Aplicació del GDPR: 3. Responsabilitat del tractament

11/10/2016 | Josep Aragonés Salvat


Aplicar la protecció de dades pas a pas


En els articles anteriors dedicats a l'aplicació del GDPR hem vist què és un tractament de dades personals, els principis de la protecció de dades i la licitud per poder tractar-los.

Vist això, revisem el procediment per a realitzar una adaptació al Reglament:

1. Tractament de dades
 
  • Identificar les dades personals que tractem i estructurar-les en fitxers segons la finalitat.
  • Assignar a cada fitxer una categoria de dades (Bàsiques, Especials o Penals).
  • Assignar a cada fitxer la responsabilitat del tractament (Responsable o Encarregat del tractament).
  • Analitzar si a algun fitxer li correspon alguna categoria de tractament (Alt risc, Transferències internacionals, Elaboració de perfils, Grup d'empreses i Titularitat o interès públic).
  • Comprovar el compliment dels principis del tractament.

2. Licitud del tractament
 
  • Mètodes per a l'obtenció del consentiment per al tractament de dades.
  • Procediments per informar del tractament a l'interessat.
  • Establir una política d'informació.

3. Responsabilitat del tractament
 
  • Protocol d'actuació per a adaptar-se al Reglament.
  • Contractes amb el personal autoritzat per al tractament de dades.
  • Contractes amb les empreses autoritzades per al tractament de dades (Encarregats del tractament).
  • Quan el Responsable també és Encarregat del tractament.
  • Acords amb Coresponsables del tractament.
  • Contractes de cessió de dades a Destinataris (quan comuniquem dades a altres Responsables).
  • Quan el Responsable també és receptor de dades (Destinatari)
  • Empreses sense permís d'accés a dades.
  • Registre de les activitats del tractament.
  • Resum de la responsabilitat del tractament.
 

Protocol d'actuació per a adaptar-se al Reglament


L'obligació de protegir les dades personals recau en tots els participants en el tractament, però la màxima responsabilitat la té el Responsable del tractament, que és qui determina els fins i els mitjans del tractament.

Un cop identificat el tractament de dades i la licitud del tractament, el Responsable ha d'establir qui tractarà les dades, si serán persones físiques al seu càrrec o empreses externes contractades per a això, o ambdues alhora. També ha d'identificar si les dades podran ser cedides a tercersi si es preveuen realitzar transferències internacionals. En qualsevol cas, haurà d'implementar mesures tècniques i organitzatives adequades i proporcionades per garantir la protecció de dades en relació amb les activitats del tractament (política de seguretat).

El Responsable del tractament serà el garant universal que el tractament s'efectua conforme al Reglament i només podrà desvincular-se de la seva responsabilitat si formalitza contractes o acords conforme el que disposa el GDPR amb tots els intervinents en el tractament.

El Responsable haurà de comprovar si té l'obligació de portar un registre de les activitats del tractament.

 

Contractes amb el personal autoritzat per al tractament de dades


El Responsable del tractament ha de garantir que el personal que realitza el tractament, sigui propi o aliè, es compromet a:
 
  • Realitzar el tractament seguint les instruccions del Responsable.
  • Respectar la confidencialitat de les dades.

Per a això, el Responsable ha de dissenyar una política de seguretat on inclourà les instruccions necessàries perquè el tractament es realitzi conforme el Reglament i la donarà a conèixer al personal autoritzat per al seu compliment.

També formalitzarà acords de confidencialitat, per escrit i degudament signats per ambdues parts, en format electrònic o paper, per poder demostrar que ha comunicat al personal les instruccions del tractament i el deure de secret professional.

 

Contractes amb les empreses autoritzades per al tractament de dades (Encarregats del tractament)


El Responsable del tractament només podrà contractar empreses Encarregades del tractament de dades si ofereixen prou garanties per complir el Reglament i es comprometin a seguir les seves instruccions.

Per a això, ha de subscriure un contracte, per escrit i degudament signat per ambdues parts, en format electrònic o paper, per poder demostrar que li ha comunicat les instruccions per al tractament amb tots els detalls que l'obliga el Reglament.

 

Quan el Responsable també és Encarregat del tractament


Si a més de Responsable també som Encarregats del tractament, ens haurem de preocupar de subscriure un contracte amb el Responsable del tractament abans de procedir al tractament i complir les disposicions en ell reflectides.

En aquest cas, com ja indicàvem en el primer capítol dedicat a l'aplicació del GDPR "1. Tractament de dades", haurem classificar les dades tractades per l'encàrrec del Responsable en fitxers i designar-lis les categories de dades i de tractament corresponents per complir la normativa específica per a aquestes categories.

A tenir en compte que si tractem dades per compte d'un Responsable sense subscriure el contracte corresponent, el tractament serà considerat il·lícit i ens serà d'aplicació el Reglament com a Responsable del tractament.

L'Encarregat haurà de comprovar si té l'obligació de portar un registre de les activitats del tractament.


Subcontractació del servei a un altre Encarregat del tractament

L'Encarregat del tractament només podrà subcontractar el servei a un altre Encarregat si hi ha una autorització prèvia i per escrit del Responsable del tractament. Si fos el cas, haurà de formalitzar un contracte entre els dos Encarregats que disposi les mateixes obligacions adquirides amb el Responsable del tractament.

L'Encarregat del tractament serà responsable subsidiari davant el Responsable del tractament de l'incompliment de les obligacions de l'Encarregat subcontractat.

 

Acords amb Coresponsables del tractament


Quan els fins i els mitjans del tractament es determinen entre diversos Responsables, tots seran Coresponsables del tractament.

La relació entre Corresponsables del tractament (diversos Responsables) es formalitzarà mitjançant un acord, per escrit i degudament signat per ambdues parts, en format electrònic o paper, per poder demostrar les funcions i responsabilitats assignades a cada un.

 

Contractes de cessió de dades a Destinataris (quan comuniquem dades a altres Responsables)


Quan el tractament precisi la transmissió o cessió de dades a una altra empresa diferent d'un Encarregat del tractament, aquesta serà considerada Destinatari de dades.

El Responsable només pot comunicar dades a Destinataris si es compleixen tots els requisits següents:
 
  • És necessari per assolir la finalitat del tractament.
  • Informa a l'interessat de la cessió de dades (excepte en les cessions a Autoritats públiques per a una investigació concreta d'interès general regulada per la llei).

Abans de transferir dades a un Destinatari haurem subscriure un contracte, per escrit i degudament signat per ambdues parts, en format electrònic o paper, on es reflecteixi la licitud de l'obtenció de dades, la finalitat de la cessió i que el Destinatari serà el Responsable del tractament d'aquestes dades. No serà necessari subscriure un contracte amb el Destinatari quan la transmissió de dades estigui regulada per la llei.

 

Quan el Responsable també és receptor de dades (Destinatari)


Si rebem dades com Destinataris, tal com indicàvem en el primer capítol dedicat a l'aplicació del GDPR "1. Tractament de dades", haurem de classificar-les en fitxers i assignar-los-hi les categories de dades i de tractament que els corresponguin per tractar-les com Responsable del tractament.

 

Empreses sense permís d'accés a dades


Quan el Responsable del tractament contracta empreses de serveis que no estan autoritzades a tractar dades (neteja, extintors, etc.), ha d'analitzar els riscos que puguin existir per realitzar el servei.

Si determina que poden existir riscos, haurà de formalitzar un contracte on s'especifiqui que no té permís per accedir a les dades personals i que es compromet a establir acords de confidencialitat amb el personal que presta els serveis a l'empresa, per si, en l'exercici de la seva treball, accedissin de manera accidental o fortuïta a elles.

 

Registre de les activitats del tractament


L'obligació de portar un registre d'activitats afecta Responsables i Encarregats del tractament que compleixin alguna de les següents condicions:
 
  • Emprin a un mínim de 250 persones.
  • Realitzen habitualment tractaments que puguin suposar un risc per als interessats.
  • Tractin categories especials de dades.
  • Tractin dades relatives a condemnes i delictes penals.

El Registre d'activitats s'ha de documentar en format electrònic i contenir la següent informació:

Responsable del tractament:
 
  • Dades contacte de tots els implicats en el tractament.
  • Fins del tractament.
  • Descripció de les categories d'interessats.
  • Descripció de les categories de dades.
  • Categories de Destinataris.
  • Transferències internacionals de dades i documentació de garanties apropiades.
  • Quan sigui possible:
  • Terminis previstos per suprimir les categories de dades.
  • Descripció de les mesures tècniques i organitzatives de seguretat.

Encarregat del tractament:
 
  • Dades de contacte de tots els implicats en el tractament.
  • Categories de dades i de tractament efectuats en nom de cada Responsable del tractament.
  • Transferències internacionals de dades i documentació de garanties apropiades.
  • Quan sigui possible, una descripció de les mesures tècniques i organitzatives de seguretat.
 

Resum de la responsabilitat del tractament

 
Responsable del tractament

Classificar els fitxers en categories de dades i de tractament
Determinar els fins i els mitjans del tractament
Garantir la protecció de dades
Acords de confidencialitat amb el personal
Contractes d'accés a dades amb els Encarregats del tractament
Acords de coresponsabilitat amb els Corresponsables del tractament
Contractes de cessió de dades amb Destinataris
Registre d'activitats

Personal autoritzat Seguir les instruccions del Responsable del tractament
Acord de compromís de confidencialitat
Encarregat del tractament Contractes d'accés a dades amb el Responsable del tractament
Seguir les instruccions del Responsable del tractament
Classificar els fitxers assignant-los categories de dades i de tractament
Acords de confidencialitat amb el personal
Gestionar els drets dels interessats del Responsable del tractament
Autorització del Responsable per subcontractar a altres Encarregats del tractament
Registre d'activitats
Corresponsable del tractament Definir les funcions de cada Corresponsable del tractament
Determinar les responsabilitats de cada Corresponsable del tractament
Acordar la gestió dels drets dels interessats
Destinatari de dades Contractes de cessió de dades amb el Responsable o Encarregat del tractament
Informació sobre la licitud de la comunicació de dades
Tractament de dades per assolir els fins
Procedir com a Responsable del tractament de les dades obtingudes
Sense permís d'accés a dades Analitzar els riscos del servei
Contractes sense permís d'accés a dades amb el Responsable o Encarregat del tractament
Acords de confidencialitat amb el personal
Registre d'activitats Emprar a un mínim de 250 persones
Realitzar habitualment tractaments amb risc per als interessats
Tractar categories especials de dades
Tractar dades relatives a condemnes i delictes penals




















 



 
 

Informació relacionada

 



Seguiment del curs Aplicació del GDPR


Tema anterior: 2. Licitud del tractament   Tema següent: 4. Política de seguretat