Herramientas Esenciales de la AEPD para PYMES en la Protección de Datos de Escaso Riesgo
Garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD) se ha convertido en casi una obsesión por parte de muchas empresas. Las compañías se enfrentan a cuantiosas multas si no cumplen con la ley. Cada vez más empresas necesitan disponer de mecanismos adecuados para cumplir con la Ley de Protección de Datos, y es que aplicar la normativa no es algo que se consiga de un día para otro.
La ley exige que las empresas cuenten con personal cualificado, lo que implica que las compañías deben disponer de profesionales de la privacidad. Con el RGPD, ya no basta con registrar los ficheros de datos, sino que se tiene que analizar la información para conocer qué medidas aplicar. Esta situación requiere de una hoja de ruta que ayude a las empresas a cumplir con la normativa.
La normativa de protección de datos protege teniendo en cuenta los riesgos que el empleo de datos personales sin consentimiento puede suponer para el interesado. Afortunadamente, más del 90% de los datos que se tratan en pymes tienen escaso riesgo. En su mayoría, según la AEPD, estos son datos de clientes, proveedores, nóminas o recursos humanos.
El Rol de la Agencia Española de Protección de Datos (AEPD)
En vista de las dificultades para garantizar la protección de los datos personales, la Agencia Española de Protección de Datos (AEPD) ha encontrado la solución. La institución ha desarrollado una serie de herramientas de ayuda a los profesionales y ha publicado una hoja de ruta para ayudar al sector privado. Además, existen multitud de aplicaciones informáticas que pueden ayudar en esta tarea.
Desde la AEPD se presta una atención especial a facilitar a responsables y encargados del tratamiento el cumplimiento de las obligaciones que impone la normativa de protección de datos. Para ello, ofrecen distintas herramientas online que ayudan en la toma de decisiones. La AEPD quiere fomentar su cumplimiento en la medida de lo posible, especialmente entre las pymes, que suponen el 99,8% del tejido empresarial español y para las que la adaptación al nuevo marco legal puede suponer una mayor dificultad debido, en muchos casos, a la escasez de recursos.
El Registro de la AEPD cuenta con casi cinco millones de ficheros privados inscritos, y el 75% de ellos son tratamientos de bajo riesgo cuyos responsables son pymes en más del 90% de los casos. Por ello, han diseñado un cuestionario online para que los profesionales y empresas puedan corroborar que los datos que tratan son de bajo riesgo, además de obtener los documentos mínimos para el cumplimiento del RGPD.
Herramientas Clave de la AEPD para la Protección de Datos
El Reglamento General de Protección de Datos (RGPD) se aplica desde el 25 de mayo de 2018. Con la finalidad de facilitar la adecuación al RGPD a las empresas y profesionales (personas responsables o encargadas de tratamientos) que traten datos personales de escaso riesgo para los derechos y libertades de las personas, la Agencia Española de Protección de Datos pone a su disposición diversas herramientas, fáciles y gratuitas.
Tutorial FACILITA RGPD
A continuación, se presenta una descripción detallada de estas herramientas:
| Herramienta | Objetivo Principal | ¿A quién está dirigida? |
|---|---|---|
| Facilita RGPD | Ayudar a cumplir con el RGPD y la LOPDGDD para tratamientos de datos de escaso riesgo, generando documentos mínimos indispensables. | Entidades u organizaciones que tratan datos personales de escaso riesgo (clientes, proveedores, RRHH). |
| Facilita Emprende | Ayudar a PYMES y emprendedores que realicen tratamientos que no permitan usar Facilita RGPD a cumplir con la normativa. | Responsables, encargados del tratamiento y DPD. |
| Evalúa-Riesgo RGPD | Valorar el nivel de riesgo de los tratamientos de datos personales, identificando factores de riesgo inherente. | Responsables, encargados del tratamiento o DPD. |
| ValidaCripto RGPD | Evaluar los sistemas de cifrado implementados en los tratamientos de datos personales para verificar su idoneidad. | Responsables, encargados o subencargados que aplican criptografía, DPD, asesores, auditores, especialistas en seguridad, desarrolladores. |
| Canal del DPD | Atender las consultas de los Delegados de Protección de Datos ante la AEPD. | Delegados de Protección de Datos designados por responsables y encargados, así como organizaciones representativas. |
| Asesora Brecha | Asesorar a los responsables sobre la necesidad de notificar una brecha de datos personales a la autoridad de control. | Responsables del tratamiento de datos personales y sus DPD. |
| Comunica-Brecha RGPD | Asistir a las organizaciones en la obligación de comunicar una brecha de datos personales a los afectados. | Cualquier organización responsable de un tratamiento de datos personales. |
Facilita RGPD
La aplicación Facilita_RGPD surgió tras cinco intensos años de trabajo, y cuenta con el reconocimiento de la Conferencia Internacional de Autoridades de Protección de Datos, habiendo recibido varios galardones. Facilita RGPD es una herramienta diseñada para ayudar a las empresas y profesionales que traten datos personales de escaso riesgo a cumplir con el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018.
Con un cuestionario online de una duración máxima de 20 minutos, las empresas y profesionales pueden constatar si los datos que tratan pueden considerarse de bajo riesgo y obtener los documentos mínimos indispensables para facilitar el cumplimiento de la normativa. El objetivo de la herramienta es que las empresas y los profesionales puedan contrastar si los datos que tratan son de escaso riesgo.
Está dirigida a entidades u organizaciones que tratan datos personales de escaso riesgo como, por ejemplo, datos personales de clientes, proveedores o recursos humanos. A través de Facilita_RGPD se ayudará a los responsables y profesionales de la privacidad a elaborar la documentación clave para cumplir con la ley. Una de las tareas que permite es la elaboración del registro de actividades de tratamiento, también ayuda a crear las cláusulas informativas, así como al desarrollo de las medidas técnicas y organizativas en la empresa.
La herramienta genera diversos documentos adaptados a la empresa concreta: cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y un anexo con medidas de seguridad orientativas consideradas mínimas. Esas plantillas incluyen los requerimientos básicos marcados por el RGPD, como el registro de actividades de tratamiento, la cláusula informativa, las cláusulas que deberían incluirse si la empresa contrata con un encargado del tratamiento (una gestoría, por ejemplo) y un anexo con las medidas de seguridad mínimas.
Facilita RGPD es una ayuda y, por tanto, la documentación resultante deberá estar adaptada y actualizada a la situación de los tratamientos que se lleven a cabo en su entidad. Es importante destacar que Facilita RGPD no podrá utilizarse para tratamientos que impliquen un alto riesgo para los derechos y libertades de las personas, como datos de salud o tratamientos masivos de datos, entre otros.
El test está dividido en cuatro bloques. En el primero, la organización debe seleccionar cuál es su sector de actividad y el tipo de datos que trata. A continuación, una vez que se constata que los tratamientos que realiza entrañan, a priori, un escaso nivel de riesgo para los derechos y libertades de las personas, Facilita RGPD pedirá al responsable que aporte cierta información sobre su empresa (nombre, dirección, CIF o teléfono, entre otros).
Al acceder a la herramienta, lo primero que se pregunta es el sector de la actividad de la empresa. Dependiendo de las opciones que se marquen, la herramienta indicará si se puede utilizar. Si la empresa no cumple con los requisitos, el programa mostrará un mensaje como: “Con los datos que ha proporcionado este programa no es adecuado para usted, ya que su empresa no cumple con los requisitos para seguir.” Posteriormente, los datos proporcionados se utilizarán para generar los documentos necesarios. La herramienta pregunta si la empresa trata datos personales de clientes y clientes potenciales, dando la opción de contestar “sí” o “no”.
En abril de 2019, la AEPD realizó una actualización de la herramienta «Facilita RGPD» para añadirle nuevas funcionalidades. En el cuestionario se incluyó un nuevo campo para añadir el correo electrónico que se cree con la finalidad de tramitar las solicitudes de ejercicio de derechos por los interesados.
Facilita Emprende
La Agencia Española de Protección de Datos dispone de una herramienta denominada Facilita Emprende, que ayuda a los emprendedores a cumplir con la normativa. Facilita Emprende está diseñada para aquellas pymes y personal emprendedor que efectúen tratamientos que no permitan utilizar Facilita RGPD.
A través de una serie de cuestionarios, permite caracterizar los tipos de tratamiento realizados por la empresa. Al finalizar su ejecución, se generan un conjunto de documentos adaptados que sirven de guía y apoyo para cumplir con las obligaciones impuestas por la normativa de protección de datos. Está dirigida a responsables, encargados del tratamiento y DPD.
Evalúa-Riesgo RGPD
Evalúa-Riesgo RGPD es la herramienta que ayuda a valorar el nivel de riesgo de los tratamientos de datos personales. Permite efectuar una evaluación inicial para identificar los factores de riesgo inherente para los derechos y libertades de las personas que, en su caso, deberá ser ajustada por cada responsable para determinar con precisión el nivel de riesgo de los tratamientos. Está dirigida a responsables, encargados del tratamiento o DPD.
ValidaCripto RGPD
ValidaCripto RGPD ayuda a evaluar los sistemas de cifrado para facilitar el cumplimiento de la normativa analizando cada uno de los elementos del proceso. Tras la publicación de las ‘Orientaciones para la validación de sistemas criptográficos en la protección de datos’, la Agencia trasladó su metodología a una herramienta web ágil e intuitiva.
Su objetivo es ofrecer una solución eficaz para verificar la idoneidad de los sistemas criptográficos implementados en los tratamientos de datos personales, seleccionando en la lista de controles propuestos aquellos que pudieran ser los más oportunos. Los datos pueden almacenarse y cargarse en un archivo local, bajo el control total del usuario, y permite generar informes.
Está dirigida a responsables y encargados o subencargados de tratamientos que aplican criptografía en sus tratamientos de datos personales. También está orientada a delegados, asesores y auditores de protección de datos, especialistas en seguridad, desarrolladores de soluciones de cifrado que estén destinadas al tratamiento de datos personales y, en general, a los desarrolladores de productos y servicios de sistemas TIC.
Canal del DPD
La AEPD dispone de un Canal DPD, una herramienta muy útil para las empresas. El fin del Canal del Delegado de Protección de Datos es atender las consultas planteadas ante la AEPD por los Delegados de Protección de Datos, tanto del sector público como del privado, en el desempeño de sus funciones. Está dirigida a las personas delegadas de protección de datos designadas por responsables y encargados del tratamiento que hayan sido comunicadas a la Agencia Española de Protección de Datos, así como a las organizaciones y asociaciones representativas de responsables y encargados del tratamiento que ofrezcan a sus miembros los servicios de DPD.
Herramientas Relacionadas con Brechas de Datos Personales
Asesora Brecha
Asesora Brecha ayuda a los responsables a decidir si deben notificar una brecha de datos personales a la autoridad de control. Esta herramienta asesora sobre quién tiene que notificar; qué situaciones se corresponden con una brecha de datos personales y cuáles no; cuál es el organismo competente (la AEPD, las autoridades autonómicas de protección de datos u otras autoridades de Estados Miembros de la UE), y si esa brecha de datos personales debe ser notificada o no en función del riesgo mediante el formulario de notificación de brechas. Está dirigida a responsables del tratamiento de datos personales y sus DPD.
Comunica-Brecha RGPD
Comunica-Brecha asiste a cualquier organización responsable de un tratamiento de datos personales en la obligación de comunicar una brecha de datos personales a los afectados. Esta herramienta se basa en un breve formulario en el que se recaban detalles que permiten conocer cuándo los derechos y libertades de los afectados pueden estar en riesgo y así poder tomar las medidas para salvaguardarlos. El informe final incluye una plantilla para una posible comunicación a los afectados.
Consideraciones Finales sobre las Herramientas de la AEPD
Muchas empresas y autónomos consultan acerca del cumplimiento con la Protección de Datos Personales. La información que las empresas aporten a estas herramientas -y que la AEPD no conserva ni monitoriza de forma alguna- les permitirá obtener esos documentos casi completados.
Sin embargo, es crucial entender que la mera obtención de los documentos que proporcionan las herramientas de la AEPD no supone, en ningún caso, el cumplimiento automático de las obligaciones que el RGPD y la LOPDGDD establecen para los responsables y encargados de los tratamientos de datos personales, en particular lo referido al principio de responsabilidad activa que el RGPD desarrolla en su Capítulo IV. Se trata de documentos iniciales de ayuda orientados a facilitar la comprensión de dichas obligaciones y abordarlas, inicialmente, de forma adecuada.
Sobre la base de los documentos obtenidos, los responsables y encargados de los tratamientos de datos personales deberán llevar a cabo cuantas adaptaciones fueran necesarias de forma particularizada para cada tratamiento de datos personales; teniendo en cuenta los riesgos que para los derechos y libertades de las personas físicas pudieran derivar de dichos tratamientos en función de su naturaleza, su alcance, su contexto y sus finalidades (Considerando 76 y Artículo 35.1 del RGPD).