M2. Formas de Ejercicio IX Ed

Protección de datos en
Psicología: Guía
práctica
Módulo 2. Legislación de Protección de Datos y
formas de ejercicio profesional
Autora
Lola Manzano Fernández
Colegio Oficial de Psicólogos de Madrid

Cuesta de San Vicente, 4, 5º. 28008 Madrid
formacion.online@cop.es
Depósito Legal:
© Colegio Oficial de Psicólogos de Madrid, 2018
Nota aclaratoria: En beneficio de una mayor facilidad y claridad en la lectura y comprensión del texto, se utilizará un lenguaje
igualitario y no sexista. No obstante, se explicita que, en el uso de términos como los profesionales, los estudiantes, los
responsables, los psicólogos,... y cualquier otro que se encuentre en este documento, se hace referencia a hombres y mujeres, e
incluye el masculino y el femenino.
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Índice
1. Introducción 2
2. Formas de ejercicio profesional y

Responsabilidad en el tratamiento de datos 5
3. Inicio y cese actividad en profesionales

autónomos 12
3.1. Descripción del tratamiento y Registro de
actividades de tratamiento 12
3.2. Análisis de riesgo y evaluación de Impacto 26
3.3. Implantación de medidas de seguridad y
elaboración de la documentación sobre la
seguridad implantada 41
3.4. Cese de la actividad como Responsable del fichero 56
4. Inicio y cese de actividad de profesionales por

cuenta ajena y autónomos con contrato de
prestación de servicios 58
4.1. Profesional por cuenta ajena 58
4.2. Autónomo con contrato de prestación de servicio
para un tercero 59
1
1. Introducción
En el Módulo 1 hemos visto los principios que cimientan un buen tratamiento de los
datos, en este módulo vamos a empezar a conocer cómo llevarlos a la práctica en el
día a día como psicólogos.
Los principios que determina la legislación de protección de datos se materializan en

las siguientes obligaciones:
Principales obligaciones RGPD
• Realizar una planificación/descripción del tratamiento

1 • Llevanza de un Registro de Actividades de Tratamiento
• Responsabilidad proactiva desde el diseño y por defecto, análisis de riesgos y

evaluaciones de impacto, documentar medidas de seguridad, establecer políticas
2 de seguridad.
• Recoger, tratar e informar a los usuarios conforme RGPD.

• Elaborar formularios de recogida de datos con información sobre el tratamiento.
3
• Aplicar las medidas de seguridad adecuadas a los resultados de los análisis de
riesgos según RGPD
• Crear procedimientos para gestionar y notificar violaciones de seguridad a la
4 AEPD e interesados.
• Crear procedimientos para facilitar el ejercicio de los derechos sobre sus datos.
5
• Nombrar y comunicar a la AEPD el Delegado de Protección de Datos (DPD) en

6 los casos obligatorios o si así se decide de forma voluntaria
• Analizar si hay accesos o comunicaciones de datos a terceros y Garantizar

7 estos aspectos ante esos terceros.
En el cuadro comparamos las obligaciones que teníamos con la LOPD y las que
tenemos con la nueva legislación.
2
LOPD / RDLOPD LOPDGDD/RGPD
 Inscripción de ficheros en la AEPD.  No inscripción de ficheros en AEPD, pero sí llevanza

 Deber de información sobre el de un inventario y registro de actividades de tratamiento.
tratamiento de datos. Deber de información, pero con más aspectos a informar y
con un formato en capas
 Documento de seguridad e
Responsabilidad Proactiva:
implantación de medidas de
 Privacidad desde el diseño y por defecto.
seguridad.
 Análisis de riesgo y evaluaciones de impacto.
 Facilitar derechos ARCO (acceso,  Documentar medidas de seguridad.
rectificación cancelación y oposición).  Notificación de violaciones de seguridad a la AEPD e
 Garantizar todos estos aspectos ante interesados.
terceros (clausulado en contratos  Delegado de protección de datos (DPD).
prestación de servicios) Facilitar derechos ARCO ampliados (acceso, rectificación,
 Auditoría bienal (nivel medio y alto). cancelación y oposición, limitación del tratamiento,
portabilidad de los datos y derecho al olvido).
 Garantizar todos los aspectos frente a terceros,
clausulado en contratos de prestación de servicios
ampliada, responsabilidad propia de los encargados de
tratamiento, obligación de garantizar la adecuación del
encargado.
 No auditoría bienal, pero sí cuando determine el
responsable para garantizar seguridad.
Para explicar de la manera más clara posible cómo llevar a la práctica estas
obligaciones, hemos dividido la intervención psicológica en 5 fases, y paso a paso
veremos qué buenas prácticas/obligaciones aplicar en cada momento y cómo hacerlo.
3
Fases intervención psicológica
Inicio Cese de
de la la
actividad Entrevista Evaluación Intervención actividad
Resumiendo lo anterior y aplicando a cada fase las cuestiones pertinentes en cuanto a

protección de datos, quedaría como sigue:
Inventario/registro de actividades de tratamiento, privacidad desde el

Inicio de la diseño y por defecto, análisis de riesgos y evaluaciones de impacto,
actividad documentar medidas de seguridad, formularios de recogida, contratos
servicios y cesiones.
Información sobre el tratamiento de los datos. Obtención del
Entrevistas consentimiento.
Información sobre los datos de las pruebas de evaluación. Tratamiento
Evaluación
adecuado de los datos de la evaluación. Cesión correcta de datos.
Facilitar derechos ARCO ampliados. Tratamiento adecuado de los datos
Intervención
durante la intervención. Acceso correcto de terceros.
Respeto del tiempo de conservación de los datos. Destrucción segura de
Cese de la actividad la historia clínica. Autorización para traspaso las historias clínicas a otro
profesional.
4
2. Formas de ejercicio profesional y Responsabilidad en el

tratamiento de datos
A lo largo del desarrollo de la actividad profesional, nos encontramos con diferentes

regímenes, con diferentes vías de ejercicio profesional (por cuenta propia, por cuenta
ajena) y cada una de ellas implica obligaciones diferentes en cuanto a protección de
datos, especialmente en el momento del inicio y del cese de la misma.
Se van a exponer en primer lugar las peculiaridades de cada forma de ejercicio y

posteriormente en el Módulo 3 veremos los aspectos que son comunes a todas ellas
(entrevista inicial, evaluación, tratamiento, informes).
Una de las cuestiones fundamentales en materia de protección de datos es delimitar

las responsabilidades que se adquieren en el momento que se recogen y utilizan
datos de carácter personal, y en el ámbito de las responsabilidades, hay que distinguir
la responsabilidad principal, que es la persona, física o jurídica, responsable del
fichero.
La figura responsable del tratamiento de datos es aquella que decide
sobre la finalidad, contenido y uso del tratamiento de los datos de
carácter personal.
Veamos aplicado en nuestro ámbito profesional y según el tipo de ejercicio profesional

quién es la persona responsable de los ficheros
5
Responsabilidad del Tratamiento
Trabajadores por Cuenta

Profesionales por propia y Sociedades
Cuenta propia y
Sociedades que
Responsables
prestan servicios a
otra entidad
Encargados
Empleados
Usuarios
Profesionales por cuenta propia
Los profesionales autónomos son los responsables de sus propios tratamientos de
datos ya que son quienes deciden sobre la finalidad, contenido y tratamiento de los
datos de carácter personal de sus clientes/pacientes. En la misma situación se
consideran a los profesionales que, aunque compartan un mismo espacio de trabajo,
constituyen una sociedad económica independiente y son responsables de sus propios
tratamientos de datos.
Además, son responsables de los ficheros aquellos profesionales por cuenta propia
que atienden a clientes de una empresa determinada sin mantener una relación
de dependencia con la misma, como es el caso de ciertos profesionales que
atienden a clientes de una compañía aseguradora sanitaria. Por tanto, son los
responsables de las historias clínicas de sus pacientes, y cuando cese su
actividad en la compañía deberán responsabilizarse de la custodia de las historias
clínicas o formalizar los pasos necesarios para la cesión de los datos a la empresa.
6
Sociedad profesional
Este caso se refiere a cuando varios psicólogos forman una sociedad profesional
y el cliente/paciente contrata los servicios con la sociedad, no con uno de los
profesionales de forma específica. En este caso los ficheros serían responsabilidad
de la sociedad.
En ambos casos al inicio de la actividad, como responsables del tratamiento

debemos hacer lo siguiente:
¿Qué hacer?
¿Cuándo?
• Elaborar y mantener un Registro de

Actividades de Tratamientos.
• Privacidad por desde el diseño y por • ¡ Antes de empezar a recoger
defecto, análisis de riesgos y evaluaciones de datos!
impacto, documentar medidas de seguridad-
politicas seguridad
• Recoger, tratar e informar a los usuarios
conforme RGPD
• Facilitar mecanismos ejercicio de derechos
• Garantizar derechos ante terceros
• Nombrar DPD
• Elaborar mecanismos para gestionar y notificar
redacciones seguridad.
Al cese
¿Qué hacer? ¿Cuándo?
• Respetar el tiempo de • Al cesar la actividad como

conservación de los datos o psicólogo autónomo.
traspasar las historias
clínicas a otros profesionales
correctamente.
• Destrucción segura de la
historia clínica una vez
finalizado el proceso.
• Solicitar autorización para
clínicas a otro profesional.
7
Profesional por cuenta ajena y autónomos con contrato de prestación
de servicios
Profesional por cuenta ajena

Al trabajar por cuenta ajena, los profesionales tienen un contrato laboral con una
empresa/sociedad, tienen por tanto una relación de dependencia, existe una relación
laboral con la empresa, que es la que tiene la responsabilidad de los ficheros.
Estos profesionales tienen la obligación de realizar un tratamiento de datos según
las instrucciones del responsable, y en caso de abandonar la empresa no podrían
llevarse las historias clínicas de los pacientes puesto que no son responsables del
fichero. Si el paciente quisiera seguir el tratamiento con el profesional que abandona la
empresa, debería ser el propio paciente quien solicitara su historia clínica y la facilitara
al profesional.
Al ser contratados:
¿Cuándo?
¿Qué hacer?
• Al firmar el contrato laboral
• Informarse sobre la o de prestación de servicios
normativa y
procedimientos sobre la
protección de datos de
caracter personal en la
entidad contratante.
Al cese
• Al abandonar la empresa, • Al abandonar la empresa

deberá guardarse secreto
de la información
• No se podrán llevar las
historias clínicas de los
pacientes/clientes
8
Profesional autónomo con contrato de prestación de servicios

En el caso de los profesionales que son autónomos pero trabajan para una empresa
con un contrato de prestación de servicios y el responsable del fichero es la empresa
que contrata, deben realizar un tratamiento de los datos según las instrucciones
del responsable, pero no son los responsables del fichero, son encargados de
tratamiento.
Este aspecto debe quedar claramente especificado en el contrato de prestación de

servicios, junto con un clausulado sobre aspectos a tener en el tratamiento de
los datos.
Como hemos visto en el módulo 1 con el RGPD los encargados de tratamiento van a
tener en algunos aspectos obligaciones propias que van más allá de las que tienen en
el ámbito que los une al responsable y que pueden ser supervisadas separadamente
por las autoridades de protección de datos.
Algunas de estas obligaciones son:

 Mantenimiento de un registro de actividades de tratamiento.
 Determinar las medidas de seguridad más adecuadas aplicables a los tratamientos
que realizan.
 Nombrar un Delegado de Protección de Datos en los casos previstos por el RGPD.
Las relaciones entre el responsable y el encargado tienen que basarse en un contrato

o en un acto jurídico que vincule al encargado respecto al responsable.
En el contrato debe incluirse información sobre lo siguiente:

 El objeto, duración, naturaleza y la finalidad del tratamientos
 El tipo de datos personales
 El tipo de categorías de interesados
 La obligación del encargado de tratar los datos personales únicamente siguiendo
instrucciones documentadas del responsable
 Condiciones para que el responsable pueda dar su autorización previa, específica
o general, a las subcontrataciones
 Puede asistir al responsable en la atención al ejercicio de derechos de los
interesados, si así se le encarga.
9
Es importante saber que los contratos de encargado del tratamiento concluidos con
anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse
a estos requisitos. La Ley 3/2018, de 5 de diciembre, de protección de datos
personales y garantía de los derechos digitales, indica lo siguiente en su disposición
transitoria segunda. Contratos de encargado del tratamiento:
“Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo

de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia
hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado
de forma indefinida, hasta el 25 de mayo de 2022.
Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del
contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del
Reglamento (UE) 2016/679 y en el capítulo II del Título V de esta Ley Orgánica.
En este enlace puedes acceder a más información sobre las directrices para elaborar
las cláusulas de protección de datos para este tipo de contratos.
Al inicio de la prestación de servicio contratado:
• Incluir cláusulas de protección de • Al inicio de la prestación del

datos en el contrato. servicio contratado.
• Definir el papel de cada parte en la
recogida de los datos.
• Informarse y cumplir la normativa y
procedimientos de la entidad.
• Mantenimiento un registro de
actividades de tratamiento.
• Determinar las medidas de
seguridad más adecuadas
aplicables a los tratamientos que
realizan.
• Asignar un Delegado de
Protección de Datos en los casos
previstos por el RGPD
Al cese:
10
• Devolver todos los datos • Al terminar el contrato de

de que disponga al prestación del servicio.
Responsable del fichero
(por ejemplo, las
histórias clínicas).
• Guardar secreto acerca
de todos los datos a los
que haya accedido.
Una vez vista la diferente responsabilidad que asumimos en el tratamiento de los

datos, y las obligaciones que conlleva, vamos a ver cómo llevarlas a cabo al iniciar la
actividad y en el cese, ya que como comentábamos al principio, en el resto de fases
las obligaciones en materia de protección de datos son similares independientemente
de si somos responsables del fichero o no y las veremos en el Módulo 3.
11
3. Inicio y cese actividad en profesionales autónomos

Las cuestiones a resolver en el momento de iniciar la actividad como Responsable
de tratamiento como hemos visto, son las siguientes
• Realizar una planificación/descripción del tratamiento

1 • Llevanza de un Registro de Actividades de Tratamiento
• Responsabilidad proactiva desde el diseño y por defecto, análisis de riesgos y
evaluaciones de impacto, documentar medidas de seguridad, establecer políticas de
2 seguridad.
• Recoger, tratar e informar a los usuarios conforme RGPD.
• Elaborar formularios de recogida de datos con información sobre el tratamiento.
3
• Aplicar las medidas de seguridad adecuadas a los resultados de los análisis de
riesgos según RGPD
• Crear procedimientos para gestionar y notificar violaciones de seguridad a la
4 AEPD e interesados.
• Crear procedimientos para facilitar el ejercicio de los derechos sobre sus datos.
5
• Nombrar y comunicar a la AEPD el Delegado de Protección de Datos (DPD) en
6 los casos obligatorios o si así se decide de forma voluntaria
• Analizar si hay accesos o comunicaciones de datos a terceros y Garantizar

7 estos aspectos ante esos terceros.
3.1. Descripción del tratamiento y Registro de actividades de

tratamiento
El primer paso antes de realizar cualquier tratamiento es pararse a pensar sobre el
tratamiento de datos que vamos a realizar, analizar con detalle previamente a la
recogida de los datos nos evitará muchos problemas posteriores. A continuación
vamos a ir planteando una serie de cuestiones que nos van a ayudar a realizar un
buena planificación del tratamiento de los datos.
Empezaremos por hacer una descripción de todas las actividades de tratamiento que
tenemos previsto realizar, pero antes de nada tenemos que saber qué es una actividad
de tratamiento.
12
Todo conjunto estructurado de datos personales, accesibles con arreglo a

Fichero criterios determinados, ya sea centralizado, descentralizado o repartido de
forma funcional o geográfica.
Actividad de Conjunto de operaciones, procesos o procedimientos, automatizados o
manuales, que conlleve la recogida, consulta, grabación, modificación,
tratamiento cesión o destrucción de datos de carácter personal.
La actividad de tratamiento es una acción que realizamos sobre los datos de un

fichero, puede ser su recogida o captura de datos, consulta, grabación, modificación
su clasificación, su uso, la cesión de datos hacia terceros, incluso su destrucción.
Normalmente un tratamiento de datos tiene un ciclo de vida, que se inicia con la

captura de datos y termina con su destrucción
Captura de Uso y
datos tratamiento Destrucción
Clasificación y En su caso:
almacenamient Cesión del
o tratamiento
Pues nuestra primera misión será ver qué actividades de tratamiento realizamos en
estas fases para cumplir con la finalidad final para la que queremos realizar el
tratamiento, para poder describir todo lo que hacemos con los datos y poder realizar
el registro de actividades de tratamiento que sustituye a la obligación de
notificación de ficheros que determinaba la LOPD.
Pero veamos un ejemplo práctico de lo que estamos hablando:

Caso práctico
Recordemos el ciclo de vida de una intervención psicológica que vimos anteriormente
de ejemplo para ver lo que podría ser nuestra primera ACTIVIDAD DE
TRATAMIENTO: Gestión de la historia clínica
Bajando un nivel veríamos las operaciones que realizamos en cada una de estas fases
para cumplir con la finalidad de la historia clínica, (informar y recoger los datos de los
pacientes/clientes, custodiar la historia clínica, realizar cesiones etc.)
13
Con la LOPD, existía la obligación de comunicar a la Agencia de Protección de datos

los ficheros (conjunto estructurado de datos de carácter personal) con los que
realizamos tratamiento de datos, con el nuevo reglamento el foco como vemos en
esos tratamientos de datos.
Otro ejemplo para aclararnos:
Si tratábamos con datos de personal, notificábamos a la Agencia de Protección de

datos el fichero “Recursos humanos” que comprendía diferentes tratamientos o
actividades de tratamiento, como por ejemplo (Gestión de personal, Prevención de
riesgos, Control horario, etc.) que eran las finalidades para las que recogíamos los
datos. Ahora esos tratamientos de datos serán los que registremos en nuestro
registro de actividades de tratamiento.
Como ya hemos dicho para definir una actividad de tratamiento es muy importante
tener claro las finalidades para las cuáles queremos tratar los datos y una descripción
de todo lo relacionado con el tratamiento que realizamos.
Otros posibles tratamientos de datos en el ámbito de la psicología podrían ser:

 Gestión de la historia clínica,
 Gestión contable
 Gestión de formación
 Gestión de personal
 Gestión administrativa del centro con datos relacionados con la sociedad
profesional si se está constituido con tal …
 Facilitación derechos de los interesados y Gestión de quiebras seguridad
 Etc.
Aquí se han mencionado tan sólo algunos ejemplos, en cada caso se deberá estudiar
los tratamientos que sea preciso registrar y que datos deberá contener según los
principios de protección de datos.
En la Guía práctica de Análisis de riesgos en los tratamientos de datos personales

sujetos al RGPD, se indica lo siguiente “En la práctica, puede identificarse un
tratamiento como el conjunto de operaciones dirigidas a conseguir una determinada
finalidad que se legitiman en una misma base jurídica.
14
Cada tratamiento incluirá una serie de operaciones como, por ejemplo la recogida,
registro, organización, estructuración, consulta o utilización de los datos.”
Para realizar el registro, la Guía del Reglamento de Protección de Datos para

Responsables de tratamiento propone para guiarnos, partir pensando en las
operaciones de tratamiento concretas que vamos a realizar, para ello pensaremos en
todas las actividades de tratamiento vinculadas a una finalidad básica común de todas
ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de personal y
nóminas”) como comentábamos o con arreglo a otros criterios distintos.
En este registro de actividades el responsable debe como mínimo:

 Describir qué datos recoge
 Con qué fin se tratan
 A quién o quiénes los comunica
 Si los transfiere a terceros países
 Qué medidas técnicas y organizativas aplica para preservar su seguridad, y
cuándo podrá suprimirlos.
 En su caso, los datos de contacto del delegado de protección de datos
Para tratamientos muy sencillos, de escaso riesgo, que no implican datos sensibles
como los de salud, se puede utilizarla la herramienta Facilita, pero en nuestro caso lo
normal es que tengamos que hacer un análisis de riesgos, y por tanto no nos serviría
esta aplicación.
Para realizar este inventario de tratamientos, si ya hemos inscrito nuestros ficheros,

podemos utilizar la herramienta propuesta por la Agencia de Protección de Datos para
facilitar la labor de los responsables de tratamiento, y solicitar una copia de la
información que facilitamos en su momento al inscribir los ficheros. Esta
información puede guiar la realización del inventario de tratamiento, y ayudar en el
análisis de riesgos a los que sí han declarado ya los ficheros. Podemos acceder a
dicha herramienta desde este enlace. Si tenemos certificado electrónico nos facilitarán
la información en formato electrónico (XML o Excel), si no lo tenemos nos pueden
facilitar la información por correo postal.
15
Con esa información y detallando todas las operaciones que se realizan sobre cada
conjunto estructurado de datos podríamos empezar a elaborar el inventario
añadiendo la información que teníamos el documento de seguridad.
El registro de actividades de tratamiento no deja de ser la suma de los datos que

notificábamos a la Agencia de Protección de Datos más la del documento de
seguridad. Se puede realizar en una hoja Excel o en un Word o en programas
informáticos específicos para gestionar temas de protección de datos.
En la mencionada Guía práctica de Análisis de riesgos en los tratamientos de datos

personales sujetos al RGPD, se ofrecen modelos para elaborar el registro de
actividades de tratamiento (Anexos IV y V). Es importante recordar que tanto el
responsable de tratamiento como en el encargado de tratamiento tienen obligación de
realizar este Registro.
Ejemplo de plantilla de registro para responsables de tratamiento
Ejemplo de plantilla para encargado de tratamiento
16
En la siguiente tabla, se explica el contenido de cada campo
Actividad de Conjunto de operaciones, procesos o procedimientos, automatizados o

manuales, que conlleve la recogida, consulta, grabación, modificación, cesión
tratamiento o destrucción de datos de carácter personal
Descripción de los fines explícitos y la base jurídica en virtud de los cuales el
Finalidad Responsable del tratamiento procede a la realización de las actividades de
tratamiento sobre datos personales
Categorías de personas físicas identificadas o identificables a quien
corresponden los datos personales que son tratados:
Categorías de Clientes
interesados Empleados
Proveedores
Etc.
Detalle de los datos objeto del tratamiento en función de su clasificación: Datos
identificativos (nombre, DNI, dirección, …) Datos financieros (cuenta bancaria,
Categorías de datos
solvencia, …) Datos profesionales (profesión, experiencia, …) Datos de salud
personales (enfermedades, alergias, …) Datos ideológicos y políticos Datos de menores
(herencia, seguros, …) Otros tipos de datos: especificar qué datos
Categorías de destinatarios a quienes se comunicaron o se comunicarán los
Cesiones de datos datos personales, incluidos los destinatarios en terceros países u
organizaciones internacionales.
Identificación de transferencias internacionales de los datos. Se debe
identificar a dicho tercer país u organización internacional junto a la base
jurídica que la hace posible en ausencia de una decisión de adecuación o de
garantía adecuadas:
Consentimiento explícito del interesado a la transferencia
-Transferencia necesaria para la ejecución de un contrato entre el
interesado y el responsable del tratamiento
Transferencias -Transferencia necesaria para la celebración o ejecución de un
internacionales contrato, en interés del interesado, entre el responsable del
tratamiento y otra persona física o jurídica
-Transferencia necesaria por razones importantes de interés público
- Transferencia necesaria para la formulación, el ejercicio o la
defensa de reclamaciones
-Transferencia necesaria para proteger los intereses vitales del
interesado o de otras.
Si fuese de aplicación, medidas y garantías adecuadas adoptadas.
Periodo de Indicador de los plazos de conservación de la información establecidos en
función del tratamiento, la finalidad, la categoría del dato y las leyes
conservación de los
establecidas.
datos
Medidas de Descripción general de las medidas técnicas y organizativas de seguridad
(Luego hay que detallar cada medida de seguridad, políticas de seguridad,
seguridad personas que acceden, responsables, etc.
17
Ya hemos visto como analizar nuestros tratamientos datos, ahora vamos a ver qué
otras cuestiones tenemos que analizar para completar nuestro registro.
Base legal del tratamiento

Para completar el apartado de finalidad, además de describir los fines para los que
recogemos los datos, necesitamos saber la base legal. Al ver los principios de
protección de datos, conocimos que el RGPD contempla otras bases legales para
tratar con datos de carácter personal distintas al consentimiento del interesado.
Recordemos las bases legítimas:
 Consentimiento.
 Relación contractual.
 Intereses vitales del interesado o de otras personas.
 Obligación legal para el responsable.
 Interés público o ejercicio de poderes públicos.
 Intereses legítimos prevalentes del responsable o de terceros a los que se
comunican los datos.
Hay que pensar por tanto cuál de ellas se adapta mejor al tipo de tratamientos que
llevamos a cabo.
¿Qué tipología de datos tenemos?

Habrá que ver los datos con los que vamos a tratar y ver si vamos a tratar con datos
especialmente sensibles, lo que llamamos categorías especiales de datos que viene a
ser los datos que con la LOPD consideramos de un nivel de seguridad alta (por
ejemplo los datos de salud) en el apartado de medidas de seguridad podemos ver más
información sobre estos niveles de seguridad. La identificación de estos datos es muy
importante para poder analizar el riesgo y ver las medidas de seguridad a tratar.
También sirve para ver que interrelaciones y dependencias habrá entre las
operaciones de tratamiento.
¿Quién facilita los datos?

Para completar el apartado de Categorías de interesados, es necesario determinar
cuál será el origen de los datos, se analizará si los datos serán facilitados
directamente por la persona interesada, entidades privadas, administraciones públicas,
fuentes accesibles al público, padres o tutores en el caso de un menor, etc., además
18
así sabremos también a quién solicitar correspondientes autorizaciones para el

tratamiento adecuado de los datos (Pacientes, empleados, clientes, representante
legal, etc.) , y ayudará a determinar las cláusulas de protección de datos que habrá
que incluir en convenios y contratos de prestación de servicios o cesiones de datos.
¿Se realizarán cesiones de datos a terceros?

También habrá que definir si se tienen que ceder datos a terceras personas, y si
dicha cesión requiere el consentimiento de dicha persona o no. Como regla general,
los datos sólo pueden ser cedidos a terceros con el consentimiento del cedente, no
obstante existen algunas excepciones como cuando la recogida de datos está
determinada por una ley o está incluida dentro de las excepciones indicadas en la
LOPD, para más información sobre este aspecto se puede consultar el art. 11 de la
LOPD. (Es importante recordar que aun no necesitándose consentimiento si deberá
informarse de la cesión).
Deberá indicarse en el momento de la inscripción las cesiones de datos que se prevea

se van a producir. En el formulario de recogida de los datos deberá incluirse
información sobre la cesión de datos y solicitar el consentimiento en los casos
que corresponda.
Acceso a datos de terceros (contratos de prestación de servicios)

También es el momento de ver si hemos externalizado parte del tratamiento para
incluirlo en nuestro registro
¿Hay alguna contratación de prestación de servicios que comporte un

tratamiento de datos?
Si se prevé que se contratará alguna empresa o profesional para gestionar alguna
tarea que implique el tratamiento de datos de carácter personal, habrá que
formalizarlo por escrito, incluyendo cláusulas de protección de datos en las que
se aclarará el papel de cada parte en el tratamiento de los datos.
Las relaciones entre el responsable y el encargado tienen que basarse en un

contrato o en un acto jurídico que vincule al encargado respecto al responsable.
19
El nuevo Reglamento Europeo de Protección de Datos (RGPD) determina que el

responsable del fichero debe elegir un encargado de tratamiento que ofrezca
garantías suficientes para aplicar las medidas de seguridad exigidas por el nivel de
seguridad del fichero. En este enlace puedes encontrar algo de información sobre
certificaciones que nos ayuden a seleccionar.
¿Alguna empresa nos ha contratado para prestar algún servicio que implique
tratamiento de datos?
Si es el profesional el contratado, se deberá incluir en el contrato de igual manera,
cláusulas de protección de datos en las que se indique el papel de cada parte en el
tratamiento.
El RGPD contiene obligaciones expresamente dirigidas a los encargados de

tratamiento, como es mantener un registro de actividades de tratamiento.
¿En qué contratos se deben incluir cláusulas de protección de datos?

Por ejemplo, cuando se contrata una empresa para gestionar la facturación o la
tramitación de las nóminas hay que incluir cláusulas de protección de datos, ya que
obligatoriamente deberán tratar con datos de carácter personal, (en el apartado
siguiente se comentará las cláusulas de protección a incluir), pero también hay casos
en los que hay que incluir cláusulas de protección aun no habiendo un tratamiento
de los datos. Es el caso por ejemplo de las empresas de limpieza, se trata de una
prestación de servicios sin acceso a datos personales, pero aun así se deberá recoger
en el contrato expresamente, la prohibición de acceder a los datos personales y la
obligación de secreto de los datos que hubiera podido conocer con motivo de la
prestación del servicio.
¿Qué debe incluir un contrato de prestación de servicios?

En el contrato se deben anexar las cláusulas referentes a protección de datos.
Deberá hacerse referencia a lo siguiente:
 Que se tratarán los datos personales únicamente conforme las instrucciones del
responsable del fichero.
 Cumplimiento de las normas de seguridad que, de acuerdo a la normativa vigente,
el responsable del fichero y el encargado del tratamiento están obligados a
implantar.
20
 Destrucción de los datos personales una vez cumplido el objeto del contrato o en
su caso devolverlos al responsable, así como cualquier soporte o documento en
que conste algún dato de carácter personal.
 Prohibición de utilizar los datos para una finalidad diferente a la del contrato.
 Prohibición de comunicar estos datos a terceros, ni siquiera para su conservación.
 El objeto, duración, naturaleza y la finalidad del tratamientos
 El tipo de datos personales
 El tipo de categorías de interesados
 La obligación del encargado de tratar los datos personales únicamente siguiendo
instrucciones documentadas del responsable
 Condiciones para que el responsable pueda dar su autorización previa, específica
o general, a las subcontrataciones
 Puede asistir al responsable en la atención al ejercicio de derechos de los
interesados, si así se le encarga.
La Agencia de Protección de Datos, como ya hemos comentado, ha elaborado

algunas directrices para elaborar los contratos de prestación de servicios. En el enlace
se puede encontrar un modelo para adaptar a los diferentes contratos de prestación de
servicios.
Relaciones responsable-encargado del tratamiento

Otro de los aspectos que cambian son los relacionados con la relación entre el
responsable y el encargado de tratamiento.
Como ya hemos comentado las relaciones entre el responsable y el encargado tienen

que basarse en un contrato o en un acto jurídico que vincule al encargado respecto
al responsable.
Uno de los cambios es la obligación de los responsables de seleccionar un

encargado de tratamiento que nos ofrezca garantías de que van aplicar las medidas
técnicas y organizativas apropiadas para que el tratamiento que realicen en nuestro
nombre sea conforme con los requisitos del Reglamento.
21
Para seleccionar el responsable más adecuado, los responsables pueden valorar que
los encargados estén adheridos a códigos de conducta o certificados en el marco
de los esquemas de certificación previstos por el RGPD, lo que puede mostrar a
las autoridades de control que estamos haciendo todo lo posible para garantizar un
tratamiento seguro de los datos.
En este enlace puedes encontrar información sobre certificaciones y sellos de

confianza que nos pueden ayudar a seleccionar un proveedor de servicios
tecnológicos de garantía.
Además los encargados van a tener en algunos aspectos obligaciones propias que
van más allá de las que tienen en el ámbito que los une al responsable y que pueden
ser supervisadas separadamente por las autoridades de protección de datos.
Algunas de estas obligaciones, como hemos visto en el módulo anterior son:

 Mantenimiento un registro de actividades de tratamiento.
 Determinar las medidas de seguridad más adecuadas aplicables a los tratamientos
que realizan.
 Asignar un Delegado de Protección de Datos en los casos previstos por el RGPD.
Otros aspectos a Planificar en este momento
¿Qué se debe incluir en el formulario de solicitud de datos?

Es el momento de elaborar nuestros formularios de recogida de datos, como
responsable del tratamiento de datos se debe informar sobre los siguientes aspectos:
 Nombre del tratamiento de datos para el que recogemos los datos.
 Responsable del tratamiento de los datos.
 Finalidad de la recogida de los datos.
 Posibles cesiones.
 Información relativa a la forma de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
 Aclarar qué información será imprescindible ofrecer para continuar el proceso y
cuál será opcional. La persona debe conocer en todo momento qué consecuencias
tendrá la información que facilita.
22
El nuevo Reglamento europeo (RGPD) añade requisitos adicionales en cuanto a la

necesidad de informar:
 La base jurídica o legítima o legitimación del tratamiento.
 El plazo o criterios de conservación de la información.
 La existencia de decisiones automatizadas o elaboración de perfiles
 La previsión de transferencias a Terceros Países.
 El derecho a presentar una reclamación ante las Autoridades de control.
 Los datos de contacto del Delegado de Protección de Datos.
 Nuevos derechos, portabilidad de los datos, limitación del tratamiento y el derecho
a oponerse a decisiones automatizadas.
Si los datos no se obtienen directamente del propio interesado, habrá que informar de:
 El origen de los datos.
 La categoría de los datos.
Como ya hemos comentado el RGPD da importancia a la forma de comunicar la

información, nos dice que debe facilitarse la información con un lenguaje claro y
sencillo.
También es importante tener en cuenta que al ser el responsable del fichero el que
debe probar que ha cumplido con el deber información, es necesario conservar el
soporte que acredite su cumplimiento durante el tiempo que persista el tratamiento
de los datos,
La Agencia Española ha elaborado una guía para facilitar los cambios que supone el
nuevo reglamento, puedes consultarla aquí, no obstante en el siguiente módulo
veremos un ejemplo.
¿Qué personas accederán a los datos y que nivel de acceso tendrán?

Esta fase es el momento adecuado para decidir qué personas necesitarán acceder
a los datos y el nivel de acceso que tendrán. Por ejemplo el profesional que realiza
la intervención psicológica necesitará acceder a la historia clínica entera, pero el
23
personal administrativo sólo necesitará acceder a los datos administrativos. Es el

momento de determinar los permisos de cada persona para posteriormente incluirlos
en el documento de seguridad, manteniéndolo en todo momento actualizado. Como
regla general cada persona deberá acceder tan sólo a los datos que necesite para su
trabajo, siempre teniendo en cuenta los principios de protección de datos.
En la documentación se deberá incluir las funciones y responsabilidades debidamente

definidas y delimitadas, también se incluirán los permisos de acceso a los tratamientos
de datos.
¿Vamos a realizar Transferencias internacionales?

Otro de los aspectos que tenemos que incluir en el Registro de actividades de
Tratamiento son las transferencias internacionales que vayamos a realizar.
¿Qué es una transferencia internacional?

Una transferencia internacional de datos, es un tratamiento de
datos que supone una transmisión de los mismos fuera del territorio
Transferencia del Espacio Económico Europeo (EEE), bien constituya una cesión
internacional o comunicación de datos, bien tenga por objeto la realización de un
tratamiento de datos por cuenta del responsable del fichero
establecido en territorio español.
Es muy importante comprobar que los servidores de datos de todos los servicios que
utilicemos estén situados en territorio europeo, para así garantizar que cumplen con
las medidas de seguridad exigidas por la legislación de protección de datos, pero es
posible que se realice en países fuera del territorio europeo. Eso sí, no todos los
países tienen la misma exigencia en este tema, por lo que habrá que verificar
cuidadosamente a qué países va ir la información.
La Guía del Reglamento de Protección de Datos para Responsables de tratamiento

indica los siguientes casos en los que es posible transferir datos fuera del Espacio
Económico Europeo:
 A países, territorios o sectores específicos (el RGPD incluye también
organizaciones internacionales) sobre los que la Comisión haya adoptado una
decisión reconociendo que ofrecen un nivel de protección adecuado.
24
 Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos
recibirán en su destino,
 Cuando se aplique alguna de las excepciones que permiten transferir los datos sin
garantías de protección adecuada por razones de necesidad vinculadas al propio
interés del titular de los datos o a intereses generales.
En este enlace se puede encontrar más información sobre transferencias

internacionales y los países que ofrecen un adecuado grado de protección.
En este enlace se puede comprobar si una empresa de Estados Unidos está afiliada al
Escudo de Privacidad o “Privacy Shield” del Departamento de Comercio de Estados
Unidos. Las empresas adheridas a este escudo de privacidad contraen una serie de
obligaciones para cumplir con unos principios de privacidad acordes al RGPD.
Otros de los temas que es preciso valorar es cómo vamos a conservar los datos y las
medidas de seguridad que vamos a implantar.
¿Cómo se conservarán los datos y qué medidas de seguridad se
necesitarán?
Se deben conservar los datos de tal forma que los pacientes/clientes puedan ejercer
su derecho de acceso, rectificación, cancelación, oposición, portabilidad de los
datos y limitación del tratamiento de los datos personales propios. Para ello la
información tiene que estar almacenada de tal forma que se pueda facilitar el ejercicio
de dichos derechos, es decir de forma organizada, estructurada por algún criterio
específico (alfabético, por número expediente, etc.).
En cuanto a las medidas de seguridad, tanto técnicas como organizativas a

implementar, habrá que decidirlas en función del nivel de seguridad que determinemos
que vamos a aplicar según los riesgos detectados en el análisis previo y que hayamos
decidido que son realmente las más adecuadas para ofrecer un nivel de seguridad
adecuado.
Dependiendo del nivel de seguridad que determinemos del fichero se deben aplicar
diferentes medidas de seguridad. Si hay alguna legislación que nos maque algún
criterio se utilizará, si no es así se deberá dejar indicado cuál es el criterio seguido.
25
Más adelante en este módulo vernos algunas de las medidas a aplicar, pero antes de
nada vamos a ver cómo hacer el análisis de riesgos y en su caso la evaluación de
impacto.
3.2. Análisis de riesgo y evaluación de Impacto

Como vimos en el Módulo 1 y hemos comentado varias veces en este módulo, el
RGPD da especial importancia a la responsabilidad proactiva, desde el diseño y por
defecto.
Las medidas de seguridad se deben aplicar por el responsable con anterioridad a

iniciar el tratamiento de datos, se debe empezar a pensar en todo lo relacionado con la
protección de datos desde que se empieza un proyecto, desde que se diseña, y
durante su desarrollo siempre que implique un tratamiento de datos de carácter
personal.
También habíamos hablado de que el RGPD condiciona la adopción de medidas de

seguridad, no en función del nivel de seguridad como hasta ahora indicaba la
legislación actual, sino en función del riesgo que los tratamientos puedan suponer para
los derechos y libertades de los interesados.
Hay que aplicar las medidas que después de evaluar los riesgos, nos garanticen que
los tratamientos van a ser conformes a lo indicado por el reglamento y poder
demostrarlo.
El RGPD determina que algunas medidas de seguridad, como la evaluación de

impacto, por ejemplo, solo habrá que aplicarlas cuando tras un análisis de riesgos se
determina que el tratamiento puede suponer un alto riesgo para los derechos y
libertades de las personas. En otros casos las medidas se podrán modular según el
tipo de riesgo y el nivel de riesgo que conlleve.
Por tanto es obligatorio realizar una valoración del riesgo de los tratamientos que
realicen, para poder saber qué medidas hay que aplicar, El tipo de análisis a realizar
dependerá de los tipos, cantidad y variedad de tratamientos que se realicen, de la
naturaleza de los datos, del número de interesados que pueden estar afectados.
26
No es lo mismo una gran organización que requiera por la complejidad del tratamiento
que realice utilizar alguna de las metodologías de análisis existentes, como puede ser
MAGERIT, que una empresa pequeña con tratamientos poco complejos que podrá
realizar una análisis de riesgo sencillo, documentando lo básico, que puede consistir
en pararse a pensar en el tratamiento. En esos casos puede ayudar la herramienta
que ofrece la Agencia en su página para tratamientos de poco riesgo Facilita.
Es necesario reflexionar sobre aspectos como si se trata con datos sensibles, si se

tratan datos de muchas personas, si se elaboran perfiles de personalidad, si se cruzan
datos con otras fuentes, etc. Si tras reflexionar, se determinar que no se realizan
tratamientos con un elevado riesgo, no deberá aplicar las medidas previstas en esos
casos como es la evaluación de impacto.
Siempre hay que tener en mente que en temas de protección de datos casi siempre
menos es más, hay que tratar exactamente los datos que necesitemos y antes incluso
de empezar a realizar un análisis de riesgos analizar la necesidad y proporcionalidad
del tratamiento, vamos a aplicar lo que hemos aprendido en el módulo 1, sobre
principios de protección de datos, cuando hablamos del principio de calidad y
consentimiento de la información según la LOPD o de los de minimización y licitud y
consentimiento o según el RGPD.
.
Es muy importante realizar una ponderación, para ver si el tratamiento que queremos
iniciar pasa el juicio de idoneidad, necesidad y proporcionalidad en relación a los fines
para los que queremos tratar los datos.
 ¿Tenemos base legal, es decir es lícito el tratamiento que vamos a realizar? (ya
vimos cuáles eran las bases legales para un tratamiento en el principio de licitud).
 ¿El tratamiento, con toda la información que tenemos es necesario realmente?
 ¿Las actividades de tratamiento son proporcionales o hay medidas de menos
riesgo?
Por ejemplo si podemos controlar el acceso a un local con medidas de tarjetas

identificativas o de banda magnética no se justificaría un control de acceso con datos
biométricos. Si vemos que un determinado tratamiento no es necesario o no es
proporcional y no parece justificado y no se realizará.
27
En la Guía práctica para las evaluaciones de impacto en la protección de los datos

sujetas al RGPD en la página 41 Anexo 2 hay una plantilla para facilitar y registrar
esta ponderación.
De todos los posibles datos a recoger, sólo deberán tratarse los
datos que se consideren relevantes y realmente necesarios para la
finalidad de la historia del paciente/cliente, según el principio de
minimización de los datos
28
Fases del análisis de riesgos

En este punto que ya hemos hecho una reflexión sobre el tratamiento que hacemos,
hemos identificado las actividades de tratamiento y hecho una descripción de los
tratamientos para ir elaborando el registro de actividades, que en realidad ya es la
primera fase de cualquier análisis de riesgo, veamos las siguientes fases.
La Agencia de Protección de Datos ha publicado una Guía Práctica de análisis de
riesgos en los tratamientos de datos personales sujetos al RGPD y una Guía práctica
para las evaluaciones de impacto en la protección de los datos sujetas al RGPD, nos
vamos a guiar por ellas para explicar estas medidas determinadas por el Reglamento
General de Protección de datos
Las fases que nos indican que hay que seguir a la hora de realizar un análisis de
riesgos dónde el foco de atención no se centra tanto en las amenazas que se ciernen
sobre una compañía, sino en el riesgo que puede haber para los derechos y libertades
de las personas (sobre todo en este contexto el derecho a la protección de datos de
carácter personal).
FASES ANÁLISIS DE RIESGOS
Identificar amenazas y
riesgos Tratar riesgos
Evaluar
riesgos
Identificar amenazas y riesgos

Antes de seguir vamos a ver un par de conceptos para entender todo mejor, vamos a
usar las definiciones de la mencionada Guía Práctica de análisis de riesgos en los
tratamientos de datos personales sujetos al RGPD
29
Un riesgo se puede definir como la combinación de la posibilidad de que

se materialice una amenaza y sus consecuencias negativas. El nivel de
riesgo se mide según su probabilidad de materializarse y el impacto que
Riesgo
tiene en caso de hacerlo. Las amenazas y los riesgos asociados están
directamente relacionados, en consecuencia, identificar los riesgos
siempre implica considerar la amenaza que los puede originar.
Es el conjunto de actividades y tareas que permiten controlar la
incertidumbre relativa a una amenaza mediante una secuencia de
Gestión de riesgos
actividades que incluyen la identificación y evaluación del riesgo, así como
las medidas para su reducción y mitigación.
Cualquier factor de riesgo con potencial para provocar un daño o perjuicio
a los interesados sobre cuyos datos de carácter personal se realiza un
tratamiento. Si ponemos el foco en la protección de datos, las amenazas
se pueden categorizar en tres tipos
 Acceso ilegítimo a datos (afectaría a la confidencialidad)
Amenaza  Modificación no autorizada a los datos (afectaría a la integridad)
 Eliminación de los datos (afectaría a la disponibilidad)
Ejemplos de amenazas: Desastres naturales, errores y fallos, ataques

intencionados, incumplimiento de normativas
Es muy importante identificar los riesgos a los que están expuestas las actividades de
tratamiento, si no los identificamos no vamos a poder evaluarlos y tratarlos
posteriormente. Para ello:
1. Identificaremos el origen de los riesgos, Si hemos almacenado datos en la nube

es un factor a tener en cuenta como origen de un riesgo.
2. Análisis de situaciones que generan riesgos. Tener en cuenta todos los
factores que pueden afectar al riesgo, por ejemplo, la ausencia de medios de
respaldo como las copias de seguridad sería un factor que aumentaría el riesgo.
3. Valoración de los riesgos. Si es un nivel, medio o alto de riesgo, y si valoramos
que es un alto riesgo, realizar la evaluación de impacto (cuando no es un caso en
los que es obligatoria realizarlo desde el principio).
4. Tratar los riesgos. Para disminuir la posibilidad de ocurrencia o minimizar el
impacto que puedan causar.
Riesgo = probabilidad de cumplimiento de una amenaza x impacto

causado
30
Qué servicios tenemos
Qué Qué equipos Qué redes de Qué soportes Equipos

Qué datos Instalaciones Intangibles
software informáticos comunicación de información auxiliares
se tratan
tenemos
AMENAZAS
En qué dominios se pueden ver afectados
DIISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD TRAZABILIDAD AUTENTICIDAD
IMPACTO
SOBRE EL NEGOCIO DERECHOS Y
SOBRE NORMATIVAS DAÑO IMÁGEN (ESCALA
(ESCALA OPERATIVA) LIBERTADES DE LAS
(ESCALA LEGAL) REPUTACIONAL)
PERSONAS
Analizar si es necesario realizar una evaluación de impacto

Es el momento de ver si con toda la información que hemos recogido podemos
determinar si debemos realizar una evaluación de impacto o no.
Se debe realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con
carácter previo a la puesta en marcha, de aquellos tratamientos que sea probable que
conlleven un alto riesgo para los derechos y libertades de los interesados.
Primero viendo si nuestros tratamientos pertenecen a la lista de casos ya previsto en

el RGPD (art 35.3, 35.4, y 35.5) Estos son los supuestos que se puede considerar
como tratamientos de alto riesgo:
 Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan
efectos jurídicos sobre los interesados o que les afecten significativamente de
modo similar.
 Tratamientos a gran escala de datos sensibles (datos que releven opiniones
políticas, creencias religiosas, los relativos a salud o la vida sexual, datos
biométricos y genéticos)
 Observación sistemática a gran escala de una zona de acceso público
31
 O siempre que se consideré que puede resultar un tratamiento de alto riesgo.
El grupo de trabajo del artículo 29 también ha facilitado un documento, el WP248

Directrices sobre las evaluaciones de impacto en la protección de datos, en la
introduce algunos criterios que pueden evidenciar un elevado riesgo en un tratamiento.
Podéis verlo con más detalle en el enlace.
 El número de interesados afectados, bien en términos absolutos, bien como

proporción de una determinada población
 El volumen de datos y la variedad de datos tratados
 La duración o permanencia de la actividad de tratamiento
 La extensión geográfica de la actividad de tratamiento
Cuanto más de estos criterios tenga un tratamiento más probable es que vaya a
suponer un alto riesgo en el tratamiento y concluyamos que SI deberemos realizar la
evaluación de impacto, en el siguiente punto veremos cómo hacer este análisis más
complejo que conlleva la evaluación de impacto.
Si finalmente determinamos que NO hace falta una evaluación de impacto, deberemos
justificar y documentar los motivos que nos han hecho llegar a esa conclusión, dejando
claro que se ha cumplido con la obligación de hacer un análisis de riesgos previa para
llegar a la conclusión aunque sea un análisis básico de riesgos, que es un análisis
simplificado que utilizamos cuando llegamos a la conclusión de que es de bajo riesgo.
Este análisis, para riesgos no elevados o Gestión de riesgos por defecto, nos
centramos en los aspectos más relevantes que puedan impactar en las actividades de
tratamiento. En la Guía Práctica de análisis de riesgos en los tratamientos de datos
personales sujetos al RGPD se pueden ver plantillas para realizar estos análisis
básicos (anexos 1,2 y 3).
En este pantallazo de la guía se puede ver los niveles de riesgo según la probabilidad
de ocurrencia.
32
Riesgo = probabilidad x impacto
Podemos tener riesgos que afecten a la protección de la información en sí, como un

acceso indebido de datos, que afectaría a la integridad, disponibilidad y
confidencialidad, o riesgos asociados a no cumplir la legislación y nos sancionen por
no cumplir las obligaciones.
¿Cómo podemos identificar las amenazas?

Nos vamos a centrar en las amenazas relativas a estos dominios:
Confidencialidad Acceso ilegítimo a los datos
Integridad Modificación no autorizada a los datos
Disponibilidad Eliminación de datos o no acceso a los datos
Tenemos que analizar el ciclo de vida de la actividad de tratamiento, incluso en

determinados tratamientos de cada operación, en profundidad, examinando los
escenarios en los que se puede dar un riesgo en alguno de estos dominios.
La Guía práctica para las evaluaciones de impacto en la protección de los datos

sujetas al RGPD propone estos ejemplos de amenazas para que nos sirva de
orientación, aunque cada responsable puede tener diferentes formas de identificar
amenazas En la Anexo 5 de la guía podéis acceder a ellas.
En el pantallazo podéis ver el ejemplo:
33
34
En este caso de análisis simple, en los que el nivel de riesgo es medio o bajo,
podemos pasar sin más valoración a aplicar las medidas de seguridad o controles para
mitigar los riesgos. Veremos con más detalle estos controles en el apartado de
medidas de seguridad, pero aquí podemos ver un ejemplo.
INTEGRIDAD MODIFICACIÓN - Segregación

RIESGO
MEDIDAS CONROL
TIPOLOGIA RIESGO
DE LOS DATOS O ALTERACIÓN de funciones,

PERSONALES DE LOS DATOS con perfiles de
PERSONALES acceso.
NO - Controles de
INTENCIONADA monitorización
de amenazas de
red
DISPONIBILIDAD PERDIDA O -Copia de

TIPOLOGIA RIESGO
RIESGO
MEDIDAS CONROL
DE LOS DATOS BORRADO DE seguridad

DATOS NO - Almacenamiento
INTENCIONADA en ubicaciones
diferentes
En este enlace podéis ampliar información sobre análisis de riesgos.
Evaluación de Impacto
En el siguiente gráfico sacado de Guía práctica para las evaluaciones de impacto en la
protección de los datos sujetas al RGPD se ve muy claramente todo el proceso de
análisis de riesgo y evaluación de impacto.
35
Como vemos una evaluación de impacto conlleva los siguientes pasos:
36
CONTEXTO
Analizar la necesidad y proporcionalidad del
Describir el ciclo de vida de los datos tratamiento
GESTIÓN DE RIESGOS
Idenfificar amenazas y
Evaluar los riesgos Tratar los riesgos
riesgos
CONCLUSIÓN
Plan de acción Informe de conclusiones
Ya hemos hablado de la fase de contexto y de gestión de riesgos, la evaluación de

impacto se centra sobre todo en la evaluación de riesgos y la conclusión por lo que en
este apartado nos vamos a centrar en ellos.
Evaluación de riesgos
En esta fase vamos a relacionar la probabilidad de que se produzca una amenaza con
el impacto que podría causar, ya hemos visto esta fórmula:
Riesgo = probabilidad x impacto
Con ella vamos a obtener el riesgo inherente de un tratamiento. Es el riesgo que

tenemos antes de aplicar ninguna medida para mitigarlo o reducirlo.
Recuperamos esta matriz de riesgo que hemos visto en el apartado anterior:
37
Se trata de valorar qué impacto tendría si se materializaran las amenazas, si se

cumplieran y cruzarlo con la probabilidad de que eso ocurra. Siguiendo una
metodología de valoración de la probabilidad tipo o estándar como puede ser la de
cuatro niveles de la ISO 2913, tendríamos estos niveles de probabilidad e impacto.
PROBABILIDAD OCURRENCIA IMPACTO
 Despreciable (baja)  Despreciable (muy bajo)

 Limitada (ocasional)  Limitado (bajo, no relevante)
 Significativa (con frecuencia)  Significativa (daño elevado)
 Máxima (mucha frecuencia)  Máxima (impacto crítico)
En este pantallazo podernos ver unos ejemplos de cómo realizar esta relación para
incluirlo en nuestra matriz de riesgo
38
En este ámbito de evaluación de riesgos en relación a los derechos y libertades de las

personas, el impacto o daño causado puede ser un daño físico (integridad física) o
material (pérdidas económicas, empleo, patrimonio, etc.) o moral (un daño mental o
moral, reputacional, etc.)
¿Qué hago para tratar el riesgo?

Para tratar el riesgo puedo:
Reducir el riesgo Establecer medias para que el riesgo sea menor, para que
disminuya la probabilidad de ocurrencia o el impacto causado.
Retener el riesgo Disminuir el riesgo inherente a un nivel que consideremos
aceptable, bajar del nivel 2 al 1 por ejemplo.
Compartir por ejemplo con una aseguradora las consecuencias que
Transferir el riesgo
se produzcan.
Anulación del riesgo No realizar el tratamiento porque no compensa asumir los riesgos
Si decidimos reducir el riesgo, tendremos que implantar medidas de seguridad,

controles que pueden ser:
 Organizativas: (políticas de seguridad, normativas, procedimientos, protocolos,

etc.)
 Legales: (cláusulas, formularios recogida de datos adecuados, etc.)
 Técnicas: (medidas de seguridad física y lógica, las veremos en el siguiente
apartado)
Una vez que aplicamos estos controles, volveríamos a evaluar el riesgo y
obtendríamos el riesgo residual, que es el riesgo que tendríamos una vez aplicados
los controles que pensamos reducirán el riesgo a niveles aceptables.
Aplicaríamos la fórmula y el cuadro de la Guía de evaluaciones de riesgo pero ya con

el efecto del control.
Riesgo residual = probabilidad x impacto
39
Conclusión
Una vez realizada la evaluación se deberá describir cada control para tratar cada
riesgo, planear cómo se van a implantar los controles, qué tareas implicará y qué
personas se responsabilizarán de que se cumpla, indicando los plazos, y dejarlo todo
documentado.
Si la conclusión no fuera favorable, se debería seguir incluyendo controles hasta que

fuera aceptable y si no se pudiera reducir, habría que evitar realizar el tratamiento.
Comunicación y consulta a la autoridad de control

Si al final de la Evaluación de riesgos se ve que entraña un alto riesgo, y no podemos
mitigarlo, no ser realizará el tratamiento, si el riesgo residual es alto o muy alto se
deberá consultar con la Autoridad de control (AEPD).
Muy importante recordar que la protección de los datos es un
proceso continuo de monitorización
Por último recordar que es un proceso continuo, que se deben revisar las medidas y
controles implantados cada cierto tiempo y supervisar que realmente funcionan,
realizando auditorías para valorar si hay que realizar cambios, sobre todo si hay
cambios sustanciales en el tratamiento.
Planificación
Ejecución
Mejora Seguimiento
40
3.3. Implantación de medidas de seguridad y elaboración de la

documentación sobre la seguridad implantada
Con toda la información de nuestro análisis de riesgos o en su caso evaluación de

impacto deberemos implantar y documentar las medidas de seguridad o controles que
vamos a aplicar a nuestros tratamientos de datos.
En cuanto a las medidas de seguridad tanto técnicas como organizativas a

implementar, como ya hemos comentado habrá que decidirlas en función del nivel de
seguridad que determinemos según los riesgos detectados en el análisis previo, que
concluya que las medidas son realmente las más adecuadas para ofrecer un nivel de
seguridad adecuado y dejarlas debidamente documentadas
Las medidas técnicas y organizativas deberán establecerse teniendo en cuenta:
En muchos casos vamos a tener que seguir aplicando las mismas medidas que
indicaba el anterior Reglamento de protección de datos, puesto que coincidirá el nivel
asignado con el anterior criterio marcado por la ley (básico, medio, alto) con el nivel de
seguridad que vamos a aplicar tras el análisis, pero puede ser que tras realizar el
análisis de riesgos, determinemos que es necesario completarlas con medidas
adicionales, incluso podría darse el caso de poder prescindir de alguna.
En este enlace se puede consultar información sobre la ISO 27001 que es un estándar
de implantación de un SGSI (Sistema de Gestión de Seguridad de la Información).
Para que nos sirva de guía vamos a ver las medidas que establecen la LOPD y su
reglamento de desarrollo, diferenciando por el sistema de tratamiento utilizado para
almacenar los datos. Recordad que ya no está vigente, aquí se ofrece con un carácter
meramente orientativo.
41
Medidas de seguridad y elaboración del documento de seguridad según

la anterior legislación (LOPD).
El Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la Ley Orgánica

15/1999, regulaba, el conjunto de medidas de índole técnica y organizativa que se
deben cumplir en un tratamiento de datos para garantizar la seguridad y
confidencialidad de los datos, como hemos dicho nos vamos a basar en estas medidas
solo como orientación.
¿Qué es el documento de seguridad?

La LOPD establecía que se debía elaborar un documento de seguridad en el que se
recopilasen las normas de seguridad que se iban a implantar, es un documento
interno, (no había que presentarlo en la AEPD), que se debía mantener
permanentemente actualizado y ser revisado siempre que se produjeran
cambios relevantes en el sistema de información, en el sistema de tratamiento
empleado o en su organización, y debía adecuarse a las normativas vigentes en
materia de seguridad de los datos de carácter personal. El documento de seguridad
tenía que estar a disposición de la Agencia de Protección de Datos. El RGPD no
obliga a llevar un documento de seguridad con las características tan en detalle como
especificaba la LOPD, pero si exige documentar todas las medidas que se van a
tomar, tanto técnicas como organizativas, como son las políticas de seguridad,
normativas, procedimientos, etc.
• El coste de la técnica
1
2 • Los costes de aplicación
• La naturaleza, el alcance, el contexto y los fines del tratamiento
3
• Los riesgos para los derechos y libertades
4
42
Aun no siendo obligatorio este modelo de seguridad, como decimos, con la nueva
normativa, si ya lo tenemos hecho, nos serviría, como hemos comentado junto con el
registro de actividades para cumplirlo.
Si no lo teníamos elaborado nos puede servir perfectamente de guía para dejar

documentado todo debidamente.
En el siguiente aparado se muestra cómo hay que elaborar un documento de

seguridad según indicaba la LOPD.
El documento de seguridad puede ser único y comprensivo de todos los ficheros o

tratamientos o individualizado para cada fichero o tratamiento.
El Documento de Seguridad tendrá los siguientes contenidos:
1. Ámbito de aplicación, detallando los recursos protegidos.

2. Medidas, normas, procedimientos de actuación, reglas y estándares encaminados
a garantizar el nivel de seguridad exigido en el Reglamento.
3. Funciones y obligaciones del personal, (si se ha contratado personal) en relación al
tratamiento de los datos de carácter personal incluidos en los ficheros.
4. Estructura de los ficheros con datos de carácter personal y descripción de los
sistemas de información.
5. Procedimientos de realización de copias de respaldo y de recuperación de los
datos.
6. Medidas que sean necesario adoptar para el transporte de soportes y documentos,
así como para su destrucción.
7. En el caso de niveles medio y alto también se incluirá:
a. La identificación del responsable/es de seguridad.
b. Los controles periódicos que se realizarán para verificar el cumplimiento de
lo dispuesto en el documento.
Éstas son las medidas de seguridad que establece la LOPD según el nivel de
seguridad, llevándolo al RGPD interpretaremos que dónde dice nivel medio y alto sería
lo que con el nuevo reglamento consideramos categorías especiales de datos o
43
especialmente sensibles o de colectivos vulnerables, o que se estimen que puede ser

un riesgo elevado para los derechos o libertades de las personas, y por tanto las
medidas que podremos aplicar en los tratamientos con dicho tipo de datos.
44
FICHERO FICHERO
MEDIDAS
NO AUT. AUT.
1. Documento de seguridad (cualquier nivel de seguridad) Si Si

2. Responsable de seguridad Si (medio y Si (medio y
alto) alto)
3. Funciones y obligaciones del personal (cualquier nivel de
Si Si
seguridad)
4. Registro de incidencias (cualquier nivel de seguridad) Si Si
5. Control de acceso Si Si
6. Registro de acceso lógico/registro acceso documentación Sí (alto) Si (alto)
7. Identificación y autenticación (cualquier nivel de seguridad) No Si
8. Criterios de archivo (cualquier nivel de seguridad) Si No
9. Control acceso físico/almacenamiento información Sí (medio y
Si (alto)
alto)
10. Copias de respaldo y recuperación (cualquier nivel de
No Si
seguridad)
11. Dispositivos de almacenamiento (cualquier nivel de
Si No
seguridad)
12. Custodia de soportes (cualquier nivel de seguridad) Si No
13. Gestión de soportes y documentación (cualquier nivel de
Si Si
seguridad)
14. Auditoría periódica (nivel medio y alto) Si Si
15. Copia o reproducción (nivel alto) Si (nivel alto) No
16. Distribución de soportes/traslado documentación (nivel
Sí (nivel alto) Si (nivel alto)
alto)
17. Telecomunicación (nivel alto) No Si (alto)
A continuación se define muy brevemente cada medida:
Documento de Seguridad. Son contenidos obligatorios con la LOPD y que con el

RGPD se puede utilizar como criterio, para cada tipo de fichero (automatizado o
manual) y nivel de seguridad del fichero.
45
En los niveles medio y alto se deberá identificar también el responsable de seguridad y

controlar periódicamente el cumplimiento del documento.
Funciones y obligaciones del personal. Deben estar claramente definidas y

documentadas. Se incluye la formación al personal sobre normas, procedimientos y
consecuencias de no cumplirlas.
Responsable seguridad. En el caso de ficheros de nivel medio o alto se designará

uno o varios responsables de seguridad. Es el encargado de coordinar y contralar
las medidas de seguridad del documento. No supone delegación de responsabilidad.
Registro de Incidencias. Deberá existir:

 Un procedimiento de notificación y gestión de incidencias que afecten a datos
personales.
 Un registro en el que se haga constar: tipo incidencia, momento incidencia,
personal que lo detecta, persona que lo comunica. Además, en los ficheros con
niveles medio o alto deberá consignarse:
 procedimientos realizados de recuperación de los datos
 personas que ejecutaron el proceso
 los datos restaurados
 y si ha sido un grabado manual.
Con el RGPD además como ya hemos visto es obligatorio notificar a la Agencia las
violaciones o quiebras de seguridad en los términos que vamos a ver un poco más
adelante en el apartado dedicado a las Notificaciones de Seguridad.
En este enlace se puede consultar la guía para gestionar y notificar incidencias

elaborada por la AEPD.
Gestión y distribución de soportes y documentos. Deberá permitir identificar el

tipo de información que contienen, ser inventariados y ser accesibles por el personal
autorizado en el documento de seguridad.
Los soportes con datos de carácter personal considerados sensibles se identificarán
de forma comprensible sólo para los usuarios con acceso autorizado. Además,
46
 La salida de soportes y documentos (incluidos los adjuntos de los correos

electrónicos), deberán ser autorizados por el responsable del fichero, o
encontrarse la persona que lo realiza debidamente autorizada en el documento de
seguridad.
 En el caso de ficheros con datos sensibles, se establecerá un registro de entrada y
salida de soportes que permita conocer:
 el tipo de documento o soporte.
 la fecha y hora.
 el emisor.
 el tipo de información que contienen.
 la forma de envío.
 y la persona responsable de la recepción.
 La distribución de soportes con datos sensibles, se realizará cifrando los datos,
utilizando otro mecanismo que garantice que la información no será accesible ni
manipulada durante el transporte, también se cifrarán los datos que contengan
dispositivos portátiles cuando estén fuera de las instalaciones del responsable del
fichero.
 En los traslados de la documentación se adoptará las medidas dirigidas a evitar la
sustracción, pérdida o acceso indebido.
 La eliminación de cualquier documento o soporte, deberá realizarse evitando el
acceso a la misma o su recuperación posterior.
Copias de respaldo y recuperación.-Se establecerán procedimientos de:

 Copias de seguridad (mínimo semanal, excepto que no se hubieran producido
cambios). La generación de copias o la reproducción de los documentos sólo
podrá ser realizada por personal autorizado en nuestra documentación de
seguridad, si son de carácter sensible, como son las categorías especiales de
datos o especialmente sensibles o de colectivos vulnerables, o que se estimen que
puede ser un riesgo elevado para los derechos o libertades de las personas nivel
alto. En el caso de ficheros de un nivel alto, la copia, junto con los procedimientos
de recuperación se guardarán en un lugar diferente al que se encuentren los
sistemas informáticos. Deberá procederse a la destrucción de las copias o
reproducciones desechadas de forma que se evite el acceso a la información
contenida en las mismas o su recuperación posterior.
47
 Recuperación de los datos, que garanticen en todo momento su reconstrucción en

el estado que se encontraban antes de la pérdida o destrucción.
 Se verificará al menos cada 6 meses la correcta definición, funcionamiento y

aplicación de los procedimientos. Las pruebas anteriores a la implantación o
modificación de los sistemas no se realizarán con datos reales, salvo que se
asegure el nivel de seguridad correspondiente.
Auditorías periódicas, además deberán realizarse cada vez que se produzcan

modificaciones sustanciales del sistema de información y dejarse debidamente
documentado y a disposición de la Agencia de Protección de datos.
El informe deberá dictaminar sobre las medidas de seguridad y controles, identificando

deficiencias y proponer medidas correctoras o complementarias necesarias.
A continuación presentamos brevemente las definiciones de las medidas de

seguridad específicas de los ficheros automatizados (ficheros informáticos):
Control acceso lógico. El personal accederá exclusivamente a los recursos

necesarios para el desarrollo de sus funciones. Se mantendrá una relación actualizada
de usuarios, permisos y accesos autorizados. Asimismo, se indicarán y desarrollarán
los mecanismos que impidan el acceso a personas no autorizadas.
Registro de accesos. En el caso de ficheros con datos de nivel alto – como ocurre
con la historia clínica- se registrará:
 usuario.
 fecha y hora.
 fichero accedido.
 tipo de acceso.
 y si ha sido autorizado o denegado.
El responsable de seguridad deberá controlar el registro de accesos y revisarlo

mensualmente.
48
Es interesante saber que si el responsable del fichero es una persona física y puede
garantizar que será la única persona que accederá y tratará los datos
(documentándolo en el documento de seguridad), en ese caso no será necesario el
registro de accesos.
Identificación y autenticación. Las medidas deben garantizar la correcta
identificación, inequívoca y personalizada –autenticación- de los usuarios.
El documento de seguridad se establecerá una periodicidad para cambiar las
contraseñas, no superior a un año. Además, en ficheros con nivel alto se debe limitar
el número de intentos reiterados de acceso no autorizado.
Control acceso físico. Exclusivamente el personal autorizado en la documentación

de seguridad podrá tener acceso a las instalaciones con los equipos de los sistemas
de información.
Telecomunicaciones. El acceso a través de redes deberá garantizar un nivel de

seguridad equivalente al acceso en modo local. En el caso de transmisión de datos de
carácter personal de un nivel alto a través de redes públicas o inalámbricas de
comunicaciones electrónicas se realizará cifrando dichos datos o utilizando cualquier
otro mecanismo que garantice que la información no sea inteligible ni manipulada por
terceros.
¿Qué medidas específicas se han de aplicar a los ficheros NO
automatizados o fichero manual según el RGPD?

Por último, se presentan brevemente las definiciones de las medidas de seguridad
específicas de los ficheros no automatizados, (ficheros NO informáticos, por
ejemplo en formato papel, organizados en carpetas:
Criterios de archivo. Las medidas deben garantizar la correcta conservación,

localización de los documentos y el ejercicio de los derechos ARCO ampliados). Como
pauta debe aplicarse el criterio previsto en la legislación correspondiente – por
ejemplo, en la historia clínica, la Ley 41/2002. En ausencia de una legislación
específica, debe aplicarse el criterio establecido en nuestra documentación de
seguridad.
49
Acceso a la documentación. El acceso a la documentación de los ficheros de un

nivel de seguridad alto deberá ser registrada y se deberán establecer procedimientos a
tal efecto, incluso para identificar los accesos realizados en el caso de documentos
que puedan ser utilizados por múltiples usuarios - por ejemplo, mediante plantillas
básicas incorporadas al inicio del expediente.
Dispositivos de almacenamiento y custodia de soportes. Los dispositivos deberán
disponer de mecanismos que obstaculicen su apertura. Cuando la información no se
encuentra en los dispositivos correspondientes (por estar en revisión o tramitación), la
persona al cargo deberá custodiarla e impedir en todo momento que pueda ser
accedida por personas no autorizadas.
Almacenamiento de la información. En caso de los ficheros con categorías

especiales de datos o especialmente sensibles o de colectivos vulnerables, o que se
estimen que puede ser un riesgo elevado para los derechos o libertades de las
personas, los armarios, archivadores u otros elementos en los que se almacenan los
ficheros no automatizados con datos de carácter personal, deberán encontrarse en
áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas
de apertura mediante llave u otro dispositivo equivalente. Estas áreas deberán
permanecer cerradas cuando no sea preciso el acceso a los documentos. De no poder
cumplirse deberán implantarse medidas alternativas, motivándolo en el documento de
seguridad.
¿Qué medidas técnicas se han de aplicar a los ordenadores?

Algunas medidas a aplicar a los ordenadores que se utilicen deberán ser las
siguientes:
 Procedimientos de identificación y autenticación.
 Mecanismos que eviten el acceso a datos o recursos con derechos distintos a los
autorizados.
 Procedimientos para realizar copias de seguridad.
 Establecer límites de intentos reiterados de acceso no autorizados.
 Cifrado de datos en la distribución de soportes o transmisión de datos de nivel alto.
 Registrar usuario, hora, fichero, tipo de acceso y registro accedido en ficheros con
datos de categorías especiales de datos o especialmente sensibles o de colectivos
50
vulnerables, o que se estimen que puede ser un riesgo elevado para los derechos
o libertades de las personas.
 Asegurarse que el software destinado a tratar con los datos de carácter personal
describan en su descripción técnica el nivel de seguridad que permitan alcanzar
(básico, medio o alto) Para la historia clínica se requiere que pueda alcanzar un
nivel alto de seguridad.
A continuación dos medidas que no aparecían con la LOPD y si con el
RGPD
Notificación de violaciones de seguridad de los datos

Cuando se produzca una violación o quiebra de la seguridad de los datos, el
responsable tendrá que notificarla a la autoridad de protección de datos
competente, a menos que se valore como improbable que dicha quiebra de la
seguridad suponga un riesgo para los derechos y libertades de las personas afectadas
y deberá realizarse a ser posible, dentro de las 72 horas siguientes a que el
responsable tenga constancia de ella y por supuesto se deberá dejar debidamente
documentada en un registro interno.
Si la situación fuera muy compleja y no se pudiera hacer en 72 horas, se podrá hacer

de forma escalonada según se vaya teniendo más información; eso sí, si se retrasa
habrá que explicar el motivo que ha ocasionado el retraso.
Por tanto es muy importante tener y dejar documentado los procedimientos que
vayamos a implantar para comunicar con rapidez una incidencia, también tenemos
que tener en cuenta que si contratamos un encargado de tratamientos deberemos
acordar, como hemos visto, y dejar constancia en el contrato de cómo deberán
comunicarnos cualquier incidencia para darnos un margen de maniobra y poder
responder en esas 72 horas. También se les puede encargar que realicen ellos la
notificación, pero deberá dejarse acordado en el contrato de prestación de servicios.
En el anexo 5 y 6 de la Guía práctica para las evaluaciones de impacto en la

protección de los datos sujetas al RGPD como ya os he comentado, se puede acceder
51
a un catálogo de amenazas y posibles controles a aplicar para minimizar los riesgos y

ver más en detalle las evaluaciones de riesgo.
52
Violación o quiebra de seguridad
El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como
“quiebras de seguridad”, de una forma muy amplia, que incluye todo incidente que ocasione la
destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos,
conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos
datos. Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases
de datos de una organización (incluso por su propio personal) o el borrado accidental de
algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas
como el Reglamento establece.
La Guía del Reglamento de Protección de Datos para Responsables de tratamiento

explica así una violación de seguridad
Cualquier incidente no es una violación de seguridad, hay que tener certeza de que se
ha producido y tener conocimiento suficiente de su naturaleza y alcance antes de
comunicarla a la Agencia. La mera sospecha de que ha existido una quiebra o saber
que ha habido algún tipo de incidente sin más, no deberían dar lugar, todavía, a la
notificación, dado que en esas condiciones aún no sabemos si hay un riesgo para los
derechos y libertades de los interesados.
La notificación de contener como mínimo:
• La naturaleza de la violación
• La categoría de datos y de interesados afectados
• Medidas adoptadas por el responsable para solventar la quiebra
• Si procede, las medidas aplicadas para paliar los posibles efectos

negativos sobre los interesados
53
Si se valora que la quiebra de seguridad es tal que hay un alto riesgo para los
derechos y libertades de las personas, habrá que comunicárselo también a los
afectados, con el objetivo de que el afectado pueda reaccionar tan pronto como
pueda, por ejemplo cambiando sus contraseñas.
Se considera que hay un alto riesgo de que la violación de seguridad ocasione daños
importantes a los interesados cuando por ejemplo se desvele información confidencial,
como contraseñas o participación en determinadas actividades o se difundan de forma
masiva datos sensibles o se puedan producir perjuicios económicos para los
afectados.
Puede ser que la misma Agencia tras conocer la violación de seguridad, se ponga en
contacto con el responsable para indicarle que comunique la quiebra de seguridad a
los afectados.
No será necesario notificar a los interesados cuando:

 Se hayan tomado con anterioridad a la quiebra de seguridad medidas técnicas u
organizativas que hagan ininteligibles los datos a terceros, por ejemplo cuando se
hayan encriptado los datos.
 Cuando con posterioridad a la quiebra se aplican medidas técnicas que garanticen
que ya no hay posibilidad de que el alto riesgo se materialice.
 Si la notificación supone un esfuerzo desproporcionado, en ese caso se podría
sustituir por una comunicación pública.
La Agencia ha habilitado un canal en su página web para realizar las notificaciones de

violaciones de seguridad y una guía orientativa.
54
Delegado de Protección de Datos (DPD)
Delegado de protección de datos
Es una figura encargada de orientar, asesorar, así como supervisar al responsable de

actividades de tratamiento sobre el cumplimiento del RGPD, también realizará labores de
mediación entre los usuarios y el responsable y será la persona de contacto con las
Autoridades de control (AGPD), podrá formar parte de la plantilla del responsable o del
encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de
servicios.
El RGPD establece como obligatoria la figura del Delegado de Protección de Datos

en los siguientes casos:
 Autoridades y organismos públicos.
 Responsables o encargados que tengan entre sus actividades principales las
operaciones de tratamiento que requieran una observación habitual y sistemática
de interesados a gran escala.
 Responsables o encargados que tengan entre sus actividades principales el
tratamiento a gran escala de datos sensibles.
El RGPD da la opción a los estados miembros de marcar la obligación de DPD en

otros casos. En España la nueva Ley de protección de datos, en su artículo 34, indica
la obligación de designar un delegado de protección de datos a los centros
sanitarios legalmente obligados al mantenimiento de historias clínicas. Se
exceptúan los profesionales de la salud que aun estando legalmente obligados
al mantenimiento de historias clínicas de los pacientes ejerzan su actividad a
título individual.
Así mismo también da la posibilidad de que se opte por contar con un delegado de
protección de datos de forma voluntaria, para garantizar el cumplimiento del
reglamento y así tratar de evitar también las elevadas sanciones que marca el nuevo
reglamento, la designación voluntaria de un DPD es una forma de mostrar nuestra
diligencia e interés en hacer un correcto tratamiento de los datos y podrá beneficiarnos
en caso de surgir algún problema.
55
La Agencia de Protección de Datos acaba de habilitar un espacio para realizar la

notificación del DPD por medios telemáticos (por internet). a través de su página, para
el trámite es necesario poseer un certificado electrónico. Toda la información en este
enlace.
Para más información sobre el DPD, su cualificación y funciones se pueden consultar

el siguiente enlace.
Para finalizar este apartado, se muestra una lista para revisar si el tratamiento que ya
estáis haciendo según la LOPD se ajusta a este nuevo enfoque de protección de datos
proactiva tal y como recomiendan en la Guía del Reglamento General de Protección
de datos para Responsables de tratamiento del tratamiento.
En este enlace puedes acceder al listado normativo publicado por la AGPD.
56
¿Ha revisado las medidas de seguridad que aplica a sus tratamientos a la luz
de los resultados del análisis de riesgo de los mismos?
¿Considera que puede seguir aplicando las medidas de seguridad previstas
en el Reglamento de la LOPD?
¿Ha valorado suficientemente la posibilidad de introducir medidas adicionales

en función del tipo de tratamiento o del contexto en que se realiza?
Atendiendo al tipo de tratamientos que realiza, ¿ha establecido mecanismos

para identificar con rapidez la existencia de violaciones de seguridad de los
datos?
¿Tiene previstas medidas de reacción frente a los diferentes tipos de quiebras
de seguridad, incluidos los procedimientos para evaluar el riesgo que puedan
suponer para los derechos y libertades de los afectados?
¿Ha establecido procedimientos para notificar las violaciones de seguridad a
las autoridades de protección de datos y, si fuera necesario, a los
interesados?
¿Dispone de un registro o herramienta similar en que pueda documentar los
incidentes de seguridad que se produzcan, aunque no sean notificados a las
autoridades de protección de datos?
¿Ha valorado si los tratamientos que realiza requieren una Evaluación de

Impacto sobre la Protección de Datos porque supongan un alto riesgo para
los derechos y libertades de los interesados?
¿Dispone de una metodología para la realización de la Evaluación de
Impacto?
Según el tipo de tratamiento que realiza y los resultados del análisis de riesgos
previo, ¿tiene que nombrar un Delegado de Protección de Datos?
¿Ha establecido los criterios para seleccionar al Delegado de Protección de

Datos y, en particular, para valorar sus cualificaciones profesionales y sus
conocimientos?
El puesto de DPD tal y como está configurado en su organización, ¿respeta
los requisitos de independencia en el ejercicio de las funciones, posición en
el organigrama, ausencia de conflicto de intereses y disponibilidad de los
recursos necesarios establecidos por el RGPD?
¿Ha hecho pública la designación del DPD y sus datos de contacto y los ha
comunicado a la autoridad de protección de datos?
¿Ha establecido procedimientos para que los interesados contacten con el
DPD?
57
3.4. Cese la actividad como Responsable del fichero
¿Cuándo?
¿Qué hacer?
• Respetar tiempo de • Al cesar la actividad como

conservación de los datos psicólogo autónomo.
o traspasar las historias
clínicas a otros
profesionales
correctamente.
• Destrucción segura de la
historia clínica una vez
finalizado el proceso.
• Solicitar autorización para
clínicas a otro profesional.
¿Cuándo tiempo hay que conservar los datos si se cesa en el ejercicio
profesional?
La ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y
de derechos y obligaciones en materia de información y documentación clínica es la
regulación específica sobre la historia clínica.
58
Dicha ley determina que se deberá conservar la historia clínica por un periodo de al
menos 5 años contados a partir de la fecha de alta del último proceso asistencial,
también hay que recordar que podrá conservarse la documentación durante más
tiempo a efectos judiciales, si el profesional valora que puede ser conveniente, por las
características de un caso en concreto, por preverse una reclamación civil como
consecuencia de una acción profesional o porque lo pudiera solicitar un juez. En todo
caso, si el historial hubiera sido destruido por haber transcurrido más de cinco años,
no se incumplirá la Ley.
Es recomendable facilitar al paciente una copia de su historia clínica al finalizar el

tratamiento.
¿Se deben conservar los datos tras el fallecimiento del profesional?

Los sucesores tienen la obligación de conservar los datos en condiciones que
garanticen el nivel de seguridad del fichero, al menos durante el tiempo que establece
la ley. Otra opción puede ser que otro profesional se hiciera cargo, siempre informando
y solicitando permiso a los usuarios.
¿Cómo se pueden destruir los datos, una vez finalizado el periodo de
custodia?
Hay que destruir los documentos o soportes que contengan datos de carácter personal
de tal forma que se impida el acceso a la información contenida en el mismo o su
recuperación posterior. Se pueden emplear máquinas destructoras de documentos o
encargar la gestión a empresas especializadas que certifiquen que la destrucción será
realizada mediante procedimientos que garanticen el cumplimiento de la legislación de
protección de datos.
59
4. Inicio y cese de actividad de profesionales por cuenta ajena

y autónomos con contrato de prestación de servicios
En ambos casos el responsable del fichero es la persona que contrata, pero sí existe
para el profesional, la obligación de realizar un tratamiento de los datos según los
principios de protección de datos y cumplir con las normativas y procedimientos que
indique el responsable del fichero.

deberá guardarse secreto
de la información
pacientes/clientes
4.1. Profesional por cuenta ajena

La firma del contrato es el momento de solicitar información sobre todos los aspectos
en materia de protección de datos. Se deberá solicitar al responsable del fichero, para
tener clara la actuación en cada momento, evitando dudas e improvisaciones. Puede
ser que el responsable solicite que se firme un compromiso de confidencialidad sobre
los datos.
Inicio de la actividad por cuenta ajena.
• Informarse sobre la • Al firmar el contrato

normativa y laboral.
procedimientos sobre la
protección de datos de
caracter personal en la
entidad contratante.
60
Cese de la actividad por cuenta ajena.

deberá guardarse secreto de
la información
pacientes/clientes
4.2. Autónomo con contrato de prestación de servicios para un tercero

El profesional contratado con contrato de prestación de servicios debe aclarar en el
contrato de quién es la responsabilidad de los datos. Es el momento de dejar claro
todos los aspectos en materia de protección de datos.
Inicio de actividad con contrato de prestación de servicios
• Al inicio de la prestación del

• Incluir cláusulas de protección de
servicio contratado.
datos en el contrato.
• Definir el papel de cada parte en la
recogida de los datos.
• Informarse y cumplir la normativa y
procedimientos de la entidad.
• Si la actividad se realiza en una
localización diferente a la entidad
contratante, se deberá elaborar el
Documento de Seguridad.
61
En este caso se actúa como encargado del tratamiento, se podrá acceder a los datos
que resulten necesarios para la prestación del servicio al responsable del fichero,
según las instrucciones de éste. Si los servicios se prestan en los locales del
responsable del fichero, en el documento de seguridad de éste deberá hacerse
constar esta circunstancia.
Si los servicios no se prestaran en los locales del responsable del fichero sino en los
del propio profesional contratado, deberá elaborarse un documento de seguridad,
identificando el fichero y el responsable del mismo e incorporando las medidas de
seguridad a implantar según el nivel de seguridad del fichero.
Si algún paciente quisiera seguir el tratamiento con el profesional, deberá ser el propio
paciente/cliente quién solicite al responsable del fichero una copia de su historia clínica
y se la facilitará con posterioridad al profesional, en ningún caso podría disponer de
otra manera de la historia clínica ya que es responsabilidad del responsable del
fichero.
Cese de prestación del servicio contratado
• Devolver todos los datos de • Al terminar el contrato de

que disponga al Responsable prestación del servicio.
del fichero (por ejemplo, las
histórias clínicas).
• Guardar secreto acerca de
todos los datos a los que
haya accedido.
62

M2. Formas de Ejercicio IX Ed

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

M2. Formas de Ejercicio IX Ed

Uploaded by

Copyright:

Available Formats

Protección de datos en

Lola Manzano Fernández

Colegio Oficial de Psicólogos de Madrid

2. Formas de ejercicio profesional y

3. Inicio y cese actividad en profesionales

4. Inicio y cese de actividad de profesionales por

Los principios que determina la legislación de protección de datos se materializan en

Principales obligaciones RGPD

• Realizar una planificación/descripción del tratamiento

• Responsabilidad proactiva desde el diseño y por defecto, análisis de riesgos y

• Recoger, tratar e informar a los usuarios conforme RGPD.

• Nombrar y comunicar a la AEPD el Delegado de Protección de Datos (DPD) en

• Analizar si hay accesos o comunicaciones de datos a terceros y Garantizar

LOPD / RDLOPD LOPDGDD/RGPD

 Inscripción de ficheros en la AEPD.  No inscripción de ficheros en AEPD, pero sí llevanza

Fases intervención psicológica

Resumiendo lo anterior y aplicando a cada fase las cuestiones pertinentes en cuanto a

Inventario/registro de actividades de tratamiento, privacidad desde el

2. Formas de ejercicio profesional y Responsabilidad en el

A lo largo del desarrollo de la actividad profesional, nos encontramos con diferentes

Se van a exponer en primer lugar las peculiaridades de cada forma de ejercicio y

Una de las cuestiones fundamentales en materia de protección de datos es delimitar

La figura responsable del tratamiento de datos es aquella que decide

sobre la finalidad, contenido y uso del tratamiento de los datos de

Veamos aplicado en nuestro ámbito profesional y según el tipo de ejercicio profesional

Responsabilidad del Tratamiento

Trabajadores por Cuenta

En ambos casos al inicio de la actividad, como responsables del tratamiento

• Elaborar y mantener un Registro de

¿Qué hacer? ¿Cuándo?

• Respetar el tiempo de • Al cesar la actividad como

Profesional por cuenta ajena y autónomos con contrato de prestación

Profesional por cuenta ajena

¿Qué hacer? ¿Cuándo?

• Al abandonar la empresa, • Al abandonar la empresa

Profesional autónomo con contrato de prestación de servicios

Este aspecto debe quedar claramente especificado en el contrato de prestación de

Algunas de estas obligaciones son:

Las relaciones entre el responsable y el encargado tienen que basarse en un contrato

En el contrato debe incluirse información sobre lo siguiente:

“Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo

Al inicio de la prestación de servicio contratado:

¿Qué hacer? ¿Cuándo?

• Incluir cláusulas de protección de • Al inicio de la prestación del

¿Qué hacer? ¿Cuándo?

• Devolver todos los datos • Al terminar el contrato de

Una vez vista la diferente responsabilidad que asumimos en el tratamiento de los

3. Inicio y cese actividad en profesionales autónomos

de tratamiento como hemos visto, son las siguientes

• Realizar una planificación/descripción del tratamiento

• Analizar si hay accesos o comunicaciones de datos a terceros y Garantizar

3.1. Descripción del tratamiento y Registro de actividades de

Todo conjunto estructurado de datos personales, accesibles con arreglo a

La actividad de tratamiento es una acción que realizamos sobre los datos de un

Normalmente un tratamiento de datos tiene un ciclo de vida, que se inicia con la

Pero veamos un ejemplo práctico de lo que estamos hablando:

Con la LOPD, existía la obligación de comunicar a la Agencia de Protección de datos

Otro ejemplo para aclararnos:

Si tratábamos con datos de personal, notificábamos a la Agencia de Protección de

Otros posibles tratamientos de datos en el ámbito de la psicología podrían ser:

En la Guía práctica de Análisis de riesgos en los tratamientos de datos personales

Para realizar el registro, la Guía del Reglamento de Protección de Datos para

En este registro de actividades el responsable debe como mínimo:

Para realizar este inventario de tratamientos, si ya hemos inscrito nuestros ficheros,