7 obligaciones GDPR si tienes una empresa agroalimentaria

En Gregal soluciones Informaticas sl, hemos realizado un resumen de las obligaciones del reglamento general de protección de datos para los responsables de tratamiento para que sirva de guía a las empresas agroalimentarias.

1. CONSENTIMIENTO

Se trata de la forma en que los usuarios dan consentimiento a pertenecer a una base de datos específica y con un fin específico.

Con la actual LOPD se admiten formas de consentimiento táctico o por omisión y que se basaban en la inacción, pero en la nueva GDPR ya no se admite esa práctica y hay que tener esa manifestación del interesado con una clara acción afirmativa.

Las clausulas informativas deberán de explicar la información de una forma concisa, transparente, con un lenguaje claro y sencillo. De forma que todos puedan entenderlo.

Es también de obligatorio cumplimiento entregar toda la información por escrito incluidos los medios electrónicos:

Relación contractual.
Intereses vitales del interesado o de otras personas.
Obligación legal para el responsable.
Interés público o ejercicio de poderes públicos.
Intereses legítimos prevalentes del responsable o de terceros

2. TRANSPARENCIA E INFORMACIÓN A LOS INTERESADO

Toda información cedida a los interesados, debe de ser redactada y explicado de forma sencilla sin nomenclatura legal que no pueda ser entendida por todo el mundo.

En comparación con la antigua LOPD se ha ampliado estos puntos que deben proporcionar al interesado:

Intención de realizar transferencias internacionales
Datos del Delegado de Protección de Datos (si lo hubiere)
Elaboración de perfiles

3. DERECHOS

3.1 Procedimiento para el ejercicio

– Derecho de acceso

Una persona puede solicitar la copia de los datos personales que tengan de él.

– Derecho al olvido

Una persona puede solicitar a una organización el borrado de sus datos personales de inmediato.

– Limitación de tratamiento

El interesado puede limitar el uso de sus datos por parte de una organización, no debe de ser confundido con el borrado de los datos.

– Portabilidad

Este derecho implica que los datos personales que tenga una organización pueden pasar de un responsable a otro directamente sin tener que ser aprobado por el interesado. Siempre que la tecnología lo permita

4. RELACIONES RESPONSABLE-ENCARGADO

4.1 Obligaciones específicas para los encargados:

– Los encargados tienen obligación de mantener el registro de actividades de tratamiento.

– Deben de dejar claro las medidas de seguridad aplicables a los tratamientos que realizan.

– Es obligatorio nombrar un delegado de protección de datos.

4.2 Elección del encargado de tratamiento

La organización debe de nombrar un encargado de tratamiento de datos que pueda garantizar el buen cumplimiento de los mismos realizado conforme la RGDP.

4.3 Contenido del contrato de encargo

Para la relación entre los encargados y los responsables debe de existir un contrato o un acto jurídico que vincule a ambos.

En el contenido de estos contratos se deberá incluir:

Objeto, duración, naturaleza y la finalidad del tratamiento.
Tipo de datos personales y categorías de interesados
Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados…

Los contratos anteriores a la RGPD del 2018 deben de modificarse y adaptarse para respetar el nuevo contenido.

5. MEDIDAS DE RESPONSABILIDAD ACTIVA

Enumeramos las medidas de aplicación por los responsables y los posibles encargados, garantizando la aplicación de la misma y obligación de demostrar si fuera necesario.

5.1 Análisis de riesgo

Para todos los tratamientos que realicen los responsables, deberán de valorar el riesgo para establecer medidas a aplicar y su posterior implantación.

Variando en función de:

Los tipos de tratamiento,
La naturaleza de los datos,
El número de interesados afectados,
La cantidad y variedad de tratamientos que una misma organización lleve a cabo.

Dichos análisis deberán de utilizarse para grandes organizaciones metodologías de riesgos existentes y para organizaciones de menor tamaño, el análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.

5.2 Registro de actividades de tratamiento

Será obligatorio que todos los responsables mantengan un registro de operaciones de tratamiento de información establecidas por el RGPD. Estando exentas empresas con más de 250 trabajadores.

Con los apartados:

Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos si existiese
Finalidades del tratamiento
Descripción de categorías de interesados y categorías de datos personales tratados
Transferencias internacionales de datos…

5.3 Protección de Datos desde la Protección de Datos

Los responsables deben de garantizar que el tratamiento de datos cumple con la norma RGPD y que se traten los datos estrictamente necesarios.

5.4 Medidas de seguridad

De forma que se garantice un buen nivel de seguridad, los encargados y responsables deberán establecer medidas técnicas y organizativas.

5.5 Notificación de “violaciones de seguridad de los datos”

Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

5.6 Evaluación de impacto sobre la Protección de Datos

Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la
Protección de Datos y cumplir con lo establecido en la RGDP.

En el caso de los tratamientos iniciados con anterioridad a la fecha de aplicación del RGPD, los responsables deberán realizar una EIPD sobre esos tratamientos y en el caso de alto riesgo que, a juicio del responsable de tratamiento no pueda mitigarse por medios razonables en términos de tecnología disponible y costes de aplicación, el responsable deberá consultar a la autoridad de protección de datos competente.

5.7 Delegado de Protección de Datos:

– El RGPD establece la figura del Delegado de Protección de Datos (DPD), que será obligatorio en:

Autoridades y organismos públicos
Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles

– El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos.

– Los datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión.

– El DPD debe de tener total autonomía en sus funciones, debe de tener contacto directo con dirección y debe de tener todos los recursos necesarios para la buena ejecución de sus funciones.

6.TRANSFERENCIAS INTERNACIONALES

Es de obligatorio cumplimiento para las comunicaciones que se quieran realizar fuera del Espacio Económico Europeo a países (el RGPD incluye también organizaciones internacionales) a países que puedan dar un nivel de protección adecuado cuando se ofrezcan garantías de protección adecuado.

7. TRATAMIENTO DE DATOS MENORES

Se requiere el cumplimiento de acciones disponibles en base a la tecnología que se tenga de verificar que para los niños menores de edad se fije como limite el consentimiento y pertinente autorización parental o tutores del menor (pero no es una obligación en sí)