top of page

Gestión del cumplimiento normativo centro médico-esp.

Categoría de interesados: Clientes, Proveedores, Pacientes, Colaboradores, Padres/Tutores, Menores, Personas trabajadoras.

Tipología de datos: Datos básicos: Nombre y apellidos, Teléfono, NIF, Dirección postal, Dirección electrónica, Firma, Datos profesionales/empleo. Datos sensibles: Datos relativos a menores.

 

Finalidad del tratamiento: Gestión y tramitación de la cual de las obligaciones y deberes que se deriven del cumplimiento de la normativa a la cual está sujeta la entidad.

 

Categorías de destinatarios: Organismos y/o administración pública con competencia en la materia.Transferencia internacionalNo se realizan transferencias internacionales de datos.

 

Medidas técnicas y organizativas: Previstas en el documento 4. Medidas para el cumplimiento normativa en materia de Protección de Datos y documento 5. Políticas para el cumplimiento de la normativa de seguridad de la información.

Plazos de supresión: conservación de las copias de los documentos hasta que prescriban las acciones para reclamarle una posible responsabilidad.

PROTOCOLO PARA EL DISEÑO DE LOS FLUJOS

Cualesquiera de los nuevos tratamientos, en particular si utiliza nuevas tecnologías, que por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, requerirá que AMANDA IBAÑEZ LÓPEZ proceda a la realización de un análisis de riesgos de los tratamientos, un análisis de la necesidad de una Evaluación de Impacto de protección de datos y una Evaluación de impacto, en el caso que este análisis previo así lo dictamine. Para un correcto desarrollo de la Evaluación de Impacto, AMANDA IBAÑEZ LÓPEZ procederá a documentar el procedimiento de tratamiento de datos.

 

En el apartado 3.2.1. Procedimiento de generación de procesos de tratamiento de datos se establece la metodología que seguirá AMANDA IBAÑEZ LÓPEZ a fin de ejecutar nuevos procedimientos de tratamiento de datos de carácter personal. En todo caso estos procedimientos serán supervisados y aprobados por el Delegado de Protección de Datos, o en su defecto por el Responsable de Privacidad.

3.2.1. Procedimiento de generación de procesos de tratamiento de datos

La normativa vigente en materia de protección de datos establece que cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, AMANDA IBAÑEZ LÓPEZ realizará antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. En este sentido AMANDA IBAÑEZ LÓPEZ recabará el asesoramiento del Delegado de Protección de Datos o en su defecto, del Responsable de Privacidad.

 

AMANDA IBAÑEZ LÓPEZ deberá proceder con la siguiente operativa cuando existan nuevas operaciones de tratamiento:

1. Creación de un equipo de trabajo

 Previamente a cualquier acción se establecerá un equipo de trabajo. Este equipo de trabajo estará configurado como mínimo por los  siguientes roles:

  • Responsable de Privacidad

  • Responsable de área origen de la nueva operación de tratamiento

2. Análisis de la nueva operación de tratamiento

 Una vez creado el equipo de trabajo, se establecerá un plan de acción, que como mínimo contendrá las siguientes acciones de análisis:

  • Origen de los datos objeto de la nueva operación de tratamiento

  • Tipología de datos

  • Sistema de tratamiento de los datos

  • Tratamientos y subtratamientos vinculados a la nueva operación

Elaborado y acordado el plan de acción a fin de analizar la nueva operación de tratamiento, este deberá ser aprobado por la dirección de AMANDA IBAÑEZ LOPEZ. Como fase ejecutiva de este paso, una vez obtenida la validación de la dirección de AMANDA IBAÑEZ LOPEZ se procederá a ejecutar el plan de acción.

3. Diseño del flujo del proceso de tratamiento de datos

Culminado el plan de acción previsto en el punto anterior se procederá a plasmar el procedimiento de tratamiento. Este contendrá como mínimo exigible la siguiente información:

  • Origen de los datos

  • Forma o formas de cumplimiento de las obligaciones de AMANDA IBAÑEZ LOPEZ ante los derechos de los interesados

  • Descripción del tratamiento de datos

  • Posibles comunicaciones de datos

  • Categorías de datos objeto de tratamiento

  • Plazos de conservación

  • Plazos de bloqueo

4. Necesidad de Evaluación de Impacto

Con la información que disponemos, AMANDA IBAÑEZ LOPEZ realizará un análisis de la nueva operación de tratamiento con la finalidad de detectar si es necesario realizar una EIPD. Este análisis tendrá en cuenta lo establecido en la normativa aplicable y vigente en materia de protección de datos, así como, las directrices de los órganos competentes en dicha materia.

En todo caso, previo a la realización de una EIPD se deberá analizar detenida y responsablemente los nuevos tratamientos de datos personales que se vayan a llevar a cabo por parte de la entidad y así, detectar la necesidad o no, de realizar una EIPD, ya que no todos los tratamientos que lleven a cabo los responsables y encargados de tratamiento requerirán de una EIPD para cada una de las operaciones de tratamiento realizadas.

5. Evaluación de Impacto

Finalizadas las fases anteriores se procederá a la elaboración de una Evaluación de Impacto de la nueva operación de tratamiento, en caso de ser obligatoria. Esta puede ser realizada por el propio equipo de trabajo de acuerdo con lo establecido en el punto 1 o por parte de un equipo o empresa externos.

El resultado de esta evaluación será determinante para la puesta en producción de la nueva operación del tratamiento, pudiendo desembocar en dos situaciones:

  • Evaluación de Impacto favorable, la nueva operación de tratamiento no conlleva riesgos altos. En este caso se procederá a iniciar la nueva operación de tratamiento.

  • Evaluación de Impacto desfavorable, la nueva operación de tratamiento si conlleva riesgos altos. Se deberá someter esta operación de tratamiento a consulta previa de la Autoridad de Control. En este caso, hasta obtener respuesta positiva de la Autoridad de Control, no se podrá iniciar la nueva operación de tratamiento.

Logo EMDR España 2.jpg
bottom of page