Herramienta de la Agencia Española de Protección de Datos AEPD
¿Eres una PyME? Ponemos a vuestra disposición información y accesos a las siguientes herramientas de la AGPD
- Facilita RGPD o FACILITA 2.0
- Canal del DPD
- Gestiona EIPD
- Facilita EMPRENDE
- Comunica-Brecha RGPD
Facilita RGPD o FACILITA 2.0
Herramienta de ayuda para empresas que realicen un tratamiento de datos personales de escaso riesgo para el cumplimiento del Reglamento General de Protección de Datos
El Reglamento General de Protección de Datos (RGPD) se aplica desde el 25 de mayo de 2018. Con la finalidad de facilitar la adecuación al RGPD a las empresas y profesionales (responsables o encargados de tratamientos) que traten datos personales de escaso riesgo para los derechos y libertades de las personas, la Agencia Española de Protección de Datos pone a su disposición la herramienta.
Facilita RGPD es una herramienta fácil y gratuita. Una vez finalizada su ejecución, los datos aportados durante el desarrollo de la misma se eliminan, por lo que la Agencia Española de Protección de Datos en ningún caso puede conocer la información que haya sido aportada.
Ha sido diseñada como un recurso útil para cualquier empresa o profesional, ya que con tan solo tres pantallas de preguntas muy concretas permite a quien la utiliza valorar su situación respecto del tratamiento de datos personales que lleva a cabo: si se adapta a los requisitos exigidos para utilizar Facilita RGPD o si debe realizar un análisis de riesgos.
Facilita RGPD no podrá utilizarse para tratamientos que impliquen un alto riesgo para los derechos y libertades de las personas, como datos de salud o tratamientos masivos de datos, entre otros.
La herramienta genera diversos documentos adaptados a la empresa concreta, cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y un anexo con medidas de seguridad orientativas consideradas mínimas.
Facilita RGPD está orientada a empresas que tratan datos personales de escaso riesgo, como por ejemplo, datos personales de clientes, proveedores o recursos humanos.
Tenga en cuenta que Facilita RGPD es una ayuda y, por tanto, la documentación resultante deberá estar adaptada y actualizada a la situación de los tratamientos que se lleven a cabo en su entidad. La obtención de los documentos no implica el cumplimiento automático del RGPD.
Canal del DPD
El canal del Delegado de Protección de Datos (DPD) tiene como finalidad atender las consultas planteadas ante la AEPD por los Delegados de Protección de Datos, tanto del sector público como del privado, al desempeñar las funciones encomendadas en el artículo 39 del Reglamento General de Protección de datos (RGPD).
Antes de presentar una cuestión a través de este canal, se recomienda la lectura del site de la AEPD dedicado al RGPD dónde se puede encontrar diversa documentación, incluyendo varias Guías sobre determinados aspectos de la citada norma, la sección de preguntas frecuentes (FAQ) y las HERRAMIENTAS disponibles para facilitar el cumplimiento del RGPD.
Podrán plantear las consultas utilizando este canal:
- Los delegados de protección de datos designados por los responsables y encargados del tratamiento que hayan sido comunicados a la Agencia Española de Protección de Datos. La inclusión en la relación de DPD será suficiente para acreditar la designación.
- Las organizaciones y asociaciones representativas de responsables y encargados del tratamiento que ofrezcan a sus miembros los servicios de DPD también podrán utilizar este canal.
- Las consultas, que se pueden formular a través de la Sede electrónica, se atenderán en consideración a su contenido y repercusión, y al número de las que se reciban, así como a razones de eficiencia y optimización de recursos.
- Quien formule la consulta debe identificarse adecuadamente como DPD, facilitar toda la información sobre la cuestión planteada y el análisis que en el ejercicio de sus funciones haya realizado.
Desde este canal no se atenderán:
- Las cuestiones planteadas desde un punto de vista hipotético ni las que pudiesen estar relacionadas con procedimientos que esté tramitando la AEPD, incluidas las relativas al estado de tramitación
- Las que pretendan la validación de documentos elaborados por responsables y encargados en materia de protección de datos, por cuanto que es responsabilidad exclusiva de aquéllos con arreglo al principio de proactividad
- Solicitudes de acceso a la información pública
- Las consultas que se hayan presentado por el Canal del Ciudadano
- Las consultas que se refieran a cuestiones que se encuentran ya explicadas y son accesibles en los materiales publicados en la página web de la AEPD, tales como las Guías, Preguntas Frecuentes y Herramientas elaboradas para facilitar el cumplimiento del RGPD
Gestiona EIPD
Asistente para el análisis de riesgos y evaluaciones de impacto en protección de datos. Esta herramienta gratuita guía a las personas responsables y encargadas del tratamiento en los aspectos que se deben tener en cuenta, proporcionando una base inicial para una gestión adecuada
Con carácter general, el Reglamento General de Protección de datos (RGPD) exige al personal encargado de los tratamientos de datos personales la realización de análisis de riesgos y evaluaciones de impacto con el fin de llevar a cabo una gestión de los riesgos para los derechos y libertades de las personas físicas, por otra parte, la AEPD ha publicado la lista de tratamientos de datos personales que requieren una evaluación de impacto de acuerdo con lo previsto en el artículo 35.4 del RGPD.
GESTIONA_EIPD es una herramienta gratuita que guía a su usuario a través de los elementos básicos que deben ser tenidos en cuenta en los análisis de riesgos de los tratamientos y en las evaluaciones de impacto. GESTIONA_EIPD es algo más que una lista cerrada de elementos a tener en cuenta, y aporta a las personas responsables las bases mínimas para iniciar las actividades de análisis y gestión de riesgos en el ámbito del RGPD, incluyendo requisitos de cumplimiento normativo y medidas encaminadas a reducir o mitigar el riesgo del tratamiento. Tenga en cuenta que, en ningún caso, los requisitos de cumplimiento pueden reemplazarse por medidas alternativas técnicas u organizativas, para más información puede consultar el Listado de elementos para el cumplimiento normativo del RGPD.
Por tanto, GESTIONA_EIPD es una herramienta de ayuda y soporte a la decisión y cuya utilización genera la documentación básica sobre la cual hay que realizar un análisis y gestión del riesgo por parte de las personas responsables y encargadas para cumplir con lo previsto en el RGPD y la LOPDGDD. Esta documentación básica deberá ser completada y analizada por el personal responsable del tratamiento y, en su caso, la persona encargada, siguiendo las indicaciones establecidas en la Guía práctica para las evaluaciones de impacto en la protección de datos personales, con el fin de demostrar en todo momento que los tratamientos se llevan a cabo de conformidad con los requisitos que establece el RGPD y la LOPDGDD.
Gestiona_EIPD puede resultar especialmente útil para aquellas PYMES que necesitan iniciarse en la realización de evaluaciones de impacto en protección de datos personales.
Enlace a la herramienta Gestiona EIPD
Facilita EMPRENDE
Esta nueva herramienta persigue servir de apoyo a emprendedores y startups cuyos tratamientos se caracterizan por un fuerte componente innovador que hace uso de nuevas tecnologías.
Al igual que FACILITA – RGPD, FACILITA – EMPRENDE es una herramienta fácil de utilizar y gratuita basada en una serie de cuestionarios guiados que permiten caracterizar los tipos de tratamiento realizados por la empresa. Al finalizar su ejecución se generan un conjunto de documentos adaptados que sirven de guía y apoyo para cumplir con las obligaciones impuestas por la normativa en materia de protección de datos. En concreto, obtendrá:
- una política de información en dos niveles compuesta por las cláusulas de informativas a proporcionar en el momento de la recogida de datos y una política de privacidad.
- el Registro de Actividades de Tratamiento (RAT) precumplimentado.
- el modelo de hoja de registro de incidentes para cumplir con el artículo 33.5 relativo a la documentación de las brechas de seguridad que afecten o puedan afectar a datos personales.
- un conjunto de cláusulas contractuales a incluir en los contratos que suscriba con los encargados de tratamientos de datos y proveedores.
- si su empresa cuenta con una página web que utiliza cookies y tecnologías similares, una política de cookies
- un conjunto de directrices y recomendaciones, para ayudarle en el proceso de adecuación, en relación con la gestión de brechas de seguridad, la atención al ejercicio de los derechos, recomendaciones sobre videovigilancia, indicaciones específicas con relación a la gestión de los riesgos de sus tratamientos, así como a las estrategias de privacidad y medidas de seguridad que deberá implementar.
- Una relación de recomendaciones para prevenir el acoso digital.
Sin embargo, a diferencia de FACILITA – RGPD y como consecuencia de los tipos de tratamientos que suelen ir asociados a los modelos de negocio desarrollados por el tipo de empresas a las que va dirigida FACILITA - EMPRENDE, puede ser que la empresa no se encuentre en un escenario de bajo riesgo, por ejemplo, si el responsable del tratamiento ofrece una aplicación móvil a sus usuarios a través de la que recoge datos de geolocalización para ofrecer determinados servicios en función de la ubicación del interesado. En esos casos, será necesario que personalice y complemente los entregables obtenidos con otros recursos y materiales ofrecidos por la Agencia y por las salidas de otro tipo de herramientas como GESTIONA – EIPD.
En cualquier caso, tenga en cuenta que esta herramienta constituye sólo una ayuda y que, por tanto, la obtención de los documentos resultantes no implica, de por sí, el cumplimiento automático de las obligaciones impuestas por la normativa. Es obligación del responsable, y en su caso del encargado, revisar cuidadosamente la documentación generada para adaptarla y actualizarla a la situación concreta y específica de los tratamientos que se lleven a cabo en su entidad en cada momento.
Enlace a la herramienta Facilita EMPRENDE.
Comunica-Brecha RGPD
Comunica-Brecha RGPD es un recurso de utilidad para que cualquier organización, responsable de un tratamiento de datos personales, pueda valorar la obligación de informar a las personas físicas afectadas por una brecha de seguridad de los datos personales, tal y como establece el artículo 34 del Reglamento General de Protección de Datos.
Se trata de una herramienta sencilla y gratuita. Una vez finalizada su ejecución, los datos aportados durante el desarrollo de la misma se eliminan, por lo que la Agencia Española de Protección de Datos en ningún caso puede conocer la información que haya sido aportada.
Tenga en cuenta que Comunica-Brecha RGPD es una ayuda a la toma de decisiones, pero esta última corresponde ineludiblemente al responsable de tratamiento y en ningún caso su utilización representa el pronunciamiento de esta Agencia sobre la aplicación del art. 34 del RGPD para una brecha de seguridad concreta.