Com procedir per realitzar una adaptació al nou Reglament europeu GDPR?


Josep M Merenciano     14/02/2017

Procediment per adaptarnos al GDPR

 
El procediment per realitzar una adaptació al GDPR consta de tres àrees:
 
  • El tractament
  • La licitació
  • La responsabilitat
 


1. Tractament

 
Anàlisi de les dades
 
  • Descobrir les dades personals que es tracten o es volen tractar.
  • Estructurar-les en forma de fitxer segons la seva finalitat.
 
Categorització de les dades
 
  • Assignar una categoria de dades (bàsiques, especials o penals) a cada fitxer.
 
Assignació de responsabilitat
 
  • Assignar a cada fitxer la responsabilitat del tractament (si els tractem per compte propi en som responsables; si és per compte de tercers en som els encarregats).
 
Categorització dels tractaments
 
  • Cal analitzar cadascun dels tractaments, ja definits i explicitats, per detectar si es tracta d’un tractament de risc; amb transferència internacional de dades; que elabora perfils dels usuaris; amb dades tractades per un grup d’empreses; o amb dades de titularitat pública.
  • Cadascuna d’aquestes categories exigeixen un protocol d’actuació diferent.
 
Anàlisi dels tractaments
 
  • Assegurar que el tractament de cada fitxer sigui conforme al GDPR. En concret caldrà assegurar i explicitar: la licitació i finalitat del tractament, la minimització de les dades (les dades del fitxer són les mínimes necessàries per aconseguir la finalitat del tractament); l’exactitud de les dades (i per tant els seus mecanismes d’actualització); la limitació del temps de conservació (les dades es mantenen només mentre siguin necessàries pel tractament); els mecanismes per assegurar la integritat i confidencialitat de les dades i la responsabilitat proactiva.
 
 

2. Licitació

 
Obtenció
 
  • Mètodes per l’obtenció del consentiment.
 
Informació
 
  • Mecanismes i processos per informar del tractament a l’interessat.
 
Política d’informació
 
  • Definir protocols que permetin a l’interessat exercir els seus drets.
 
 

3. Responsabilitat


Adaptació
 
  • La màxima responsabilitat en la protecció del es dades personals recau en el Responsable del tractament (RT). A ell correspon decidir qui tracta les dades: persones al seu càrrec o empreses externes.
  • El RT ha de determinar si les dades poden ser cedides a tercers o si hi haurà transferències internacionals, i haurà de definir una política de seguretat convenient.
  • El RT ha de comprovar si té l’obligació (per la naturalesa del tractament o de les dades tractades) de portar un Registre d’Activitats.
 
Contractació de personal
 
  • El RT ha d’assegurar que el personal que fa el tractament (sigui propi o extern) es compromet ha realitzar el tractament seguint les seves instruccions i a respectar la confidencialitat de les dades.
  • El mecanisme concret com el RT assegura les condicions anteriors l’ha d’incloure en la política de seguretat. Aquesta política ha de ser comunicada al personal per tal que en pugui complir les seves directrius.
  • Per poder demostrar que les instruccions del tractament han estat comunicades, el RT formalitzarà acords escrits i signats de confidencialitat.
 
Contractació d’encarregats
 
  • El RT només pot contractar empreses per encarregar-los-hi el tractament si ofereixen les garanties suficients que disposa el GDPR.
  • Caldrà subscriure un contracte, escrit i signat, que permeti demostrar que s’han comunicat les instruccions exigides pel GDPR i considerades en la Política de Seguretat.
 
Acceptació d’un encàrrec
 
  • Si som encarregats d’un tractament hem d’assegurar que tenim un contracte signat amb el RT. Altrament el nostre tractament es considera il·lícit.
  • L’Encarregat és responsable subsidiari del RT en cas d’incompliment del les obligacions en el tractament del qual és encarregat.
 
Corresponsabilitat
 
  • Quan hi ha més d’un RT tots ells són corresponsables. La relació entre ells també exigeix un contracte signat.
 
Cessió de dades
 
  • El Destinatari de les dades és tot aquell a qui, per necessitat del tractament, se li transmeten o cedeixen les dades, i que no és l’Encarregat.
  • El RT només pot comunicar dades a Destinataris si és necessari pel tractament i si l’interessat ha estat informat prèviament de la cessió. (La transmissió de dades a autoritats públiques són exemptes de la necessitat d’informar la cessió).
  • El RT ha de subscriure un contracte amb el Destinatari. Hi ha de figurar la licitud, la finalitat de la cessió, i que el Destinatari es converteix en Responsable de les dades cedides.
  • Si som Destinataris, les dades cedides les hem de tractar com a dades personals qualssevol. I per tant ens convertim en el RT.
 
Registre d’activitats
 
  • És una responsabilitat obligada dels RT i dels Encarregats sempre i quan tinguem més de 250 empleats; els tractaments poden suposar un risc pels interessats; tractem categories especials de dades; o tractem dades penals.



Josep M Merenciano
Departament de Ciències de la Computació
Escola Politècnica Superior d'Enginyeria de Vilanova i la Geltrú (EPSVEG)
Universitat Politècnica de Catalunya