| Principios |
| La base que legitima el tratamiento no es adecuada, es ilícita o no se ha formalizado adecuadamente |
|
|
|
|
|
|
|
|
|
| No se ha ponderado adecuadamente el interés legítimo en relación con los intereses, derechos y libertades fundamentales del interesado |
|
|
|
|
|
|
|
|
|
| Las finalidades del tratamiento no son precisas, son ilegítimas, etc. |
|
|
|
|
|
|
|
|
|
| Hay un cambio de finalidad que puede ser incompatible con la finalidad original |
|
|
|
|
|
|
|
|
|
| Consentimiento |
| No obtener el consentimiento a través de una clara acción afirmativa |
|
|
|
|
|
|
|
|
|
| No se permite retirar el consentimiento |
|
|
|
|
|
|
|
|
|
| No utilizar medios que permitan demostrar que el interesado prestó su consentimiento |
|
|
|
|
|
|
|
|
|
| Calidad de los datos |
| Se recogen datos inadecuados, no pertinentes, excesivos o innecesarios para la finalidad prevista |
|
|
|
|
|
|
|
|
|
| Se registran datos inexactos o no se mantienen actualizados |
|
|
|
|
|
|
|
|
|
| Los datos personales se conservan más tiempo del necesario |
|
|
|
|
|
|
|
|
|
| Los datos se tratan de manera desleal o poco transparente (no se cumple la expectativa de la persona interesada respecto del tratamiento de sus datos) |
|
|
|
|
|
|
|
|
|
| Se hacen operaciones de tratamiento desproporcionadas |
|
|
|
|
|
|
|
|
|
| Derechos |
| En la recogida de datos no se proporciona la información mínima al afectado |
|
|
|
|
|
|
|
|
|
| La respuesta al ejercicio del derecho de acceso no se hace en el tiempo y la forma adecuados |
|
|
|
|
|
|
|
|
|
| La respuesta al ejercicio del derecho de rectificación no se hace en el tiempo y la forma adecuados |
|
|
|
|
|
|
|
|
|
| La respuesta al ejercicio del derecho de supresión no se hace en el tiempo y la forma adecuados |
|
|
|
|
|
|
|
|
|
| La respuesta al ejercicio del derecho a la limitación del tratamiento no se hace en el tiempo y la forma adecuados |
|
|
|
|
|
|
|
|
|
| La respuesta al ejercicio del derecho de portabilidad de los datos no se hace en el tiempo y la forma adecuados |
|
|
|
|
|
|
|
|
|
| La respuesta al ejercicio del derecho de oposición no se hace en el tiempo y la forma adecuados |
|
|
|
|
|
|
|
|
|
| Se toman decisiones que afectan a una persona utilizando exclusivamente medios automatizados |
|
|
|
|
|
|
|
|
|
| No hay procedimientos para dar una respuesta adecuada a los derechos |
|
|
|
|
|
|
|
|
|
| La organización desconoce los procedimientos para responder el ejercicio de derechos |
|
|
|
|
|
|
|
|
|
| No se verifica adecuadamente la identidad de la persona que ejerce un derecho |
|
|
|
|
|
|
|
|
|
| Obligaciones |
| Se incumple la regulación general sobre el derecho a la protección de los datos de carácter personal |
|
|
|
|
|
|
|
|
|
| Se incumplen otras regulaciones sectoriales que inciden en la protección de los datos de carácter personal |
|
|
|
|
|
|
|
|
|
| Se incumplen las cláusulas sobre la protección de datos incorporados a los contratos o condiciones de uso |
|
|
|
|
|
|
|
|
|
| Se incumplen estipulaciones recogidas en un código de conducta (si se está adherido) |
|
|
|
|
|
|
|
|
|
| No se puede demostrar el cumplimiento (responsabilidad proactiva) |
|
|
|
|
|
|
|
|
|
| Las limitaciones del tratamiento no se comunican a terceros |
|
|
|
|
|
|
|
|
|
| Las certificaciones o sellos de protección de datos no se han renovado o han perdido vigencia |
|
|
|
|
|
|
|
|
|
| Transferencias internacionales de datos |
| Hay transferencia internacional de datos no autorizada o desconocida |
|
|
|
|
|
|
|
|
|
| Encargado de tratamiento |
| Los encargados de tratamiento no se han seleccionado adecuadamente |
|
|
|
|
|
|
|
|
|
| No se ha formalizado adecuadamente la relación con los encargados de tratamientos |
|
|
|
|
|
|
|
|
|
| No se ejerce suficiente control sobre la actividad del encargado de tratamiento (en las operaciones de tratamiento que le han sido encargadas) |
|
|
|
|
|
|
|
|
|
| Se desconocen las cadenas de subcontratación de los encargados de tratamiento |
|
|
|
|
|
|
|
|
|
| Seguridad |
| Hay destrucción o pérdida accidental de datos personales |
|
|
|
|
|
|
|
|
|
| Hay destrucción malintencionada de datos personales |
|
|
|
|
|
|
|
|
|
| Hay alteración no autorizada de datos personales |
|
|
|
|
|
|
|
|
|
| Hay comunicación no autorizada de datos personales |
|
|
|
|
|
|
|
|
|
| Hay acceso no autorizado a datos personales |
|
|
|
|
|
|
|
|
|
| Los sistemas de información no están disponibles |
|
|
|
|
|
|
|
|
|
| Brechas |
| Hay incapacidad para detectar y gestionar incidentes que afectan a la seguridad de los datos |
|
|
|
|
|
|
|
|
|
| Las violaciones de datos no se notifican en el tiempo y la forma adecuados (data breach) |
|
|
|
|
|
|
|
|
|
| Las violaciones de datos no se comunican en el tiempo y la forma adecuados (data breach) |
|
|
|
|
|
|
|
|
|
| DPO |
| No se ha designado delegado de protección de datos (si es obligatorio) |
|
|
|
|
|
|
|
|
|
| No se proporcionan medios suficientes al delegado de protección de datos |
|
|
|
|
|
|
|
|
|
| Consultas |
| No se atiende un requerimiento de la autoridad de supervisión competente |
|
|
|
|
|
|
|
|
|
| No se ha hecho una consulta previa a la autoridad de supervisión, cuando era necesaria |
|
|
|
|
|
|
|
|
|
| Protección de datos desde el diseño y por defecto |
| No se ha tenido en cuenta la protección de datos en el momento de diseñar el tratamiento |
|
|
|
|
|
|
|
|
|
| No se ha incorporado la protección de datos por defecto en las operaciones de tratamiento |
|
|
|
|
|
|
|
|
|