GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

MEDIDAS DE SEGURIDAD

Solicitar consulta previa con la autoridad de protección de datos

En algunos casos, las empresas deben solicitar una consulta previa con la autoridad de protección de datos tras llevar a cabo una evaluación de impacto. Así se establece en el artículo 36 del RGPD (Reglamento General de Protección de Datos de la UE).

Consulta previa

La consulta previa significa que la empresa y la autoridad de protección de datos evalúan conjuntamente y en consulta el tratamiento previsto. Si la autoridad de protección de datos considera que el procesamiento planificado violaría el RGPD, puede proporcionar asesoramiento por escrito. Además, la autoridad de protección de datos tiene derecho a adoptar las medidas que sean de su competencia en virtud del artículo 58 del RGPD.

What breaches of the GDPR can lead to an administrative fine?

Solicitud de consulta previa a la autoridad de protección de datos tras una evaluación de impacto

Cuando exista un alto riesgo para los derechos y libertades de los interesados al tratar datos personales, la empresa debe llevar a cabo una evaluación de impacto.

Existen varios tipos de evaluaciones de impacto. Tales como:

Measures that companies need to take to comply with GDPR

Evaluación de impacto de la protección de datos (DPIA)

La finalidad de este tipo de evaluación de impacto es proteger las libertades y los derechos de los interesados y prevenir los riesgos para el tratamiento de datos personales. Es un proceso documentado continuo que permite a la empresa cumplir con RGPD. Por lo tanto, no es una actividad que solo se realiza una vez con un acabado claro. El proceso proporciona apoyo para ver si los riesgos del procesamiento son proporcionales al propósito del procesamiento.

What is the definition of anonymised data?

Evaluación de impacto sobre las transferencias de datos (TIA)

Este tipo de evaluación de impacto debe llevarse a cabo antes de que los datos personales se transfieran a un tercer país fuera de la UE/EEE que no tenga una decisión de adecuación. Solo la Comisión Europea puede decidir si un tercer país garantiza un nivel adecuado de protección. La finalidad de una evaluación de impacto sobre la transferencia de datos es evaluar los posibles riesgos y consecuencias para los interesados de una transferencia de sus datos personales a ese tercer país. Por ejemplo, el riesgo de que no puedan cumplirse los derechos de los interesados. Además, es importante identificar las medidas adecuadas para minimizar los riesgos.

Cuando el riesgo para los interesados siga siendo elevado, la empresa solicitará una consulta previa a la autoridad nacional de protección de datos antes de llevar a cabo el tratamiento. Tenga en cuenta que las empresas deben realizar una evaluación de impacto antes de solicitar la consulta previa. 

Qué deben hacer las empresas antes de solicitar una consulta previa

  1. Llevar a cabo una evaluación de impacto de conformidad con el artículo 35 del RGPD. 
  2. Tomar las medidas adecuadas para limitar los riesgos asociados con el procesamiento. 
  3. Si los riesgos persisten, la empresa solicitará una consulta previa a la autoridad nacional de protección de datos. 

Información que debe facilitarse a la autoridad nacional de protección de datos

Responsabilidades

El solicitante de la consulta previa debe facilitar información sobre el reparto de responsabilidades. Especialmente si se trata de un grupo de empresas. Por ejemplo, quién es el procesador, si dos o más son controladores conjuntos, etc.

Finalidad

Es importante que se indique claramente la finalidad del tratamiento. En otras palabras, por qué el procesamiento debe llevarse a cabo.

Acciones

Las medidas de seguridad técnicas y organizativas adoptadas por la empresa para proteger los derechos y libertades de los interesados.

Delegado de protección de datos

Algunas empresas necesitan tener un oficial de protección de datos. Sin embargo, hay otras compañías que no necesitan tenerlo, pero voluntariamente eligen tenerlo como una medida para mejorar la privacidad. Independientemente de la razón por la que la empresa tenga un delegado de protección de datos, los datos de contacto del delegado de protección de datos deben facilitarse a la autoridad de protección de datos.

Evaluación de impacto

La empresa presentará su evaluación de impacto documentada.

Información previa solicitud

Después de que la empresa haya presentado su solicitud de consulta previa con la autoridad de protección de datos, la autoridad de protección de datos podrá solicitar más información para realizar su evaluación. En tales casos, la empresa facilitará la información adicional solicitada.

Respuesta de la autoridad de protección de datos a la consulta previa

La autoridad de protección de datos que recibe la solicitud de consulta previa dispone de ocho (8) semanas para responder. Sin embargo, pueden ampliar este límite de tiempo en ciertos casos. Por ejemplo, si la consulta previa se refiere a un tratamiento muy complejo de datos personales. La autoridad de protección de datos podrá prorrogar el plazo por un máximo de seis (6) semanas más, pero deberá informar de ello a la empresa en el plazo de un mes a partir de la recepción de la solicitud. 

Si el procesamiento no cumple con RGPD

Si la autoridad de protección de datos considera que el procesamiento no cumple con el RGPD, puede prohibir el procesamiento. Alternativamente, pueden proporcionar asesoramiento sobre cómo la empresa debe proceder para cumplir con RGPD al procesar. La autoridad de protección de datos también puede adoptar las demás medidas establecidas en el artículo 58 del RGPD, que describe las competencias de una autoridad de protección de datos.

En algunos casos, la empresa puede no recibir una respuesta dentro de las ocho (8) semanas, como estipula la regla principal bajo el RGPD. Por ejemplo, puede ser porque se ha producido un error. En otras palabras, esto no significa que el procesamiento sea aprobado por la autoridad de protección de datos solo porque no hayan dado retroalimentación con su respuesta al caso. 

RGPD - UE

Seguridad de la información

Las empresas tienen la obligación de proteger los datos personales tratados. Esto significa que la empresa debe tomar las medidas de seguridad técnicas y organizativas adecuadas. Cuanto más importantes sean los datos personales, mayores serán los requisitos de seguridad. Ejemplos de medidas de seguridad técnicas y organizativas son la capacitación del personal, instrucciones y procedimientos escritos, control de acceso, tener archivos de respaldo y programas antivirus, autenticación de múltiples pasos al iniciar sesión, etc.

¿Quieres saber más?

Leer más
Scroll al inicio