Catálogo de controles para cualificación QERDS y TSA
12 controles agrupados por marco normativo
12 controles coinciden con los filtros aplicados.
RGPD-LOPDGDD
RGPD + LOPDGDD – Protección de datos
Referencia bibliográfica
Reglamento (UE) 2016/679 (RGPD) + Ley Orgánica 3/2018 (LOPDGDD). https://eur-lex.europa.eu/eli/reg/2016/679/oj y https://www.boe.es/eli/es/lo/2018/12/05/3
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-GDPR-12-22 | Arts. 12-22 RGPD – Derechos de los interesados | El QERDS debe garantizar el ejercicio de todos los derechos de los interesados: acceso, rectificación, supresión, limitación, portabilidad y oposición. | NC | Media | Sí | — | 0 |
| REQ-GDPR-13-14 | Arts. 13/14 RGPD – Información al interesado (política de privacidad) | El QERDS debe informar a los interesados de forma clara, concisa y accesible sobre el tratamiento de sus datos personales, en el momento de la recogida. | NC | Media | Sí | — | 0 |
| REQ-GDPR-25 | Art. 25 RGPD – Privacidad desde el diseño y por defecto | El QERDS debe diseñarse con privacidad desde el diseño (privacy by design) y configurarse con la mayor privacidad por defecto (privacy by default). | NC | Media | Sí | — | 0 |
| REQ-GDPR-28 | Art. 28 RGPD – Contratos de encargo con todos los subprocesadores | Cuando el QERDS utilice encargados del tratamiento (TSA externa, IDP, hosting, CA), debe formalizarse un contrato de encargo conforme al art. 28 RGPD. | NC | Alta | Sí | — | 0 |
| REQ-GDPR-30 | Art. 30 RGPD – Registro de actividades de tratamiento (RAT) | El QERDS debe estar incluido en el Registro de Actividades de Tratamiento (RAT) del responsable con toda la información requerida. | NC | Media | Sí | — | 0 |
| REQ-GDPR-33 | Art. 33 RGPD – Notificación de violaciones a la AEPD en ≤72 horas | Las violaciones de seguridad que afecten a datos personales del QERDS deben notificarse a la AEPD en máximo 72 horas desde su conocimiento. | NC | Media | Sí | — | 0 |
| REQ-GDPR-35 | Art. 35 RGPD – Evaluación de impacto en protección de datos (EIPD/DPIA) | El QERDS probablemente requiere una EIPD previa al inicio del tratamiento, dado el volumen, el tipo de datos y el impacto potencial. | NC | Media | Sí | — | 0 |
| REQ-GDPR-37 | Art. 37 RGPD – Delegado de Protección de Datos (DPD) designado | El TSP debe disponer de un DPD designado formalmente, con implicación directa en el servicio QERDS. | NC | Baja | Sí | — | 0 |
| REQ-GDPR-5 | Art. 5 RGPD – Siete principios del tratamiento | Los datos personales tratados por el QERDS deben respetar los principios de licitud, lealtad y transparencia, limitación de la finalidad, minimización, exactitu… | NC | Media | Sí | — | 0 |
| REQ-GDPR-6 | Art. 6 RGPD – Base jurídica para cada tratamiento | Todo tratamiento de datos personales en el QERDS debe disponer de una base jurídica válida documentada. | NC | Media | Sí | — | 0 |
| REQ-LOPDGDD-31 | LOPDGDD Art. 31 – Bloqueo de datos al finalizar la relación | Tras la finalización del tratamiento activo, los datos deben bloquearse durante el plazo de prescripción de las posibles responsabilidades. | NC | Media | Sí | — | 0 |
| REQ-LOPDGDD-77 | LOPDGDD Art. 77 – Régimen sancionador especial para AAPP | Si el prestador es una sociedad estatal, está sujeta al régimen sancionador especial de las AAPP: apercibimiento y medidas correctoras, no multa económica direc… | NC | Baja | Sí | — | 0 |