Aplicació del GDPR: 5. Categories de tractament


Josep Aragonés Salvat     27/10/2016

Implantació de mecanismes de seguretat

 
A l'article anterior vam determinar les mesures de seguretat a implementar segons la categoria de dades (bàsiques, especials o penals). Un cop establertes aquestes mesures s'hauran d'analitzar les operacions de tractament per veure si es corresponen amb alguna de les categories de tractament que disposa el Reglament.

Les mesures de seguretat que afecten a qualsevol tractament dissenyades a la política de seguretat, com l'anàlisi de riscos, la protecció des del disseny i per defecte i les mesures tècnico-organitzatives de tractament, s'hauran d'adaptar a la normativa específica que disposa el Reglament per a cada categoria de tractament.

Les categories de tractament s'apliquen a qualsevol categoria de dades i poden ser diverses, per exemple, unes dades bàsiques poden tenir un alt risc, realitzar transferències internacionals i ser tractades per un grup empresarial. Així, el procediment a seguir després d'assignar al fitxer la categoria de dades corresponent, és analitzar les operacions de tractament per veure si l'afecta alguna categoria de tractament:
 
Categories de tractament
  • ALT RISC: Tractament amb alt risc
  • INTERNACIONAL: Transferències internacionals de dades
  • PERFILS: Elaboració de perfils
  • GRUP: Dades tractades per grups d'empreses
  • PÚBLIC: Dades de titularitat o interès públic


 A continuació detallarem les mesures de seguretat per a cada categoria de tractament.

 


Tractament amb alt risc


Quan sigui probable que el tractament comporti un alt risc per als drets i llibertats dels interessats, s'haurà de realitzar una avaluació d'impacte que determini aquests riscos i la forma de mitigar-los.
 
L'Autoritat de control podrà establir una llista dels tipus de tractament que requereixen una avaluació d'impacte.
 
Tindrem l'obligació de realitzar una avaluació d'impacte quan:
 
  • S'utilitzin noves tecnologies i si naturalesa, abast, context o fins del tractament prevegin un alt risc.
  • Hi hagi un tractament a gran escala basat en l'observació sistemàtica d'una zona d'accés públic o en categories especials de dades.
  • Es tracten dades relatives a condemnes i delictes penals.
  • El tractament es basi en una elaboració de perfils que pugui afectar significativament als interessats amb efectes jurídics o d'alguna altra manera.

Quan el tractament contempli tractaments de condemnes i delictes penals o gran escala també serà necessari designar un DPO.
 
 
TRACTAMENT  MESURES DE SEGURETAT
Alt risc
  • Noves tecnologies.
Gran escala
  • Categories especials de dades.
  • Observació sistemàtica de zones d'accés públic.
  • Designar DPO.
Penals
  • Dades relatives a condemnes i delictes penals.
  • designar un DPO.
Perfiles
  • Amb efectes jurídics que afectin l'interessat.




 

 

Transferències internacionals de dades


Només es podran realitzar transferències internacionals de dades si el Responsable o Encarregat del tractament poden assegurar que el nivell de protecció de dades està garantit mitjançant:
 
  • Decisió d'adequació presa per la Comissió de la UE.
  • Garanties adequades de protecció de dades.
 
En qualsevol cas, s'haurà de subscriure el corresponent contracte amb el receptor de dades, sigui Destinatari de dades o Encarregat del tractament, especificant en el mateix les garanties adequades de protecció de dades en què es basa la transferència.
  
TRACTAMENT MESURES DE SEGURETAT
Interessats
  • Informar de la intenció de fer transferències internacionals.
  • Existència o absència d'una decisió d'adequació.
  • Garanties adequades i mitjans per a obtenir còpia d'elles.
Registre d'activitats
  • Identificació de les transferències internacionals.
  • Documentació de garanties apropiades.

LICITUD  PER A REALITZAR TRANSFERÈNCIES INTERNACIONALS DE DADES
 
Comissió UE
  • Decisió d'adequació de la UE (Suïssa, Canadà, Argentina, Guernsey, Illa de Man, Jersey, Illes Fèroe, Andorra, Israel, Uruguai i Nova Zelanda).
  • Acords internacionals de privacitat (Privacy Shield - EUA).
Autoritat de control
  • Acords legals entre Organismes públics.
  • Clàusules tipus o contractuals de protecció de dades.
  • Mecanismes de certificació.
  • Normes corporatives vinculants.
  • Codis de conducta.
Interessat
  • Consentiment explícit amb informació dels riscos.
  • Contracte amb l'interessat.
  • Per protegir els interessos vitals de les persones.
Responsable del tractament
  • Per un interès legítim i imperiós del Responsable del tractament.
Públic
  • Per motius legítims d'interès públic.
 


Elaboració de perfils


Una elaboració de perfils és la confecció de decisions individuals basades en un tractament automatitzat de dades destinat a avaluar aspectes personals o analitzar o predir:
 
  • Rendiment professional.
  • Situació econòmica.
  • Salut.
  • Preferències o interessos personals.
  • Fiabilitat o comportament.
  • Ubicació o moviments.
 
Només es podrà realitzar una elaboració de perfils si s'apliquen mesures de seguretat adequades per a la protecció dels drets, llibertats i interessos legítims dels interessats.
 
Serà obligatori realitzar una avaluació de l'impacte quan es realitzi un tractament automatitzat basat en una avaluació sistemàtica i exhaustiva d'aspectes personals i sobre la base dels quals es prenguin decisions que puguin produir efectes jurídics per als interessats.
 
  
TRACTAMENT  MESURES DE SEGURETAT
Licitud
  • Consentiment explícit de l'interessat.
  • Contracte amb l'interessat.
Informació a l'interessat
  • Lògica aplicada per al tractament de dades.
  • Importància i conseqüències previstes per a l'interessat.
Alt risc Amb avaluació sistemàtica i exhaustiva d'aspectes personals:
  • Avaluació d'impacte.
  • Designar un DPO.
Amb efectes jurídics en contra de l'interessat:
  • Avaluació d'impacte.
 

 

Grup d'empreses


El Reglament es refereix a Grup d'empreses quan hi hagi diversos Responsables del tractament que pertanyin a un grup empresarial o una unió d'empreses dedicades a una activitat econòmica conjunta.
 
Un grup d'empreses comprèn una empresa que exerceix el control i les empreses controlades.
 
Les normes corporatives vinculants són unes polítiques de protecció de dades dissenyades per un grup d'empreses i aprovades per l'Autoritat de control que seran jurídicament vinculants i s'aplicaran a tots els membres adherits al grup.

Quan un Responsable del tractament estigui adherit a les normes corporatives vinculants del grup, la política de seguretat es basarà en aquestes normes.
 
 
TRACTAMENT  MESURES DE SEGURETAT
Garanties de compliment
  • Adhesió a normes corporatives vinculants aprovades per l'Autoritat de control.
Drets dels interessats
  • Drets exigibles i vinculants al grup d'empreses.
Destinataris de dades
  • La transmissió de dades entre membres del grup d'empreses no serà considerada com Destinataris de dades.
 

 
 

Dades de titularitat o interès públic


La categoria de tractament públic correspon a les següents operacions de tractament :
 
  • Realitzades per Autoritats o Organismes públics en l'exercici de les seves funcions.
  • Amb finalitats d'interès públic fonamentades en la legislació vigent.
  • Amb finalitats d'investigació històrica, estadística o científica.
 
TRACTAMENT  MESURES DE SEGURETAT
Licitud
  • Compliment d'una comesa d'interès públic.
  • Finalitats de recerca històrica, estadística o científica.
  • Interès legítim de les Autoritats públiques.
  • Tractament fonamentat en la legislació vigent.
Sense límit de termini de conservació
  • Finalitats d'arxiu en interès públic.
  • Investigació històrica, estadística o científica.
Sense necessitat d'informar a l'interessat
  • Tractament fonamentat en la legislació vigent
  • Quan s'adoptin mesures de seguretat adequades.
  • Quan es publiqui la informació.
Especials
  • Per a fins d'interès públic o sota la supervisió de poders públics.
  • Per a fins d'investigació històrica, estadística o científica.
Transferències internacionals
  • Per a fins d'interès públic o sota la supervisió de poders públics.
  • Per a fins d'investigació històrica, estadística o científica.
  • Per motius importants i legítims d'interès públic.
  • Sigui necessari per al reconeixement, exercici o defensa d'un dret en un procediment judicial.
  • Registre públic legal que no impliqui la consulta de la totalitat de les dades o de les categories de dades.
Autoritats o Organismes públics
  • Designar un DPO.
 
   
 

Informació relacionada

 



Seguiment del curs Aplicació del GDPR


Tema anterior: 4. Política de seguretat   Tema següent: 6. Drets de l'interessat