¿Cómo proceder para realizar una adaptación al nuevo Reglamento europeo GDPR?
Josep M Merenciano 14/02/2017
Procedimiento para adaptarnos al GDPR
El procedimiento para realizar una adaptación al GDPR consta de tres áreas:
- El tratamiento
- La licitación
- La responsabilidad
1. Tratamiento
Análisis de los datos
- Descubrir los datos personales que se tratan o se quieren tratar.
- Estructurar en forma de fichero según su finalidad.
Categorización de los datos
- Asignar una categoría de datos (básicos, especiales o penales) a cada fichero.
Asignación de responsabilidad
- Asignar a cada fichero la responsabilidad del tratamiento (si los tratamos por cuenta propia somos responsables, si es por cuenta de terceros somos los encargados).
Categorización de los tratamientos
- Hay que analizar cada uno de los tratamientos, ya definidos y explicitados, para detectar si se trata de un tratamiento de riesgo; con transferencia internacional de datos; que elabora perfiles de los usuarios; con datos tratados por un grupo de empresas; o con datos de titularidad pública.
- Cada una de estas categorías exigen un protocolo de actuación diferente.
Análisis de los tratamientos
- Asegurar que el tratamiento de cada archivo sea conforme al GDPR. En concreto habrá que asegurar y explicitar: la licitación y finalidad del tratamiento, la minimización de los datos (los datos del fichero son las mínimas necesarias para conseguir la finalidad del tratamiento); la exactitud de los datos (y por tanto sus mecanismos de actualización); la limitación del tiempo de conservación (los datos se mantienen sólo mientras sean necesarias para el tratamiento); los mecanismos para asegurar la integridad y confidencialidad de los datos y la responsabilidad proactiva.
2. Licitación
Obtención
- Métodos para la obtención del consentimiento.
Información
- Mecanismos y procesos para informar del tratamiento al interesado.
Política de información
- Definir protocolos que permitan al interesado ejercer sus derechos.
3. Responsabilidad
Adaptación
- La máxima responsabilidad en la protección del se datos personales recae en el Responsable del tratamiento (RT). A él corresponde decidir quien trata los datos: personas a su cargo o empresas externas.
- El RT debe determinar si los datos pueden ser cedidos a terceros o si habrá transferencias internacionales, y deberá definir una política de seguridad conveniente.
- El RT debe comprobar si tiene la obligación (por la naturaleza del tratamiento o de los datos tratados) de llevar un Registro de Actividades.
Contratación de personal
- El RT debe asegurar que el personal que hace el tratamiento (sea propio o externo) se compromete ha realizar el tratamiento siguiendo sus instrucciones y a respetar la confidencialidad de los datos.
- El mecanismo concreto como el RT asegura las condiciones anteriores lo incluirá en la política de seguridad. Esta política debe ser comunicada al personal para que puedan cumplir sus directrices.
- Para poder demostrar que las instrucciones del tratamiento han sido comunicadas, el RT formalizará acuerdos escritos y firmados de confidencialidad.
Contratación de encargados
- El RT sólo puede contratar empresas para encargarles el tratamiento si ofrecen las garantías suficientes que dispone el GDPR.
- Tendrá que suscribir un contrato, escrito y firmado, que permita demostrar que se han comunicado las instrucciones exigidas por GDPR y consideradas en la Política de Seguridad.
Aceptación de un encargo
- Si somos encargados de un tratamiento debemos asegurarnos de que tenemos un contrato firmado con el RT. De lo contrario nuestro tratamiento se considera ilícito.
- El Encargado es responsable subsidiario del RT en caso de incumplimiento del las obligaciones en el tratamiento del cual es encargado.
Corresponsabilidad
- Cuando hay más de un RT todos ellos son corresponsables. La relación entre ellos también exige un contrato firmado.
Cesión de datos
- El Destinatario de los datos es todo aquel al que, por necesidad del tratamiento, se le transmiten o ceden los datos, y que no es el Encargado.
- El RT sólo puede comunicar datos a Destinatarios si es necesario para el tratamiento y si el interesado ha sido informado previamente de la cesión. (La transmisión de datos a las autoridades públicas están exentas de la necesidad de informar a la cesión).
- El RT debe suscribir un contrato con el Destinatario. Figurará la licitud, la finalidad de la cesión, y que el Destinatario se convierte en responsable de los datos cedidos.
- Si somos Destinatarios, los datos cedidos los debemos tratar como datos personales cualesquiera. Y por lo tanto nos convertimos en el RT.
Registro de actividades
- Es una responsabilidad obligada de los RT y los Encargados siempre y cuando tengamos más de 250 empleados; los tratamientos pueden suponer un riesgo para los interesados; tratamos categorías especiales de datos; o tratamos datos penales.
Josep M Merenciano
Departament de Ciències de la Computació
Escola Politècnica Superior d'Enginyeria de Vilanova i la Geltrú (EPSVEG)
Universitat Politècnica de Catalunya