Aplicación del GDPR: 5. Categorías de tratamiento


Josep Aragonés Salvat     27/10/2016


 

Implantación de mecanismos de seguridad

 
En el artículo anterior determinamos las medidas de seguridad a implementar según la categoría de datos (básicos, especiales o penales). Una vez establecidas estas medidas se deberán analizar las operaciones de tratamiento para ver si se corresponden con alguna de las categorías de tratamiento que dispone el Reglamento.

Las medidas de seguridad que afectan a cualquier tratamiento diseñadas en la política de seguridad, como el análisis de riesgos, la protección desde el diseño y por defecto y las medidas técnico-organizativas de tratamiento, deberán  adaptarse a la normativa específicaque dispone el Reglamento para cada categoría de tratamiento.

Las categorías de tratamiento se aplican a cualquier categoría de datos y pueden ser varias,  por ejemplo, unos datos básicos pueden tener un alto riesgo, realizarse transferencias internacionales y ser tratados por un grupo empresarial. Así,  el procedimiento a seguir después de assignar al fichero la categoría de datos correspondiente, es analizar las operaciones de tratamiento para ver si le afecta alguna categoría de tratamiento:
 
Categorías de tratamiento
  • ALTO RIESGO: Tratamiento con alto riesgo
  • INTERNACIONAL: Transferencias internacionales de datos
  • PERFILES. Elaboración de perfiles
  • GRUPO: Datos tratados por grupos de empresas
  • PÚBLICO: Datos de titularidad o interés público


 A continuación detallaremos las medidas de seguridad para cada categoría de tratamiento.


 

Tratamiento con alto riesgo


Cuando sea probable que el tratamiento comporte un alto riesgo para los derechos y libertades de los interesados, se deberá realizar una evaluación de impacto que determine dichos riesgos y la forma de mitigarlos.

La Autoridad de control podrá establecer una lista de los tipos de tratamiento que requieren una evaluación de impacto.

Tendremos la obligación de realizar una evaluación de impacto cuando:
 
  • Se utilicen nuevas tecnologías y si naturaleza, alcance, contexto o fines del tratamiento prevean un alto riesgo.
  • Exista un tratamiento a gran escala basado en la observación sistemática de una zona de acceso público o en categorías especiales de datos.
  • Se traten datos relativos a condenas y delitos penales.
  • El tratamiento se base en una elaboración de perfiles que puedan afectar significativamente a los interesados con efectos jurídicos o de algún otro modo.

Cuando el tratamiento contemple tratamientos de condenas y delitos penales o gran escala también será necesario designar un DPO.
 
 
TRATAMIENTO MEDIDAS DE SEGURIDAD
Alto riesgo
  • Nuevas tecnologías.
Gran escala
  • Categorías especiales de datos.
  • Observación sistemática de zonas de acceso público.
  • Designar un DPO.
Penales
  • Datos relativos a condenas y delitos penales.
  • Designar un DPO
Perfiles
  • Con efectos jurídicos que afecten el interesado.




 
 

Transferencias internacionales de datos


Solo se podrán realizar transferencias internacionales de datos si el Responsable o Encargado del tratamiento pueden asegurar que el nivel de protección de datos está garantizado mediante:
 
  • Decisión de adecuación tomada por la Comisión de la UE.
  • Garantías adecuadas de protección de datos.
 
En cualquier caso, se deberá suscribir el correspondiente contrato con el receptor de datos, sea Destinatario de datos o Encargado del tratamiento, especificando en el mismo las garantías adecuadas de protección de datos en que se basa la transferencia.
  
TRATAMIENTO MEDIDAS DE SEGURIDAD
Interesados
  • Informar la intención de realizar transferencias internacionales.
  • Existencia o ausencia de una decisión de adecuación.
  • Garantías adecuadas y medios para obtener copia de ellas.
Registro de actividades
  • Identificación de las transferencias internacionales.
  • Documentación de garantías apropiadas.

LICITUD  PARA REALIZAR TRANSFERENCIAS INTERNACIONALES DE DATOS
 
Comisión UE
  • Decisión de adecuación de la UE (Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda).
  • Acuerdos internacionales de privacidad (Privacy Shield - EEUU).
Autoridad de control
  • Acuerdos legales entre Organismos públicos.
  • Cláusulas tipo o contractuales de protección de datos.
  • Mecanismos de certificación.
  • Normas corporativas vinculantes.
  • Códigos de conducta.
Interesado
  • Consentimiento explícito con información de los riesgos.
  • Contrato con el interesado.
  • Para proteger los intereses vitales de las personas.
Responsable del tratamiento
  • Por un interés legítimo e imperioso del Responsable del tratamiento.
Público
  • Por motivos legítimos de interés público.
 

 

Elaboración de perfiles


Una elaboración de perfiles es la confección de decisiones individuales basadas en un tratamiento automatizado de datos destinado a evaluar aspectos personales o analizar o predecir:
 
  • Rendimiento profesional.
  • Situación económica.
  • Salud.
  • Preferencias o intereses personales.
  • Fiabilidad o comportamiento.
  • Ubicación o movimientos.
 
Solo se podrá realizar una elaboración de perfiles si se aplican medidas de seguridad adecuadas para la protección de los derechos, libertades e intereses legítimos de los interesados.

Será obligatorio realizar una evaluación del impacto cuando se realice un tratamiento automatizado basado en una evaluación sistemática y exhaustiva de aspectos personales y sobre cuya base se tomen decisiones que puedan producir efectos jurídicos para los interesados.
  
TRATAMIENTO MEDIDAS DE SEGURIDAD
Licitud
  • Consentimiento explícito del interesado.
  • Contrato con el interesado.
Información al interesado
  • Lógica aplicada para el tratamiento de datos.
  • Importancia y consecuencias previstas para el interesado.
Alto riesgo Con evaluación sistemática y exhaustiva de aspectos personales:
  • Evaluación de impacto.
  • Designar un DPO.
Con efectos jurídicos en contra del interesado:
  • Evaluación de impacto.
 

 

Grupo de empresas


El Reglamento se refiere a Grupo de empresas cuando existan varios Responsables del tratamiento que pertenezcan a un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

Un grupo de empresas comprende una empresa que ejerce el control y las empresas controladas.

Las normas corporativas vinculantes son unas políticas de protección de datos diseñadas por un grupo de empresas y aprobadas por la Autoridad de control que serán jurídicamente vinculantes y se aplicarán a todos los miembros adheridos al grupo.

Cuando un Responsable del tratamiento esté adherido a las normas corporativas vinculantes del grupo, la política de seguridad se basará en dichas normas.
 
 
TRATAMIENTO MEDIDAS DE SEGURIDAD
Garantías de cumplimiento
  • Adhesión a normas corporativas vinculantes aprobadas por la Autoridad de control.
Derechos del interesado
  • Derechos exigibles y vinculantes al grupo de empresas.
Destinatarios de datos
  • La transmisión de datos entre miembros del grupo de empresas no será considerada como Destinatarios de datos.
 

   
 

Datos de titularidad o interés público


La categoría de tratamiento público corresponde a las siguientes operaciones de tratamiento::
 
  • Realizadas por Autoridades u Organismos públicos en el ejercicio de sus funciones.
  • Con finalidades de interés público fundamentados en la legislación vigente.
  • Con finalidades de investigación histórica, estadística o científica.
 
TRATAMIENTO MEDIDAS DE SEGURIDAD
Licitud
  • Cumplimiento de un cometido de interés público.
  • Fines de investigación histórica, estadística o científica.
  • Interés legítimo de las Autoridades públicas.
  • Tratamiento fundamentado en la legislación vigente.
Sin límite de plazo de conservación
  • Fines de archivo en interés público.
  • Investigación histórica, estadística o científica.
Sin necesidad de informar al interesado
  • Tratamiento fundamentado en la legislación vigente
  • Se adopten medidas de seguridad adecuadas
  • Se publique la información.
Especiales
  • Para fines de interés público o bajo la supervisión de poderes públicos.
  • Para fines de investigación histórica, estadística o científica.
Transferencias internacionales
  • Por motivos importantes y legítimos de interés público.
  • Sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.
  • Registro público legal que no implique la consulta de la totalidad de los datos o de las categorías de datos.
Autoridades u Organismos públicos
  • Designar un DPO.
 

   


 

Información relacionada

 



Seguimiento del curso Aplicación del GDPR


Tema anterior: 4. Política de seguridad   Tema siguiente: 6. Derechos del interesado