REGISTRO DE ACTIVIDADES DE TRATAMIENTO (antiguos ficheros LOPD)
No es necesario inscribirlos en la AEPD (Agencia Española de protección de datos) pero sí debe estar a su disposición en el caso de que lo solicite.
El obligado a elaborar este documento es el responsable del tratamiento, es decir, la óptica o clínica oftalmológica.
El registro de actividad o tratamiento debe contener como mínimo:
• Identificación y contacto del responsable del tratamiento.
• Legitimación legal del tratamiento.
• Finalidad el tratamiento.
• Descripción de las categorías de datos e interesados.
• Descripción de las categorías de destinatarios.
• Información relativa a las transferencias internacionales de datos.
• Descripción de las medidas de seguridad.
• Plazo de conservación de los datos.
Los datos pueden estar expuestos a riesgos y amenazas que comprometan su integridad, para minimizarlos es obligatorio llevar a cabo un ANÁLISIS DE RIESGOS de cada tratamiento de datos que se vaya a realizar.
Deben contemplarse riesgos físicos y digitales.
Cuando el Análisis de Riesgos se determine alto, se tiene la obligación de realizar una EVALUACIÓN DE IMPACTO DE PROTECCIÓN DE DATOS (EIPD). Estas serán mas habituales en las clínicas oftalmológicas.
Su función es la misma que la del análisis de riesgos; ayuda a determinar los riesgos y a establecer las medidas de seguridad necesarias para disminuirlos o eliminarlos.
CONTRATOS CON TERCEROS
Las ópticas como cualquier otra empresa, tendrán que ceder datos personales a terceros, en nuestro caso, con el software de almacenamiento de datos en la nube de OPTIWIN.
Para seguir cumpliendo con la protección de datos se debe elaborar un contrato de encargo del tratamiento. Así mismo se debe informar a los clientes de la identidad del encargado del tratamiento de sus datos.
En la web deben aparecer los textos legales tanto de la Ley de protección de datos como la LSIC-CE (Ley 34/2022, de servicios de la sociedad de la información y de comercio electrónico).
Es muy importante el consentimiento por parte de los clientes. Esto se realizará mediante una acción afirmativa como puede ser la firma de un documento de consentimiento.
Esta información debe incluir como mínimo:
• Nombre el responsable del tratamiento.
• Finalidad para la que se recogen los datos.
• Si se cederán a terceros.
• Vías para ejercer los derechos de los interesados.
Los clientes deben tener a su disposición y conocer cuales son sus derechos (derechos ARCO). Estos deben estar indicados en el documento de privacidad de la web y en el de consentimiento. Los derechos son:
• Acceso
• Rectificación
• Supresión
• Limitación del tratamiento
• Portabilidad
• Oposición
Con los empleados que manejen o tengan acceso a estos datos, se deberá firmar un acuerdo de confidencialidad.
Si en algún momento se produce una brecha de seguridad que deje expuestos los datos, se deben tomar las medidas oportunas para solucionarlo y limitar los daños, así como comunicarlo a la autoridad de control.
