POLÍTICA DE PRIVACIDAD

DOCUMENTO ACREDITATIVO DE CUMPLIMIENTO DE LAS MEDIDAS DE
PROTECCIÓN DE DATOS CONFORME AL REGLAMENTO (UE) 2016/679
DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016
QUE ENTRÓ EN VIGOR EL 25 DE MAYO DE 2018

ENTIDAD: ISMAEL GALANCHO REINA
FECHA DE IMPLANTACIÓN: 07/08/2018
VÁLIDO HASTA: 07/08/2019

PROTECCIÓN DE DATOS CONFORME AL RGPD:
El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y es
aplicable a partir de mayo de 2018. El RGPD es una norma directamente aplicable, que no requiere
de normas internas de trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo
o aplicación. Por ello, los responsables deben ante todo asumir que la norma de referencia es el
RGPD y no las normas nacionales, como venía sucediendo hasta dicha fecha con la Directiva 95/46.
No obstante, la ley que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD) sí podrá
incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite. El RGPD
contiene muchos conceptos, principios y mecanismos similares a los establecidos por la Directiva
95/46 y por las normas nacionales que la aplican. Sin embargo, el RGPD modifica algunos aspectos
del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada
organización teniendo en cuenta sus propias circunstancias.
¿Cómo acreditar que se cumple con los requisitos del Reglamento General de Protección de
Datos?
El propio Reglamento determina que podrán utilizarse como elemento de demostración del
cumplimiento la adhesión a Códigos de Conducta, siempre que se hayan aprobado conforme a los
criterios del art. 40 del RGPD o mediante los mecanismos de certificación aprobados con arreglo al
artículo 42.
Dado que estos medios no son obligatorios, la acreditación también se puede hacer mediante la
documentación que se haya generado para determinar las medidas destinadas a cumplir con las
obligaciones del Reglamento, así como las evidencias del correcto funcionamiento de las mismas, lo que en el argot de los Sistemas de Gestión son medidas y controles.
Esta forma de demostrar o acreditar el cumplimiento en base a la documentación interna, dado que
tenemos la obligación de guardar las pruebas que demuestren, por ejemplo, que hemos informado
correctamente o que aplicamos unas determinadas medidas de índole técnico u organizativo para
cumplir con el principio de seguridad. Esto se traduce en que tendremos diferente documentación
sobre el Reglamento:
De forma general, en caso de tratamientos de datos que comporten un escaso riesgo:
-> Identificación del riesgo
-> Registro de actividades de tratamiento
-> Medidas de seguridad
-> Cláusulas de información
-> Contratos de encargado del tratamiento
-> Otras utilidades relacionadas con la PD
En caso de tratamientos que comporten un riesgo superior (a lo anterior, se sumaría):
-> Evaluaciones de impacto sobre la protección de datos y análisis de riesgo
-> Procedimientos o protocolos internos

OBJETO DEL DOCUMENTO
Este documento acreditativo de cumplimiento de las medidas de protección de datos recopila toda la
información, registros, análisis y herramientas necesarios para aplicar estas medidas, de obligado
cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas e
instalaciones que los soportan, y que deben servir para garantizar la protección, confidencialidad,
integridad y disponibilidad de los recursos afectados por lo dispuesto en el citado Reglamento y en la
Ley Orgánica 15/1999 de 13 de Diciembre, de Protección de Datos de Carácter Personal.
Este documento deberá mantenerse permanentemente actualizado. Cualquier modificación relevante
en los sistemas de información automatizados o no, en la organización de los mismos, o en las
disposiciones vigentes en materia de seguridad de los datos de carácter personal conllevará la
revisión de la normativa incluida y, si procede, su modificación total o parcial.
La identificación de riesgos realizada supone la base del presente documento y es de especial
relevancia para la toma de decisiones respecto de la realización o no de determinadas obligaciones
específicas para aquellos tratamientos de datos clasificados como de un riesgo superior a escaso. Es
por ello, que debe prestarse especial atención a dicho proceso y, en su caso, revisar y actualizar la
documentación en caso de modificaciones que afecten a la clasificación.
ÁMBITO DE APLICACIÓN
El presente Documento será de aplicación a los ficheros automatizados y no automatizados
(documentos) que contienen datos de carácter personal y que se hallan bajo la responsabilidad del
responsable del fichero, incluyendo los sistemas de información, soportes y equipos empleados para
el tratamiento de datos de carácter personal que deban ser protegidos de acuerdo a lo dispuesto en
normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican.
La mención al término “tratamientos” comprenderá los dos tipos contemplados en el presente
párrafo; cuando se pretenda una referencia concreta a uno u otro tipo, se hará constar debidamente.
Todas las personas que tengan acceso a los datos de las actividades de tratamiento, bien a través de
una aplicación informática específicamente diseñada para acceder a los mismos, bien a través de
cualquier otro medio de acceso a los ficheros (otras herramientas informáticas, Internet, etc.), o bien
de forma presencial en el caso de ficheros no automatizados o documentos, se encuentran obligadas
por ley a cumplir lo establecido en este documento y sujetas a las consecuencias que pudieran
incurrir en caso de incumplimiento.
Este documento con la parte que le afecte al personal contratado o colaborador, será puesta a su
disposición, para su conocimiento, siempre que este personal esté autorizado a acceder a los datos
de los ficheros, siendo requisito obligatorio para poder acceder a esos datos el haber firmado el
documento de concienciación y confidencialidad.
RECURSOS PROTEGIDOS
La protección de los datos frente a accesos no autorizados se deberá realizar mediante el control, a
su vez, de todas las vías por las que se pueda tener acceso a dicha información.
Los recursos que, por servir de medio directo o indirecto para acceder a los tratamientos, deberán
ser controlados son:
1. Los centros de tratamiento y locales donde se encuentren ubicados o se almacenen los soportes
que los contengan.
2. Los equipos, bien locales o remotos, desde los que se puede tener acceso a los datos.
3. Los servidores, si los hubiese, y el entorno de sistema operativo y de comunicaciones en el que
se encuentran ubicados los datos.
4. Las aplicaciones establecidas para acceder a los datos.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies