de los datos de las partes en un proceso
G) ¿Cómo debería ser la firma de un correo electrónico profesional tras la entrada en vigor del Reglamento General?
H) ¿Qué son los corresponsables del tratamiento?
I) Los representantes de responsables o encargados del tratamiento no establecidos en la Unión Europea
J) El tratamiento bajo la autoridad del responsable o del encargado del tratamiento
7. Las medidas de responsabilidad activa
A) La protección de datos desde el diseño y por defecto
B) La evaluación de impacto relativa a la protección de datos
C) La consulta previa a la Agencia Española de Protección de Datos
8. Las transferencias internacionales de datos
A) Introducción
B) Las transferencias basadas en una decisión de adecuación
C) Las transferencias mediante garantías adecuadas
D) Las normas corporativas vinculantes (BCR)
E) Las excepciones para situaciones específicas
9. La seguridad de los tratamientos y las fugas de información
A) Las medidas de seguridad
B) Las fugas de información o las brechas de seguridad
10. La suscripción de códigos de conducta 11. La certificación en materia de protección de datos y de sellos y marcas de protección de datos
12. Check-list de valoración de estado
A) Cuestionario de verificación para responsables del tratamiento
B) Cuestionario de evaluación de implantación del Reglamento General de Protección de Datos
III. Legislación sobre protección de datos
1. Reglamento (UE) 2016/679, Reglamento General de Protección de Datos
2. Guía acerca del Escudo de Privacidad
3. Resolución R/02302/2017 de la Agencia Española de Protección de Datos (Grupos de WhatsApp)
4. Catálogo de datos especiales
IV. Glosario
JAVIER PUYOL MONTERO
Socio Director de PUYOL-ABOGADOS