Aplicació del GDPR: 1. Tractament de dades

04/10/2016 | Josep Aragonés Salvat


Tractament de dades personals


Ja hem dit en anteriors articles que el Reglament s'aplica a les persones físiques o jurídiques, autoritats públiques, serveis o organismes (des d'ara Responsables del tractament), que en l'exercici de la seva activitat tracten dades personals.

Per tant, el Responsable del tractament és el subjecte obligat a complir totes les disposicions del GDPR amb el deure de tractar les dades personals de manera lícita i aplicar les mesures adequades per protegir-les en qualsevol fase del tractament.

També cal recordar que el Reglament només és aplicable quan les dades personals són tractades per una organització, o sigui que no serà aplicat quan es tracten dades de persones jurídiques (empreses) ni tampoc quan es tracten dades entre persones individuals, excepte si alguna de aquestes persones realitza el tractament per a l'exercici una activitat econòmica. (més informació ...)

Anem a revisar els conceptes bàsics del GDPR:
 
  • "Responsable del tractament" és l'organització que determina els fins i els mitjans del tractament.
  • "Encarregat del tractament" és l'organització que realitza un tractament de dades per compte (encàrrec) del Responsable del tractament.
  • "Tractament" és qualsevol operació realitzada sobre dades personals: obtenció, accés, intervenció, transmissió, conservació i supressió.
  • "Dades personals" són qualsevol informació relativa a una persona física per la qual es pugui determinar la seva identitat.
  • "Interessat" és la persona física sotmesa al tractament de les seves dades personals.
  • "Fitxer" és un conjunt estructurat de dades personals susceptibles de tractament per a un fi determinat.

Un cop el Responsable del tractament té clars aquests conceptes bàsics, ha d'establir a la seva organització un procés d'adaptació per aplicar el Reglament.

Per a això, primer de tot, ha identificar els fitxers de dades personals que està tractant o que prevegi tractar, la seva finalitat, i si els tracta per compte propi (Responsable) o per compte de tercers (Encarregat).

Anem a posar un exemple d'un club esportiu com a Responsable del tractament.

Identificació dels fitxers de dades personals:?
 
Fitxer Descripció Categoria de dades Responsabilitat
SOCIS Gestió social. Dades dels associats (pares, jugadors, alumnes, voluntaris, o altres persones). BÀSIC Responsable
FEDERATS Gestió de llicències federatives. Són els jugadors que participen en competicions federades. Les revisions mèdiques dels jugadors estaran incloses en aquest fitxer ja que no contenen dades de salut, només indiquen si és apte o no per a competir. BÀSIC Responsable
SALUT Gestió d'informes mèdics destinats a prevenir trastorns de salut en l'exercici d'activitats físiques o la tramitació d'accidents esportius. El tractament es realitzarà per interès del jugador o de la persona que participa en les activitats del club. ESPECIAL Responsable
IMATGES Gestió d'audiovisuals per a la seva publicació als mitjans de comunicació (persones que participen en les activitats de club, o altres persones). BÀSIC Responsable
ACTIVITATS Gestió dels assitents a les activitats que organitza el club: formació, campus, festes socials, etc. (socis, federats, voluntaris, o altres persones). BÀSIC Responsable
VOLUNTARIS Organització d'activitats socials (persones, sòcies o no, que col·laboren en l'organització de les activitats del club). BÀSIC Responsable
ESCOLES Gestió per encàrrec d'escoles per a la formació esportiva dels seus alumnes (el club s'encarrega de la formació esportiva extraescolar). BÀSIC Encarregat


























Com es pot veure en aquesta taula, una mateixa persona (interessat) podria ser objecte de 7 fitxers (o tractaments) diferents ja que la finalitat i els mitjans de tractament varien per a cada un d'ells.

Recordarem les diferents categories de dades que determina el Reglament:
  • Dades bàsiques: Dades personals que no corresponguin a categories especials de dades ni a condemnes i delictes penals. Per exemple: nom, adreça, email, telèfon, edat, sexe, signatura, imatge, aficions, patrimoni, dades bancàries, informació acadèmica, professional, social, comercial, financera, etc.
  • Categories especials de dades: Dades relatives a l'origen ètnic o racial, opinions polítiques, conviccions religioses o filosòfiques, afiliació sindical, dades genètiques o biomètrics que permetin la identificació unívoca d'una persona, dades relatives a la salut o la vida i orientació sexuals. (més informació ...)
  • Condemnes i delictes penals: Dades relatives a condemnes i delictes penals o mesures de seguretat afins.
 

Principis del tractament


Un cop identificats els fitxers, les categories de dades i la responsabilitat del tractament, s'haurà de garantir que el tractament que es realitza, o que es pretén realitzar, serà d'acord amb el Reglament. (més informació ...)

Per a això s'han de complir tots els principis de protecció de dades per realitzar un tractament a cada fitxer:
 
Principi Descripció Aplicació
Licitud Lleialtat i transparència amb l'interessat.
  • Determinar el protocol que establirà l'organització per informar a l'interessat (Política d'informació).
  • Crear la documentació informativa corresponent.
  • Crear un procediment per a l'obtenció del consentiment explícit de l'interessat per tractar les seves dades.
Limitació dels fins Recollides amb fins determinats, explícits i legítims i no tractades posteriorment de manera incompatible amb aquestes finalitats.
  • Determinar les finalitats del tractament per a cada fitxer.
  • No poden ser fins genèrics, han de ser clars i relacionats entre si.
  • Informar la finalitat del tractament en el document usat per obtenir el consentiment explícit de l'interessat.
Minimització de les dades Adequades, pertinents i limitades al necessari en relació amb els fins per als quals són tractades.
  • Determinar les dades que es van a obtenir (qualitat de les dades).
  • Només s'han d'obtenir les dades que siguin necessàries per assolir els fins.
  • Eliminar la informació que no sigui necessària per al tractament.
Exactitud Actualitzades sense demora respecte als fins per als quals es tracten.
  • Determinar procediments per actualitzar les dades.
  • Avisos o recordatoris als interessats per actualitzar les seves dades
Limitació del termini de conservació Mantingudes de manera que es permeti la identificació dels interessats durant no més temps del necessari per als fins pels quals es tracten.
  • Determinar els criteris de conservació i eliminació de dades.
  • Guardades només el temps del necessari per aconseguir els fins.
  • Informar del termini en el document usat per obtenir el consentiment explícit de l'interessat.
Integritat i confidencialitat Implementar mesures tècniques i organitzatives adequades per protegir les dades contra tractaments no autoritzats o il·lícits i la seva pèrdua, destrucció o dany accidentals.
  • Determinar el protocol que establirà l'organització per protegir les dades personals en totes les fases del tractament (Política de seguretat).
  • Contractes de confidencialitat amb el personal autoritzat per al tractament.
  • Contractes de tractament de dades amb empreses externes (Encarregats, Corresponsables, Destinataris, etc.).
  • Aplicació de mesures de seguretat adequades per a la protecció de les dades.
  • Implantar la protecció de dades des del disseny i per defecte.
  • Obtenir garanties adequades per a la transmissió de dades a tercers, incloses les transferències internacionals de dades.
  • Anàlisi dels riscos previstos al tractament i realització d'una avaluació d'impacte en el cas que existeixin.
Responsabilitat proactiva Sent responsable i capaç de demostrar el compliment de tots els principis del tractament.
  • Documentar i guardar els consentiments, protocols, polítiques, contractes, garanties, registres d'activitats, avaluacions d'impacte, auditories, informes, etc. que puguin demostrar el compliment de tots els principis del tractament.












































 
 
 

Aplicació dels principis del tractament


Tot el Reglament es basa en l'aplicació d'aquests principis, disposant de regles i normes específiques per a diferents categories de tractament.

Un cop identificats els fitxers i determinats els principis del tractament aplicats als mateixos, es procedirà a comprovar si les operacions de tractament realitzades amb aquests fitxers contemplen alguna de les següents categories de tractament:

 
  • Tractament amb alt risc: Tractament subjecte a una avaluació d'impacte per ser susceptible de comportar un alt risc per a la protecció dels drets i llibertats dels Interessats. (més informació ...)
  • Transferències internacionals de dades: Traspàs de dades a Responsables o Encarregats del tractament, o a Destinataris de tercers països o organitzacions internacionals no establerts a la UE. (més informació ...)
  • Elaboració de perfils: Confecció de decisions individuals basades en un tractament automatitzat de dades, destinades a avaluar aspectes personals o analitzar o predir el rendiment professional, situació econòmica, salut, preferències o interessos personals, fiabilitat, comportament, ubicació o moviments d'una persona. (més informació ...)
  • Dades tractades per grups d'empreses: Grup que comprèn una empresa que exerceix el control i les empreses controlades.
  • Dades de titularitat o interès públic:
    • Tractaments realitzats per Autoritats o Organismes públics en l'exercici de les seves funcions.
    • Tractaments amb finalitats d'interès públic fonamentats en la legislació vigent.
    • Tractaments amb finalitats d'investigació històrica, estadística o científica.

En el cas que algun fitxer contemplés alguna de les categories de tractament esmentades, s'hauria de determinar un protocol d'actuació per implementar la normativa específica que els afecti.

La primera fase per a la identificació del tractament comprèn, com hem especificat anteriorment:
 
  • La identificació de fitxers.
  • L'assignació de la categoria de dades i responsabilitat a cada fitxer.
  • El compliment dels principis del tractament.
  • Si n'hi ha, l'assignació de la categoria de tractament a cada fitxer.

En una segona fase, que publicarem en propers articles, es detallaran els processos per aconseguir una aplicació efectiva del GDPR amb la finalitat de ser responsable i capaç de demostrar el compliment de tots els principis del tractament (responsabilitat proactiva):
 
  • La licitud del tractament.
  • La responsabilitat del tractament.
  • La política de seguretat.
  • Les categoríes de tractament.
  • Els drets de l'interessat.
  • Les garanties de compliment (documentació).
 


Informació relacionada

 



Seguiment del curs Aplicació del GDPR


Curs Aplicació del GDPR: 0. Introducció   Tema següent: 2. Licitud del tractament