GDPR 6. La responsabilitat del tractament

30/08/2016 | Josep Aragonés Salvat



Responsables del tractament


Tot el Reglament està dedicat al Responsable del tractament, ja que el seu objectiu és establir les normes relatives a la protecció de les persones físiques pel que fa al tractament de les dades personals i les normes relatives a la lliure circulació d'aquestes dades, tasques encomanades a qui realitza el tractament, el Responsable.

Encara que al capítol IV "Responsable del tractament i encarregat del tractament" i en particular a l'Article 24 "Responsabilitat del Responsable del tractament" s'especifiquen les disposicions sobre la seva responsabilitat, a tot el Reglament existeixen referències al mateix, pel que anem a resumir la normativa que l'afecta en els següents apartats:
 
  • Responsabilitat del tractament
  • Principis del tractament
  • Política d'informació
  • Drets de l'interessat
  • Política de seguretat
  • Violacions de seguretat
  • Transferències internacionals de dades
  • Garanties de compliment
  • Delegat de protecció de dades (DPO)
  • Autoritats de control

En aquest post només desenvoluparem la "Responsabilitat del tractament" relativa al capítol IV, Secció 1, relativa a les obligacions generals del Responsable, ja que els altres apartats ja s'han tractat o es tractaran en altres post que inclourem en links al final d'aquest article.

 

Responsabilitat del tractament (article 24)


El Reglament defineix al Responsable del tractament com la persona física o jurídica, autoritat pública, servei o organisme que, sol o conjuntament amb altres, determini les finalitats i els mitjans del tractament.

Recordem que un tractament és qualsevol operació realitzada sobre dades personals: recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, confrontació o interconnexió, limitació, supressió o destrucció.

El Responsable del tractament, abans i durant el tractament, haurà de:
 
  • Implementar mesures tècniques i organitzatives apropiades per garantir i demostrar el compliment del Reglament, tenint en compte:
    • La naturalesa, àmbit, context, i fins del tractament.
    • Els riscos per als drets i llibertats dels interessats.
    • El tipus d'organització.
  • Aplicar mesures de protecció de dades proporcionades en relació amb les activitats del tractament.

El Responsable del tractament pot utilitzar l'adhesió a codis de conducta o als mecanismes de certificació que estableix el Reglament (articles 40 i 42) per a demostrar el seu compliment.

 

Protecció de dades des del disseny i per defecte (article 25)


El Responsable del tractament ha de garantir des del disseny i per defecte, abans i durant el tractament l'aplicació efectiva dels principis de protecció de dades a totes les dades personals tractades, així com al termini de conservació i a l'accessibilitat:
 
  • Que el tractament es realitzi per a fins específics, o sigui recollits amb fins determinats, explícits i legítims i no tractats posteriorment de manera incompatible amb aquestes finalitats.
  • La minimització de dades, sent adequades, pertinents i limitades al necessari en relació amb els fins per a les que són tractades
  • L'exactitud, confidencialitat, integritat, seguretat física i supressió de les dades.
  • La protecció dels drets de l'interessat.
  • Que les dades no siguin accessibles, sense la intervenció humana, a un nombre indeterminat de persones.
  • L'aplicació dels resultats de l'avaluació d'impacte.

El Responsable del tractament podrà utilitzar els mecanismes de certificació queestableix el Reglament (article 42) per a demostrar la protecció de les dades des del disseny i per defecte.

 

Encarregats del tractament (article 28)


Persona física o jurídica, autoritat pública, servei o organisme que, sol o conjuntament amb altres, realitzi un tractament de dades personals per compte del Responsable del tractament.

L'Encarregat del tractament haurà d'oferir garanties suficients per a:
  • Implementar polítiques tècniques i organitzatives apropiades per complir el Reglament.
  • Protegir els drets de l'interessat.
  • Aplicar les mesures de seguretat que estableix el Reglament.
 
Veure informació ampliada sobre l'Encarregat del tractament a: L'Encarregat del tractament



Personal autoritzat per al tractament (articles 28 i 29)


El Responsable o Encarregat del tractament ha de garantir que el personal autoritzat per tractar dades personals s'hagi compromès a respectar la confidencialitat, mitjançant:
 
  • Acords de confidencialitat.
  • Una obligació legal de confidencialitat.

El personal autoritzat realitzarà el tractament únicament:
 
  • Seguint les instruccions del Responsable o Encarregat del tractament.
  • Per una obligació legal (fonamentada en la legislació vigent).
 


Corresponsables del tractament (article 26)


Seran Corresponsables del tractament quan diversos Responsables determinin els fins i els mitjans del tractament.

Els Corresponsables formalitzaran un acord que estarà a disposició dels interessats, on es reflectiran:
 
  • Les funcions de cada Corresponsable pel que fa al tractament i a les seves relacions amb els interessats.
  • Les responsabilitats de cada Corresponsable respecte al Reglament.
  • Els procediments i mecanismes per a l'exercici dels drets de l'interessat.
 
Veure informació ampliada sobre el Corresponsable del tractament a: El Corresponsable del tractament



Representants dels Responsables del tractament no establerts a la UE (article 27)


Els Responsables del tractament de tercers països que tracten dades a la UE, han de designar per escrit un Representant a la UE, quan:
 
  • El tractament de dades sigui habitual (no ocasional).
  • Hi hagi la probabilitat que el tractament pugui suposar un risc per als drets i llibertats de les persones.
  • Es tracten dades de categories especials de dades
  • Es tracten dades relatives a condemnes i delictes penals.

No serà obligatori designar un Representant quan el Responsable del tractament sigui una Autoritat o Organisme públic.

El Representant haurà d'establir-se en algun estat de la UE on resideixin els interessats objecte de tractament.

El Representant haurà d'atendre les consultes dels interessats i de l'Autoritat de control.

 

Registre d'activitats del tractament (article 30)


Els Responsables del tractament tindran l'obligació de portar un Registre d'activitats quan en el tractament de dades concorri en alguna de les següents condicions:
 
  • Emprin a un mínim de 250 persones.
  • Pugui suposar un risc per als drets i llibertats de l'interessat i no tingui un caràcter ocasional.
  • Es tracten categories especials de dades
  • Es tracten dades relatives a condemnes i delictes penals

Els Responsables del tractament, o els seus representants, han de portar i conservar actualitzat un registre de les activitats de tractament efectuades sota la seva responsabilitat, en format electrònic, que contingui:
 
  • Nom i dades contacte de tots els implicats en el tractament: Responsable del tractament, i si és el cas, Representant, DPO, Encarregats del tractament, Corresponsables, Coencarregats i Destinataris.
  • Fins del tractament.
  • Descripció de les categories d'interessats.
  • Descripció de les categories de dades.
  • Categories de Destinataris.
  • Transferències de dades a tercers països, amb la identificació dels mateixos i documentació de garanties apropiades.
  • Quan sigui possible:
    • Terminis previstos per a la supressió de les diferents categories de dades.
    • Descripció general de les mesures tècniques i organitzatives de seguretat.

Els Responsables del tractament, o els seus Representants, han de posar a disposició de l'Autoritat de control el Registre d'activitats del tractament quan aquesta ho sol·liciti i també hauran de cooperar en l'exercici de les seves funcions.
 


Organigrama de la responsabilitat del tractament

 

Seguiment del curs Expert en el GDPR


Tema anterior: 5. Els drets de l'interessat     Tema següent: 7. Empreses externes amb accés a dades



Informació relacionada