AEPD: Eines i programes d’ajuda gratuïts per facilitar el compliment del RGPD

L’Agència Espanyola de Protecció de Dades (AEPD), a través del seu portal electrònic, posa a disposició de les empreses i professionals tot un seguit d’eines i guies/assistents (gratuïtes) adreçades a facilitar el compliment de les obligacions del RGPD en matèria de protecció de dades:

Facilita RGPD

Gestiona RGPD

Canal del DPD

Facilita Emprende

Evalúa Riesgo RGPD

Comunica-Brecha RGPD

Asesora Brecha

Validacripto RGPD

Avui ens centrarem en les dues més destacades: Facilita i Gestiona RGPD

Facilita RGPD (2.0)

Es tracta d’una eina d’ajuda, senzilla, destinada a empreses o professionals que realitzin tractaments de dades personals que, a priori, impliquin un nivell baix de risc, com ara dades de contacte i facturació de clients o proveïdors, o les dades dels seus empleats en el marc d’una relació laboral. No obstant això, no és adequada per a tractaments que incloguin categories especials de dades, decisions automatitzades amb un impacte significatiu o situacions en què el volum i la combinació de dades puguin augmentar-ne el nivell de risc.

Tot i ser útil, s’ha de considerar com un recurs genèric i de nivell bàsic en el compliment del RGPD, ja que no abasta tots els supòsits o nivells de risc de tractament amb els que pugui treballar una determinada organització o professional. En aquest sentit, Falicita RGPD no està pensat per a tractaments que impliquin un nivell alt de risc per als drets i llibertats de les persones (p. e., dades relatives a la salut o tractaments massius de dades, entre d’altres).

Amb només 3 pantalles de preguntes molt concretes, Facilita RGPD permet valorar la situació de l’usuari/a respecte al tractament concret de dades personals que duu a terme, i determinar si aquest s’adapta als requisits per utilitzar l’eina. Aquestes preguntes avaluen aspectes com ara el tipus de dades tractades, la seva finalitat i l’abast del tractament i, en funció del resultat, permeten valorar si caldria realitzar una anàlisi de riscos.

Un cop executada, les dades introduïdes s'eliminen, per la qual cosa l'AEPD no pot accedir a la informació proporcionada.

Els documents generats pel programari s’adapten a l’empresa/professional concret d’acord amb les dades introduïdes: clàusules informatives per incloure en els formularis de recollida de dades personals, clàusules contractuals per annexar als contractes d’encarregat del tractament, el registre d’activitats del tractament, o un annex amb mesures de seguretat orientatives i mínimes. Aquests documents es poden considerar vàlids en la mesura que les respostes facilitades siguin certes, si bé tornem a insistir en què el seu ús no garanteix un compliment ple de les obligacions recollides al RGPD, de manera que la documentació resultant caldrà ser implementada i/o actualitzada a la situació real dels tractaments de dades que es realitzin en cada cas.

Enllaç a Facilita RGPD:

https://servicios.aepd.es/AEPD/view/form/MDAwMDAwMDAwMDAwMDUxNzk3MjAxNzQwMTQ2MDMxOTA2?updated=true

Gestiona RGPD

Es tracta d’una eina d’un nivell superior a Facilita que actua com un assistent que ens ajuda a elaborar i gestionar el tractament de les dades personals. Permet avaluar i gestionar els riscos mitjançant l’aplicació d’un ampli catàleg de mesures de privacitat i, si escau, realitzar una avaluació d'impacte.

Gestiona RGPD està orientat als responsables i encarregats del tractament, així com als delegats de protecció de dades (DPO).

La nova versió (disponible des de maig de 2024) incorpora gairebé 800 mesures de privacitat, classificades en funció dels riscos identificats per l'empresa o professional, incloent aspectes com ara la governança, la seguretat de les dades o les bretxes de seguretat, i hi inclou millores en l’edició dels informes finals.

Amb Gestiona RGPD, la selecció dels factors de risc i de les mesures per mitigar-los constitueix el punt de partida per al procés d’identificació i gestió del risc, facilitant el compliment de les exigències del RGPD.

Alhora, esdevé una eina molt útil quan es necessita realitzar una avaluació d’impacte en matèria de protecció de dades personals, és a dir, quan de l’anàlisi de riscos es desprèn que el tractament pot incloure dades especialment sensibles, com ara informació sobre la salut (p. e., historials mèdics), dades biomètriques per a la identificació única d’una persona, o creences religioses. També és essencial quan el tractament de dades pot comportar un risc alt per als drets i llibertats dels titulars, com passa amb el monitoratge sistemàtic de persones en espais públics mitjançant videovigilància, l’ús d’algoritmes per a la presa de decisions automatitzades amb impacte significatiu, o el tractament massiu de dades de menors.

La gestió dels tractaments i l'emmagatzematge de la informació es realitza exclusivament en el dispositiu de l'usuari/a, a través del seu navegador (sense necessitat d’instal·lar cap aplicació) i, per tant, amb total seguretat i confidencialitat.

Guia usuari Gestiona RGPG:

https://www.aepd.es/guias/manual-usuario-gestiona-rgpd.pdf

Cordialment,

SECRETARIA TÈCNICA