DATA SECURITY
 

Aplicación del GDPR: 1. Tratamiento de datos

 

04/10/2016 | FS Consultores I Aplicacion GDPR - News
 

Tratamiento de datos personales

 
Ya hemos dicho en anteriores artículos que el Reglamento se aplica a las personas físicas o jurídicas, Autoridades públicas, servicios u organismos (en adelante Responsables del tratamiento), que en el ejercicio de su actividad tratan datos personales.

Por lo tanto, el Responsable del tratamiento es el sujeto obligado a cumplir todas las disposiciones del GDPR con el deber de tratar los datos personales de manera lícita y aplicar las medidas adecuadas para protegerlos en cualquier fase del tratamiento.

También cabe recordar que el Reglamento solo es de aplicación cuando los datos personales son tratados por una organización, o sea que no será aplicado cuando se tratan datos de personas jurídicas (empresas) ni tampoco cuando se tratan datos entre personas individuales, excepto si alguna de estas personas realiza el tratamiento para el ejercicio una actividad económica. (más información...)

Vamos a revisar los conceptos básicos del GDPR: 
   
Una vez el Responsable del tratamiento tiene claros estos conceptos básicos, establecerá en su organización un proceso de adaptación para aplicar el Reglamento.

Para ello, primero que nada, debe identificar los ficheros de datos personales que está tratando o que prevea tratar, su finalidad, y si los trata por cuenta propia (Responsable) o por cuenta de terceros (Encargado).

Vamos a poner un ejemplo de un club deportivo como Responsable del tratamiento.

Identificación de los ficheros de datos personales:
  
Fichero Descripción Categoría de datos Responsabilidad
SOCIOS Gestión social. Datos de los asociados (padres, jugadores, alumnos, voluntarios, u otras personas). BÁSICO Responsable
FEDERADOS Gestión de licencias federativas. Son los jugadores que participan en competiciones federadas. Las revisiones médicas de los jugadores estarán incluidas en este fichero ya que no contienen datos de salud, solo indican si es apto o no para competir. BÁSICO Responsable
SALUD Gestión de informes médicos destinados a prevenir trastornos de salud en el ejercicio de actividades físicas o la tramitación de accidentes deportivos. El tratamiento se realizará por interés del jugador o de la persona que participa en las actividades del club. ESPECIAL Responsable
IMÁGENES Gestión de audiovisuales para su publicación en los medios de comunicación (personas que participan en las actividades de club, u otras personas). BÁSICO Responsable
ACTIVIDADES Gestión de los asistentes a las actividades que organiza el club: formación, campus, fiestas sociales, etc. (socios, federados, voluntarios, u otras personas). BÁSICO Responsable
VOLUNTARIOS Organización de actividades sociales (personas, socias o no, que colaboran en la organización de las actividades del club). BÁSICO Responsable
ESCUELAS Gestión por encargo de escuelas para la formación deportiva  de sus alumnos (el club se encarga de la formación deportiva extraescolar). BÁSICO Encargado


 
Como se puede ver en esta tabla, una misma persona (interesado) podría ser objeto de 7 ficheros (o tratamientos) distintos ya que la finalidad y los medios de tratamiento varían para cada uno de ellos.

Recordaremos las distintas categorías de datos que determina el Reglamento:
   
 

Principios del tratamiento

 
Una vez identificados los ficheros, las categorías de datos y la responsabilidad del tratamiento, se deberá garantizar que el tratamiento que se realiza, o que se pretende realizar, será conforme con el Reglamento. (más información...)

Para ello se deben cumplir todos los principios de protección de datos para realizar un tratamiento en cada fichero:
  
Principio Descripción Aplicación
Licitud Lealtad y transparencia con el interesado.
  • Determinar el protocolo que establecerá la organización para informar al interesado (Política de información).
  • Crear la documentación informativa correspondiente.
  • Crear un procedimiento para la obtención del consentimiento explícito del interesado para tratar sus datos.
Limitación de los fines Recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
  • Determinar los fines del tratamiento para cada fichero.
  • No pueden ser fines genéricos, deben ser claros y relacionados entre si.
  • Informar la finalidad del tratamiento en el documento usado para obtener el consentimiento explícito del interesado.
Minimización de los datos Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  • Determinar los datos que se van a obtener (calidad de los datos).
  • Solo se deben obtener los datos que sean necesarios para alcanzar los fines.
  • Eliminar la información que no sea necesaria para el tratamiento.
Exactitud Actualizados sin demora con respecto a los fines para los que se tratan.
  • Determinar procedimientos para actualizar los datos.
  • Avisos o recordatorios a los interesados para actualizar sus datos
Limitación del plazo de conservación Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines por los que se tratan.
  • Determinar los criterios de conservación y eliminación de datos.
  • Guardados solo el tiempo del necesario para conseguir los fines.
  • Informar del plazo en el documento usado para obtener el consentimiento explícito del interesado.
Integridad y confidencialidad Implementar medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales.
  • Determinar el protocolo que establecerá la organización para proteger los datos personales en todas las fases del tratamiento (Política de seguridad).
  • Contratos de confidencialidad con el personal autorizado para el tratamiento.
  • Contratos de tratamiento de datos con empresas externas (Encargados, Corresponsables, Destinatarios, etc.).
  • Aplicación de medidas de seguridad adecuadas para la protección de los datos.
  • Implantar la protección de datos desde el diseño y por defecto.
  • Obtener garantías adecuadas para la transmisión de datos a terceros, inclusive las transferencias internacionales de datos.
  • Análisis de los riesgos previstos en el tratamiento y realización de una evaluación de impacto en el caso que existan.
Responsabilidad proactiva Siendo responsable y capaz de demostrar el cumplimiento de todos los principios del tratamiento.
  • Documentar y guardar los consentimientos, protocolos, políticas, contratos, garantías, registros de actividades, evaluaciones de impacto, auditorías, informes, etc que puedan demostrar el cumplimiento de todos los principios del tratamiento.












































 
 
 

Aplicación de los principios del tratamiento


Todo el Reglamento se basa en la aplicación de estos principios, disponiendo de reglas y normas específicas para diferentes categorías de tratamiento.

Una vez identificados los ficheros y determinados los principios del tratamiento aplicados a los mismos, se procederá a comprobar si las operaciones de tratamiento realizadas con dichos ficheros contemplan alguna de las siguientes categorías de tratamiento:

 
En el caso que algún fichero contemplara alguna de las categorías de tratamiento mencionadas, se debería determinar un protocolo de actuación para implementar la normativa específica que les afecte.

La primera fase para la identificación del tratamiento comprende, como hemos especificado anteriormente:
 

En una segunda fase, que publicaremos en próximos artículos, se detallarán los procesos para conseguir una aplicación efectiva del GDPR con el fin de ser responsable y capaz de demostrar el cumplimiento de todos los principios del tratamiento (responsabilidad proactiva):
   
 Josep Aragonés Salvat

Información relacionada 

 


Esta web utiliza la cookie _ga propiedad de Google Analytics, persistente durante 2 años, para habilitar la función de control de visitas únicas con el fin de facilitarle su navegación por el sitio web.
Si continúa navegando consideramos que está de acuerdo con su uso. Podrá revocar el consentimiento y obtener más información consultando nuestra Política de cookies

Acepto