Aplicación del GDPR: 3. Responsabilidad del tratamiento
Josep Aragonés Salvat 11/10/2016
Aplicar la protección de datos paso a paso
En los artículos anteriores dedicados a la aplicación del GDPR hemos visto qué es un tratamiento de datos personales, los principios de la protección de datos y la licitud para poder tratarlos.
Visto esto, revisamos el procedimiento para realizar una adaptación al Reglamento:
1. Tratamiento de datos
- Identificar los datos personales que tratamos y estructurarlos en ficheros según su finalidad.
- Asignar a cada fichero una categoría de datos (Básicos, Especiales o Penales).
- Asignar a cada fichero la responsabilidad del tratamiento (Responsable o Encargado del tratamiento).
- Analizar si a algún fichero le corresponde alguna categoría de tratamiento (Alto riesgo, Transferencias internacionales, Elaboración de perfiles, Grupo de empresas y Titularidad o interés público).
- Comprobar el cumplimiento de los principios del tratamiento.
2. Licitud del tratamiento
- Métodos para la obtención del consentimiento para el tratamiento de datos.
- Procedimientos para informar del tratamiento al interesado.
- Establecer una política de información.
3. Responsabilidad del tratamiento
- Protocolo de actuación para adaptarse al Reglamento.
- Contratos con el personal autorizado para el tratamiento de datos.
- Contratos con las empresas autorizadas para el tratamiento de datos (Encargados del tratamiento).
- Cuando el Responsable también es Encargado del tratamiento.
- Acuerdos con Corresponsables del tratamiento.
- Contratos de cesión de datos a Destinatarios (cuando comunicamos datos a otros Responsables).
- Cuando el Responsable también es receptor de datos (Destinatario)
- Empresas sin permiso de acceso a datos.
- Registro de las actividades del tratamiento.
- Resumen de la responsabilidad del tratamiento.
Protocolo de actuación para adaptarse al Reglamento
La obligación de proteger los datos personales recae en todos los participantes en el tratamiento, pero la máxima responsabilidad la tiene el Responsable del tratamiento, que es el que determina los fines y los medios del tratamiento.
Una vez identificado el tratamiento de datos y la licitud del tratamiento, el Responsable debe establecer quién va a tratar los datos, si van a ser personas físicas a su cargo o empresas externas contratadas para ello, o ambas a la vez. También deberá identificar si los datos podrán ser cedidos a terceros y si se prevén realizar transferencias internacionales. En cualquier caso, deberá implementar medidas técnicas y organizativas apropiadas y proporcionadas para garantizar la protección de datos en relación con las actividades del tratamiento (política de seguridad).
El Responsable del tratamiento será el garante universal de que el tratamiento se efectúa conforme al Reglamento y solo podrá desvincularse de su responsabilidad si formaliza contratos o acuerdos conforme lo dispuesto en el GDPR con todos los intervinientes en el tratamiento.
El Responsable deberá comprobar si tiene la obligación de llevar un Registro de las actividades del tratamiento.
Contratos con el personal autorizado para el tratamiento de datos
El Responsable del tratamiento debe garantizar que el personal que realiza el tratamiento, sea propio o ajeno, se compromete a:
- Realizar el tratamiento siguiendo las instrucciones del Responsable.
- Respetar la confidencialidad de los datos.
Para ello, el Responsable debe diseñar una política de seguridad donde incluirá las instrucciones necesarias para que el tratamiento se realice conforme el Reglamento y la dará a conocer al personal autorizado para su cumplimiento.
También formalizará acuerdos de confidencialidad, por escrito y debidamente firmados por ambas partes, en formato electrónico o papel, para poder demostrar que ha comunicado al personal las instrucciones del tratamiento y el deber de secreto profesional.
Contratos con las empresas autorizadas para el tratamiento de datos (Encargados del tratamiento)
El Responsable del tratamiento solo podrá contratar empresas Encargadas del tratamiento de datos si ofrecen suficientes garantías para cumplir el Reglamento y se comprometan a seguir sus instrucciones.
Para ello, deberá suscribir un contrato, por escrito y debidamente firmado por ambas partes, en formato electrónico o papel, para poder demostrar que le ha comunicado las instrucciones para el tratamiento con todos los detalles que le obliga el Reglamento.
Cuando el Responsable también es Encargado del tratamiento
Si además de Responsable también somos Encargados del tratamiento, deberemos preocuparnos de suscribir un contrato con el Responsable del tratamiento antes de proceder al tratamiento y cumplir las disposiciones en él reflejadas.
En este caso, como ya indicábamos en el primer capítulo dedicado a la aplicación del GDPR “
1. Tratamiento de datos”, deberemos clasificar los datos tratados por encargo del Responsable en ficheros y designarles las categorías de datos y de tratamiento correspondientes para cumplir la normativa específica para dichas categorías.
A tener en cuenta que si tratamos datos por cuenta de un Responsable sin suscribir el contrato correspondiente, el tratamiento será considerado ilícito y nos será de aplicación el Reglamento como Responsable del tratamiento.
El Encargado deberá comprobar si tiene la obligación de llevar un Registro de las actividades del tratamiento.
Subcontratación del servicio a otro Encargado del tratamiento
El Encargado del tratamiento solo podrá subcontratar el servicio a otro Encargado si existe una autorización previa y por escrito del Responsable del tratamiento. Si fuera el caso, deberá formalizar un contrato entre los dos Encargados que disponga las mismas obligaciones adquiridas con el Responsable del tratamiento.
El Encargado del tratamiento será responsable subsidiario ante el Responsable del tratamiento del incumplimiento de las obligaciones del Encargado subcontratado.
Acuerdos con Corresponsables del tratamiento
Cuando los fines y los medios del tratamiento se determinan entre varios Responsables, todos serán Corresponsables del tratamiento.
La relación entre Corresponsables del tratamiento (varios Responsables) se formalizará mediante un acuerdo, por escrito y debidamente firmado por ambas partes, en formato electrónico o papel, para poder demostrar las funciones y responsabilidades asignadas a cada uno.
Contratos de cesión de datos a Destinatarios (cuando comunicamos datos a otros Responsables)
Cuando el tratamiento precise la transmisión o cesión de datos a otra empresa distinta de un Encargado del tratamiento, esta será considerada Destinatario de datos.
El Responsable solo podrá comunicar datos a Destinatarios si se cumplen todos los siguientes requisitos:
- Es necesario para alcanzar la finalidad del tratamiento.
- Informa al interesado de la cesión de datos (excepto en las cesiones a Autoridades públicas para una investigación concreta de interés general regulada por la ley).
Antes de transferir datos a un Destinatario deberemos suscribir un contrato, por escrito y debidamente firmado por ambas partes, en formato electrónico o papel, donde se refleje la licitud de la obtención de datos, la finalidad de la cesión y que el Destinatario será el Responsable del tratamiento de dichos datos. No será necesario suscribir un contrato con el Destinatario cuando la transmisión de datos esté regulada por la ley.
Cuando el Responsable también es receptor de datos (Destinatario)
Si recibimos datos como Destinatarios, tal y como indicábamos en el primer capítulo dedicado a la aplicación del GDPR “
1. Tratamiento de datos”, deberemos clasificarlos en ficheros y asignarles las categorías de datos y de tratamiento que les correspondan para tratarlos como Responsable del tratamiento.
Empresas sin permiso de acceso a datos
Cuando el Responsable del tratamiento contrata empresas de servicios que no están autorizadas a tratar datos (limpieza, extintores, etc.), deberá analizar los riesgos que puedan existir por realizar el servicio.
Si determina que pueden existir riesgos, deberá formalizar un contrato donde se especifique que no tiene permiso para acceder a los datos personales y que se compromete a establecer acuerdos de confidencialidad con el personal que presta los servicios en la empresa, por si, en el ejercicio de su trabajo, accedieran de manera accidental o fortuita a ellos.
Registro de las actividades del tratamiento
La obligación de llevar un Registro de actividades afecta a Responsables y Encargados del tratamiento que cumplan alguna de las siguientes condiciones:
- Empleen a un mínimo de 250 personas.
- Realicen habitualmente tratamientos que puedan suponer un riesgo para los interesados.
- Traten categorías especiales de datos.
- Traten datos relativos a condenas y delitos penales.
El Registro de actividades deberá documentarse en formato electrónico y contener la siguiente información:
Responsable del tratamiento:
- Datos contacto de todos los implicados en el tratamiento.
- Fines del tratamiento.
- Descripción de las categorías de interesados.
- Descripción de las categorías de datos.
- Categorías de Destinatarios.
- Transferencias internacionales de datos y documentación de garantías apropiadas.
- Cuando sea posible:
- Plazos previstos para suprimir las categorías de datos.
- Descripción de las medidas técnicas y organizativas de seguridad.
Encargado del tratamiento:
- Datos de contacto de todos los implicados en el tratamiento.
- Categorías de datos y de tratamiento efectuados en nombre de cada Responsable del tratamiento.
- Transferencias internacionales de datos y documentación de garantías apropiadas.
- Cuando sea posible, una descripción de las medidas técnicas y organizativas de seguridad.
Resumen de la responsabilidad del tratamiento
|
|
Responsable del tratamiento |
Clasificar los ficheros en categorías de datos y de tratamiento
Determinar los fines y los medios del tratamiento
Garantizar la protección de datos
Acuerdos de confidencialidad con el personal
Contratos de acceso a datos con los Encargados del tratamiento
Acuerdos de corresponsabilidad con los Corresponsables del tratamiento
Contratos de cesión de datos con Destinatarios
Registro de actividades
|
Personal autorizado |
Seguir las instrucciones del Responsable del tratamiento
Acuerdo de compromiso de confidencialidad |
Encargado del tratamiento |
Contratos de acceso a datos con el Responsable del tratamiento
Seguir las instrucciones del Responsable del tratamiento
Clasificar los ficheros asignándoles categorías de datos y de tratamiento
Acuerdos de confidencialidad con el personal
Gestionar los derechos de los interesados del Responsable del tratamiento
Autorización del Responsable para subcontratar a otros Encargados del tratamiento
Registro de actividades |
Corresponsable del tratamiento |
Definir las funciones de cada Corresponsable del tratamiento
Determinar las responsabilidades de cada Corresponsable del tratamiento
Acordar la gestión de los derechos de los interesados |
Destinatario de datos |
Contratos de cesión de datos con el Responsable o Encargado del tratamiento
Información sobre la licitud de la comunicación de datos
Tratamiento de datos para alcanzar los fines
Proceder como Responsable del tratamiento de los datos obtenidos |
Sin permiso de acceso a datos |
Analizar los riesgos del servicio
Contratos sin permiso de acceso a datos con el Responsable o Encargado del tratamiento
Acuerdos de confidencialidad con el personal |
Registro de actividades |
Emplear a un mínimo de 250 personas
Realizar habitualmente tratamientos con riesgo para los interesados
Tratar categorías especiales de datos
Tratar datos relativos a condenas y delitos penales |
Información relacionada
Seguimiento del curso Aplicación del GDPR
Tema anterior: 2. Licitud del tratamiento Tema siguiente: 4. Política de seguridad