Procedimiento para adaptarnos al GDPR

 
El procedimiento para realizar una adaptación al GDPR consta de tres áreas:
 
  • El tratamiento
  • La licitación
  • La responsabilidad
 


1. Tratamiento

 
Análisis de los datos
 
  • Descubrir los datos personales que se tratan o se quieren tratar.
  • Estructurar en forma de fichero según su finalidad.
 
Categorización de los datos
 
  • Asignar una categoría de datos (básicos, especiales o penales) a cada fichero.
 
Asignación de responsabilidad
 
  • Asignar a cada fichero la responsabilidad del tratamiento (si los tratamos por cuenta propia somos responsables, si es por cuenta de terceros somos los encargados).
 
Categorización de los tratamientos
 
  • Hay que analizar cada uno de los tratamientos, ya definidos y explicitados, para detectar si se trata de un tratamiento de riesgo; con transferencia internacional de datos; que elabora perfiles de los usuarios; con datos tratados por un grupo de empresas; o con datos de titularidad pública.
  • Cada una de estas categorías exigen un protocolo de actuación diferente.
 
Análisis de los tratamientos
 
  • Asegurar que el tratamiento de cada archivo sea conforme al GDPR. En concreto habrá que asegurar y explicitar: la licitación y finalidad del tratamiento, la minimización de los datos (los datos del fichero son las mínimas necesarias para conseguir la finalidad del tratamiento); la exactitud de los datos (y por tanto sus mecanismos de actualización); la limitación del tiempo de conservación (los datos se mantienen sólo mientras sean necesarias para el tratamiento); los mecanismos para asegurar la integridad y confidencialidad de los datos y la responsabilidad proactiva.

 
 

2. Licitación

 
Obtención
 
  • Métodos para la obtención del consentimiento.
 
Información
 
  • Mecanismos y procesos para informar del tratamiento al interesado.
 
Política de información
 
  • Definir protocolos que permitan al interesado ejercer sus derechos.
 
 

3. Responsabilidad


Adaptación
 
  • La máxima responsabilidad en la protección del se datos personales recae en el Responsable del tratamiento (RT). A él corresponde decidir quien trata los datos: personas a su cargo o empresas externas.
  • El RT debe determinar si los datos pueden ser cedidos a terceros o si habrá transferencias internacionales, y deberá definir una política de seguridad conveniente.
  • El RT debe comprobar si tiene la obligación (por la naturaleza del tratamiento o de los datos tratados) de llevar un Registro de Actividades.
 
Contratación de personal
 
  • El RT debe asegurar que el personal que hace el tratamiento (sea propio o externo) se compromete ha realizar el tratamiento siguiendo sus instrucciones y a respetar la confidencialidad de los datos.
  • El mecanismo concreto como el RT asegura las condiciones anteriores lo incluirá en la política de seguridad. Esta política debe ser comunicada al personal para que puedan cumplir sus directrices.
  • Para poder demostrar que las instrucciones del tratamiento han sido comunicadas, el RT formalizará acuerdos escritos y firmados de confidencialidad.
 
Contratación de encargados
 
  • El RT sólo puede contratar empresas para encargarles el tratamiento si ofrecen las garantías suficientes que dispone el GDPR.
  • Tendrá que suscribir un contrato, escrito y firmado, que permita demostrar que se han comunicado las instrucciones exigidas por GDPR y consideradas en la Política de Seguridad.
 
Aceptación de un encargo
 
  • Si somos encargados de un tratamiento debemos asegurarnos de que tenemos un contrato firmado con el RT. De lo contrario nuestro tratamiento se considera ilícito.
  • El Encargado es responsable subsidiario del RT en caso de incumplimiento del las obligaciones en el tratamiento del cual es encargado.
 
Corresponsabilidad
 
  • Cuando hay más de un RT todos ellos son corresponsables. La relación entre ellos también exige un contrato firmado.
 
Cesión de datos
 
  • El Destinatario de los datos es todo aquel al que, por necesidad del tratamiento, se le transmiten o ceden los datos, y que no es el Encargado.
  • El RT sólo puede comunicar datos a Destinatarios si es necesario para el tratamiento y si el interesado ha sido informado previamente de la cesión. (La transmisión de datos a las autoridades públicas están exentas de la necesidad de informar a la cesión).
  • El RT debe suscribir un contrato con el Destinatario. Figurará la licitud, la finalidad de la cesión, y que el Destinatario se convierte en responsable de los datos cedidos.
  • Si somos Destinatarios, los datos cedidos los debemos tratar como datos personales cualesquiera. Y por lo tanto nos convertimos en el RT.
 
Registro de actividades
 
  • Es una responsabilidad obligada de los RT y los Encargados siempre y cuando tengamos más de 250 empleados; los tratamientos pueden suponer un riesgo para los interesados; tratamos categorías especiales de datos; o tratamos datos penales.




Josep M Merenciano
Departament de Ciències de la Computació
Escola Politècnica Superior d'Enginyeria de Vilanova i la Geltrú (EPSVEG)
Universitat Politècnica de Catalunya