¿Cómo planificar una adaptación al nuevo Reglamento europeo GDPR?


Josep M Merenciano     13/02/2017

Planificación de una adaptación al GDPR


Entendemos por tratamiento de datos personales cualquier operación realizada sobre los datos personales, desde el almacenamiento a su manipulación, transformación y transmisión.

Un archivo es un conjunto estructurado de datos que permite su tratamiento para una determinada finalidad.

La adaptación al GDPR requiere seguir las siguientes fases:

1. Análisis y categorización de los datos

Identificar los ficheros, las categorías de datos (básicos, especiales o penales) y nuestra responsabilidad (si los tratamos por cuenta propia somos responsables, si es por cuenta de terceros somos los encargados).

2. Análisis de los tratamientos

Asegurar que el tratamiento de cada archivo sea conforme al GDPR. En concreto habrá que asegurar y explicitar: la licitación y finalidad del tratamiento; la minimización de los datos (los datos del fichero son las mínimas necesarias para conseguir la finalidad del tratamiento); la exactitud de los datos (y por tanto sus mecanismos de actualización); la limitación del tiempo de conservación (los datos se mantienen sólo mientras sean necesarias para el tratamiento); y los mecanismos para asegurar la integridad y confidencialidad de los datos y la responsabilidad proactiva.

3. Categorización de los tratamientos

Hay que analizar cada uno de los tratamientos, ya definidos y explicitados, para detectar si se trata de un tratamiento de riesgo; con transferencia internacional de datos; que elabora perfiles de los usuarios; con datos tratados por un grupo de empresas; o con datos de titularidad pública. Cada una de estas categorías exigen un protocolo de actuación diferente.

4. Política de información

Desde el inicio del diseño del tratamiento se deben tener en cuenta los derechos de los interesados. Para ello es imprescindible definir una política de información, donde se contemple como se da y se informa del consentimiento, y de qué protocolos debemos seguir para que los interesado puedan ejercer sus derechos.

5. Política de seguridad

Desde el inicio del diseño del tratamiento se debe tener en cuenta la seguridad. Para ello es imprescindible definir una política de seguridad, con actuaciones administrativas (contratos, acuerdos de confidencialidad, ..) y técnicas (encriptación, copias de seguridad, distribución de datos, ...)

 

La responsabilidad proactiva


La aplicación de cualquiera de estas fases se debe poder demostrar para garantizar el principio de responsabilidad proactiva.

El principio de la responsabilidad proactiva es una de las grandes novedades del GDPR. La idea subyacente es que corresponde al responsable del fichero, y no al legislador, establecer las medidas pertinentes de seguridad. Esto significa que toda medida tomada debe estar razonada, explicitada y documentada, de tal manera que se pueda poner en conocimiento de los interesados ??(sea la persona de quien manipulamos datos, sea algún tipo de autoridad) en cualquier momento.

De hecho, en la descripción de las fases necesarias que hay que seguir para adaptarse al GDPR ya se habla en todo momento de explicitación e información al usuario. Esto no deja de ser consecuencia de la aplicación de la responsabilidad proactiva.

Se puede ver la responsabilidad proactiva como el conjunto de procesos técnicos y documentación que nos aseguran que cumplimos con los principios del tratamiento. Estos principios son: la licitud y responsabilidad del tratamiento, la política de seguridad; correcta aplicación del protocolo correspondiente a la categoría del tratamiento; los derechos del interesado y las pruebas garantes del cumplimiento (documentación).



Josep M Merenciano
Departament de Ciències de la Computació
Escola Politècnica Superior d'Enginyeria de Vilanova i la Geltrú (EPSVEG)
Universitat Politècnica de Catalunya