Saltar al contenido

Le explicó a mi abuela la LOPD y RGPD (documentos ejemplo gratis)

abuela de internet

Banner amazon navidad 2018

Hola abuela te voy a ayudar a lo que me preguntaste la última vez sobre tu página en la que vendía paellas a los vecinos o te contrataban de cocinera.

Así que préstame atención que voy a intentar explicarte de manera sencilla y fácil, sin ese lenguaje tan complicado que usan los abogados o personas con conocimientos jurídicos para que puedas adaptar tu página web y tu negocio a la ley y al reglamento nuevo aprobado.

Abuela, como sé que esto de la ley para ti es un lío, vamos a hacer como si fueras a comprar supermercado, vamos a crear una lista y yo te voy explicando poco a poco los puntos que debes de cumplir, no vamos a compramos nada,  pero vamos a cumplir la LEY,  así que aquí está la lista para que vayas viendo las cosas que vamos realizando y las tachas, aquí tienes la lista:

➻ ¿Qué es lo nuevo que ha traído el reglamento?

Lo más importante abuela, es que el reglamento significa que afecta toda la comunidad económica europea, por lo que cualquier europeo que te pida una paella tendrá los mismos derechos y los mismas obligaciones que un consumidor tuyo de tu zona o de España.

Esto significa que si tú compras una paella nueva a una página web de Francia pues tendrás los mismos derechos que un francés o que un alemán o que cualquier otro miembro de la Unión Europea sobre los datos que ellos tienen tuyos.

Creo que esto ya lo has entendido no abuela, así que si compras algo en algún sitio fuera de España pero que esté dentro de la Unión Europea tendrás los mismos derechos a reclamar tus datos, que datos tienen tuyos y que se aplique la ley de protección de datos igual que tú tienes que cumplirla. Por desgracia los ingleses se han salido, así que ellos van por otro lado.

Tachamos la primera tarea de la lista:

➻ ¿A qué tipo de páginas le afecta el cumplimiento de la ley?

Bueno abuela te tengo que decir que si tienes una página web en la que ejerce cualquier tipo de actividad comercial te tienes que atener a la ley LSSI y a todo lo que se refiere la ley de protección de datos y su reglamento.

Es importante que entiendas que se entiende por cualquier actividad comercial el simple hecho de tener un banner de publicidad, cualquier promoción de algún producto aunque sea de un amigo, algún sistema de afiliados como el de Amazon o el Corte inglés, dejar un formulario para que te den datos por descargar un libro, en general cualquier tipo de actividad que pueda generar algún ingreso o beneficio para la persona, ya sea presente o futuro. Incluso la ley dice, atento abuela, que es cualquier tipo de actividad aunque los ingresos no te den  ni para cubrir el coste de la página web y sus servidores.

Así que por desgracias, como vendes tus servicios y paellas, pues a cumplir todas las leyes. Te resumo,  tu página web de paellas que ofrece tus servicios en fiestas, bodas a vecinos y otros servicios, tiene que cumplir si o si la LSSI, así como todos los temas relacionados con la protección de datos.

Pero la página web del primo no tiene cumplir ninguno de estos requisitos, dado que es una página personal, donde solo escribe chorradas sobre videojuegos, no tiene ningún tipo de publicidad, no recoge datos de nadie, ni tiene instalado el Google Analytics. Por lo que en este caso le basta con tener un correo de info y unas condiciones de uso de la página.

Podemos si quieres crear una página de recetas, con tu perfil personal,  en el que cuentas tú ideas de recetas innovadoras, no tienes ningún formulario en ella,  y no le pides ningún dato a nadie  ni realizas  recomendaciones de terceros que parezcan acciones comerciales, entonces no necesitarías cumplir nada de la Ley de Protección de Datos porque

➻ ¿Qué datos tengo que poner en mi página entonces?

Para cumplir la LSSI debemos poner tus datos abuela, en la página web, tiene que ser tus datos completos, no vale con un seudónimo, la misma Ley dice que los datos básico que tienen que aparecer, lo especifican perfectamente, no te fijes en otras páginas que no cumplen la Ley.

Debes de poner:

  • ❯ Tu nombre completo.
  • ❯ Tu NIF.
  • ❯ Un domicilio con su localidad y provincia.
  • ❯ Una dirección de correo electrónico.
  • ❯ Si dispones de un teléfono puedes también incluirlo pero no es obligatorio.
  • ❯ El Aviso legal, condiciones de uso y política de cookies.

Estos son los datos que te obliga la ley obliga a tener en una página web que no sea una estricta personal. Si no los tienes estas incumpliendo la ley LSSI.

Espero abuela que ya te hayas enterado bien que tienes que tener todos tus datos en tu página web y que esté de forma accesible, qué no te gusta poner tu dirección o poner tus datos como personales como el NIF, ya lo se, pero entonces no hagas hagas negocio por internet. Si vas a querer generar ingresos por este canal tienes que poner estos datos, es obligatorio, si no estás incumpliendo la ley y puede acarrear consecuencias en un futuro.

➻ Ahora vamos a cumplir la LOPD

Ahora que ya sabes abuela que debe de poner todos tus datos, las Condiciones de Uso,  Aviso Legal y el tema de las Cookies en tu página, porque estás haciendo un negocio por internet vendiendo tus servicios como cocinera de paellas, vamos a ver cómo tratar los datos que recoges y como cumplir con la Ley de Protección de Datos  y el nuevo Reglamento General de Protección de datos.

Datos que recoges con un formulario web

Si tienes un formulario de contacto, de registro o de cualquier tipo, vas a ir recogiendo datos de las personas que visiten tu página, lo primero que tenemos que hacer es en este formulario dejarle muy claro para qué queremos esos datos y la finalidad de los mismos.

formulario carrefour registro

Abuela vamos a aplicar un ejemplo muy claro, si entras por ejemplo en una página web de Carrefour, podrás ver que al registrarte te pide unos datos personales y tiene tres casillas para que marqués.

Primero: Estas avisando primero que tiene aceptar las condiciones de uso y el aviso legal para poder seguir usando la página, esto es normal, porque si no acepta las condiciones de uso de la página para qué quieres entrar en ese sitio, es como si en un restaurante te dicen que tienes que ir con chaqueta y no quiere ir con chaqueta, pues no te dejarán entrar, son sus condiciones. Hay sitios donde no te dejan entrar en chanclas a comer.

Segundo: Debajo hay otras casillas abuela, míralo atentamente,  en ellas piden permiso expreso para usar tus datos, mira bien el ejemplo, te lo piden os veces para poder enviarte nuevas promociones publicidad ofertas, un lenguaje sencillo y que se entiende muy fácilmente, por lo cual si marcas la casilla das tu consentimiento expreso para que te puedan enviar ese tipo de información por ejemplo por email o teléfono según los datos que le haya dado.

Tercero: Existe una tercera casilla más abajo, verás que la diferencian muy bien,  esta sirve para si  quieres recibir ofertas y otras promociones, pero en este caso de su agencia de viajes, que al ser otra empresa distinta de la del supermercado, tienen otra finalidad distinta, entonces puedes compartir tus datos para una si quieres  y para la otra no, o no compartir ninguno, ya como tú prefieras abuela. En este caso te dicen que van a pasar tu email para recibir ofertas, si te fijas no dicen nada del teléfono.

Pues yo en tu formulario de la web de paellas haría lo mismo, cuando alguien se registre en mi página le pondría primero una casilla para aceptar el aviso legal y las Condiciones de uso, y debajo diciéndole que si acepta que yo le mandé ofertas, promociones, novedades, etc,

Lo redactas tan claro como Carrefour y listo. Pero no te fijes de otras páginas que no cumplen estos requisitos y son grandes compañías, mira la web de Ikea:

registro IKEA

A mi este ejemplo no me parece que cumpla bien lo que dice el RGPD, a no ser que IKEA no te envíe ningún tipo de email promocional ni nada, y que los datos que recoge en el formulario de su web son solo para manejo de la web, pero en tu caso abuela, este formulario no te vale, porque vas a enviar emails a promocionales y publicitarios.

Y en su tarjeta de Ikea Family pasa lo mismo, te piden un email y contraseña y no indican nada, solo en el tercer paso, pero entonces creo que no es correcto, se debe informar de forma sencilla y clara desde el inicio y no en el tercer paso, yo no haría esto mi web:

Ikea family

formulario ikea tercer paso

EL RGPD dice que debe ser una información sencilla y clara, y no entiendo como ya te piden un email y contraseña sin explicarte nada de sus condiciones de uso ni para qué quieren sus datos.

Entonces Ikea no comparte sus datos de la página web con los de Ikea Family, por que en la página web no pone en su formulario que recibirás información comercial.

Vamos a poner en formulario un enlace para las condiciones de uso por si las quiere leer antes de rellenar el formulario.

¿Cómo guardo mis datos?

Lo primero que vamos a hacer es crear un excel con los campos de los datos que vamos a tener: Nombre, Apellidos, email, teléfono, dirección, población, Provincia, consentimiento y los datos que pongo abajo.

Normalmente los datos te pueden llegar al email que hemos puesto, pero si quieres usamos una aplicación externa. Pero los datos de contacto te llegan al email y nosotros los vamos a pasar a un excel. Como dimos de alta una cuenta en gmail, al recibir un email de contacto tenemos estos datos:

datos email

Cuando nos llegue un email ponemos cada dato en una columna, incluido la fecha, firmado por, seguridad, etc.

Es importante que conozcas abuela que no solo tienes que demostrar que cumples la ley, si no que la cumplías en el momento que tomaste el dato.

debes tener tantas casillas extras según las pedimos y lo marcamos en el excel.  Cuando me llegue sus datos me llegará también la cartilla de aprobado yo ese dato lo trasladaré a un Excel y marcaré que tengo el dato expreso.

Para nuestra seguridad abuela, haré una captura de la pantalla como la de arriba y la guardaré en una carpeta mientras tenga los datos.

Te resumo para que lo entiendas bien,  aquí viene uno de los temas importantes que te debes enterar de la nuevo reglamento, que no es solo que cumplas la ley, debes demostrar que las que la has cumplido en el momento de recoger los datos, por ello es importante guardar la máxima información posible.

Es importante guardar la IP de la persona que nos dio su consentimiento, ya se que esto no lo entiendes, eso de la IP es un lío, pero así garantizamos de donde viene la autorización. Como nosotros usamos WordPress podemos instalar un plugin como este: https://wordpress.org/plugins/wp-gdpr-compliance/, este plugin nos da la IP y otras funcionalidades, así que resolvemos el problema de guardar bien todos los datos del consentimiento. Esa Ip la pondremos en el excel.

Capturar IP wordpress plugin

Igualmente abuela, si tienes algún otro formulario dentro de la página, por ejemplo, rellenar los datos y te enviaré las nuevas recetas que se me ocurran sobre paellas. Este formulario deberíamos de hacer lo mismo rellenar los datos ponerle que acepta las condiciones de uso y luego poner una casilla en la que le digas que si te aceptan los datos para enviarle promociones. Creo que te ha quedado ya claro que a partir de ahora deberíamos de tener siempre y las casillas nuevas sobre que aceptan enviarnos los datos.

Sí una amiga tuya quiere que le dejes tus datos para enviarle promociones por ejemplo, sobre robot de cocina, no puedes hacerlo porque no le has pedido permiso a los usuarios que llegaron a tu página de paellas para enviarle promociones sobre otra página de robots de cocina, para hacerlo bien, entonces deberías de añadir una casilla nueva a partir de este momento en el que los que quieran marquen y pueden recibir ofertas de terceros con lo que tú trabajas.

No se ocurra nunca enviarle una publicidad a alguien que no te ha dado el consentimiento expreso aunque a ti te parezca muy interesante el precio y la oferta de los robots de cocina.

Pero ¿Puedo entonces enviar un email de publicidad?

Parece que con el RGPD no puedes enviar nada a nadie, y no es así.

Sí puedes abuela, puedes enviar un email de publicidad de bienvenida sin tener el consentimiento expreso  de esa persona.

No te vuelvas loca con este tema, te lo voy a explicar muy clarito, la Ley de Protección de datos no te quita la opción de poder enviar un email a una persona, explicando por ejemplo tu servicios de cocinera invitándole a que acuda un evento tuyo, o a que pueda comprar una de tus paellas, pero esta acción comercial la tienes que hacer de la siguiente manera:

Si esa persona tiene un perfil público en una red social o en alguna página web, donde ha dejado su email de contacto, puedes ponerte en contacto con él, le puedes enviar un primer email presentándote de forma personal y directa, diciéndole que has visto su email en tal página, y creyendo que le podrían gustar tus paellas o tus servicios de cocina, ofreciéndole además por ejemplo un descuento y que si tenía interesado en recibir más información sobre tus paellas.
Pero solo puedes enviarle un primer email, ya está, no insistas más, es un email introductorio, no es spam, no es nada intrusivo y nada automatizado, es normal que si ves un email de una persona que lo ha puesto en su contacto en una página web o en una red social o en una tarjeta de presentación, que te han dado en un evento, o en un cartel de publicidad quieras enviarle un email de presentación, no cumpliendo nada, pero no debes enviarles más emails machacándole con más publicidad, esa persona no te autorizado a que le envíes 6 email sobre ofertas de paellas sin su autorización expresa.

Creo que entonces has entendido el concepto, Ley de Protección de datos no te quita la idea de poder vender tu producto, lo que no quiere es que uses unos datos tomados mal o prestados para enviar publicidad de forma continua y masiva de tus productos sin la autorización del que la recibe.

No olvides que el consentimiento tiene que ser expreso, no vale con envíamelo o no decírtelo expresamente.

¿Puedo llamar a alguien sin su consentimiento?

Igualmente que con el email tienes que hacer con una llamada telefónica abuela, puedes llamar a una persona que ha dejado su teléfono la página Web, en un formulario de contacto, que te dio una tarjeta en un evento o que lo encuentras en cualquier sitio en el que lo tiene puesto público, es sólo una llamada de presentación, donde abuela tú le dices el porque de la llamada, que a lo mejor está interesado en tus servicios y si le gustaría probar tus paellas, le dices que visite tu página y si quiere, tienes un formulario para solicitar información.

Dile en llamada donde has visto su número de teléfono y te identificas perfectamente.

No puedes volver a llamarlo más para insistirle  que entre en tu página, si no lo hace, pues no lo hace. Por supuesto te recomendaría abuela que no guardarás su número ni ningún dato, simplemente has usado una llamada  y ya está.

¿Qué hago con un formulario de papel?

Pues igual abuela, se te puede dar el caso de que estes ofreciendo paella en una feria y quieras que la gente se informe sobre tus ofertas, próximas recetas o lo que les  puede interesar, coloca formularios de papel en la barra y que te lo rellenen con bolígrafo. En estas  hojas también deben marcar las casillas de que te ceden los datos igual que en el formulario online.

Yo personalmente te recomendaría abuela que al llegar a casa hicieras una foto a todos los formularios, luego guardamos esas fotos en una carpeta para tener una copia de seguridad de su consentimiento. Las hojas en una carpeta bien archivadas y escondidas de la vista de cualquier persona.

¿Qué aviso legal tengo que poner en mi página web?

Con la entrada del Reglamento han variado muchas cosas pero te lo voy a poner de forma sencilla para que lo entiendas,

Lo primero que tenemos que hacer es que se cumpla nuestra página web para ello debes hacer lo que ya te he explicado antes poner muy claro todo tus datos personales y cómo tomamos los de nuestros clientes.

Pero no te líes abuela viendo que hacen en otras páginas web, algunas unen en una sola página el aviso legal y las condiciones de uso y otras no. Vamos a ver dos ejemplos:

En Ikea lo ponen todo en un solo enlace política de privacidad y condiciones de uso:

condiciones de uso Ikea

Cuando entras en esta página puedes comprobar que dentro de ella lo tienen todo ordenado y claro:

  • ✓ Datos identificativos del titular de la web
  • ✓ Condiciones de uso
  • ✓ Propiedad intelectual e industrial
  • ✓ Política de enlaces
  • ✓ Responsabilidad
  • ✓ Política de privacidad
  • ✓ Política de cookies
  • ✓ Política de protección de datos de carácter personal.

Este último epígrafe no lo tienen, pero yo los metería y tendríamos ya en una sola hoja todo lo necesario para cumplir todas las leyes.

Política de cookies

En este epígrafe abuela tenemos que poner todas las cookies que tenemos, identificarlas y el fin de cada una, vamos a ver el ejemplo de Carrefour:

ejemplo politica cookies carrefour

Así que abuela, cuantas más cookies tengamos más trabajo tendremos que hacer poniendo todas en la página web.

En el aviso de cookies inicial al entrar en la página debe tener un texto amplio que especifique bien su finalidad, aquí tienes un ejemplo del El Corte Inglés:

politica de cookies del el corte inglés

Así que ponemos en el aviso de cookies algo bueno y el enlace a la página con más información. Vamos a crear una distinta de política de cookies y una general de condiciones de uso y aviso legal.

 

➻ Resumen de cumplimiento web

Como verás abuela, ya  lo cumplimos todo en cuanto a la web y la publicidad para enviar emails o realizar llamadas comerciales, como ya te he dicho antes:

  • ✓ Hemos añadido las casillas pertinentes a los formularios hemos creado y pedido el consentimiento expreso
  • ✓ Hemos informado claramente con nuestras páginas completas de Condiciones de Uso y de Cookies a nuestros usuarios.
  • ✓ Hemos creado un excel donde recoger todos los datos que nos envían de forma ordenada.
  • ✓ Hemos creado una carpeta digital donde guardar las fotos de los formularios de papel y las capturas de los emails con los datos que nos envían.
  • ✓ Hemos creado una carpeta física cerrada donde guardar los datos de los formularios de papel.

Bueno abuela, pues ya cumplimos casi todo lo legal, y digo casi porque falta un detalle muy importante, la custodia de los datos, el proceso de vigilancia de los mismos y los riesgos de tenerlos, ahora te lo voy a explicar.

➻ Tienes que gestionar tu los riesgos

Ahora te tengo que explicar un tema difícil de entender a la primera abuela, pero necesario que te lo explique.

Ya sabemos cómo debemos tener los datos de nuestros usuarios de una forma legal y correcta, pero ahora que ya tienes los datos en tu poder hay que evaluar el riesgo de que sean robados, sustraídos o modificados por otras personas.

Y esto es lo que el reglamento nuevo viene a regular, que cada dueño de una base de datos debe evaluar estos riesgos y poner las medidas oportunas para remediarlos.

Nosotros tenemos unos datos básicos que guardamos en una carpeta en la nube de One Drive de Windows. En esta nube están bien protegidos y seguros de ataques externos. Lo importante es que la clave que emplees para entrar no este visible o cualquier pueda verla en un papel al lado del ordenador, las claves para entrar debes guardarla en un sitio de difícil acceso. Con este gesto hemos evaluado el riesgo al acceso a los datos y por eso hemos tomado la solución de contratar un servicio seguro.

Al poner una contraseña de acceso a las bases de datos bloqueamos el acceso que está en la nube

Si tienes formularios de papel puedes guardarlos en una carpeta y esta en un armario bajo llave, de tal forma que nadie pueda acceder a ellos, así también tomas medidas de seguridad adecuadas al riesgo de que alguien pueda ver esos datos.

El reglamento en estos casos ha venido a crear la figura de que hay que ser proactivo, cada uno debe de marcar el nivel de seguridad que crea conveniente para los datos que tiene. En nuestro caso abuela al tener una página de paella y pedir solo el nombre el email el teléfono son datos de no muy alto valor, por lo mostrar una seguridad sobre ellos para que no nos lo roben o no se nos pierdan, pero tiene que ser una seguridad suficiente como la que ya hemos tomado.

Diferente a la que tendría que tener un hospital que tiene ya datos de enfermos y otros relacionados con el sexo o con patologías graves.

Crear nuestras pautas de comportamiento

Y seguimos con otro tema importante, ya hemos evaluado los riesgos y tomado medidas de seguridad de acceso, gestión fácil y control de los datos.

Ahora vamos con el último punto que tienes que cumplir, crear un documento general nuestro, de la página web, donde recogemos nuestras pautas de comportamiento ante el tratamiento de los datos.

Es algo muy sencillo, no te preocupes abuela, simplemente tenemos que reflexionar un poco sobre nuestro negocio de paellas y la página web, con la Ley anterior  debías enviarle a la agencia que archivos de datos tenías  cada, es porque tenías que ponerte en contacto con la agencia enviarle los archivos y la verdad es que no te veo abuela con capacidad para hacer eso. El reglamento ha eliminado este requisito y ahora lo que te pide es que bajo tu propia responsabilidad te marqués unas pautas de comportamiento y tengas un pequeño documento escrito que cumplas.

Así que vamos a crearlo, así si algún día tienes algún problema con los datos le demostrarás a la Agencia que sigues  un protocolo marcado por ti, que es lo suficiente para los riesgos posibles que evaluamos antes, y que lo tenías escrito en un documento y que te has interesado siempre en mantener activo estos procesos.

Así que vamos a abrir doc en la nube y anotar los siguientes datos:

  • ✓ Apuntamos qué datos recogemos y qué tipo de formularios tenemos, es decir,  por cada formulario online ponemos el nombre  y los datos que recogemos. Si tenemos un formulario en papel que entregamos en la feria hacemos lo mismo cómo lo tener bien descrito qué datos recogemos en cada formulario y el nombre de ese formulario.
  • ✓ Apuntamos la finalidad para cada dato, como ya te he comentado antes puede ser comercial de oferta todo ese tipo. Debemos poner al lado de los datos su finalidad.
  • ✓ Apuntamos también si vamos a compartir estos datos con otras empresas o páginas web y con quién lo vamos a compartir.
  • ✓ También anotados en el documento si vamos a usar estos datos con herramientas que están en otros países.
  • ✓ Es fundamental también poner una fecha de mantenimiento de los datos, deberemos marcar una fecha que esté dentro de la ley, en este caso podemos poner 36 meses, pasado esa fecha sin que el cliente se haya puesto en contacto con nosotros creemos que sus datos pueden perder su finalidad. Si una persona mantiene el contacto con nosotros lo podemos renovar si una persona no mantiene ningún contacto ni a ni hacer ninguna acción comercial pasado 36 meses deberías de eliminarlo. Siempre se puede decir que como nos cedió los datos para publicidad, mientras seguimos enviando publicidad cumple la finalidad de por que nos lo dio, pero si e tres años no te han comprado nada ni hecho click en ningún enlace tuyo, pues creo que debemos borrar ese dato.
  • ✓ Y por último lo fundamental es que protocolo de seguridad que ya hemos hecho con One Drive y las llaves del armario.

 

➻ Documentos de ejemplo

Por último te voy a regalar abuela todos los documentos que necesitas poner en tu página y en la nube para cumplir plenamente la LOPD y el RGPD.

 

Texto de Cookies inicial
Política de Cookies
Condiciones de Uso y Aviso legal
Planificación personal de actuaciones de seguridad en tu empresa (obligatorio)
Base de datos ejemplo

➻ Lista de verificación final de la Agencia de Protección de datos

Esta parte ya la voy a hacer yo, voy a revisar el documento oficial que sacó la agencia y ver si todo esta correcto.

Esto es lo que dice la Agencia como resumen:

Los responsables que realicen un número limitado de tratamientos que probablemente presenten
un bajo nivel de riesgo para los derechos y libertades de los interesados, podrán simplificar
la valoración de los aspectos relevantes a la hora de determinar que están en condiciones
de aplicar adecuadamente el RGPD.

Estos responsables serán en muchos casos pymes o micropymes, aunque también pueden incluirse
entre ellos organizaciones de mayor tamaño. El elemento realmente decisivo es el tipo de tratamientos
que lleven a cabo. Empresas que realicen tratamientos básicos sobre los datos de sus
empleados, clientes y proveedores, o comunidades de copropietarios que hagan tratamientos limitados
a la gestión de las tareas propias de la comunidad, se encontrarían entre ellos.

Esta aproximación simplificada no sería válida para responsables que, con independencia de su
tamaño, desarrollen tratamientos que impliquen un nivel de riesgo mayor. Por el tipo de tratamiento
(por ejemplo, elaboración de perfiles), por el tipo de datos tratados (por ejemplo, uso de
datos sensibles) o por el uso de determinados medios de tratamiento (por ejemplo, tecnologías de
análisis masivo de información).

Para aplicar esta versión simplificada del Listado de Verificación, los responsables deberán ante
todo confirmar que los tratamientos que realizan son de bajo riesgo y no tienen algún rasgo particular
que elevaría ese nivel de riesgo. A partir de ahí, podrán concentrar su análisis en las siguientes
cuestiones:

✓ Identificación de la base jurídica de los tratamientos que se realizan

Estos tratamientos básicos normalmente se basan en la existencia de una relación contractual entre el interesado o el responsable o en el consentimiento del interesado. También es habitual que existan obligaciones legales para el responsable, por ejemplo en el ámbito de la legislación laboral, que determinen el tratamiento de los datos. Puede haber algunos casos en que sea el interés legítimo del responsable. El responsable debe asegurarse de que todos los tratamientos que realiza pueden apoyarse en alguna de esas bases.

✓ Verificación de la información que se proporciona a los interesados

El RGPD obliga a ofrecer a los interesados una mayor información sobre los tratamientos que se realizan. Todos los responsables han de cumplir con esta obligación de transparencia, con independencia de su tamaño como organización. Por ello, los responsables han de asegurarse de que disponen de esa información y han previsto los medios adecuados para ofrecerla a los interesados. Sin embargo, los responsables que utilicen esta Lista Simplificada, teniendo en cuenta el tipo de tratamientos que realizan, no tendrían en principio que informar sobre cuestiones tales como los datos de contacto del Delegado de Protección de Datos, o la adopción de decisiones automatizadas.

La información podrá proporcionarse por diversos medios, como son avisos en páginas webs, espacios reservados en formularios o carteles informativos. También podrá ofrecerse en diversos momentos, como por ejemplo cuando se recogen los datos de los empleados o cuando se recogen los datos para contratación con los clientes.

✓ Establecimiento de un registro de actividades de tratamiento

El responsable debe prever la existencia de este registro e incluir en él los contenidos previstos por el RGPD. Si tiene ficheros notificados al Registro General de Datos, puede organizarlo relacionando los tratamientos con las finalidades con que notificó los ficheros.

✓ Ejercicio de derechos de los interesados

El responsable debe prever mecanismos para facilitar el ejercicio de derechos y la respuesta a las solicitudes. Estos mecanismos dependerán de las entidades, pero pueden ser tan simples como establecer una dirección de correo electrónico específica que sea operativa y que permita identificar a los interesados y atribuir a una persona de la organización que se responsabilice de tramitar todas las solicitudes que eventualmente se reciban. No obstante, es importante que estos mecanismos, por sencillos que sean, estén claramente establecidos. El modo de ejercer los derechos forma parte de la información que debe proporcionarse a los interesados.

✓ Identificación de medidas de seguridad

Las medidas de seguridad tienen como finalidades principales garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas. Por ello, el RGPD contempla medidas de seguridad que deben adaptarse a las características de los tratamientos, al tipo de datos tratados o a la tecnología disponible en cada momento.

Los tratamientos que implican un bajo riesgo para los derechos o libertades de los interesados no requerirían, en principio, medidas de seguridad más complejas que las que actualmente establece el Reglamento de Desarrollo de la LOPD para el nivel básico. El responsable debe asegurarse de que esas medidas se aplican y también valorar si en el caso de los tratamientos que realiza, por ejemplo, por el contexto concreto en que se desarrollan o el tipo de interesados a que se refiere, sería necesaria alguna medida de seguridad distinta o adicional. En este caso, podrían servir como orientación las medidas de nivel medio que se recogen en el Reglamento de la LOPD.

✓ Verificación de las relaciones con los encargados de tratamiento

Cuando el responsable del tratamiento encomienda parte de las operaciones, como puede ser el almacenamiento de la información o la realización de determinadas tareas sobre la base de los datos personales, la entidad que presta esos servicios es un encargado de tratamiento.

El responsable debería asegurarse, ante todo, de que estos encargos estén siempre amparados en un contrato de encargo, que tiene un contenido distinto del que regula el servicio que se contrata, aunque puede formar parte de él.

Igualmente, debe verificar que los contratos de encargo de tratamiento con prestadores de servicios incluye todos los aspectos que establece el RGPD, especialmente en lo relativo a que el encargado sólo tratará los datos para los fines que le encomiende el responsable, que aplicará las medidas de seguridad adecuadas y que mantendrá estricta confidencialidad sobre la información tratada.

En algunos casos, el modelo de contrato será ofrecido por el prestador. Si es así, el responsable debe ser consciente de que al suscribirlo convierte su contenido en las instrucciones para el tratamiento y se responsabiliza de ellas. En otros casos, será el responsable el que pueda preparar el modelo de contrato. En estos supuestos, sería aconsejable que recurriera a los modelos ya aprobados por la Comisión Europea o presentados por las autoridades de protección de datos.