El Reglamento General de Protección de Datos (RGPD) ya ha planteado muchas controversias, y una de las más importantes es sin duda qué documentos son necesarios. Por ejemplo, a menudo se ven empresas que piensan que tener una política de privacidad y un formulario de consentimiento en su sitio web es suficiente; sin embargo, esta es solo una pequeña parte de los documentos que se requieren para cumplir totalmente con este nuevo reglamento de privacidad.
Por ello, hemos creado una lista de los requisitos de documentación del RGPD que le ayude a encontrar todos los documentos obligatorios en un solo lugar. Tenga en cuenta que los nombres de los documentos no están prescritos por el RGPD, por lo que puede usar otros títulos; también puede fusionar algunos de estos documentos.
Documentos y registros obligatorios requeridos por el RGPD de la UE
Aquí están los documentos que debe de tener si quiere cumplir totalmente con el RGPD:
- Política de Protección de Datos Personales (Artículo 24): este es un documento de alto nivel para la gestión de privacidad en su empresa, que define lo que usted quiere alcanzar y cómo. Vea también: Contenido de la Política de Protección de Datos según el RGPD.
- Aviso de Privacidad (Artículos 12, 13, y 14): este documento (que puede ser también publicado en su página web) explica en palabras sencillas cómo se tratarán los datos personales de sus clientes, visitantes del sitio web, y otros.
- Aviso de Privacidad de los Empleados (Artículos 12, 13 y 14): explica cómo su empresa va a tratar datos personales de sus empleados (que pueden incluir registros de salud, antecedentes penales, etc.)
- Política de Retención de Datos (Artículos 5, 13, 17, y 30): describe el proceso de decidir cuánto tiempo va a guardarse un tipo de datos personales en particular, y cómo se destruirá de forma segura.
- Programa de Retención de Datos (Artículo 30): enumera todos sus datos personales y describe cuánto tiempo cada tipo de datos se conservará.
- Formulario de Consentimiento del Interesado (Artículos 6, 7, y 9): esta es la forma más común de obtener el consentimiento de un interesado/a para tratar sus datos personales. Conozca más aquí: ¿Es necesario el consentimiento? Seis bases jurídicas para tratamiento de datos de acuerdo al RGPD.
- Formulario de Consentimiento Paterno (Artículo 8): si el interesado tiene menos de 16 años, entonces el padre necesita proporcionar el consentimiento para tratar los datos personales.
- Registro de EIPD (Artículo 35): aquí es donde registra todos los resultados de la Evaluación de Impacto de Protección de Datos. Vea este webinar: Seven steps of Data Protection Impact Assessment (DPIA) according to EU GDPR.
- Acuerdo de Tratamiento de Datos del Proveedor (Artículos 28, 32, y 82): necesita este documento para regular la protección de datos con un encargado de tratamiento o cualquier otro proveedor.
- Procedimiento de Respuesta a la Violación de Seguridad de Datos (Artículos 4, 33, y 34): describe que hacer antes, después, durante y después de una violación de seguridad de datos.
- Registro de Violación de Seguridad de Datos (Artículo 33): aquí es donde registrará todas las violaciones de seguridad de datos (esperemos que sea muy corto)
- Formulario de Notificación de Violación de Seguridad de Datos a la Autoridad de Control (Artículo 33): en caso de tener una violación de seguridad de datos, tendrá que notificarlo formalmente a la Autoridad de Control.
- Formulario de Notificación de Violación de Seguridad de Datos a los Interesados (Artículo 34): de nuevo, en caso de una violación de seguridad de datos, tendrá la desagradable obligación de notificar a los interesados de manera formal
Documentos necesarios bajo ciertas condiciones
Necesitará los siguientes documentos si las condiciones que se encuentran a continuación aplican:
- Descripción del Puesto de Delegado de Protección de Datos (Artículos 37, 38, y 39): necesitará tener un Delegado de Protección de Datos (DPD) si (a) el tratamiento es llevado a cabo bajo una autoridad u organismo público, a excepción de los tribunales que actúan en su capacidad judicial; o (b) las actividades centrales consisten en operaciones de tratamiento que precisan un seguimiento regular y sistemático de los interesados a gran escala; o (c) las actividades centrales tratan una categoría especial a gran escala de datos y datos personales relacionados con condenas y delitos penales. Conozca lo que el DPD debe hacer en esta formación gratuita en línea: GDPR Data Protection Officer Course.
- Listado de Actividades de Tratamiento (Artículo 30): este documento es obligatorio si (a) la empresa tiene más de 250 empleados; o (b) el tratamiento que lleva a cabo la empresa puede resultar en un riesgo para los derechos y libertades de los interesados; o (c) el tratamiento no es ocasional; o (d) el tratamiento incluye categorías especiales de datos; o (e) el tratamiento incluye datos personales relacionados con condenas y delitos penales.
- Cláusulas Contractuales Estándar para la Transferencia de Datos Personales a Responsables (Artículo 46): obligatorio si transfiere datos personales a un responsable fuera del Área Económica Europea (AEE) y se ampara en cláusulas modelo como la base legal para las transferencias transfronterizas de datos.
- Cláusulas Contractuales Estándar para la Transferencia de Datos Personales a Encargados (Artículo 46): obligatorio si transfiere datos personales a un encargado fuera del Área Económica Europea (AEE) y se ampara en cláusulas modelo como la base legal para las transferencias transfronterizas de datos.
Documentos no obligatorios
Aquí están los documentos que no son requeridos por el RGPD: Sin embargo, podría encontrar esta clase de documentos bastante útil si quiere mantener su cumplimiento sin preocupaciones:
- Evaluación de Preparación del RGPD: útil si quiere encontrar la diferencia entre lo que tiene y lo que requiere el RGPD. Vea también: EU GDPR Readiness Assessment Tool.
- Plan de Proyecto para Cumplir con el RGPD de la UE: útil si es una empresa de tamaño mediano o grande y quiere saber exactamente quién es responsable del cumplimiento y cuáles son los plazos. Descargue aquí un Plan de Proyecto del RGPD gratuito.
- Política de Protección de Datos Personales de los Empleados (Artículo 24): parecido a la Política de Protección de Datos Personales de alto nivel, pero este se centra específicamente en sus empleados.
- Registro de Avisos de Privacidad (Artículos 12, 13, y 14): puede ser bastante útil si usted ha publicado avisos de privacidad en varios sitios y quiere tener el control de todos ellos
- Directrices para el Inventario de Datos y la Asignación de Actividades de Tratamiento (Artículo 30): como probablemente necesite un Inventario de Actividades de Tratamiento, estas directrices le ayudarán a completar ese documento.
- Formulario de Retirada del Consentimiento del Interesado (Artículo 7): documento de utilidad cuando el interesado quiere retirar su consentimiento.
- Formulario de Retirada del Consentimiento Paterno (Artículo 8): documento de utilidad cuando se trata de un interesado menor de 16 años.
- Procedimiento de Solicitud de Acceso del Interesado (Artículos 7, 15, 16, 17, 18, 20, 21, y 22): le ayuda a definir quién hace qué cuando se recibe tal solicitud (lo cual probablemente ocurrirá).
- Formulario de Solicitud de Acceso del Interesado (Artículo 15): hace más fácil gestionar dichas solicitudes tanto al interesado como a usted ya que se tiene una idea clara de qué es lo quiere el interesado.
- Formulario de Comunicación del Interesado (Artículo 15): sabrá con exactitud qué información enviar una vez haya recibido la solicitud de acceso del interesado.
- Metodología de Evaluación de Impacto de Protección de Datos (Artículo 35): debido a que esta probablemente es la tarea más compleja en su proyecto de cumplimiento con el RGPD, encontrará directrices bastante útiles sobre cómo realizar una EIPD.
- Procedimiento de Transferencia de Datos Personales Transfronteriza (Artículos 1, 44, 45, 46, 47 y 49): usted encontrará su utilidad como una guía en caso de transferir datos personales fuera del Área Económica Europea.
- Cuestionario de Cumplimiento del RGPD del Encargado (Artículos 28 y 32): lo encontrará muy útil al realizar la “due dilligence” de un encargado.
- Documentos que regulan la seguridad de los datos personales (Artículo 32): ej. Política de Seguridad de TI, Política de Control de Acceso, Procedimientos de Seguridad del Departamento de TI, Política de Trae Tu Propio Dispositivo (BYOD), Política de Dispositivos Móviles y Teletrabajo, Política de Pantalla y Escritorio Limpios, Política de Clasificación de la Información, Política de Anonimización y Seudonimización, Política del Uso del Encriptado, Plan de Recuperación ante Desastres, Procedimiento para Auditoria Interna, Lista de Verificación de Auditoria Interna de ISO 27001. Estos son los documentos que encontrará muy útiles para la protección de datos; la forma más sencilla es utilizar como guía una norma de seguridad de la información ISO 27001.
Aquí puede descargar una muestra gratuita del Paquete de Documentos del RGPD de la UE, donde puede ver la estructura y parte del texto para cada uno de los documentos mencionados anteriormente.