Gap analysis
Cargando…
Cargando…
| Control | Tema | Requisito | Aplicab. | Estado | Severidad | Owner | WP |
|---|---|---|---|---|---|---|---|
| RGPD §37 (DPO-01) | T01 | Designación formal del Delegado de Protección de Datos (DPO). Obligatorio para Correos por: (a) ser autoridad u organismo público (art. 37.1.a), (b) tratamiento a gran escala de datos en QERDS (art. 37.1.b). | Obligatoria | TBD | TBD | — | — |
| RGPD §37.7 + LOPDGDD §34 (DPO-02) | T01 | El DPO debe estar notificado a la AEPD a través del registro oficial. La notificación debe estar vigente y datos de contacto actualizados. | Obligatoria | TBD | TBD | — | — |
| RGPD §38 (DPO-03) | T01 | El DPO debe operar con independencia: reporte directo al máximo nivel directivo, recursos suficientes, sin instrucciones sobre cómo desempeñar sus funciones, no debe poder ser despedido o sancionado por desempeñar sus funciones. | Obligatoria | TBD | TBD | — | — |
| RGPD §39 (DPO-04) | T01 | Funciones del DPO documentadas y ejecutadas: asesoramiento, supervisión del cumplimiento, asesoría en EIPD, cooperación con la AEPD, punto de contacto. | Obligatoria | TBD | TBD | — | — |
| RGPD §5.2 + §24 (RESP-01) | T01 | Principio de responsabilidad proactiva (accountability): Correos debe poder DEMOSTRAR el cumplimiento de RGPD en todo momento. Implica políticas, procedimientos, registros, formación y evidencia documental sistemática. | Obligatoria | TBD | TBD | — | — |
| RGPD §32 (SEG-01) | T01 | Medidas técnicas y organizativas apropiadas al riesgo: pseudonimización, cifrado, confidencialidad/integridad/disponibilidad/resiliencia, recuperación tras incidente, evaluación periódica de eficacia. Para QERDS aplica nivel reforzado. | Obligatoria | TBD | TBD | — | — |
| RGPD §30 (RAT-01) | T11 | Registro de Actividades de Tratamiento (RAT) actualizado y completo: identificación del responsable, finalidades, categorías de interesados y datos, destinatarios, transferencias internacionales, plazos de supresión, medidas de seguridad. El QTSA y el QERDS deben aparecer como actividades específicas, no genéricas. | Obligatoria | TBD | TBD | — | — |
| RGPD §35 + LOPDGDD §28 (EIPD-01) | T11 | Evaluación de Impacto en Protección de Datos (EIPD) específica para el QERDS (tratamiento masivo de datos personales en comunicaciones electrónicas; cumple varios criterios de la lista AEPD que obligan a EIPD). | Obligatoria | TBD | TBD | — | — |
| RGPD §36 (EIPD-02) | T11 | Si la EIPD identifica riesgo alto residual, consulta previa a la AEPD antes de empezar a operar. Procedimiento documentado para gestionar la consulta y plazos (AEPD responde en 8 semanas, prorrogables 6). | Cond. (si riesgo alto residual) | TBD | TBD | — | — |
| RGPD §6 (BASE-01) | T11 | Identificación clara de la base legal para cada tratamiento del QTSP. Para QERDS: ejecución de contrato (art. 6.1.b) con el suscriptor del servicio + obligación legal (art. 6.1.c) por eIDAS. Para identificación: ejecución de contrato + cumplimiento de obligación legal eIDAS. | Obligatoria | TBD | TBD | — | — |
| RGPD §7 + LOPDGDD §6 (CONS-01) | T11 | Si en algún tratamiento se usa consentimiento como base legal (típicamente marketing, comunicaciones comerciales sobre el servicio), debe ser específico, informado, otorgado mediante acto afirmativo claro y revocable con la misma facilidad con que se otorgó. | Cond. (si hay tratamientos basados en consentimiento) | TBD | TBD | — | — |
| RGPD §9 + LOPDGDD §9 (CAT-ESP-01) | T11 | Si el servicio procesa categorías especiales de datos (salud, datos biométricos en identificación remota cualificada, ideología política/sindical en envíos a entidades específicas), aplican garantías reforzadas. La biometría facial usada en videoidentificación es categoría especial → requiere base legal cualificada (típicamente art. 9.2.g + ley específica). | Cond. (videoidentificación con biometría) | TBD | TBD | — | — |
| RGPD §13-14 (INFO-01) | T11 | Información al interesado en el momento de recogida: identidad del responsable, datos de contacto del DPO, finalidad, base legal, destinatarios, plazo de conservación, derechos, posibilidad de reclamación AEPD. Para QERDS, integrada en T&C y en flujo de alta del usuario. | Obligatoria | TBD | TBD | — | — |
| RGPD §15-22 + LOPDGDD §11-18 (DERECHOS-01) | T11 | Procedimiento operativo para atender derechos ARCO-POL: Acceso (15), Rectificación (16), Supresión / "derecho al olvido" (17), Limitación del tratamiento (18), Portabilidad (20), Oposición (21), No ser objeto de decisiones automatizadas (22). Plazo máximo 1 mes, prorrogable 2 meses más en casos complejos. | Obligatoria | TBD | TBD | — | — |
| RGPD §17 (SUPR-01) | T11 | Tensión entre derecho de supresión y obligación de conservación 15 años (Ley 6/2020 §9.3.a). El QTSP debe documentar que la supresión NO procede para los datos sujetos a obligación legal de conservación, y comunicarlo al usuario fundamentando la negativa. | Obligatoria | TBD | TBD | — | — |
| LOPDGDD §11 (DERECHOS-02) | T11 | Canales para ejercer derechos: oficinas presenciales (Correos las tiene), web del servicio, email del DPO, sede electrónica. Deben ser equivalentes en agilidad y registro. El ejercicio es gratuito. | Obligatoria | TBD | TBD | — | — |
| LOPDGDD §3 (FALLEC-01) | T11 | Derechos sobre datos de personas fallecidas: las personas vinculadas pueden ejercerlos salvo prohibición expresa del fallecido. Procedimiento documentado para gestionar solicitudes post-mortem. | Recomendada | TBD | TBD | — | — |
| RGPD §28 (ENC-01) | T11 | Contrato de encargado de tratamiento (art. 28) con cada subcontratista crítico que trate datos personales en nombre de Correos: CA cualificada externa, datacenter/cloud, IPSP (videoidentificación), SOC externo, herramientas SaaS. Cláusulas obligatorias mínimas según art. 28.3. | Obligatoria | TBD | TBD | — | — |
| RGPD §28.4 (ENC-02) | T11 | Subcontratación: el encargado no puede subcontratar sin autorización previa por escrito del responsable. Si subcontrata, las mismas obligaciones del contrato art. 28 se trasladan al subencargado. Lista actualizada de subencargados accesible. | Obligatoria | TBD | TBD | — | — |
| RGPD §44-49 (TRANSF-01) | T11 | Transferencias internacionales de datos: si algún subcontratista trata datos fuera del EEE (ej. cloud US, SaaS US), garantías apropiadas obligatorias (decisión de adecuación, BCR, SCC actualizadas post-Schrems II + TIA — Transfer Impact Assessment). | Cond. (si hay transferencias internacionales) | TBD | TBD | — | — |
| RGPD §26 (CORRESP-01) | T11 | Si existe corresponsabilidad de tratamiento (caso típico: Correos + otra AAPP para un servicio compartido), acuerdo de corresponsabilidad documentado que defina obligaciones de cada parte. Información esencial al alcance del interesado. | Cond. (si hay corresponsabilidades) | TBD | TBD | — | — |
| RGPD §33 (BRECHA-01) | T11 | Notificación de brecha de datos personales a la AEPD en **72 horas** desde el conocimiento. Procedimiento operativo con plantilla, canal (sede electrónica AEPD), responsable coordinado con CISO (la brecha eIDAS de 24h del art. 19.2 suele coincidir → coordinar). | Obligatoria | TBD | TBD | — | — |
| RGPD §34 (BRECHA-02) | T11 | Comunicación de la brecha a los interesados afectados sin dilación cuando exista alto riesgo para sus derechos y libertades. Lenguaje claro, descripción de naturaleza, datos de contacto del DPO, medidas adoptadas, recomendaciones. | Obligatoria (si alto riesgo) | TBD | TBD | — | — |
| RGPD §33.5 (BRECHA-03) | T11 | Registro interno de TODAS las brechas, incluso las no notificables. Documenta: hechos, efectos, medidas. La AEPD puede solicitarlo en inspección. | Obligatoria | TBD | TBD | — | — |
| RGPD §5.1.e (CONS-RET-01) | T11 | Principio de limitación del plazo de conservación: datos solo durante el tiempo necesario para los fines. Para QTSP los plazos vienen impuestos por Ley 6/2020 §9.3.a (15 años). Plazos por tipo de dato documentados en RAT. | Obligatoria | TBD | TBD | — | — |
| LOPDGDD §32 (BLOQUEO-01) | T11 | Concepto español de bloqueo de datos: tras finalización del tratamiento, los datos no se borran inmediatamente sino que se bloquean (acceso restringido, conservados solo para cumplir obligaciones legales o defensa frente a reclamaciones). Procedimiento técnico documentado. | Obligatoria | TBD | TBD | — | — |
| RGPD §25 (PRIV-DESIGN-01) | T11 | Privacy by design en el desarrollo del QTSA y QERDS: minimización de datos, pseudonimización por defecto, configuración por defecto que solo procesa datos necesarios. Aplicable a nuevos desarrollos y cambios significativos. | Obligatoria | TBD | TBD | — | — |
| RGPD §25.2 (PRIV-DEFAULT-01) | T11 | Por defecto, solo se procesan datos necesarios para cada finalidad específica. Para QERDS: visibilidad del contenido del envío limitada al mínimo personal con necesidad operativa real. | Obligatoria | TBD | TBD | — | — |
| RGPD §83 + LOPDGDD §71-74 (SANC-01) | T11 | Conocimiento operativo del régimen sancionador: multas de hasta **20 M€ o 4% facturación anual mundial**. Coordinación con riesgo regulatorio del proyecto QTSP. | Información | TBD | TBD | — | — |
| RGPD §77 + LOPDGDD §63-65 (RECLAM-01) | T11 | Procedimiento ante reclamación de un interesado a la AEPD: respuesta a requerimientos AEPD en plazo, atención a inspecciones, posibilidad de procedimiento sancionador. | Obligatoria | TBD | TBD | — | — |
| LOPDGDD §87-91 (DIG-01) | T02 | Derechos digitales de los trabajadores de Correos con acceso a datos QTSP: protección frente a videovigilancia laboral, geolocalización, dispositivos personales, desconexión digital. Política interna de Correos debe abordarlos. | Obligatoria | TBD | TBD | — | — |