Como mínimo, debiera ser capaz de responder afirmativamente a las siguientes preguntas:
-
¿Hemos identificado y esquematizado qué datos procesamos y para qué fines?
-
¿Podemos justificar el procesamiento que realizamos de cada categoría de datos (es decir, demostrar la base legal que soporta nuestro derecho a hacerlo.)?
-
¿Proporcionamos información a nuestros usuarios/clientes sobre cómo procesamos sus datos personales?
-
¿Nos hemos asegurado de que los datos están almacenados de forma segura y de que no se puede acceder a ellos sin autorización?
-
¿Hemos establecido mecanismos para la eliminación de datos que ya no necesitamos?
-
¿Sabemos qué hacer cuando una persona decide ejercer alguno de sus derechos amparados por el RGPD tales como el de obtener una copia de sus datos personales?
-
¿Hemos esquematizado el nivel y el origen de cualquier riesgo relacionado con nuestro modo de procesar los datos? ¿Hemos tomado medidas para mitigar ese riesgo?
-
¿Disponemos de un protocolo de respuesta llegado el caso de que una persona no autorizada consiga acceso a los datos personales que almacenamos?
-
¿Nos hemos asegurado de que todas las personas de la empresa u organización conoce los procedimientos correctos para procesar y proteger datos personales?
-
¿Disponemos de un plan para re-evaluar nuestras prácticas de procesamiento de datos personales?