Aquesta llista de verificació pretén ajudar les organitzacions a fer una valoració de la seva situació de manera ordenada, davant de les principals obligacions del Reglament general de protecció de dades (RGPD). El contingut es presenta com un llistat de preguntes que els responsables i els encarregats s’han de formular i respondre adequadament, a l'hora de determinar la seva situació respecte de l'aplicació de l’RGPD.
- Teniu establerta clarament quina és la base legal dels tractaments que efectueu? Heu documentat la manera en què l'heu establert?
- Si algun dels tractaments que dueu a terme està basat en el consentiment de les persones interessades, heu verificat que aquest consentiment reuneix els requisits que exigeix l’RGDP? En cas contrari, heu previst la manera de recollir el consentiment de forma adaptada a l’RGPD o heu trobat una altra base legal adequada per a aquests tractaments?
- La informació que es proporciona a les persones interessades es presenta de forma clara, concisa, transparent i de fàcil accés?
- Aquesta informació conté tots els elements que preveu l’RGPD?
- Disposeu de mecanismes visibles, accessibles i senzills per exercir els drets? Els drets es poden exercir per via electrònica?
- Teniu establerts procediments o mecanismes que us permetin verificar la identitat de les persones que sol·liciten accés o exerceixen la resta de drets ARCO?
- Teniu establerts procediments que us permetin respondre els exercicis de drets en els terminis previstos per l’RGPD? Heu valorat si cal la col·laboració dels encarregats per respondre les sol·licituds dels interessats? Si és així, teniu previst incloure aquesta col·laboració en els contractes d’encàrrec?
- En particular, teniu previstos mecanismes per atendre possibles exercicis del dret a la limitació del tractament, de manera que les dades afectades es puguin conservar sense ser objecte de les operacions de tractament que correspondrien?
- Heu valorat si els tractaments de dades que efectueu poden ser objecte del dret a la portabilitat? En cas afirmatiu, heu previst procediments o mecanismes per poder atendre aquest dret i proporcionar les dades a la persona responsable (o a un altre responsable) en un format estructurat, d'ús comú i susceptible de lectura mecànica?
- Heu previst la manera de valorar si els encarregats amb els quals heu contractat o contractareu operacions de tractament ofereixen garanties de compliment de l’RGPD, quan sigui aplicable?
- Els contractes d’encàrrec que teniu subscrits actualment contenen tots els elements que preveu l’RGPD? En cas contrari, esteu treballant per adaptar-los, abans que s’apliqui l’RGPD?
- Heu fet una valoració dels riscos que els tractaments que desenvolupeu impliquen per als drets i les llibertats dels ciutadans? Heu determinat quines mesures de responsabilitat activa corresponen a la vostra situació de risc i com les heu d’aplicar?
- Heu previst com establir el registre d'activitats de tractament a la vostra organització? Heu valorat si se us aplica alguna de les excepcions a aquesta obligació? Heu previst qui s'ha d’encarregar de mantenir el registre actualitzat?
- Heu revisat les mesures de seguretat que apliqueu als vostres tractaments, d’acord amb els resultats de l'anàlisi de riscos? Considereu que podeu continuar aplicant les mesures de seguretat previstes en el reglament de la LOPD? Heu valorat la possibilitat d'introduir mesures addicionals, d’acord amb el tipus de tractament o amb el context en què s’efectua?
- Tenint en compte el tipus de tractaments que dueu a terme, heu establert mecanismes per identificar ràpidament les violacions de seguretat de les dades?
- Heu previst mesures de reacció davant dels diferents tipus de fallades de seguretat, inclosos els procediments per avaluar el risc que poden suposar per als drets i les llibertats dels afectats? Heu establert procediments per notificar les violacions de seguretat a les autoritats de protecció de dades i, si cal, a les persones interessades?
- Disposeu d'un registre o d’una eina similar per documentar els incidents de seguretat que es produeixin, encara que no els notifiqueu a les autoritats de protecció de dades?
- Heu valorat si els tractaments que efectueu requereixen una avaluació d'impacte sobre la protecció de dades, perquè suposen un alt risc per als drets i les llibertats de les persones interessades?
- Disposeu d’una metodologia per fer l’avaluació d’impacte?
- Segons el tipus de tractament que efectueu i els resultats de les anàlisis de riscos prèvies, heu de nomenar un delegat de protecció de dades (DPD)?
- Heu establert els criteris per seleccionar el delegat de protecció de dades i, en particular, per valorar les qualificacions professionals i els coneixements que té?
- El lloc de DPD, tal com està configurat a la vostra organització, respecta els requisits d'independència en l'exercici de les funcions, posició a l'organigrama, absència de conflicte d'interessos i disponibilitat dels recursos necessaris que estableix l’RGPD?
- Heu fet pública la designació del DPD i les seves dades de contacte i les heu comunicat a l’autoritat de protecció de dades?
- Heu establert procediments perquè les persones interessades contactin amb el DPD?
Data d'actualització:
25.01.2017