- Contratar a encargados del tratamiento que no ofrecen garantías suficientes.
- Aceptar cláusulas de limitación de responsabilidad de los encargados del tratamiento.
- Delegar la selección y homologación de encargados del tratamiento a Compras sin las instrucciones adecuadas.
- Seleccionar a los encargados del tratamiento tomando como único criterio el coste del servicio.
- Aceptar que un encargado del tratamiento tiene la ISO 27001 sin verificar su alcance real.
- Solicitar el consentimiento a los clientes y a los interesados con contrato.
- Solicitar el consentimiento a los trabajadores.
- Facilitar información incompleta a los trabajadores sobre los datos que la empresa trata y sobre todas las finalidades de los tratamientos que realiza con sus datos.
- Aplicar una política de uso de dispositivos móviles basada en el BYOD.
- Nombrar a un DPO y no dotarlo de recursos suficientes.
- Aplicar el interés legítimo como base de legitimación sin la debida ponderación.
- Realizar la ponderación del interés legítimo de manera inadecuada.
- No conservar una prueba documental de la ponderación del interés legítimo.
- Notificar como brecha un incidente de seguridad que no ha generado riesgos para los interesados.
- Desarrollar un detallado protocolo de notificación de brechas y no disponer de un protocolo para verificar si realmente hay que notificar la brecha.
- Elaborar un registro de actividades del tratamiento excesivamente extenso, sin agrupar e imposible de gestionar y actualizar.
- Aplicar un proceso de desvinculación de trabajadores inadecuado, especialmente en los departamentos comerciales y de marketing, sin ningún tipo de control sobre los datos que se llevan o se han llevado.
- Devolver los equipos informáticos al finalizar el renting sin un procedimiento adecuado de eliminación de los datos, y, en la medida de lo posible, mediante la extracción del disco duro.
- Aceptar el certificado de destrucción de documentos o soportes con datos como única prueba de su destrucción.
- Aceptar que todavía haya departamentos de Marketing que inician campañas de marketing directo sin aplicar el procedimiento de privacy by design y sin contar con la validación jurídica correspondiente. O solicitándola el día antes del lanzamiento de la campaña.
Una pequeña muestra de los errores cometidos durante el primer año de RGPD
↧
↧
Trending Articles
More Pages to Explore .....