Aplicación del GDPR: 7. Garantías de cumplimiento (documentación)
14/04/2017
13/12/2016 | FS Consultores I Aplicación del GDPR - News
Documentación para garantizar el cumplimiento del GDPR
El Reglamento dispone de varios mecanismos para garantizar que se han implementado medidas adecuadas de protección de datos y acreditar su cumplimiento. Dichas garantías pretenden incrementar la confianza y la transparencia de las actuaciones llevadas a cabo con datos personales por Responsables y Encargados del tratamiento.
Las garantías de cumplimiento que prevé el Reglamento son:
- Mecanismos de certificación: Para Responsables o Encargados del tratamiento a título individual (Certificados, Sellos y Marcas de protección de datos).
- Códigos de conducta: Para asociaciones u organismos que representen categorías de Responsables o Encargados del tratamiento.
- Normas corporativas vinculantes: Para grupos empresariales o unión de empresas dedicadas a una actividad económica conjunta que realicen transferencias internacionales de datos.
Cualquier Responsable o Encargado del tratamiento también podrá emitir por su cuenta un certificado que garantice el cumplimiento de las disposiciones establecidas en el Reglamento.
En este artículo vamos a centrarnos en el certificado de cumplimiento emitido por el Responsable o Encargado del tratamiento. Para ello, deberemos crear diversos protocolos de actuación con el fin de poder garantizar la protección de datos en todas las fases del tratamiento:
- Principios del tratamiento (responsabilidad proactiva)
- Responsabilidad del tratamiento (registro de las actividades)
- Política de información (información y comunicación al interesado)
- Política de seguridad (análisis de riesgos y evaluación del impacto)
- Medidas de protección de datos (actuaciones específicas de seguridad)
Como la información sobre estos protocolos ya se ha se han tratado extensamente en artículos anteriores, detallaremos un resumen de los informes que debemos disponer para poder certificar que garantizamos la protección de datos conforme lo dispuesto en el Reglamento.
RESPONSABILIDAD PROACTIVA
Este informe debe contener el cumplimiento de los principios del tratamiento para cada uno de los ficheros de datos.
La obligación de disponer de un informe de Responsabilidad proactiva recae en cualquier Responsable o Encargado del tratamiento.
ACTUACIÓN (RT y ET) |
DETALLES |
Identificación de Ficheros |
- Nombre del fichero.
- Descripción del tratamiento.
- Responsabilidad del tratamiento.
- Sistema de tratamiento.
- Categoría de datos.
- Categorías de tratamiento.
|
Principios del tratamiento |
- Licitud.
- Limitación de los fines.
- Minimización de los datos.
- Exactitud.
- Limitación del plazo de conservación.
- Integridad y confidencialidad.
|
REGISTRO DE LAS ACTIVIDADES DEL TRATAMIENTO
Este informe debe contener un registro de todos flujos de transmisión de datos entre los intervinientes y la responsabilidad adquirida en el tratamiento de cada uno de los ficheros de datos. Recordar que existe la obligación de suscribir los correspondientes contratos de protección de datos con todos los intervinientes.
La obligación de disponer de un informe del Registro de las actividades del tratamiento recae en cualquier Responsable o Encargado del tratamiento que concurra en alguna de las siguientes condiciones:
- Empleen a un mínimo de 250 personas.
- Realicen habitualmente tratamientos que puedan suponer un riesgo para los interesados.
- Traten categorías especiales de datos.
- Traten datos relativos a condenas y delitos penales.
ACTUACIÓN (RT) |
DETALLES |
Registro de intervinientes |
- Encargados del tratamiento.
- Corresponsables del tratamiento.
- Destinatarios de datos.
|
Registro de las actividades |
- Nombre y datos de contacto de los intervinientes.
- Fines del tratamiento.
- Categorías de interesados.
- Categorías de datos y de tratamiento.
- Categorías de Destinatarios de datos.
- Transferencias internacionales de datos.
- Plazos previstos para la supresión de datos.
- Medidas técnicas y organizativas de seguridad.
|
ACTUACIÓN (ET) |
DETALLES |
Registro de intervinientes |
- Responsables del tratamiento.
- Subcontratación del tratamiento (Subencargados).
- Destinatarios de datos.
|
Registro de las actividades |
- Nombre y datos de contacto de los intervinientes.
- Categorías de datos y de tratamiento.
- Categorías de Destinatarios de datos.
- Transferencias internacionales de datos.
- Medidas técnicas y organizativas de seguridad.
|
POLÍTICA DE INFORMACIÓN
Este informe debe contener un protocolo de actuación para cada uno de los ficheros de datos, que refleje políticas concisas, transparentes, sencillas y accesibles para comunicar al interesado los detalles del tratamiento y el ejercicio de los derechos sobre sus datos.
La obligación de disponer de una Política de información recae en cualquier Responsable del tratamiento.
ACTUACIÓN (RT) |
DETALLES |
Información al interesado |
Información básica:
- Base jurídica del tratamiento.
- Identidad y los datos de contacto del RT y DPO (si existe).
- Fines del tratamiento.
- Plazo de conservación de los datos o los criterios que lo determinen.
- Derechos del interesado.
Información específica (solo si es de aplicación):
- Interés legítimo del RT.
- Destinatarios de datos.
- Transferencias internacionales de datos.
- Elaboración de perfiles.
Para datos obtenidos de fuentes externas:
- Fuente de procedencia.
- Categorías de datos.
|
Comunicación al interesado |
Cuando se obtienen los datos del interesado:
- En el momento de la obtención de datos.
Cuando no se obtienen los datos del interesado:
- Plazo máximo de 1 mes.
- En la primera comunicación con el interesado.
- Antes de comunicar los datos a un Destinatario.
No será necesario comunicar la información:
- El tratamiento es una obligación legal.
- El interesado ya dispone de la información.
- La comunicación es imposible o supone un esfuerzo desproporcionado.
|
Derechos del interesado |
Derechos básicos:
- Acceso: comunicar los datos.
- Rectificación: modificar los datos y comunicarlo a Destinatarios.
- Supresión: eliminar los datos y comunicarlo a Destinatarios.
- Limitación: restringir el tratamiento y comunicarlo a Destinatarios.
- Oposición: cancelar el tratamiento y comunicarlo a Destinatarios.
Derechos específicos (solo si es de aplicación):
- Portabilidad: Transmitir datos a otro RT en tratamientos automatizados.
- Elaboración de perfiles: cancelar el tratamiento automatizado.
|
POLÍTICA DE SEGURIDAD
Este informe debe contener un protocolo de actuación para cada uno de los ficheros de datos, que refleje la implementación de políticas técnicas y organizativas adecuadas que garanticen la protección de datos teniendo en cuenta los riesgos que pueda tener el tratamiento como consecuencia de la destrucción accidental o ilícita de datos, la pérdida, alteración o comunicación de datos y el acceso a los datos cuando sean transmitidos, conservados u objeto de algún otro tipo de tratamiento.
La obligación de disponer de una Política de seguridad recae en cualquier Responsable o Encargado del tratamiento.
ACTUACIÓN (RT y ET) |
DETALLES |
Derechos del interesado |
- Estructura y organización de datos de manera que se puedan ejercer los derechos del interesado.
|
Desde el diseño y por defecto |
- Estructura y organización de las operaciones de tratamiento de manera que se puedan implementar medidas adecuadas de protección de datos.
|
Análisis de riesgos |
- Determinar la probabilidad que el tratamiento comporte un alto riesgo para los derechos y libertades de los interesados.
|
Evaluación de impacto |
Solo cuando sea probable que exista un alto riesgo para los derechos y libertades de los interesados:
- Utilización de nuevas tecnologías con alto riesgo.
- Elaboración de perfiles que pueda afectar a los interesados.
- Datos relativos a condenas y delitos penales.
- Tratamiento a gran escala basado en la observación sistemática de una zona de acceso público o en categorías especiales de datos.
|
Violaciones de la seguridad |
- Protocolo de actuación en el caso de existir una violación de seguridad.
- Notificación a la Autoridad de control o a los interesados.
|
MEDIDAS DE PROTECCIÓN DE DATOS
Este informe debe contener un protocolo que determine la implantación de medidas adecuadas de protección de datos para cada uno de los ficheros de datos, mediante actuaciones específicas de seguridad aplicables a todas las fases del tratamiento: obtención, acceso, intervención, transmisión, conservación y supresión.
La obligación de implantar Medidas de protección de datos recae en cualquier Responsable o Encargado del tratamiento.
ACTUACIÓN (RT y ET) |
DETALLES |
Obtención |
- Procedimientos para la obtención de datos.
|
Acceso |
- Acceso a equipos y redes informáticas.
- Identificación y autenticación.
|
Intervención |
- Protección de equipos y redes informáticas.
- Protección de documentos.
|
Transmisión |
- Transporte de documentos.
- Procedimientos de comunicación.
- Transferencias internacionales.
|
Conservación |
- Criterios de conservación.
- Copias de respaldo.
|
Supresión |
- Mecanismos de destrucción.
- Seudonimización.
|
OTROS INFORMES PARA GARANTIZAR EL CUMPLIMIENTO
Aunque los informes anteriormente descritos son de obligado cumplimiento para Responsables o Encargados del tratamiento, existen otro tipo de informes que serán de gran utilidad para poder garantizar la protección de datos. Estos son:
- Protocolo para la atención de los derechos del interesado.
- Registro de acuerdos de confidencialidad con el personal autorizado.
- Registro de contratos de protección de datos con empresas externas.
- Registro de violaciones de seguridad (documentación, resolución y notificación).
- Auditoría de cumplimiento del GDPR.
- Medidas correctivas a implementar.
Josep Aragonés Salvat
Información relacionada