EIPD, LA EVALUACIÓN DE IMPACTO EN PROTECCIÓN DE DATOS

Kenia Echenique
Kenia Echenique

Máster en Protección de Datos por la AEPD y UNED

Dejar un comentario

Contenidos

Vivimos en una sociedad cada vez más tecnológica, donde los continuos avances posibilitan la creación de nuestros tratamientos de datos y la aparición de nuevos riesgos que deben ser gestionados adecuadamente.

¿Qué es la EIPD?

La Evaluación de Impacto (EIPD) es una herramienta con carácter preventivo que debe ser utilizada por ti como el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas las actividades de tratamiento, con el objetivo de garantizar los derechos y libertades de las personas físicas. Si lo vemos desde el punto de vista práctico, el objetivo de la EIPD es determinar el nivel de riesgos que entraña un tratamiento con la finalidad de establecer medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.

¿Qué mide una Evaluación de Impacto de Protección de Datos?

La evaluación de impacto de protección de datos se puede medir utilizando la naturaleza, el ámbito, el contexto y los fines del tratamiento para poder valorar la particular gravedad y probabilidad del alto riesgo. La evaluación de impacto incluirá, en particular, las medidas, garantías y mecanismos previstos para:

 

  • Mitigar el riesgo
  • Garantizar la protección de los datos personales
  • Demostrar la conformidad con el RGPD

Por tanto, la EIPD será un instrumento importante para la rendición de cuentas, ya que te ayudará, como responsable, a no sólo cumplir con los requisitos del RGPD, sino también a demostrar que has tomado medidas adecuadas para garantizar su cumplimiento. Es importante que como responsables del tratamiento de datos personales tengas en cuenta que el incumplimiento de los requisitos de la EIPD puede dar lugar a la imposición de multas por parte de la autoridad de control competente, que se concretaría en una multa administrativa de hasta 10 millones EUR o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optando por la de mayor cuantía siempre.

 

Este incumplimiento se concreta en:

 

  • No llevar a cabo una EIPD cuando el tratamiento requiere una evaluación de este tipo
  • Llevar a cabo una EIPD de forma incorrecta
  • No consultar a la autoridad de control competente cuando sea necesario
evaluacion de impacto proteccion de datos

¿Cuándo es obligatorio la EIPD?

Debes saber que la EIPD debe iniciarse tan pronto como sea posible en el diseño de la operación de tratamiento, incluso aunque algunas de las operaciones de tratamiento no se conozcan aún, y debe actualizarse a lo largo del proyecto de ciclo de vida. Es decir, si planteas iniciar un nuevo tratamiento en tu empresa debes analizar o buscar orientación especializada sobre ese nuevo tratamiento, y analizar los posibles riesgos e impacto de los mismos.

 

El seguimiento de la evolución y comportamiento de esos datos desde sus inicios y a través de todo el ciclo de vida lo que hará es garantizar la protección de los datos y la intimidad y propiciará la creación de soluciones que fomenten el cumplimiento. Es importante repetir pasos concretos de la EIPD a medida que avance el proceso de desarrollo debido a que la selección de determinadas medidas técnicas u organizativas puede afectar a la gravedad o probabilidad de los riesgos que suponga el tratamiento y entonces es necesario replantearse otras diferentes. Si llevas a cabo una evaluación de impacto, las medidas que implementen deben ser evaluadas y lo más posible es que sufran cambios, para hacer que el riesgo sea lo más aceptable posible.

 

Una evaluación de impacto debe realizarse siempre antes de iniciar el tratamiento, pero no resulta obligatorio hacerlo en todas las operaciones de tratamiento, sino sólo cuando puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas.

 

En aquellos casos en los que no esté claro si se requiere una evaluación de impacto, siempre se recomienda realizarla ya que esta evaluación representa un instrumento práctico para ayudarte como responsable del tratamiento a cumplir la legislación de protección de datos.

 

Si has leído otros artículos nuestros sabrás que, aunque soy abogada, no me gusta estar mencionando mucho las leyes. Pero en el caso de la EIPD debes saber que el artículo 35 del RGPD establece que las autoridades de control establecerán y publicarán una lista de los tipos de operaciones de tratamiento que requieren una evaluación de impacto relativa a la protección de datos personales.

¿Quién debe realizar una EIPD?

Existen 9 criterios a tener en cuenta para hacer una EIPD siempre antes de abordar la elaboración de operaciones de tratamiento que “probablemente entrañen un alto riesgo”. Para que te sea más fácil identificar si estás entre los que la tienen que hacer, enumeraré los casos en que resulta necesario:

1. Evaluación o puntuación

Incluida la elaboración de perfiles y la predicción, especialmente de aspectos relacionados con:

  • el rendimiento en el trabajo
  • la situación económica
  • la salud
  • las preferencias o intereses personales
  • la fiabilidad o el comportamiento
  • la situación o los movimientos del interesado.

Por ejemplo, un banco que investigue a sus clientes en una base de datos de crédito o en una base de datos contra el blanqueo de capitales y la financiación del terrorismo o sobre fraudes.

 

Otro ejemplo puede ser un hospital antes de poner en funcionamiento una nueva base de datos de información sanitaria con los datos sobre la salud de sus pacientes.

 

Además puedes verlo más claro en una empresa que elabora perfiles de comportamiento o de mercadotecnia basados en el uso o navegación en su sitio web.

2. Evaluación o puntuación automatizada con efecto jurídico significativo o similar

Tratamiento destinado a tomar decisiones sobre los interesados que produce efectos jurídicos vinculantes o que les afecta significativamente de modo similar.


Para que lo aterrices mejor te pondré un ejemplo: un tratamiento que pueda provocar exclusión o discriminación contra las personas.

3. Observación sistemática

En este tercer supuesto será necesario EIPD para un tratamiento que se usa para observar, supervisar y controlar a los interesados, incluidos los datos recogidos a través de redes u observación sistemática de una zona de acceso público. Este tipo de observación representa un criterio porque los datos personales pueden recogerse en circunstancias en las que los interesados pueden no ser conscientes de quién está recopilando sus datos y cómo los va a utilizar. Además, puede resultar imposible para las personas evitar ser objeto de este tipo de tratamiento en espacios públicos.

4. Datos sensibles o datos muy personales

Aquí te pongo como ejemplo de datos sensibles: un hospital general que guarda historiales médicos de pacientes. Otro ejemplo puede ser un investigador privado que guarda datos de delincuentes.

5. Tratamiento de datos a gran escala

Se debe tener en cuenta:

 

  • El número de interesados afectados
  • El volumen de datos
  • Duración de la actividad de tratamiento
  • El alcance geográfico

6. Asociación o combinación de conjuntos de datos

Como ejemplos, los datos personales procedentes de dos o más operaciones de tratamiento de datos que se realicen para fines distintos o por distintos responsables del tratamiento que exceda las expectativas razonables del interesado.

7. Datos relativos a interesados vulnerables

En este caso, al existir un aumento del desequilibrio de poder entre los interesados y el responsable del tratamiento, que implica que las personas puedan ser incapaces de autorizar o denegar el tratamiento de sus datos personales o de ejercer sus derechos.

8. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas

Por ejemplo, la combinación del uso de la huella dactilar y el reconocimiento facial para el control físico de acceso a un local. Otro ejemplo podría ser las aplicaciones de internet de las cosas, que podrían tener un impacto significativo en la vida diaria y en la privacidad de las personas.

9. Cuando el tratamiento impida a una persona física ejercer un derecho, utilizar un servicio o ejecutar un contrato

En este último caso en que se debe hacer evaluación de impacto se incluyen operaciones de tratamiento destinadas a permitir, modificar o denegar el acceso de los interesados a un servicio o contrato. Por ejemplo, el banco que investiga a sus clientes en una base de datos de referencia de crédito con el fin de decidir si les ofrece un préstamo preconcedido.
evaluación de impacto

¿Quién no está obligado a realizar una Evaluación de Impacto en Protección de Datos?

Para responder a esta pregunta nos debemos ir a lo establecido en el RGPD, donde dice que no será obligatorio realizar una evaluación de impacto en los siguientes casos:

 

  • En caso que no sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas según lo establece el (artículo 35, apartado 1);
  • En los casos que la naturaleza, el alcance, el ámbito, el contexto y los fines del tratamiento sean muy similares al tratamiento para el que se ha realizado una EIPD previa.
  • En caso de formar parte del listado de criterios de los casos en que no es necesario realizar una evaluación de impacto, según establece el artículo 35.5.

“Queda excluida de esta obligación cualquier tratamiento de datos en los que estos no sean de carácter personal, ahora bien, como medida de precaución en relación a preservar los derechos de los ciudadanos, se ha de considerar el concepto de “dato de carácter personal” establecido en el RGPD de una forma extensiva, es decir, se ha de considerar que se trata de datos de carácter personal por defecto y no asumir, a priori, que no se pueda dar dicha categoría a los datos tratados”.


Entre los casos que no es necesario realizar una EIPD están:

 

  1. Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control, en particular la AEPD.
  2. Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión o las Autoridades de Control, en particular la AEPD.
  3. Tratamientos estrictamente necesarios para el cumplimiento de una obligación legal o cumplimiento de una misión realizada en interés público, siempre que en el mismo mandato legal no se obligue a realizar una EIPD o ya se haya realizado la evaluación de impacto con el fin de determinar la base jurídica del tratamiento.
  4. Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados.
  5. Tratamientos realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, nunca de los datos de los clientes.
  6. Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.
  7. Tratamientos realizados sobre los datos de sus asociados, y en el ejercicio de su labor, por colegios profesionales y asociaciones sin ánimo de lucro, siempre que no incluyan en el tratamiento datos sensibles.

Fases a la hora de realizar una Evaluación de Impacto de Protección de Datos

Antes de iniciar una EIPD es importante identificar las personas que deben intervenir en la realización de una EIPD y las fases de la misma. Debes tener en cuenta que:

 

  • El responsable del tratamiento es responsable de que en la evaluación de impacto se realice la descripción del ciclo de vida de los datos, se analice la necesidad y proporcionalidad del tratamiento, se identifiquen amenazas y riesgos, se evalúen y traten los riesgos y se elabore el plan de acción y conclusiones, pero además será también el responsable de rendir cuentas sobre su ejecución, aunque no necesariamente es quién debe elaborarlo.
  • El delegado de protección de datos será a quien se deba consultar e informar de la realización de todas las tareas.
  • El encargado del tratamiento será consultado en todas ellas.
  • Otras áreas relevantes del negocio también podrán ser consultadas en todas las fases menos en la correspondiente a la identificación de riesgos y su tratamiento.

El modelo de evaluación de impacto consta de cinco fases, entre las que están:

 

  • Análisis preliminar
  • Contexto
  • Gestión de riesgos
  • Conclusión y validación
  • Supervisión

Necesidad de la EIPD

Primeramente tienes que hacer un análisis preliminar de dicho tratamiento con la finalidad de conocer si tiene estás obligado a realizar una EIPD. Es la parte que se corresponde en el diagrama con el análisis de la necesidad de realizar una Evaluación de Impacto de Protección de Datos, y lo más importante es que en esta fase se está ante un análisis a realizar antes de comenzar a cumplimentar una herramienta de EIPD.

Descripción del proyecto y los flujos de información

Esta función va por parte del responsable que gestionará la EIPD y los flujos de información basándose en la metodología que va a utilizar. En el proyecto:

Se ofrece una descripción sistemática del tratamiento

  • o se tienen en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento
  • o se registran los datos personales, los destinatarios y el período durante el cual se conservarán dichos datos
  • o se ofrece una descripción funcional de la operación de tratamiento
  • o se identifican los medios de los que dependen los datos personales (hardware, software, redes, personas, papel o canales de transmisión del papel)
  • o se tiene en cuenta el cumplimiento de los códigos de conducta aprobados

Se evalúan la necesidad y la proporcionalidad

  • o se determinan las medidas previstas para cumplir el Reglamento, teniendo en cuenta las medidas que contribuyen a la proporcionalidad y la necesidad del tratamiento sobre la base de:
    • fines determinados, explícitos y legítimos
    • legalidad del tratamiento
    • datos adecuados, pertinentes y limitados a lo necesario
    • duración limitada de la conservación
    • medidas que contribuyen a los derechos de los interesados
  • información facilitada al interesado
  • derecho de acceso y a la portabilidad de los datos
  • derecho de rectificación y de supresión
  • derecho de oposición y a la limitación del tratamiento
  • relaciones con los encargados del tratamiento
  • garantías concurrentes en las transferencias internacionales
  • consulta previa

Se gestionan los riesgos para los derechos y libertades de los interesados

  • Se aprecian el origen, la naturaleza, la particularidad y la gravedad de los riesgos o, más concretamente, de cada riesgo (acceso ilegítimo, modificación no deseada y desaparición de datos) desde la perspectiva de los interesados
    • se tienen en cuenta los orígenes de los riesgos
    • se identifican efectos posibles sobre los derechos y libertades de los interesados en caso de que se produzcan hechos que incluyan el acceso ilegítimo, la modificación no deseada o la desaparición de datos
    • se identifican las amenazas que pueden provocar el acceso ilegítimo, la modificación no deseada o la desaparición de datos
    • se estiman la probabilidad y la gravedad
  • Se determinan las medidas previstas para tratar esos riesgos

Participan las partes interesadas

  • o se determinan las medidas previstas para cumplir el Reglamento, teniendo en cuenta las medidas que contribuyen a la proporcionalidad y la necesidad del tratamiento sobre la base de:
    • fines determinados, explícitos y legítimos
    • legalidad del tratamiento
    • datos adecuados, pertinentes y limitados a lo necesario
    • duración limitada de la conservación
  • medidas que contribuyen a los derechos de los interesados
  • información facilitada al interesado
  • derecho de acceso y a la portabilidad de los datos
  • derecho de rectificación y de supresión
  • derecho de oposición y a la limitación del tratamiento
  • relaciones con los encargados del tratamiento
  • garantías concurrentes en las transferencias internacionales
  • consulta previa

Identificación de los riesgos que afecten a la privacidad

Se debe valorar el conjunto de circunstancias bajo las cuales se realizarán las actividades de tratamiento, con el objetivo de verificar si pueden suponer un alto riesgo. En este punto es importante identificar las características de la organización como puede ser el número de personas que están implicadas en el tratamiento, así como sus perfiles y roles sin olvidar la segregación de funciones que puede realizarse a lo largo del ciclo de vida del tratamiento. También es importante identificar las características de los locales donde se va a realizar el tratamiento, como salas comunes para atender a los ciudadanos, salas de espera, etc. Finalmente, dentro del contexto también se deberán identificar y detallar las tecnologías empleadas.

 

Además, cuando estamos analizando el contexto del tratamiento, también se debe analizar el entorno externo a la organización como puede ser el entorno social y cultural, financiero, reglamentario… y todo ello atendiendo a si se va a realizar el tratamiento a nivel nacional, internacional, regional o local.

 

Por ejemplo:

 

¿Se realiza un uso de nuevas tecnologías?

 

 

¿Son especialmente invasivas para la privacidad?

 

 

¿Existen varios responsables del tratamiento?

 

 

¿Existen cadenas complejas de encargados de tratamiento?

 

 

¿Se producen transferencias internacionales?

 

 

¿Existen cesiones de datos?

eipd que es

Gestión de los riesgos y establecimiento de soluciones para garantizar la privacidad

Debes tener presente que antes de hacer la evaluación de impacto, tienes que gestionar los riesgos. Eso consiste en un proceso de identificar, analizar y valorar la probabilidad e impacto derivados de la posibilidad de que se materialice un riesgo, con el objetivo de establecer las acciones preventivas, correctivas y reductivas que permitan minimizar el nivel de exposición al riesgo.

 

Identificar y evaluar los riesgos son las tareas iniciales del proceso de gestión de riesgos. Se debe asegurar una correcta y completa identificación de los riesgos a los que están expuestas las actividades de tratamiento, ya que es un aspecto clave para poder realizar una evaluación completa. Si no se identifican todos los riesgos, no se van a evaluar, y por tanto tampoco se van a tratar, lo que llevaría a que el tratamiento a iniciar podría estar más expuesto a un potencial riesgo.

Análisis de cumplimiento normativo

Cuando hablamos de cumplimiento normativo debes tener presente que la AEPD dispone de un documento denominado “Listado de cumplimiento normativo” que contiene una lista de riesgos asociados al cumplimiento normativo. Hasta la publicación del RGPD todas las empresas estaban habituadas a gestionar el riesgo desde el punto de vista de los riesgos asociados a la empresa, y no se habían planteado riesgos asociados a sus empleados o clientes. El RGPD ha puesto esta novedad ante las organizaciones, ya que es el aspecto del análisis de riesgos que más ha costado entender.

 

Este listado pretende ser una referencia para todas las empresas, con el fin de que puedan analizar si cumplen con lo estipulado en el RGPD, y es una ayuda para determinar hasta qué punto están fallando sus procesos en la gestión del tratamiento de datos personales.

Informe final

Una vez elaborada una evaluación de impacto, ésta debe quedar documentada en un informe.

 

Este informe es importante tenerlo tanto si la conclusión de la evaluación de impacto es favorable al tratamiento, como si se debe presentar como documento en la consulta previa a la autoridad de control.

 

La AEPD también publicó un modelo de informe para el sector privado y que ha sido actualizado en marzo de 2020, que incluye los apartados que deben tenerse en cuenta para elaborar el informe resultante de una EIPD. Son los siguientes:

 

  • Resumen ejecutivo
  • Descripción del tratamiento
  • Licitud del tratamiento y cumplimiento normativo
  • Metodología de la EIPD
  • Análisis del tratamiento
  • Análisis de la obligación de realizar una EIPD
  • Análisis de la necesidad del tratamiento.
  • Medidas para la reducción del riesgo
  • Análisis del balance entre riesgo‐beneficio
  • Plan de acción
  • Conclusiones y recomendaciones
  • Anexos
  • IMPORTANTE: Fechar el documento

Aquí te he dado los títulos de lo que debe contener este informe.

Implantación de las recomendaciones

En conclusiones y recomendaciones de la EIPD se establece el resultado final del análisis de riesgos, así como las directrices sobre cómo implementar esos nuevos tratamientos que han sido objeto de la evaluación. En caso de que, una vez realizada la evaluación de impacto, los posibles riesgos no sean asumibles por la empresa, se determina si es necesario activar la consulta previa a la autoridad de control para que suministre las recomendaciones de adoptar medidas de seguridad y cómo minimizar esos riesgos.

Revisión y retroalimentación

La revisión y retroalimentación en la EIPD se ha de realizar antes de la implementación del tratamiento. Además, su revisión y adaptación se extiende a todas las etapas del ciclo de vida de éste.

 

Si durante la vida del tratamiento se producen cambios ajenos al responsable, como cambios contextuales o una ampliación no prevista del ámbito/alcance, será necesario actualizar la EIPD y, en su caso, generar un nuevo informe y plan de acción con las medidas de control adicionales que fueran necesarias implantar en el marco de la gestión del riesgo antes de continuar con el tratamiento. Si no se hubiera realizado la EIPD porque las circunstancias iniciales no obligaban o no lo recomendaban, entonces sería necesario realizar la EIPD desde cero.

 

Por lo tanto, es obligación del responsable realizar una revisión del nivel de riesgo en los tratamientos ya en curso.

 

Hemos llegado hasta el final, te hemos dejado el listado de las empresas que deben realizar de manera obligatoria la evaluación de impacto. Ya tienes las claves: está en tus manos tomar las medidas necesarias, en el caso de que vayas a realizar nuevos tratamientos.

 

Estamos trabajando para implementar la próxima Evaluación de Impacto en nuestra herramienta digital Legal Box. Te avisaremos cuando lo tengamos listo.

 

Gracias por estar aquí y espero que sigas las recomendaciones para que tengas siempre tu web y negocios legales.

Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario

Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Moderar y responder comentarios de usuarios.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada obre Protección de Datos aquí: política de privacidad.

Carrito de compra

 

Ayuda

CLASSIC

BASIC

BUSINESS

Cuenta

 

 

 

 

Dominios incluidos

Incluye licencia para web. Se incluyen las políticas y leyendas legales para los consentimientos.

1

1

Venta online

Incluye licencia para módulo de venta online por tipo de ecommerce. Se modifican las políticas y se generan las condiciones de contratación con política de devolución y entrega.

1

Usuarios

Licencia por usuario. Genera acuerdos de confidencialidad y manuales de seguridad. Se considera usuario a toda persona dentro de la organización, tanto asalariado como freelance, que trata datos de carácter personal.

3

10

25

Web

Ayuda

CLASSIC

BASIC

BUSINESS

Política de Privacidad

Generación personalizada de la política de privacidad de la web

ok

ok

Aviso Legal

Generación personalizada del aviso legal de la web

ok

ok

Política de Cookies

Generación personalizada de la política de cookies de la web

ok

ok

Actualizaciones de las políticas

Nuestro equipo jurídico monitorea constantemente las legislaciones en privacidad y realiza actualizaciones para mantener las políticas.

ok

ok

Políticas dinámicas

La herramienta genera URLs dinámicas por cada política de privacidad, permitiendo que los textos legales estén siempre actualizados.

ok

ok

Políticas HTML

Puedes incrustar políticas estáticas en tu web usando HTML

ok

ok

Leyendas legales

Para la primera capa informativa según el tipo de sistema de captación.

ok

ok

Banner Cookies

Texto a incorporar en los pop ups e cookies

ok

ok

Guía Webmaster

Guía completa para el desarrollador web sobre los mecanismos y elementos informativos a incorporar en una web.

ok

ok

Quitar logotipo de Legal Box

Elimina la marca Legal Box Plus de tus políticas

ok

RGPD

Ayuda

CLASSIC

BASIC

BUSINESS

Política PD

Documento sobre el protocolo de los principales elementos para cumplir con el RGPD

ok

Acuerdos confidencialidad

Contratos de confidencialidad con empleados, socios y colaboradores

3

5

10

Acuerdos con terceros

Contratos de encargado de tratamiento con prestadores de productos/servicios que tratan datos de carácter personal del responsable

3

5

10

Acuerdo de cesión

Contrato de cesión de datos de carácter personal dependiendo del tratamiento de datos.

3

5

10

Consentimiento de cesión

Documento de consentimiento de los afectados para la cesión de datos.

3

5

10

Otros acuerdos

Como es el caso del acuerdo de autorización de recuperación de datos por tercero.

3

5

10

Registro de tratamientos

Documento corporativo sobre todos los tratamientos de datos que realiza el responsable.

ok

Manuales Usuarios

Manuales de seguridad para usuarios por perfiles.

3

5

10

Cláusulas informativas

Generación de las cláusulas informativas de documentos a usuarios, de empleados, de formularios físicos, etc.

3

5

10

Análisis de riesgos

Gestión, auditoría y seguimiento de los riesgos inherentes al tratamiento de datos.

Protocolos

Diversas guías para actuar con procedimientos claros y concisos. Protocolo de ejercicio de derechos, protocolo de brechas de seguridad, de conservación de los datos, etc.

1

ok

ok

Avisos

Diversos tipos de avisos sobre protección de datos como el aviso de videovigilancia

1

ok

ok

Cláusula servicios

Cláusula a incorporar en los contratos de servicios

ok

Gestión

Ayuda

CLASSIC

BASIC

BUSINESS

Peticiones

Gestión de derechos. Peticiones por cada derecho.

ok

ok

ok

Nombramiento DPD

Gestión del nombramiento del delegado de protección de datos

Registros

De entrada y salida de soportes de tratamiento de datos

ok

ok

ok

Derechos

Gestión de derechos, registros de derechos atendidos

ok

ok

ok

Incidencias

Registro y control de incidencias y brechas de seguridad

ok

Auditorias

Sistema de auditoría de los distintos tratamiento de datos

Marketing

Ayuda

CLASSIC

BASIC

BUSINESS

Acuerdo Imagen

Contrato de cesión de derechos de imagen

ok

Leyenda emails

Cláusula a incorporar en la firma de las cuentas de correo electrónico

ok

ok

Campañas

Cláusula a incorporar en las newsletter y en los boletines electrónicos

ok

ok

Grabaciones

Acuerdo de consentimiento de grabaciones sesiones de retransmisión

ok

ok

Ayuda CLASSIC WEB ECOMMERCE
Cuenta  
Dominios incluidos Incluye licencia para web. Se incluyen las políticas y leyendas legales para los consentimientos. 1 1
Venta online Incluye licencia para módulo de venta online por tipo de ecommerce. Se modifican las políticas y se generan las condiciones de contratación con política de devolución y entrega. 1
Usuarios actividad Licencia por usuario. Genera acuerdos de confidencialidad y manuales de seguridad. Se considera usuario a toda persona dentro de la organización, tanto asalariado como freelance, que trata datos de carácter personal. 3
Web Ayuda CLASSIC WEB ECOMMERCE
Política de Privacidad Generación personalizada de la política de privacidad de la web ok ok
Aviso Legal Generación personalizada del aviso legal de la web ok ok
Política de Cookies Generación personalizada de la política de cookies de la web ok ok
Actualizaciones de las políticas Nuestro equipo jurídico monitorea constantemente las legislaciones en privacidad y realiza actualizaciones para mantener las políticas. ok ok
Políticas dinámicas La herramienta genera URLs dinámicas por cada política de privacidad, permitiendo que los textos legales estén siempre actualizados. ok ok
Políticas HTML Puedes incrustar políticas estáticas en tu web usando HTML ok ok
Leyendas legales Para la primera capa informativa según el tipo de sistema de captación. ok ok
Banner Cookies Texto a incorporar en los pop ups e cookies ok ok
Guía Webmaster Guía completa para el desarrollador web sobre los mecanismos y elementos informativos a incorporar en una web. ok ok
Quitar logotipo de Legal Box Elimina la marca Legal Box Plus de tus políticas ok
RGPD Ayuda CLASSIC WEB ECOMMERCE
Política PD Documento sobre el protocolo de los principales elementos para cumplir con el RGPD ok
Acuerdos confidencialidad Contratos de confidencialidad con empleados, socios y colaboradores 3
Acuerdos con terceros Contratos de encargado de tratamiento con prestadores de productos/servicios que tratan datos de carácter personal del responsable 3
Acuerdo de cesión Contrato de cesión de datos de carácter personal dependiendo del tratamiento de datos. 3
Consentimiento de cesión Documento de consentimiento de los afectados para la cesión de datos. 3
Otros acuerdos Como es el caso del acuerdo de autorización de recuperación de datos por terceros. 3
Registro de tratamientos Documento corporativo sobre todos los tratamientos de datos que realiza el responsable. ok
Manuales Usuarios Manuales de seguridad para usuarios por perfiles. 3
Cláusulas informativas Generación de las cláusulas informativas de documentos a usuarios, de empleados, de formularios físicos, etc. 3
Análisis de riesgos Gestión, auditoría y seguimiento de los riesgos inherentes al tratamiento de datos.
Protocolos Diversas guías para actuar con procedimientos claros y concisos. Protocolo de ejercicio de derechos, protocolo de brechas de seguridad, de conservación de los datos, etc. ok
Avisos Diversos tipos de avisos sobre protección de datos como el aviso de videovigilancia ok
Cláusula servicios Cláusula a incorporar en los contratos de servicios ok
Gestión Ayuda CLASSIC WEB ECOMMERCE
Peticiones Gestión de derechos. Peticiones por cada derecho. ok
Nombramiento DPD Gestión del nombramiento del delegado de protección de datos
Registros De entrada y salida de soportes de tratamiento de datos ok
Derechos Gestión de derechos, registros de derechos atendidos ok
Incidencias Registro y control de incidencias y brechas de seguridad
Auditorias Sistema de auditoría de los distintos tratamiento de datos
Marketing Ayuda CLASSIC WEB ECOMMERCE
Acuerdo Imagen Contrato de cesión de derechos de imagen ok ok
Leyenda emails Cláusula a incorporar en la firma de las cuentas de correo electrónico ok ok
Campañas Cláusula a incorporar en las newsletter y en los boletines electrónicos ok ok
Grabaciones Acuerdo de consentimiento de grabaciones sesiones de retransmisión ok ok