¿Cómo evaluar al comercial de LOPD?

Publicada el por Lopra

Le propongo que, la próxima vez que reciban la visita de un comercial que les ofrezca implantar en su empresa el RGPD le haga algunas de las siguientes preguntas y esperen a ver cómo sale del atolladero:

  1. El RGPD dice que, para acreditar mi responsabilidad en su cumplimiento, tengo que adoptar “medidas técnicas y organizativas apropiadas”. ¿Cómo sabe usted que las medidas que piensa implantar en mi empresa son las “apropiadas”, que son suficientes y que no hay otras que sean más “apropiadas” que esas?
  2. A la hora de decidir si, como parte de esas medidas tengo que incluir una Política de Protección de Datos, el criterio que establece el RGPD es que ello sea “proporcionado”. ¿En qué criterios se basará usted para decidir si, en mi caso, la implantación de una Política de Protección de Datos es o no una medida “proporcionada”?
  3. A la hora de elegir a un encargado del tratamiento, el RGPD me exige que el seleccionado “ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas”. ¿Cuáles son esas “garantías suficientes” y esas medidas “apropiadas” que tengo que verificar? ¿Y qué pasa si lo que el encargado del tratamiento considera “suficiente” o “apropiado” no lo es para mí?
  4. Hay que establecer un registro de operaciones de tratamiento y realizar una evaluación de impacto sobre la privacidad, entre otros casos, cuando el tratamiento “pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional”. ¿Cómo interpreta usted esos conceptos y en qué se basa para hacer esa interpretación?
  5. El RGPD me obliga a consultar previamente a la AEPD cuando pretenda realizar un “tratamiento de alto riesgo”. ¿Cuándo, según usted, un tratamiento es o no de alto riesgo y en qué se basa para hacer esa interpretación?
  6. Estoy obligado a nombrar un Delegado de Protección de Datos, entre otros supuestos, cuando mi empresa realice un “tratamiento a gran escala de datos”. ¿Qué quiere decir “a gran escala”? ¿Tengo que tener en cuenta a estos efectos el volumen de los datos que trate o su naturaleza? ¿A partir de qué volumen se considera “gran escala”?
  7. Según el RGPD, podré tratar datos sin consentimiento para fines diferentes del autorizado por el titular de los datos si ello entra dentro de las “expectativas razonables” que este tenga. ¿Cuándo puedo entender que existía esa expectativa en el fuero interno del interesado y cuando es “razonable”?
Comparte:
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *