Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web.

Imprimir
Categoría: General

LISTADO DE CUMPLIMIENTO DEL RGPD según la AGPD

Contesta CUMPLE SI / NO

PRINCIPIOS RELATIVOS AL TRATAMIENTO

  1. Se recogen los datos personales con fines determinados
  2. Se recogen los datos personales con fines explícitos
  3. Se recogen los datos personales con fines legítimos Se tratan ulteriormente de manera incompatible con otros fines Los datos personales se mantienen exactos Se mantienen actualizados
  4. Se rectifican los datos personales inexactos respecto de la finalidad Se suprimen los datos personales inexactos respecto de la finalidad
  5. Se mantienen durante más tiempo del necesario respecto de la finalidad Se tratan con fines de archivo en interés público
  6. Se tratan con fines de investigación científica Se tratan con fines históricos Los datos personales se tratan con fines estadísticos
  7. Se han implantado medidas de seguridad para proteger la integridad y confidencialidad de los datos
  8. Se han implantado medidas de seguridad contra el tratamiento no autorizado o ilícito de los datos
  9. Se han implantado medidas de seguridad para evitar su pérdida, destrucción o daño accidental Se mantiene la trazabilidad de los fines del tratamiento

LICITUD DEL TRATAMIENTO

  1. Se tiene consentimiento para cada finalidad del tratamiento
  2. El tratamiento es necesario para ejecutar un contrato o precontrato
  3. Existe obligación legal
  4. El tratamiento es necesario para proteger intereses vitales
  5. El tratamiento es necesario para el cumplimiento de interés público
  6. El tratamiento es necesario para satisfacer intereses legítimos

CONDICIONES PARA EL CONSENTIMIENTO

  1. Se puede demostrar que el afectado dio su consentimiento para el tratamiento
  2. Se puede demostrar que el tratamiento se realiza como resultado del cumplimiento de una obligación legal
  3. Se solicita el consentimiento de forma clara e independiente de los demás asuntos
  4. Se solicita el consentimiento de forma inteligible y de fácil acceso
  5. Se solicita usando lenguaje claro y sencillo
  6. Se informa con carácter previo a recabar el consentimiento
  7. Se permite retirar el consentimiento con la misma facilidad que se recaba
  8. Se ofrecen medios para retirar el consentimiento en cualquier momento
  9. Se recaba el libre consentimiento
  10. Para prestar un servicio se solicitan sólo los datos necesarios
  11. Para ejecutar un contrato se solicitan sólo los datos necesarios

CONSENTIMIENTO DE NIÑOS EN RELACIÓN CON LOS SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

  1. Se recaba el consentimiento de menores de 14 años al titular de la patria potestad o tutela sobre el niño
  2. Se verifica que el consentimiento fue dado por el titular de la patria potestad o tutela sobre el niño

TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS

  1. Se tratan los datos sólo cuando existen normas que lo exceptúen
  2. Se tratan los datos con consentimiento explícito y no existen normas de derecho que prohíban expresamente su tratamiento
  3. Es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito del derecho laboral y de la seguridad y protección en la medida que está establecido por las normas de derecho
  4. Es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito del derecho laboral y de la seguridad y protección en la medida que existe un convenio colectivo con arreglo a derecho
  5. Es necesario para proteger los intereses vitales de una persona y el interesado no está capacitado, física o jurídicamente, para dar su consentimiento
  6. Se efectúa en el ámbito de actividades legítimas y con las debidas garantías y se refiere exclusivamente a los miembros actuales o antiguos o a personas que mantienen contactos regulares en relación con la finalidad (política, filosófica, religiosa o sindical)
  7. Se efectúa en el ámbito de actividades legítimas y con las debidas garantías y no se comunican a terceros sin consentimiento de los interesados
  8. Se tratan datos que el interesado ha hecho manifiestamente públicos
  9. Es necesario para la formulación, el ejercicio o la defensa de reclamaciones
  10. Es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social
  11. Es necesario por razones de interés público en el ámbito de la salud pública sobre la base normas de Derecho que establece medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional
  12. Es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos en base a normas de derecho
  13. Se realiza cumpliendo las condiciones con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud que establece la normativa nacional

TRATAMIENTOS RELATIVOS A CONDENAS E INFRACCIONES PENALES

  1. Se tratan los datos bajo la supervisión de las autoridades públicas
  2. Se tratan los datos bajo la autorización de normas de derecho
  3. El registro completo de condenas penales se realiza bajo el control de las autoridades públicas

TRATAMIENTOS QUE NO REQUIEREN IDENTIFICACIÓN

  1. Se mantiene información adicional con vistas a identificar al interesado cuando los fines no requieren esa identificación
  2. Se obtiene y/o trata información adicional con vistas a identificar al interesado cuando los fines no requieren esa identificación
  3. Se puede demostrar que los datos anonimizados no permiten identificar a los interesados
  4. Se informa al interesado y se recaba su consentimiento cuando se llega a su identificación
  5. Se cancelan los datos cuando se llega a identificar al interesado

DERECHOS DEL INTERESADO. TRANSPARENCIA DE LA INFORMACIÓN

  1. Se toman medidas para facilitar al interesado toda la información relativa al tratamiento La información se facilita de forma concisa, transparente e inteligible La información se facilita en lenguaje claro y sencillo
  2. Se facilita por escrito o por otros medios, incluidos los electrónicos
  3. Se facilita verbalmente, previa acreditación de su identidad
  4. Se facilita al interesado el ejercicio de sus derechos
  5. Se atienden las peticiones del ejercicio de derechos aunque el tratamiento no requiera identificación salvo que no se pueda identificar al interesado
  6. Se informa al interesado en el plazo de un mes desde la recepción de su solicitud
  7. Se informa ante el ejercicio de derechos complejos o ante muchas solicitudes en el plazo máximo de tres meses desde la recepción de la solicitud
  8. Se informa en el plazo de un mes de la prórroga de tres meses indicando el motivo de la dilación
  9. Se permite a los interesados el ejercicio de derechos por medios electrónicos
  10. Se informa por medios electrónicos cuando se recibe la solicitud por esos medios salvo que solicite que se realice por otro medio
  11. Se informa de las razones de la no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales, en el plazo de un mes desde la recepción de la solicitud cuando no se da curso a la solicitud
  12. Se facilita gratuitamente el ejercicio de derechos
  13. Se solicita información para acreditar la identidad de la persona física que ejerce sus derechos
  14. Cuando la información que se facilita utiliza iconos normalizados, el formato electrónico es legible mecánicamente

DERECHOS DEL INTERESADO. INFORMACIÓN A FACILITAR CUANDO LOS DATOS SE OBTIENEN DEL INTERESADO

  1. Se facilita la identidad y los datos de contacto del responsable y, en su caso, del representante cuando se solicitan datos
  2. Se facilitan los datos de contacto del delegado de protección de datos
  3. Se facilitan los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento
  4. Se facilita información sobre el interés legitimo
  5. Se informa sobre los destinatarios o las categorías de destinatarios
  6. Se informa del plazo de conservación de los datos personales o los criterios utilizados para determinarlo
  7. Se informa sobre la existencia del derecho a solicitar el acceso, rectificación o supresión, la limitación del tratamiento, a oponerse y el derecho a la portabilidad
  8. Si el tratamiento se basa en el consentimiento se informa de la existencia del derecho a retirarlo en cualquier momento
  9. Se informa del derecho a presentar una reclamación ante una autoridad de control Se informa de las cesiones basadas en requisitos legales o contractuales
  10. Se informa de las cesiones basadas en un requisito necesario para suscribir un contrato
  11. Se informa de la existencia de decisiones automatizas, elaboración de perfiles, sobre la lógica aplicada, la importancia y consecuencias previstas del tratamiento
  12. Antes de realizar tratamientos de datos personales para una finalidad distinta de la que fueron recogidos, se informa al interesado y la información abarca esa otra finalidad y cualquier otra información pertinente

DERECHOS DEL INTERESADO. INFORMACIÓN A FACILITAR CUANDO LOS DATOS NO SE OBTIENEN DEL INTERESADO

  1. Se informa de la identidad y los datos de contacto del responsable y, en su caso, de su representante
  2. Se informa de los datos de contacto del DPD Se informa de los fines del tratamiento Se informa de la base jurídica del tratamiento
  3. Se informa de las categorías de datos personales de que se trate
  4. Se informa de los destinatarios o las categorías de destinatarios de los datos
  5. Se informa del plazo durante el cual se conservarán los datos personales
  6. Se informa de los criterios utilizados para determinar este plazo el plazo de conservación cuando no es posible informar del mismo
  7. Se informa de los intereses legítimos concretos en que se basa el tratamiento
  8. Se informa del derecho a solicitar el acceso a sus propios datos personales
  9. Se informa del derecho a solicitar la rectificación de sus datos
  10. Se informa del derecho a solicitar la supresión Se informa del derecho a la limitación del tratamiento
  11. Se informa del derecho a oponerse al tratamiento Se informa del derecho a la portabilidad de los datos
  12. Se informa de la existencia del derecho a retirarlo el consentimiento en cualquier momento
  13. Se informa del derecho a presentar una reclamación ante una autoridad de control
  14. Se informa de la fuente de la que proceden los datos personales Si proceden de fuentes de acceso público, se informa de ello
  15. Se proporciona la información antes de un mes
  16. Si los datos personales se utilizan para comunicación con el interesado, se le comunica la información a que tiene derecho en el momento de la primera comunicación
  17. Si está previsto comunicar los datos personales del interesado a otro destinatario, se le comunica la información a más tardar en el momento en que los datos personales son comunicados por primera vez
  18. Se informa al interesado si se realizan tratamientos para finalidades diferentes de la que fueron recogidos No se informa cuando ya dispone de la información el interesado
  19. No se informa cuando la comunicación de dicha información resulta imposible o supone un esfuerzo desproporcionado
  20. No se informa porque puede imposibilitar u obstaculizar gravemente el logro de los objetivos del tratamiento pero se adoptan medidas para proteger los derechos, libertades e intereses legítimos del interesado
  21. No se informa porque la obtención o la comunicación está expresamente establecida por normas de derecho aplicables
  22. No se informa porque los datos personales tienen carácter confidencial sobre la base de una obligación de secreto profesional regulada por normas de Derecho

DERECHOS DEL INTERESADO. DERECHO DE ACCESO

  1. Se informa respecto a los fines del tratamiento
  2. Se informa de las categorías de datos personales que se tratan
  3. Se informa de los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales
  4. Se informa del plazo previsto de conservación de los datos personales
  5. Se informa de los criterios utilizados para determinar el plazo de conservación
  6. Se informa del derecho a solicitar la rectificación o supresión de sus datos
  7. Se informa del derecho a solicitar la limitación del tratamiento de los datos
  8. Se informa del derecho a solicitar la oposición al tratamiento
  9. Se informa del derecho a presentar una reclamación ante una autoridad de control
  10. Se proporciona información sobre el origen de los datos cuando no recogen del propio interesado
  11. Se facilita copia de los datos personales objeto de tratamiento cuando el interesado lo solicita
  12. Se facilita la información en formato electrónico de uso común si lo solicita por medios electrónicos salvo que se facilite otro medio

DERECHOS DEL INTERESADO. DERECHO DE RECTIFICACIÓN

  1. Se rectifican los datos personales inexactos sin dilación indebida
  2. Se completan los datos personales incompletos teniendo en cuenta los fines del tratamiento

DERECHOS DEL INTERESADO. DERECHO DE SUPRESIÓN («EL DERECHO AL OLVIDO»)

  1. Se suprimen los datos cuando no son necesarios en relación con los fines para los que fueron recogidos
  2. Se suprimen los datos cuando se retira el consentimiento en que se basa el tratamiento
  3. Se suprimen los datos cuando se opone al tratamiento
  4. Se suprimen los datos cuando han sido tratados ilícitamente
  5. Se suprimen los datos cuando lo exige una obligación legal
  6. Se suprimen los datos cuando se obtienen en relación con la oferta de servicios de la sociedad de la información

DERECHOS DEL INTERESADO. DERECHO A LA LIMITACIÓN DEL TRATAMIENTO

  1. Se limita el tratamiento durante un plazo para verificar la exactitud de los datos, cuando el interesado impugna su exactitud
  2. Se limita el tratamiento cuando es ilícito y el interesado se opone a la supresión de sus datos personales y solicita en su lugar la limitación de su uso
  3. Se limita el tratamiento cuando no son necesarios para los fines pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones
  4. Se limita el tratamiento cuando el interesado se opone al tratamiento mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado
  5. Se informa al interesado cuando se levanta la limitación del tratamiento

INFORMACIÓN AL INTERESADO ANTE RECTIFICACIÓN, SUPRESIÓN O LIMITACIÓN EN EL TRATAMIENTO

  1. Se comunican al interesado la rectificación, supresión o limitación en el tratamiento

DERECHOS DEL INTERESADO. DERECHO A LA PORTABILIDAD DE LOS DATOS

  1. Se facilitan los datos cuando el interesado lo solicita en un formato estructurado, de uso común y lectura mecánica
  2. Se transmiten dichos datos a otro responsable si el tratamiento está basado en el consentimiento o en un contrato
  3. Se transmiten dichos datos si el tratamiento se efectúe por medios automatizados
  4. Se transmiten los datos al nuevo responsable que el interesado determina, si es posible técnicamente

DERECHOS DEL INTERESADO. DERECHO DE OPOSICIÓN

  1. Se atienden las solicitudes de oposición y se dejan de tratar los datos
  2. Se atienden las solicitudes de oposición pero no se dejan de tratar los datos por motivos legítimos imperiosos para el tratamiento que prevalecen sobre los intereses, los derechos y las libertades o para la formulación, el ejercicio o la defensa de reclamaciones
  3. Se ponen los medios necesarios para que pueda ejercer su derecho a oponerse por medios automatizados

DERECHOS DEL INTERESADO. DECISIONES INDIVIDUALES AUTOMATIZADAS, INCLUIDA LA ELABORACIÓN DE PERFILES

  1. No se realizan tratamientos que supongan la toma una decisión basada únicamente en el tratamiento automatizado y que produzca efectos jurídicos
  2. Se realizan tratamientos que suponen la toma una decisión basada únicamente en el tratamiento automatizado y que producen efectos jurídicos porque es necesario para la celebración o la ejecución de un contrato
  3. Se realizan tratamientos que suponen la toma una decisión basada únicamente en el tratamiento automatizado y que producen efectos jurídicos porque están autorizados en Derecho
  4. Se realizan tratamientos que suponen la toma una decisión basada únicamente en el tratamiento automatizado y que producen efectos jurídicos porque se cuenta con el consentimiento explícito
  5. Si se realizan tratamientos que suponen la toma una decisión basada únicamente en el tratamiento automatizado y que producen efectos jurídicos se adoptan las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos
  6. Si se realizan tratamientos que suponen la toma una decisión basada únicamente en el tratamiento automatizado y que producen efectos jurídicos se adoptan medidas adecuadas para salvaguardar el derecho a obtener intervención humana por parte del responsable
  7. Si se realizan tratamientos que suponen la toma una decisión basada únicamente en el tratamiento automatizado y que producen efectos jurídicos se adoptan medidas adecuadas para dar al interesado ocasión de expresar su punto de vista e impugnar la decisión
  8. Se toman decisiones individuales automatizadas, incluida la elaboración de perfiles, que se basen en las categorías especiales de datos personales porque se cuenta con el consentimiento del interesado
  9. Se toman decisiones individuales automatizadas, incluida la elaboración de perfiles, que se basen en las categorías especiales de datos personales porque se cuenta con habilitación legal
  10. Se informa a los interesados acerca de estas decisiones individuales automatizadas y de la habilitación legal de las mismas
  11. Se toman decisiones individuales automatizadas, incluida la elaboración de perfiles, que se basen en las categorías especiales de datos personales porque se han tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado

RESPONSABILIDAD DEL RESPONSABLE DEL TRATAMIENTO

  1. Se tiene en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento para garantizar y poder demostrar que el tratamiento es conforme con el RGPD
  2. Se tienen en cuenta los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas
  3. Se aplican medidas técnicas y organizativas apropiadas
  4. Las medidas se revisan y actualizan cuando es necesario
  5. Se han confeccionado políticas de protección de datos
  6. Se aplican las políticas de protección de datos

PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

  1. Se analizan las medidas técnicas y organizativas apropiadas antes de determinar los medios de tratamiento
  2. Durante el diseño del tratamiento se tienen en cuenta las medidas técnicas y organizativas apropiadas para cumplir con el RGPD
  3. Durante el tratamiento se aplican las medidas que han sido determinadas Durante el tratamiento se comprueba la efectividad de las medidas aplicadas
  4. Se aplican medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratan datos necesarios para cada uno de los fines
  5. Se aplican medidas técnicas y organizativas teniendo en cuenta la cantidad de datos personales recogidos, la extensión del tratamiento, el plazo de conservación y la accesibilidad
  6. Las medidas garantizan que, por defecto, los datos no son accesibles a un número indeterminado de personas físicas, sin la intervención de personal

CORRESPONSABLES DEL TRATAMIENTO

  1. Se han determinado de modo transparente, y de mutuo acuerdo, las responsabilidades respectivas de los corresponsables en el cumplimiento de las obligaciones impuestas por el RGPD
  2. El acuerdo fija las respectivas obligaciones de suministro de información al interesado
  3. El acuerdo entre corresponsables del tratamiento refleja las funciones y relaciones respectivas de ambos en relación con los interesados
  4. Los aspectos esenciales del acuerdo están a disposición del interesado

ENCARGADO DEL TRATAMIENTO

  1. Se eligen los que ofrecen garantías suficientes conforme con los requisitos del RGPD y garantizando la protección de los derechos del interesado
  2. El encargado del tratamiento no recurre a otro encargado sin la autorización previa por escrito
  3. El tratamiento por el encargado se rige por un contrato u otro acto jurídico vinculante con arreglo a las normas de Derecho
  4. El contrato establece el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados así como las obligaciones y derechos del responsable
  5. El contrato establece que se tratan los datos personales únicamente siguiendo instrucciones documentadas del responsable
  6. El contrato garantiza que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria
  7. El contrato establece que se tomarán las medidas de seguridad necesarias
  8. El contrato establece que se respetarán las condiciones indicadas para recurrir a otro encargado del tratamiento
  9. El contrato establece que el encargado asistirá para que se pueda responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados
  10. El contrato establece que se suprimirán o devolverán los datos personales una vez finalice la prestación de los servicios, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales
  11. El contrato establece que pondrá a disposición toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas, así como para permitir y contribuir a la realización de auditorías e inspecciones, por parte del responsable o de otro auditor autorizado por el responsable
  12. El contrato establece que si el encargado del tratamiento recurre a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se imponen a este otro encargado las mismas obligaciones de protección de datos que las estipuladas en el contrato, mediante contrato u otro acto jurídico establecido con arreglo a Derecho
  13. El contrato consta por escrito
  14. Sólo se accede a los datos siguiendo instrucciones del responsable

REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO

  1. Se lleva un registro de las actividades de tratamiento
  2. El registro recoge el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos
  3. El registro recoge los fines del tratamiento Recoge una descripción de las categorías de interesados y de las categorías de datos personales
  4. Recoge las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales
  5. Recogen las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional
  6. Incluye los plazos previstos para la supresión de las categorías de datos
  7. Incluye una descripción general de las medidas técnicas y organizativas apropiadas al riesgo de los tratamientos

SEGURIDAD DEL TRATAMIENTO

  1. Para determinar las medidas a aplicar se tiene en cuenta el estado de la técnica, costes de aplicación, y la naturaleza, alcance, contexto y fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas
  2. Se aplican las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo
  3. Se han incluido medidas para asegurar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
  4. Medidas para asegurar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
  5. Existe un proceso de verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento
  6. Se han tenido en cuenta los riesgos que presenta el tratamiento como consecuencia de su destrucción, pérdida o alteración accidental o ilícita que son transmitidos, conservados o tratados, o la comunicación o acceso no autorizados a dichos datos para evaluar el nivel de seguridad aplicado
  7. Se han tomado medidas para garantizar que las personas autorizadas a acceder a datos sólo los tratan siguiendo instrucciones

NOTIFICACIÓN DE BRECHAS DE LA SEGURIDAD DE LOS DATOS PERSONALES A LA AUTORIDAD DE CONTROL

  1. Se ha establecido un procedimiento para identificar y gestionar las brechas de seguridad
  2. Existe un procedimiento para que los encargados del tratamiento notifiquen las brechas al responsable en el momento en que tengan conocimiento de ellas Existe un procedimiento para notificar a la autoridad de control en el plazo de 72 horas
  3. Existe un procedimiento para documentar los motivos por los que no se puede notificar en el plazo de 72 horas
  4. Existe un procedimiento para facilitar la información de manera gradual cuando no es posible facilitarla simultáneamente
  5. Se documenta cualquier brecha de seguridad de los datos personales
  6. En la documentación se incluyen los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas
  7. Se ha comprobado que el procedimiento de notificación funciona

COMUNICACIÓN DE UNA BRECHA AL INTERESADO

  1. Existe un procedimiento para comunicar la brecha sin dilación indebida cuando sea probable que entrañe un alto riesgo para los derechos y libertades
  2. La comunicación al interesado, se lleva a cabo en un lenguaje claro y sencillo, describe la naturaleza de la brecha

EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS

  1. Se recaba el asesoramiento del DPD
  2. Se realiza EIPD antes del tratamiento cuando es probable que entrañe un alto riesgo para los derechos y libertades de las personas
  3. Se realiza una EIPD antes en tratamientos a gran escala de categorías especiales de datos o relativos a condenas e infracciones penales
  4. Se realiza una EIPD antes de tratamiento que suponen una observación sistemática a gran escala de una zona de acceso público
  5. Se realiza una EIPD en operaciones de tratamiento incluidas en la lista publicada por la autoridad de control
  6. La EIPD incluye una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, y cuando procede el interés legítimo perseguido
  7. Incluye una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad
  8. La EIPD incluye una evaluación de los riesgos para los derechos y libertades Incluye medidas previstas para demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas Incluye las medidas previstas para afrontar los riesgos, garantías y mecanismos para garantizar la protección de datos
  9. Se reexaminan las EIPD siempre que es necesario y cuando exista un cambio de los riesgos que representen las operaciones de tratamiento
  10. Se consulta a la autoridad de control antes de proceder al tratamiento cuando una EIPD muestre que el mismo entrañaría un alto riesgo si no se toman medidas para mitigarlo
  11. Se informa de las responsabilidades respectivas de los implicados en el tratamiento en la consulta a la autoridad de control
  12. Se informa de los fines y medios del tratamiento previsto en la consulta Se informa de las medidas y garantías establecidas para proteger los derechos y libertades en la consulta
  13. Se facilitan los datos de contacto del delegado de protección de datos Se incluye la evaluación de impacto
  14. Cuando se consulta se facilita cualquier información adicional que solicite la autoridad de control

DELEGADO DE PROTECCIÓN DE DATOS

  1. Se ha designado un DPD por requerimiento legal
  2. Se ha designado un DPD atendiendo a sus cualidades de profesionalidad, conocimientos y competencias en la materia
  3. Se han publicado los datos de contacto del DPD y se ha comunicado a la autoridad de control
  4. Se garantiza que el DPD participa de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales
  5. Se da respaldo en el desempeño sus funciones
  6. Se le facilitan los recursos necesarios para el desempeño de sus funciones, el acceso a los datos personales y a las operaciones de tratamiento
  7. Se le facilitan los recursos necesarios para mantener sus conocimientos
  8. Se garantiza que el DPD no recibe ninguna instrucción en lo que respecta al desempeño de sus funciones
  9. No se puede destituir ni sancionar al DPD por desempeñar sus funciones
  10. El DPD rinde cuentas directamente al más alto nivel jerárquico
  11. El DPD atiende las solicitudes de los interesados
  12. El DPD está obligado a mantener la confidencialidad en el desempeño de sus funciones
  13. Si el DPD desempeña otras funciones, se garantiza que no dan lugar a conflicto de intereses
  14. Las funciones del DPD son informar, asesorar y formar al personal de las obligaciones que les incumben
  15. El DPD coopera y actúa como punto de contacto con la autoridad de control

TRANSFERENCIAS A PAÍSES TERCEROS U ORGANIZACIONES INTERNACIONALES

  1. Se realizan transferencias a países, o sectores de los mismos, u organizaciones internacionales declarados de nivel de protección adecuado por la Comisión Europea
  2. Se realiza un seguimiento de la validez de las decisiones de adecuación de la Comisión europea
  3. Se realizan transferencias mediante garantías adecuadas que ofrezcan a los interesados derechos exigibles y posibilidad de acciones legales.
  4. Existe un instrumento jurídico vinculante y exigible entre las autoridades u organismos públicos
  5. Existen normas corporativas vinculantes Existen cláusulas tipo de protección de datos adoptadas por la Comisión
  6. Existen cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
  7. Existe un código de conducta junto con compromisos vinculantes y exigibles en el tercer país que permita aplicar garantías adecuadas
  8. Existe un mecanismo de certificación junto con compromisos vinculantes y exigibles en el tercer país que permita aplicar garantías adecuadas
  9. Existen cláusulas contractuales que requieren la autorización previa de la autoridad de control
  10. Existen acuerdos administrativos entre autoridades y organismos públicos que incorporen disposiciones que incluyan derechos efectivos y exigibles para los interesados
  11. Se realizan transferencias internacionales en ausencia de decisión de adecuación de la Comisión europea y de garantías adecuadas
  12. Se dispone del consentimiento explícito del interesados y se le ha informado de los posibles riesgos
  13. Son necesarias para la ejecución de un contrato con el interesado o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado
  14. Son necesarias para la formulación, ejercicio o la defensa de reclamaciones
  15. Son necesarias para la protección de los intereses vitales del interesado o de otras personas, cuando el interesado esté incapacitado para dar su consentimiento
  16. Por intereses legítimos imperiosos
  17. Afecta a un número limitado de interesados y no es repetitiva
  18. Se han evaluado todas las circunstancias concurrentes y se han ofrecido garantías apropiadas
  19. Se ha informado a la autoridad de control