GDPR 18. Garanties de compliment


Josep Aragonés Salvat     20/09/2016

Garanties per acreditar el compliment del Reglament


El GDPR disposa de diverses opcions perquè el Responsable o l'Encarregat del tractament puguin demostrar l'existència de garanties adequades de protecció de dades i acreditar el compliment de les obligacions establertes al Reglament (articles 24.3 i 28.5), inclusivament la protecció de dades des el disseny i per defecte (article 25.3) i la seguretat del tractament (article 32.3).

Amb l'expedició d'aquestes acreditacions es pretén incrementar la confiança i la transparència de les actuacions dutes a terme pels Responsables o Encarregats del tractament, sent de vital importància per a suposar-los unes bones pràctiques en relació amb la protecció efectiva de les dades personals que tracten.

Les empreses podran adherir-se als següents procediments per acreditar el compliment del Reglament:
  • Mecanismes de certificació: Per Responsables o Encarregats del tractament a títol individual (Certificats, Segells i Marques de protecció de dades).
  • Codis de conducta: Per a associacions o organismes que representin categories de Responsables o Encarregats del tractament.
  • Normes corporatives vinculants: Per a grups empresarials o unió d'empreses dedicades a una activitat econòmica conjunta que realitzen transferències internacionals de dades.
 

Mecanismes de certificació (article 42)


Els Responsables o Encarregats del tractaments podran garantir el compliment del Reglament mitjançant mecanismes de certificació, segells i marques de protecció de dades expedits per les Autoritats de control o el Comitè Europeu de Protecció de Dades, segons sigui el seu àmbit territorial.

La certificació serà voluntària i no limitarà la responsabilitat del Responsable o Encarregat del tractament pel que fa al compliment del Reglament.

La certificació serà expedida per organismes certificadors acreditats per les Autoritats competents en protecció de dades per un període màxim de 3 anys i podrà ser renovada si se segueixen complint els requisits de certificació, o podrà ser retirada si no dóna lloc a això.

Organismes de certificació

Els organismes de certificació han de ser acreditats per l'Autoritat de control competent o pel Comitè per un període màxim de 5 anys i podran ser renovats si se segueixen complint els criteris establerts per l'Autoritat expenedora.

El Comitè posarà a disposició pública un registre de tots els mecanismes de certificació i segells de protecció de dades acreditats.

 

Codis de conducta (article 40)


Les associacions o organismes que representin categories de Responsables o Encarregats del tractament podran elaborar codis de conducta amb l'objecte d'especificar l'aplicació del Reglament, havent de presentar-los per a la seva aprovació a l'Autoritat de control o la Comissió de la UE, segons sigui el seu àmbit territorial.

Els codis de conducta han de tenir en compte:
  • El tractament lleial i transparent de les dades personals.
  • Els interessos legítims del Responsable del tractament en contextos específics.
  • La recollida de dades.
  • La seudonimización de dades personals.
  • La informació proporcionada als nens, la protecció de les seves dades i la manera de demanar el consentiment als seus representants legals.
  • La informació proporcionada al públic i als interessats.
  • L'exercici dels drets dels interessats.
  • Les mesures i procediments usats pel Responsable del tractament des del disseny i per defecte per a garantir la seguretat del tractament.
  • La notificació de les violacions de seguretat a l'Autoritat de control i la seva comunicació als interessats.
  • Els procediments extrajudicials per resoldre les controvèrsies que pogués haver-hi entre el Responsable del tractament i els interessats.
  • Les transferències internacionals de dades.

En transferències internacionals a tercers països o organitzacions internacionals, els Responsables o Encarregats del tractament adherits a codis de conducta han d'oferir garanties adequades de protecció de dades, assumint compromisos vinculants i d'obligat compliment mitjançant instruments jurídicament vinculants.

En avaluar les repercussions de les operacions de tractament en l'elaboració d'una avaluació d'impacte es tindrà en compte el compliment del codi de conducta a què estigui adherit el Responsable o Encarregat del tractament afectat (article 35, apartat 8).

Les Autoritats de control o altres organismes acreditats per aquestes, podran supervisar el compliment dels codis de conducta, excepte en tractaments realitzats per Autoritats i Organismes públics.

 

Normes corporatives vinculants (article 47)


Les normes corporatives vinculants es defineixen a l'article 4, apartat 20 del GDPR com a polítiques de protecció de dades assumides per un grup empresarial o una unió d'empreses dedicades a una activitat econòmica conjunta, d'ara endavant GRUP, per tal d'oferir garanties adequades per a les transferències internacionals de dades.

Un grup empresarial es defineix en l'article 4, apartat 19 com un grup que comprèn una empresa que exerceix el control i les seves empreses controlades.

Un GRUP podrà sol·licitar a l'Autoritat de control l'aprovació de normes corporatives vinculants quan:
 
  • Siguin jurídicament vinculants i s'apliquin a totes les empreses afectades del GRUP.
  • Confereixin expressament als interessats drets exigibles en relació amb el tractament de les seves dades.

Les normes corporatives vinculants han d'especificar, com a mínim:
 
  • L'estructura i les dades de contacte del GRUP i de cadascun dels seus membres.
  • El seu caràcter jurídicament vinculant, tant a nivell intern com extern.
  • Els països destinataris de les transferències internacionals, les categories de dades, el tipus de tractaments, els fins del mateix i el tipus d'interessats afectats.
  • L'aplicació dels principis generals en matèria de protecció de dades:
    • Base jurídica del tractament.
    • Limitació de la finalitat.
    • Minimització de les dades.
    • Períodes de conservació limitats.
    • Qualitat de les dades.
    • Protecció de dades des del disseny i per defecte.
    • Tractament de categories especials de dades.
    • Mesures per garantir la seguretat de les dades.
    • Requisits relatius a comunicacions posteriors de dades a altres organitzacions que no estiguin vinculades per les normes corporatives vinculants.
  • La forma en què es facilitarà als interessats la informació sobre les normes corporatives vinculants.
  • Els drets dels interessats i els mitjans per exercir-los.
  • El dret a presentar una reclamació davant l'Autoritat de control i òrgans jurisdiccionals competents de la UE.
  • El dret a obtenir una reparació i, si escau, una indemnització per la violació de les normes corporatives vinculants.
  • Els procediments de reclamació.
  • L'acceptació de la responsabilitat per qualsevol violació de les normes corporatives vinculants per part de qualsevol membre del GRUP no establert a la Unió.
  • Les funcions del DPO encarregat de la supervisió del compliment de les normes corporatives vinculants i la tramitació de reclamacions.
  • Els mecanismes establerts dins el GRUP per:
    • Garantir el compliment de les normes corporatives vinculants.
    • Comunicar i registrar les modificacions de les normes corporatives vinculants i la seva notificació a l'Autoritat de control.
    • Informar a l'Autoritat de control de qualsevol requisit jurídic al qual estigui sotmès un membre del GRUP en un tercer país quan sigui probable que tingui un efecte advers sobre les garanties establertes en les normes corporatives vinculants.
    • Formar el personal autoritzat en matèria de protecció de dades.
 
 

Seguiment del curs Expert en el GDPR


Tema anterior: 17. El Delegat de Protecció de dades (DPO)     Tema següent: 19. L'Autoritat de control



Informació relacionada