¿Cómo proceder para realizar una adaptación al nuevo Reglamento europeo GDPR?

14/02/2017 | Josep M Merenciano

Procedimiento para adaptarnos al GDPR

 
El procedimiento para realizar una adaptación al GDPR consta de tres áreas:
 
  • El tratamiento
  • La licitación
  • La responsabilidad
 


1. Tratamiento

 
Análisis de los datos
 
  • Descubrir los datos personales que se tratan o se quieren tratar.
  • Estructurar en forma de fichero según su finalidad.
 
Categorización de los datos
 
  • Asignar una categoría de datos (básicos, especiales o penales) a cada fichero.
 
Asignación de responsabilidad
 
  • Asignar a cada fichero la responsabilidad del tratamiento (si los tratamos por cuenta propia somos responsables, si es por cuenta de terceros somos los encargados).
 
Categorización de los tratamientos
 
  • Hay que analizar cada uno de los tratamientos, ya definidos y explicitados, para detectar si se trata de un tratamiento de riesgo; con transferencia internacional de datos; que elabora perfiles de los usuarios; con datos tratados por un grupo de empresas; o con datos de titularidad pública.
  • Cada una de estas categorías exigen un protocolo de actuación diferente.
 
Análisis de los tratamientos
 
  • Asegurar que el tratamiento de cada archivo sea conforme al GDPR. En concreto habrá que asegurar y explicitar: la licitación y finalidad del tratamiento, la minimización de los datos (los datos del fichero son las mínimas necesarias para conseguir la finalidad del tratamiento); la exactitud de los datos (y por tanto sus mecanismos de actualización); la limitación del tiempo de conservación (los datos se mantienen sólo mientras sean necesarias para el tratamiento); los mecanismos para asegurar la integridad y confidencialidad de los datos y la responsabilidad proactiva.

 
 

2. Licitación

 
Obtención
 
  • Métodos para la obtención del consentimiento.
 
Información
 
  • Mecanismos y procesos para informar del tratamiento al interesado.
 
Política de información
 
  • Definir protocolos que permitan al interesado ejercer sus derechos.
 
 

3. Responsabilidad


Adaptación
 
  • La máxima responsabilidad en la protección del se datos personales recae en el Responsable del tratamiento (RT). A él corresponde decidir quien trata los datos: personas a su cargo o empresas externas.
  • El RT debe determinar si los datos pueden ser cedidos a terceros o si habrá transferencias internacionales, y deberá definir una política de seguridad conveniente.
  • El RT debe comprobar si tiene la obligación (por la naturaleza del tratamiento o de los datos tratados) de llevar un Registro de Actividades.
 
Contratación de personal
 
  • El RT debe asegurar que el personal que hace el tratamiento (sea propio o externo) se compromete ha realizar el tratamiento siguiendo sus instrucciones y a respetar la confidencialidad de los datos.
  • El mecanismo concreto como el RT asegura las condiciones anteriores lo incluirá en la política de seguridad. Esta política debe ser comunicada al personal para que puedan cumplir sus directrices.
  • Para poder demostrar que las instrucciones del tratamiento han sido comunicadas, el RT formalizará acuerdos escritos y firmados de confidencialidad.
 
Contratación de encargados
 
  • El RT sólo puede contratar empresas para encargarles el tratamiento si ofrecen las garantías suficientes que dispone el GDPR.
  • Tendrá que suscribir un contrato, escrito y firmado, que permita demostrar que se han comunicado las instrucciones exigidas por GDPR y consideradas en la Política de Seguridad.
 
Aceptación de un encargo
 
  • Si somos encargados de un tratamiento debemos asegurarnos de que tenemos un contrato firmado con el RT. De lo contrario nuestro tratamiento se considera ilícito.
  • El Encargado es responsable subsidiario del RT en caso de incumplimiento del las obligaciones en el tratamiento del cual es encargado.
 
Corresponsabilidad
 
  • Cuando hay más de un RT todos ellos son corresponsables. La relación entre ellos también exige un contrato firmado.
 
Cesión de datos
 
  • El Destinatario de los datos es todo aquel al que, por necesidad del tratamiento, se le transmiten o ceden los datos, y que no es el Encargado.
  • El RT sólo puede comunicar datos a Destinatarios si es necesario para el tratamiento y si el interesado ha sido informado previamente de la cesión. (La transmisión de datos a las autoridades públicas están exentas de la necesidad de informar a la cesión).
  • El RT debe suscribir un contrato con el Destinatario. Figurará la licitud, la finalidad de la cesión, y que el Destinatario se convierte en responsable de los datos cedidos.
  • Si somos Destinatarios, los datos cedidos los debemos tratar como datos personales cualesquiera. Y por lo tanto nos convertimos en el RT.
 
Registro de actividades
 
  • Es una responsabilidad obligada de los RT y los Encargados siempre y cuando tengamos más de 250 empleados; los tratamientos pueden suponer un riesgo para los interesados; tratamos categorías especiales de datos; o tratamos datos penales.




Josep M Merenciano
Departament de Ciències de la Computació
Escola Politècnica Superior d'Enginyeria de Vilanova i la Geltrú (EPSVEG)
Universitat Politècnica de Catalunya

 


Esta web utiliza la cookie _ga propiedad de Google Analytics, persistente durante 2 años, para habilitar la función de control de visitas únicas con el fin de facilitarle su navegación por el sitio web. Si continúa navegando consideramos que está de acuerdo con su uso. Podrá revocar el consentimiento y obtener más información consultando nuestra Política de cookies

ENTENDIDO