Decano del COA Gran Canaria
Estimados compañeros,
me dirijo a ustedes, con el ánimo de hacerles llegar una serie de Consejos Básicos en materia de Protección de Datos, elaborados por nuestro Delegado de Protección de Datos, Ricardo Martín Suárez.
Esperamos que estos consejos te ayuden en esta materia en el día a día de tu despacho de arquitectura.
El próximo mes de octubre impartiremos una Jornada Formativa en nuestra Sede Colegial que esperamos sea de tu interés, en la que nuestro Delegado de Protección de Datos resolverá tus dudas al respecto y cuyo objetivo es acercar el mundo de la Protección de Datos a nuestra actividad profesional.
Te recordamos que tenemos una dirección de correo electrónico a la que puedes acudir si tienes cualquier duda en materia de Protección de Datos, es la siguiente:
protecciondatos@arquitectosgrancanaria.es
Esperamos que estos consejos sean de tu ayuda,
Atentamente,
Juan Torres Alemán
Decano
11 Consejos básicos en materia de Protección de Datos
Orientaciones y consejos básicos para la adecuación de la actividad de un profesional autónomo o despacho de arquitectura al Reglamento General de Protección de Datos (en adelante RGP) y el cumplimiento de éste.
1
Analiza qué datos de carácter personal tratas en el ejercicio profesional y con qué finalidades concretas. Un profesional autónomo o despacho de arquitectura puede tratar datos como responsable, entre otras actividades, para la:
- Gestión profesional de los servicios prestados a los clientes.
- Gestión de recursos humanos y laborales.
- Gestión económica y fiscal.
- Gestión de un blog y una página web.
- Gestión de las obligaciones del propio Reglamento General de Protección de Datos (ejercicio de derechos, notificación de brechas de seguridad), etc.
Identifica también en qué relaciones tratas datos como encargado del tratamiento, en las que otros son los responsables. Un profesional autónomo o despacho de arquitectura puede tratar datos como encargado del tratamiento, entre otras actividades, para la:
- Colaboración con otros profesionales autónomos o despachos de arquitectura, o empresas.
- Prestación de servicios de asesoría en proyectos, etc.
2
Analiza los riesgos que pueden afectar al tratamiento de datos. En especial los riesgos que pueden afectar a:
- La integridad de los datos (modificación o alteración).
- La disponibilidad de los datos personales (pérdida o borrado).
- La confidencialidad de los datos (acceso no autorizado).
- El ejercicio de los derechos (ausencia de procedimientos).
- Los principios relativos al tratamiento (ausencia de legitimidad para el tratamiento; tratamiento ilícito), etc. Determina las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados.
La Agencia Española de Protección de Datos tiene disponible una Guía Práctica de Análisis de Riesgos y de medidas básicas de seguridad:
Guía para la gestión de riesgos (4,42 Mb)*
Los riesgos identificados y las medidas de control definidas deben documentarse.
3
Una vez identificadas las actividades para las que tratas datos de carácter personal y las medidas de seguridad apropiadas para los riesgos identificados, elabora el Registro Actividades del Tratamiento como responsable del tratamiento (y, en su caso, como encargado del tratamiento). Debe contener la siguiente información:
- Identidad del responsable (o del encargado).
- Nombre de la actividad.
- Base jurídica o legitimación para el tratamiento
- Fines del tratamiento.
- Colectivo de interesados de los que se tratan datos.
- Categorías de datos que se tratan.
- Categoría destinatarios, a los que se ceden o comunican datos.
- Transferencias internacionales que, en su caso, se realicen.
- Plazo de conservación o supresión de los datos.
- Medidas de seguridad.
4
Guarda y actualiza periódicamente este registro de actividades. Este registro de actividades no se comunica a la Agencia Española de Protección de Datos (AEPD), quedando en todo caso a su disposición por si los solicitara. Con el RGPD desaparece la obligación de inscribir los ficheros ante la AEPD.
Identifica qué empresas te prestan servicios y tienen acceso a datos de carácter personal de los que eres responsable. A un profesional autónomo o despacho de arquitectura le pueden prestar servicios y tener acceso a datos como encargados del tratamiento:
- Otros autónomos o despachos colaboradores.
- Prestadores de servicios informáticos.
- Proveedores de correo electrónico, página web, o de servicios en la nube.
- Gestorías fiscales o laborales, etc.
Formaliza un contrato con los encargados del tratamiento. La Agencia Española de Protección de Datos ha elaborado unas Directrices para la elaboración de estos contratos:
Guía para responsables de tratamiento (7,81 Mb)*
5
Analiza por qué vía te llegan los datos de carácter personal. Tendrás que informar al interesado de que tratas sus datos. La Agencia Española de Protección de Datos ha elaborado una Guía para cumplir con el deber de informar:
Guía para el cumplimiento del deber de informar (832 kb)*
Es aconsejable que, en la formalización de la relación con el cliente, en la hoja de encargo o contrato le informes del tratamiento de sus datos y de sus derechos. La relación contractual legitima el tratamiento de los datos del cliente. Si además de para el encargo profesional, tratas los datos del cliente para otras finalidades recaba en la hoja de encargo o contrato el consentimiento expreso para ello.
Si recabas datos a través de una web, en formularios de primera consulta o contacto, tendrás que informar debidamente al interesado y obtener su consentimiento. Te corresponderá, en su caso, probar como responsable que has informado al interesado. Es aconsejable que la información se proporcione por escrito y a ser posible recabando prueba de haber informado o de la voluntad o consentimiento del interesado.
6
Recuerda que si no hay otra habilitación para tratar los datos (contrato, cumplimiento de obligación legal, etc.) necesitarás el consentimiento inequívoco del interesado para tratar sus datos.
Salvo en categorías de datos de categorías especiales, donde ha de ser explícito, el consentimiento puede otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación). Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o
acción afirmativa. El RGPD no admite formas de consentimiento tácito o por omisión, que se basan en la inacción.
7
Recuerda que la normativa de protección de datos personales no puede analizarse en un contexto aislado sino que deben tenerse en cuenta, entre otras cuestiones, los deberes propios de la función profesional, en especial, el secreto profesional. Por ejemplo, los datos de clientes que sean empresas o sociedades no están sujetos a la normativa RGPD, pero el secreto profesional sigue prevaleciendo. Para tratar los datos de los proveedores, no es necesario recabar su consentimiento, ya que la relación contractual es suficiente.
8
Como norma general, los profesionales autónomos o despachos de arquitectura no tienen necesidad de nombrar un Delegado de Protección de Datos, al no estar dentro de las circunstancias enumeradas dentro de la normativa.
9
En el caso de tener personal laboral, es obligatoria la forma de acuerdos de confidencialidad, así como transmitirles los tratamientos de datos que les afecten. Los más habituales tienen que ver con el tratamiento con fines laborales, aunque en el caso del fichaje por huella o biométrico, también es necesario comunicarlo al personal.
10
Como regla general, cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la Agencia Española de Protección de Datos. La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella. Deben documentarse todas las violaciones de seguridad. En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, hay que notificar también a éstos.
11
Cuando tomes imágenes o vídeos, en los que se capten imágenes de personas, será necesario recabar su consentimiento explícito, de manera que quede demostrado que la persona recibió la información necesaria al ceder sus datos y autorizó a la empresa el uso de los mismos.
Finalmente, recuerda que la Agencia Española de Protección de Datos ha elaborado y recopilado una serie de documentos y guías útiles para la adecuación al RGPD y su cumplimiento. Están disponibles en la web de la Agencia.
En caso de duda puedes consultar al Colegio y nuestro Delegado de Protección de Datos le podrá ayudar con las cuestiones y dudas que le surjan.
Atentamente,
Juan Torres Alemán
Decano
Descargas:
Nota (*): Enlaces a descargas directas desde la web de la Agencia Española de Protección de Datos, AEDP. Estos documentos no están alojados en los servidores del COAGC.