Aplicació del GDPR: 7. Garanties de compliment (documentació)


Josep Aragonés Salvat     13/12/2016


Documentació per garantir el compliment del GDPR


El Reglament disposa de diversos mecanismes per garantir que s'han implementat mesures adequades de protecció de dades i acreditar el seu compliment. Aquestes garanties pretenen incrementar la confiança i la transparència de les actuacions dutes a terme amb dades personals per Responsables i Encarregats del tractament.

Les garanties de compliment que preveu el Reglament són:


- Mecanismes de certificació: Per a Responsables o Encarregats del tractament a títol individual (Certificats, Segells i Marques de protecció de dades).
- Codis de conducta: Per a associacions o organismes que representin categories de Responsables o Encarregats del tractament.
- Normes corporatives vinculants: Per a grups empresarials o unió d'empreses dedicades a una activitat econòmica conjunta que realitzen transferències internacionals de dades.

Qualsevol Responsable o Encarregat del tractament també podrà emetre pel seu compte un certificat que garanteixi el compliment de les disposicions establertes en el Reglament.

En aquest article ens centrarem en el certificat de compliment emès pel Responsable o Encarregat del tractament. Per a això, haurem de crear diversos protocols d'actuació per tal de poder garantir la protecció de dades en totes les fases del tractament:

  • Principis del tractament (responsabilitat proactiva)
  • Responsabilitat del tractament (registre de les activitats)
  • Política d'informació (informació i comunicació a l'interessat)
  • Política de seguretat (anàlisi de riscos i avaluació de l'impacte)
  • Mesures de protecció de dades (actuacions específiques de seguretat)


Com que la informació sobre aquests protocols ja s'ha s'han tractat extensament en articles anteriors, detallarem un resum dels informes que hem de disposar per poder certificar que garantim la protecció de dades conforme el disposat al Reglament.


RESPONSABILITAT PROACTIVA


Aquest informe ha de contenir el compliment dels principis del tractament en cada un dels fitxers de dades.

L'obligació de disposar d'un informe de Responsabilitat proactiva recau en qualsevol Responsable o Encarregat del tractament.

ACTUACIÓ (RT y ET) DETALLS
Identificació de Fitxers
  • Nom del fitxer.
  • Descripció del tractament.
  • Responsabilitat del tractament.
  • Sistema de tractament.
  • Categoria de dades.
  • Categories de tractament.
Principis del tractament
  • Licitud.
  • Limitació dels fins.
  • Minimització de les dades.
  • Exactitud.
  • Limitació del termini de conservació.
  • Integritat i confidencialitat.



REGISTRE DE LES ACTIVITATS DEL TRACTAMENT


Aquest informe ha de contenir un registre de tots fluxos de transmissió de dades entre els intervinents i la responsabilitat adquirida en el tractament de cada un dels fitxers de dades. Recordar que hi ha l'obligació de subscriure els contractes de protecció de dades amb tots els intervinents.

L'obligació de disposar d'un informe del Registre de les activitats del tractament recau en qualsevol Responsable o Encarregat del tractament que concorri en alguna de les següents condicions:

  • Emprin a un mínim de 250 persones.
  • Realitzen habitualment tractaments que puguin suposar un risc per als interessats.
  • Tractin categories especials de dades.
  • Tractin dades relatives a condemnes i delictes penals.

ACTUACIÓ (RT) DETALLS
Registre d'intervinents
  • Encarregats del tractament.
  • Coresponsables del tractament.
  • Destinataris de dades.
Registre de les activitats
  • Nom i dades de contacte dels intervinents.
  • Fins del tractament.
  • Categories d'interessats.
  • Categories de dades i de tractament.
  • Categories de Destinataris de dades.
  • Transferències internacionals de dades.
  • Terminis previstos per a la supressió de dades.
  • Mesures tècniques i organitzatives de seguretat.



ACTUACIÓ (ET) DETALLS
Registre d'intervinents
  • Responsables del tractament.
  • Subcontractació del tractament (Subencarregats).
  • Destinataris de dades.
Registre de les activitats
  • Nom i dades de contacte dels intervinents.
  • Categories de dades i de tractament.
  • Categories de Destinataris de dades.
  • Transferències internacionals de dades.
  • Mesures tècniques i organitzatives de seguretat.



POLÍTICA D'INFORMACIÓ


Aquest informe ha de contenir un protocol d'actuació per a cada un dels fitxers de dades, que reflecteixi unes polítiques concises, transparents, senzilles i accessibles per comunicar a l'interessat els detalls del tractament i l'exercici dels drets sobre les seves dades.

L'obligació de disposar d'una Política d'informació recau en qualsevol Responsable del tractament.

ACTUACIÓ (RT) DETALLS
Informació a l'interessat Informació bàsica:
  • Base jurídica del tractament.
  • Identitat i les dades de contacte del RT i DPO (si existeix).
  • Fins del tractament.
  • Termini de conservació de les dades o els criteris que ho determinin.
  • Drets de l'interessat.

Informació específica (només si és d'aplicació):
  • Interès legítim del RT.
  • Destinataris de dades.
  • Transferències internacionals de dades.
  • Elaboració de perfils.

Per dades obtingudes de fonts externes:
  • Font de procedència.
  • Categories de dades.
Comunicació a l'interessat Quan s'obtenen les dades de l'interessat:
  • En el moment de l'obtenció de dades.

Quan no s'obtenen les dades de l'interessat:
  • Termini màxim d'1 mes.
  • A la primera comunicació amb l'interessat.
  • Abans de comunicar les dades a un Destinatari.

No és necessari comunicar la informació:
  • El tractament és una obligació legal.
  • L'interessat ja disposa de la informació.
  • La comunicació és impossible o suposa un esforç desproporcionat.
Drets de l'interessat Drets bàsics:
  • Accés: comunicar les dades.
  • Rectificació: modificar les dades i comunicar-ho a Destinataris.
  • Supressió: eliminar les dades i comunicar-ho a Destinataris.
  • Limitació: restringir el tractament i comunicar-ho a Destinataris.
  • Oposició: cancel·lar el tractament i comunicar-ho a Destinataris.

Drets específics (només si és d'aplicació):
  • Portabilitat: Transmetre dades a un altre RT en tractaments automatitzats.
  • Elaboració de perfils: cancel·lar el tractament automatitzat.



POLÍTICA DE SEGURETAT


Aquest informe ha de contenir un protocol d'actuació per a cada un dels fitxers de dades, que reflecteixi la implementació de polítiques tècniques i organitzatives adequades que garanteixin la protecció de dades tenint en compte els riscos que pugui tenir el tractament com a conseqüència de la destrucció accidental o il·lícita de dades, la pèrdua, alteració o comunicació de dades i l'accés a les dades quan siguin transmeses, conservades o objecte d'algun altre tipus de tractament.

L'obligació de disposar d'una Política de seguretat recau en qualsevol Responsable o Encarregat del tractament.

ACTUACIÓ (RT y ET) DETALLS
Drets de l'interessat
  • Estructura i organització de dades de manera que es puguin exercir els drets dels interessats.
Des del disseny i per defecte
  • Estructura i organització de les operacions de tractament de manera que es puguin implementar mesures adequades de protecció de dades.
Anàlisi de riscos
  • Determinar la probabilitat que el tractament comporti un alt risc per als drets i llibertats dels interessats.
Avaluació d'impacte Només quan sigui probable que hi hagi un alt risc per als drets i llibertats dels interessats:
  • Utilització de noves tecnologies amb alt risc.
  • Elaboració de perfils que pugui afectar els interessats.
  • Dades relatives a condemnes i delictes penals.
  • Tractament a gran escala basat en l'observació sistemàtica d'una zona d'accés públic o en categories especials de dades.
Violacions de la seguretat
  • Protocol d'actuació en el cas que hi hagi una violació de seguretat.
  • Notificació a l'Autoritat de control o als interessats.



MESURES DE PROTECCIÓ DE DADES


Aquest informe ha de contenir un protocol que determini la implantació de mesures adequades de protecció de dades per a cada un dels fitxers de dades, mitjançant actuacions específiques de seguretat aplicables a totes les fases del tractament: obtenció, accés, intervenció, transmissió, conservació i supressió.

L'obligació d'implantar Mesures de protecció de dades recau en qualsevol Responsable o Encarregat del tractament.

ACTUACIÓ (RT y ET) DETALLS
Obtenció
  • Procediments per a l'obtenció de dades.
Accés
  • Accés a equips i xarxes informàtiques.
  • Identificació i autenticació.
Intervenció
  • Protecció d'equips i xarxes informàtiques.
  • Protecció de documents.
Transmissió
  • Transport de documents.
  • Procediments de comunicació.
  • Transferències internacionals.
Conservació
  • Criteris de conservació.
  • Còpies de seguretat.
Supressió
  • Mecanismes de destrucció.
  • Seudonimización.


ALTRES INFORMES PER GARANTIR EL COMPLIMENT


Encara que els informes anteriorment descrits són d'obligat compliment per a Responsables o Encarregats del tractament, hi ha un altre tipus d'informes que seran de gran utilitat per poder garantir la protecció de dades. Aquests són:

  • Protocol per a l'atenció dels drets de l'interessat.
  • Registre d'acords de confidencialitat amb el personal autoritzat.
  • Registre de contractes de protecció de dades amb empreses externes.
  • Registre de violacions de seguretat (documentació, resolució i notificació).
  • Auditoria de compliment del GDPR.
  • Mesures correctives a implementar.

Informació relacionada



Seguiment del curs Aplicació del GDPR


Tema anterior: 6. Drets de l'interessat Curs Aplicació del GDPR: 0. Introducció


Amplia la teva formació en protecció de dades: Curs Expert en el GDPR


Per saber més sobre la Protecció de Dades, pots realitzar el Curs Expert en el GDPR. Aquest curs consisteix en 20 temes formatius que han estat elaborats a partir d'un rigorós estudi del nou Reglament i estructurats amb l'objectiu d'oferir una informació clara i precisa al lector perquè, en finalitzar el curs, tingui un nivell de formació experta i actualitzada de la protecció de dades personals.

Accés al curs Expert en el Reglament Europeu de Protecció de Dades (GDPR-RGPD)