Tratamiento y registro de

datos en las
Administraciones Públicas
 Índice de contenidos
Introducción y objetivos........................................................................................................................................... 3
Introducción ..................................................................................................................................................... 3
Objetivos........................................................................................................................................................... 3
Categorías de datos .................................................................................................................................................. 3
Introducción ..................................................................................................................................................... 3
Categorías especiales de datos...................................................................................................................... 3
Categorías “no especiales” de datos ............................................................................................................. 5
Registro de las actividades de tratamiento ........................................................................................................... 6
Introducción ..................................................................................................................................................... 6
Según el RGPD ................................................................................................................................................. 6
Según la LOPDGDD ......................................................................................................................................... 8
El nuevo RGPD y su impacto sobre la actividad de las Administraciones Locales............................................ 8
Tareas que deben realizar los Ayuntamientos para cumplir el RGPD ............................................................... 9
¿Por dónde empezar? ............................................................................................................................................ 11
Introducción .................................................................................................................................................. 11
1ª Fase ............................................................................................................................................................. 12
2ª Fase ............................................................................................................................................................. 12
3ª Fase ............................................................................................................................................................. 12
Consecuencias para las empresas del RGPD ...................................................................................................... 13
¿Cómo deben adaptarse? ............................................................................................................................. 13
Medidas de seguridad................................................................................................................................... 14
Implementación de la normativa en las estratégicas de captación ........................................................ 14
Cookies............................................................................................................................................................ 15
Ventajas de la implementación del nuevo RGPD ..................................................................................... 15
Resumen .................................................................................................................................................................. 16

Página 2 de 16
Introducción y objetivos

Introducción

Una de últimas novedades que se han introducido en materia de protección de datos, es lo relativo al registro
de las actividades de tratamiento, que actualmente es obligatorio.

De esta forma existe una responsabilidad activa de todas las organizaciones que tratan datos personales y
que se deben amoldar a la actual normativa de protección de datos.

Objetivos

En esta unidad veremos las categorías en las que se pueden organizar los datos para comprender como se
realiza un correcto registro de las actividades de tratamiento.

Categorías de datos

Introducción

En el artículo 6 y 9 del RGPD se establece cómo deben ser tratados los datos personales en relación con la
categoría a la que pertenezcan.

Según esta normativa podemos encontrar dos tipos de categorías:

• Categorías “especiales” de datos personales.

• Categorías “no especiales” de datos personales.

A continuación, veremos con mayor detenimiento cada una de estas categorías.

Categorías especiales de datos

Se incluyen en el artículo 9 del RGPD ; podemos encontrar datos relativos al origen étnico o racial, las
opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los
biométricos y los relativos a la salud, vida sexual u orientación sexual.

Podrán ser tratados solo aquellos datos que cumplan con las excepciones del artículo 9.2:

a)

Página 3 de 16
El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más
de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca
que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

b)
el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos
del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y
protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un
convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del
respeto de los derechos fundamentales y de los intereses del interesado

c)
el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el
supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d)
el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías,
por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política,
filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales
o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con
sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los
interesados;

e)
el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f)
el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los
tribunales actúen en ejercicio de su función judicial;

g)
el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la
Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el
derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses
y derechos fundamentales del interesado;

h)
el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral
del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión
de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los
Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y
garantías contempladas en el apartado 3;

i)
el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la
protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de
calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base
del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para
proteger los derechos y libertades del interesado, en particular el secreto profesional, 4.5.2016 L 119/38 Diario
Oficial de la Unión Europea ES

Página 4 de 16
j)
el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o
histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la
Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el
derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses
y derechos fundamentales del interesado.”

Respecto a la normativa española, el artículo 9 de la LOPDGDD dice:

“A los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias,
el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya
finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen
racial o étnico.

Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes
supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda.”

Categorías “no especiales” de datos

Son todos los datos personales que no se incluyen en las categorías especiales de datos.

Su tratamiento será lícito en los siguientes casos:

a)
el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines
específicos;

b)
el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la
aplicación a petición de este de medidas precontractuales;

c)
el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del
tratamiento;

d)
el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e)
el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable del tratamiento;

f)
el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable
del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los
derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en
particular cuando el interesado sea un niño.

Página 5 de 16
Registro de las actividades de tratamiento

Introducción

Si se cumplen los criterios anteriores y finalmente se realiza un tratamiento de datos personales, ¿Cómo se
lleva a cabo el registro de las actividades de tratamiento?

Como hemos dicho previamente, este registro de la actividad de tratamiento es obligatorio y serán
los encargados o responsables de mantenimiento los que deban realizarlo y encargarse de mantenerlo
actualizado. En caso de no realizarse dicho registro, se cometería una infracción grave, por lo que la
organización sería multada con una multa muy alta.

Para saber más sobre cómo debe realizarse este registro, vamos a revisar la normativa.

Según el RGPD

Su artículo 30 nos indica cómo es el registro de las actividades de tratamiento:

1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento

efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a
continuación:

a)
el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del
responsable, y del delegado de protección de datos;

b)
los fines del tratamiento;

c)
una descripción de las categorías de interesados y de las categorías de datos personales; 4.5.2016 L 119/50
Diario Oficial de la Unión Europea ES

d)
las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los
destinatarios en terceros países u organizaciones internacionales;

e)
en su caso, las transferencias de datos personales a un tercer país o una organización internacional,
incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias
indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f)
cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g)

Página 6 de 16
cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que
se refiere el artículo 32, apartado 1.

2. Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías
de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a)
el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del
cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de
protección de datos;

b)
las categorías de tratamientos efectuados por cuenta de cada responsable;

c)
en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida
la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas
en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

d)
cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se
refiere el artículo 30, apartado 1.

3. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.

4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del

encargado pondrán el registro a disposición de la autoridad de control que lo solicite.

5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización

que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo
para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos
personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones
penales a que se refiere el artículo 10.”

Página 7 de 16
Según la LOPDGDD

De forma más específica, en la ley española de protección de datos, se establece en el artículo 31 el registro
de las actividades de tratamiento:

1
Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el
registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo
que sea de aplicación la excepción prevista en su apartado 5.

El registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según
sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el
citado reglamento.

2
Los sujetos enumerados en el artículo 77.1 de esta ley orgánica harán público un inventario de sus
actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida
en el artículo 30 del Reglamento (UE) 2016/679 y su base legal.

El nuevo RGPD y su impacto sobre la actividad de las

Administraciones Locales
Ahora que ya hemos visto cómo se debe realizar el registro de actividades de tratamiento, es necesario que
analicemos cono las Entidades Públicas tienen que adaptarse a la nueva normativa de Protección de Datos.

Para ello, veremos el ejemplo del papel de las diputaciones en la implantación del modelo RGPD en los
municipios de menor tamaño y como las empresas tienen que adaptarse a ese modelo también.

Dentro de las administraciones más pequeñas, como puede ser un ayuntamiento, también es necesario que
se tomen medidas para la implantación del modelo propuesto por el RGPD.

Para conseguirlo, es imprescindible que se tomen medidas que garanticen su correcta implantación en este
tipo de administración y el impacto que tendrán sobre sus actividades.

¿Quieres sabes más sobre como se implanta el RGPD en este tipo de administración y cual es la
función de las diputaciones?

En muchos casos, los efectos de RGPD serán los mismos que para otro responsable o encargado, pero
en las Administraciones Locales nos podemos encontrar con puntos específicos que debemos tener en
consideración.

El RGPD recoge:

La necesidad de identificar con nitidez las finalidades y la base jurídica de los tratamientos que se tienen que
realizar.

Adaptar la información que se ofrece a los interesados cuando se recogen sus datos.

Establecer mecanismos visibles, accesibles y sencillos para que los ciudadanos puedan ejercer sus
derechos.

Procedimientos que se permitan responder a los ejercicios de derechos en el plazo que marca el RGPD.

Página 8 de 16
Como ya vimos en unidades anteriores, en el RGPD se plantea la realización de un análisis de riesgos de
los tratamientos que se lleven a cabo; establecer un registro de actividades como mecanismo para identificar
las posibles brechas de seguridad y como reaccionar ante ellas. También propone el nombramiento de un
Delegado de Protección de Datos (DPD).

Se recoge que las Diputaciones Provinciales pueden ofrecer a los municipios todos estos servicios o la
contratación de esta figura por diferentes entidades.

Por su parte, la Agencia Española de Protección de Datos fomenta que todas estas entidades conozcan las
implicaciones prácticas de la nueva normativa y puedan adoptar las medidas necesarias para cumplir con las
previsiones establecidas en ella.

Tareas que deben realizar los Ayuntamientos para cumplir el

RGPD
Es necesario que conozcamos las medidas que las distintas administraciones deben tomar en cunado a
el RGPD y el papel que tienen las diputaciones. Para ello en las siguientes pantallas veremos algunas de las
tareas que los Ayuntamientos han ido realizando para cumplir con dicho reglamento.

¡Comencemos!

Es importante que tengamos en cuenta que existen más de 8000 Ayuntamientos y en cada uno de ello nos
podemos encontrar con casuísticas totalmente diferentes. Por lo tanto, cada uno de ellos contará con distintos
ritmos de implantación de estas medidas.

A partir del 25 de mayo del 2018, los Ayuntamientos deben realizar ciertas tareas que a continuación te
mostraremos. Puede que alguna ya hayamos hablado de ella a lo largo del curso, pero de esta forma
profundizaremos aún más.

Actualizar los registros de tratamientos

El registro de actividades de tratamiento es necesario que se elabore y que se mantenga en el tiempo.

Asegurar que los tratamientos que se realicen dispongan de una causa de legitimación

Cada uno de los ayuntamientos tienen que contar con una justificación sobre los tratamientos que se
lleven a cabo en él. Habitualmente suele estar basado en el interés del público o el cumplimiento de una
obligación legal.

¿Sabes qué son las actividades? En las siguientes pantallas te lo mostramos.

Para entender que son las actividades es importante que tengamos en cuenta que un mismo dato puede
incluirse en diferentes tratamientos.

Todos estos datos se pueden organizar sobre la base de los ficheros notificados al Registro General de
Protección de Datos de la AEPD.

¡Recuerda!
Es un registro de tratamientos no de ficheros.

Además, la AEPD permite a los responsables descargar los ficheros inscritos hasta el momento.

Algunos ejemplos son:

Página 9 de 16
Recabar el consentimiento cuando se requiera

Si la justificación cuenta con una base en el consentimiento será necesario recabarlo, y la carga de la prueba
corresponderá al ayuntamiento como responsable de tratamiento.

Incorporar las cláusulas que hemos elaborado en cumplimiento del deber de información

El deber de información es una obligación. Esto implica que es se tiene que añadir una cláusula de
consentimiento.

Realizar un análisis de riesgos de los nuevos tratamientos que se incorporen

Como ya vimos en unidades anteriores, todos los tratamientos deben someterse a un análisis para conocer
sus amenazas y establecer los controles oportunos para tratarlas o eliminarlas.

El análisis básico de riesgos es un análisis de mínimos que tiene como finalidad simplificar el proceso de
análisis en aquellas actividades de tratamiento que cuentan con poco riesgo

En algunos casos también se llevará a cabo una evaluación de impacto

Si el tratamiento que se realice conlleva un riesgo alto, es necesario que se realice una evaluación de impacto.

Revisar el análisis de riesgo y la evaluación de impacto de protección de datos si se producen cambios

en el tratamiento o en los riesgos

En la Agencia Española de Protección de Datos (AEPD) se indica que “Los riesgos son variables y pueden
cambiar ante variaciones en las actividades de tratamiento”.

Es importante que se garantice una buena gestión de riesgos. Para ello se debe llevar una motorización
continua de los riesgos y la evaluación periódica de la efectividad de las medidas de control utilizadas para
reducir el nivel de exposición al riesgo.

Página 10 de 16
Adecuar los controles a los nuevos riesgos detectados en los el análisis de riesgo y la evaluación de
impacto de protección de datos

Debemos tener en cuenta que del análisis de los riesgos aparecerán nuevas amenazas y controles que
implantar para tratar los riesgos.

Medidas relacionadas con la “Privacidad desde el diseño”

También son importantes ciertas medidas relacionadas con la “Privacidad desde el diseño”. Algunas de las
que se tendrán que tener en cuenta son:

Aplicarla en los nuevos productos y servicios que se desarrollen en el

ayuntamiento
La privacidad en el diseño tiene que tenerse en cuenta con anterioridad al inicio del tratamiento como cuando
se esté desarrollando.
La privacidad del diseño está relacionada con uno de los principios fundamentales del RGPD: el principio de
responsabilidad proactiva.
Teniendo en cuenta esta relación es importante que antes de diseñar un nuevo producto o servicio y durante
su desarrollo, tengamos en cuenta las medidas que garanticen los principios y obligaciones del RGPD.

Especial cuidado con la privacidad de los nuevos proyectos

Se tienen que aplicar políticas de protección de datos en el desarrollo de los proyectos. Sobre todo, en
el análisis de la protección de datos ya que se tienen que considerar nuevos restos en todos los servicios y
productos.

Aplicar privacidad en todos los servicios que se gestionen y en los

productos que se utilicen
Es importante aplicar la privacidad tanto en los casos de gestión directa como indirecta. La gestión indirecta
es necesaria la privacidad en el diseño a os contratistas de la Administración, en contratos de servicios y
suministros.

Tener en cuenta las guías y los documentos de la AEPD

Las guías y documentos de ayuda que se encuentran publicados pueden servir de ayuda para seguir
trabajando sobre las novedades a incorporar por el RGPD

¿Por dónde empezar?

Introducción

Con toda esta información y la que vimos en el anterior tema podemos pensar, ¿por dónde comenzamos?

Para saber por dónde empezar, a continuación, te mostraremos las fases llevadas a cabo por el Ayuntamiento
Alcorcón para la implantación de las novedades de la RGPD.

Si quieres saber más sobre el proceso de adaptación que propone este ayuntamiento pincha aquí.

Página 11 de 16
1ª Fase

En esta primera fase es importante que nuestro primer paso sea el nombramiento de un Delegado de
Protección de Datos (DPD).

A continuación, es importante identificar a los responsables. Para ello se debe:

• Aportar formularios existentes.

• Describen procesos existentes.
• Identifican contratos vigentes que incluyen datos protegidos.

Para preparar a todas las personas implicadas en este proceso, es importante que se preparen acciones
formativas.

En esta fase también nos podemos encontrar la creación de actividades de tratamiento. Para ello se
descargan ficheros inscritos en la AEPD que se actualizarán con los responsables de cada área.

También es importante que si se cuenta con una empresa consultara, se organice una reunión para revisar
los contratos y redefinir las tareas.

2ª Fase

En esta fase se complementarán nuevos formularios para garantizar el cumplimiento de derechos de

información. Además, se debe revisar y adaptar los primeros procedimientos.

De esta forma definiremos las bases jurídicas de los procedimientos y identificaremos los procedimientos
con datos especialmente protegidos.

Para valorar el cumplimiento de la RGPD es importante que se realice un listado de encargados de tratamiento.
Es importante que se establezcan procedimientos para el ejercicio de los derechos a través de, por ejemplo,
la definición de medios electrónicos.

También se debe seguir con las acciones formativas que se especialicen en los procedimientos de análisis de
riesgos e informen sobre el plan de seguridad.

3ª Fase

Esta tercera fase suele estar condicionada por la necesidad de obtener financiación. En ella se inicia el
análisis de riesgos y la evaluación de impacto.

Además, en esta fase también se estudian y se adaptan los planes y los criterios de seguridad; y se definen los
protocolos de quiebra de seguridad.

Página 12 de 16
Consecuencias para las empresas del RGPD

¿Cómo deben adaptarse?

Como acabamos de ver, el nuevo reglamento de protección de datos amplía los derechos de privacidad de
los usuarios, lo que conlleva un aumento de las obligaciones de las empresas.

Las organizaciones, y en particular los responsables del tratamiento de datos, deben de cumplir con todos los
principios y derechos que reclama el nuevo reglamento. Para ello, algunas de las funciones que deben
realizar las empresas son:

Consentimiento claro y expreso

Conseguir que el cliente de un consentimiento claro y expreso para el uso de sus datos. Es decir, ya no será
válido que marque una casilla, sino que deberá indicar expresamente su consentimiento.

En este punto, se debe tener en cuenta que este requisito de la nueva normativa tiene carácter retroactivo; si
una empresa no tiene este consentimiento expreso no se podrá comunicar con el cliente, aunque ya lo haya
hecho anteriormente.

Como puede ser necesario en algún momento demostrar que cualquiera de los usuarios nos ha dado su
consentimiento para tratar sus datos, un buen consejo es registrar cómo, cuándo y con qué motivo nos los ha
facilitado. De esta forma se podrá controlar toda la información que maneja la empresa y en caso de necesitar
los datos del cliente para una nueva finalidad se podrá pedir nuevamente su consentimiento más fácilmente.

La RGPD establece como requisito que sea demostrable la obtención de los datos con los que cuenta una
empresa ya que en caso de inspección debe ser un dato verificable.

Facilidad de uso
Explicar de forma clara y sencilla para qué se van a utilizar los datos de los clientes además de facilitar el
proceso para darse de baja de una base de datos.

Organización de las bases de datos

Conocer toda la información que posee la empresa respecto a los datos personales de los usuarios. Todas las
bases de datos deben estar perfectamente organizadas y con cada tipo de información localizada para tener
claro qué se debe proteger y, además, evitar duplicados y datos sobrantes.

Para realizar esta tarea las empresas siempre pueden contar con diferentes instrumentos que las ayuden en
el proceso, como herramientas de clasificación automáticas o soluciones de tracking.

Portabilidad de datos
Otra de las funciones que debe cumplir una empresa para adaptarse al nuevo reglamento, es garantizar la
portabilidad de los datos.

El cliente tiene el derecho de pedir a una empresa que transfiera sus datos a otra empresa. Por este
motivo, una empresa debe estar preparada para dar estos datos en un formato de uso común, estructurado y
automatizado.

Página 13 de 16
Medidas de seguridad

Según el nuevo RGPD, las empresas deben implementar para proteger sus datos, medidas de seguridad.
Estas medidas no están enumeradas por lo que cada empresa debe valorar qué herramientas necesitará para
salvaguardar la privacidad de los datos que almacena (herramientas de cifrado, análisis de amenazas…).

Conocer el nivel de riesgo de cada organización es importante para saber qué nivel de seguridad necesita.

Los responsables del tratamiento de datos también serán los responsables de controlar la seguridad de los
mismos. Para ello deberán implementar una serie de medidas, entre las que se encuentran:

• Realizar y gestionar copias de seguridad

• Trabajar con cifrado de datos
• Realizar un control de la forma de almacenamiento y los propios datos
• Evitar accesos no autorizados
• Notificar una brecha de seguridad en un plazo de 72 horas máximo, en el caso de que se sufra un ataque
Cualquier persona que intervenga en el tratamiento de datos debe cumplir con el deber de secreto.

Para ayudar a las empresas en la implementación del RGPD, la Agencia Española de Protección de Datos (AEPD)
ofrece diferentes guías y herramientas.

En su página web podemos encontrar un asistente para PyMEs (Facilita RGPD) y un canal para los responsables
y encargados de la protección de datos donde atienden todas las consultas (Informa RGPD).

La AEPD también ofrece una serie de guías de ayuda tanto para usuarios, responsables de protección de datos
y empresas. ¡Entra para echar un ojo!

Implementación de la normativa en las estratégicas de captación

Vamos a recordar las principales circunstancias que deben darse a la hora de recopilar los datos de los
usuarios para cumplir el nuevo reglamento de protección de datos:
Consentimiento expreso y libre
Ya no sirve un consentimiento tácito, sino expreso y claro.
Finalidad específica
A la hora de pedir los datos de usuario, se debe detallar para qué serán utilizados.
Uso verificable
Siempre que quiera el usuario podrá comprobar para qué se utilizan sus datos.

Por este motivo es necesario adaptar todos los formularios de suscripción, los campos de contacto o cualquier
otra zona que requiera incluir datos de usuario para que requieran un consentimiento claro.

Además, se deberá especificar:

La política de privacidad de la empresa.

Página 14 de 16
 Detalle legal, que debe incluir toda la información sobre la finalidad de los datos, los destinatarios, el
responsable… así como los derechos de los usuarios y su legitimación.

Cookies

Las cookies se almacenan en los dispositivos de los usuarios para almacenar y recuperar datos que se
encuentran en el equipo y que sirven para crear una serie de perfiles de usuarios.

Como ya te habrás dado cuenta como usuario de internet, otro de los principales cambios que ha habido a
partir de la nueva RGPD es en la aceptación de las cookies.

Antes de la nueva normativa, normalmente cuando usábamos una página web esta nos avisaba de que si
continuábamos navegando aceptamos la política de cookies de la misma. Sin embargo, ahora es necesario que
aceptemos el uso de las cookies para poder seguir navegando por la web.

Por parte de la empresa, lo que esta debe tener en cuenta de cara a su política de cookies es:

• Solicitar el consentimiento del usuario a través de una acción expresa y afirmativa. Además, el usuario
podrá retirar este consentimiento siempre que quiera.
• El consentimiento debe ser dado antes de que se configuren e instalen las cookies y debe renovarse cada
12 meses.
• La política debe ser transparente y clara.

En este punto, debemos tener en cuenta otra normativa, la LSSI (Ley de Servicios de la Sociedad de la
Información y del Comercio Electrónico) en la que se regulan los aspectos jurídicos de los Servicios de la
Sociedad de la Información, y en concreto cuestiones propias del comercio electrónico.

Si quieres saber más, puedes entrar en la página dedicada a esta ley que nos ofrece el Gobierno.

Ventajas de la implementación del nuevo RGPD

Como hemos visto hasta ahora, implementar el nuevo reglamento en materia de protección de datos puede
suponer diferentes esfuerzos y cambios en los procesos de trabajo de las empresas.

No obstante, no se puede ver este cambio legislativo como un obstáculo en la gestión empresarial, sino como
una oportunidad para mejorar, optimizar y automatizar las bases de datos de la organización.

A continuación, vamos a ver algunas de las ventajas de la implantación de los requisitos del nuevo
reglamento de protección de datos:

Reducción de gastos operacionales

Los gastos operacionales pueden verse reducidos debido a la mejora del acceso a la información y a
la gestión más óptima de las bases de datos. Además, se puede hacer una gran limpieza de los datos
recopilados durante años y mejorar los métodos de búsqueda.

Mejora en las campañas de marketing

Al conseguir datos más certeros y amplios de los usuarios, se conseguirá un mejor conocimiento de los clientes
de la empresa. De esta manera, se podrán utilizar estrategias que permitan una mayor personalización de
los productos o servicios que se oferten. Así las empresas obtendrán una mejor respuesta de sus acciones de

Página 15 de 16
marketing y los usuarios no se sentirán bombardeados de información de productos que no desean, ya que se
adaptarán mucho más a sus gustos y necesidades.

Aumento de la satisfacción del usuario

Las medidas de seguridad implementadas y la necesidad de expresar un consentimiento expreso, supone para
el cliente una percepción de confianza y fiabilidad en la empresa mucho mayor. Sin duda, al aumentar la
confianza en la marca, aumentará la satisfacción del usuario con el producto o servicio ofrecido.

Te recomendamos echar un vistazo a esta infografía de la Agencia de Protección de datos sobre la adaptación
al reglamento de las empresas privadas.

Por otro lado, debes saber que las Administraciones Públicas también deben seguir el RGPD.

Te recomendamos ver esta nueva infografía de la Agencia de Protección de datos.

Resumen
Recuerda que en ella hemos podido ver las categorías en las que podemos dividir los datos. Están pueden ser
categorías especiales de datos o no especiales. Gracias a estas categorías podremos saber a que tipo de dato
nos estamos refiriendo cuando recibimos cierta información.

También hemos visto como la RGPD y la LOPDGG trabajan para que se realice un registro de las
actividades de tratamiento de datos correctamente. Ambas cuentan con artículos en los que se recogen
diferentes medidas a llevar a cabo.

Hemos tratado el principio de responsabilidad activa. Este principio es una obligación para todas las
organizaciones que realicen actividades encaminadas al tratamiento de datos personales.

También hemos visto el impacto que tienen sobre las actividades de las Administraciones Locales el
RGPD y las tareas que deben hacer los ayuntamientos para cumplirlo.Para hacernos una idea de todas
estas implicaciones, hemos visto el ejemplo de implantación de las medidas que propone la RGPD en un
ayuntamiento y como estas también implican cambios en las empresas.

Página 16 de 16