Publicado el
Autor
Paula Reis Azenha
Área
RGPD & Compliance
El RGPD no tiene cinco años — ya tiene siete. La jurisprudencia portuguesa ha madurado y la CNPD (Comissão Nacional de Proteção de Dados, la autoridad nacional de protección de datos) ha intensificado las inspecciones a pymes. Esta lista resume ocho puntos que recomendamos verificar.
1. Registro de actividades de tratamiento — ¿existe y está actualizado? ¿Incluye categorías de datos, finalidades y plazos de conservación?
2. Delegado de Protección de Datos (DPD) — ¿nombrado cuando es obligatorio (autoridad pública, tratamiento sistemático a gran escala, datos sensibles)? ¿Se han comunicado los datos de contacto a la CNPD?
3. Políticas y avisos de privacidad — ¿disponibles en todos los puntos de recogida (web, formularios, contratos)? ¿Lenguaje claro, sin tecnicismos innecesarios?
4. Contratos con encargados del tratamiento — ¿todos los proveedores que tratan datos personales disponen de un contrato conforme al art. 28 del RGPD? Esto incluye proveedores de SaaS internacionales.
5. Derechos de los interesados — ¿existe un procedimiento definido para atender solicitudes de acceso, rectificación, supresión y portabilidad en el plazo de 30 días?
6. Registro de incidentes — ¿se registran internamente todas las violaciones, incluso las que no obligan a notificación? ¿Está motivada la decisión de no notificar a la CNPD?
7. Formación — ¿han recibido formación los empleados que tratan datos personales? ¿Existe constancia de las sesiones?
8. Evaluación de impacto (EIPD/DPIA) — ¿se ha realizado siempre que el tratamiento implica un alto riesgo?
Esta lista no sustituye a una auditoría — es el mínimo necesario para afrontar con garantías una inspección de la CNPD.
Este artículo es informativo y no sustituye el asesoramiento jurídico individual. Si su situación plantea preguntas específicas, solicite una consulta.