Aplicación del GDPR: 3. Responsabilidad del tratamiento

 

11/10/2016 | FS Consultores I Aplicación del GDPR 3 - News
 

Aplicar la protección de datos paso a paso

 
En los artículos anteriores dedicados a la aplicación del GDPR hemos visto qué es un tratamiento de datos personales, los principios de la protección de datos y la licitud para poder tratarlos.

Visto esto, revisamos el procedimiento para realizar una adaptación al Reglamento:

1. Tratamiento de datos
 

• Identificar los datos personales que tratamos y estructurarlos en ficheros según su finalidad.
• Asignar a cada fichero una categoría de datos (Básicos, Especiales o Penales).
• Asignar a cada fichero la responsabilidad del tratamiento (Responsable o Encargado del tratamiento).
• Analizar si a algún fichero le corresponde alguna categoría de tratamiento (Alto riesgo, Transferencias internacionales, Elaboración de perfiles, Grupo de empresas y Titularidad o interés público).
• Comprobar el cumplimiento de los principios del tratamiento.

 
2. Licitud del tratamiento
 

• Métodos para la obtención del consentimiento para el tratamiento de datos.
• Procedimientos para informar del tratamiento al interesado.
• Establecer una política de información.

3. Responsabilidad del tratamiento
 

• Protocolo de actuación para adaptarse al Reglamento.
• Contratos con el personal autorizado para el tratamiento de datos.
• Contratos con las empresas autorizadas para el tratamiento de datos (Encargados del tratamiento).
• Cuando el Responsable también es Encargado del tratamiento.
• Acuerdos con Corresponsables del tratamiento.
• Contratos de cesión de datos a Destinatarios (cuando comunicamos datos a otros Responsables).
• Cuando el Responsable también es receptor de datos (Destinatario)
• Empresas sin permiso de acceso a datos.
• Registro de las actividades del tratamiento.
• Resumen de la responsabilidad del tratamiento.

  
 

Protocolo de actuación para adaptarse al Reglamento

La obligación de proteger los datos personales recae en todos los participantes en el tratamiento, pero la máxima responsabilidad la tiene el Responsable del tratamiento, que es el que determina los fines y los medios del tratamiento.

Una vez identificado el tratamiento de datos y la licitud del tratamiento, el Responsable debe establecer quién va a tratar los datos, si van a ser personas físicas a su cargo o empresas externas contratadas para ello, o ambas a la vez. También deberá identificar si los datos podrán ser cedidos a terceros y si se prevén realizar transferencias internacionales. En cualquier caso, deberá implementar medidas técnicas y organizativas apropiadas y proporcionadas para garantizar la protección de datos en relación con las actividades del tratamiento (política de seguridad).

El Responsable del tratamiento será el garante universal de que el tratamiento se efectúa conforme al Reglamento y solo podrá desvincularse de su responsabilidad si formaliza contratos o acuerdos conforme lo dispuesto en el GDPR con todos los intervinientes en el tratamiento.

El Responsable deberá comprobar si tiene la obligación de llevar un Registro de las actividades del tratamiento.

 

Contratos con el personal autorizado para el tratamiento de datos

 
El Responsable del tratamiento debe garantizar que el personal que realiza el tratamiento, sea propio o ajeno, se compromete a:
 

• Realizar el tratamiento siguiendo las instrucciones del Responsable.
• Respetar la confidencialidad de los datos.

 
Para ello, el Responsable debe diseñar una política de seguridad donde incluirá las instrucciones necesarias para que el tratamiento se realice conforme el Reglamento y la dará a conocer al personal autorizado para su cumplimiento.

También formalizará acuerdos de confidencialidad, por escrito y debidamente firmados por ambas partes, en formato electrónico o papel, para poder demostrar que ha comunicado al personal las instrucciones del tratamiento y el deber de secreto profesional.
 

Contratos con las empresas autorizadas para el tratamiento de datos (Encargados del tratamiento)

 
El Responsable del tratamiento solo podrá contratar empresas Encargadas del tratamiento de datos si ofrecen suficientes garantías para cumplir el Reglamento y se comprometan a seguir sus instrucciones.

Para ello, deberá suscribir un contrato, por escrito y debidamente firmado por ambas partes, en formato electrónico o papel, para poder demostrar que le ha comunicado las instrucciones para el tratamiento con todos los detalles que le obliga el Reglamento.

 

Cuando el Responsable también es Encargado del tratamiento

Si además de Responsable también somos Encargados del tratamiento, deberemos preocuparnos de suscribir un contrato con el Responsable del tratamiento antes de proceder al tratamiento y cumplir las disposiciones en él reflejadas.

En este caso, como ya indicábamos en el primer capítulo dedicado a la aplicación del GDPR “1. Tratamiento de datos”, deberemos clasificar los datos tratados por encargo del Responsable en ficheros y designarles las categorías de datos y de tratamiento correspondientes para cumplir la normativa específica para dichas categorías.

A tener en cuenta que si tratamos datos por cuenta de un Responsable sin suscribir el contrato correspondiente, el tratamiento será considerado ilícito y nos será de aplicación el Reglamento como Responsable del tratamiento.

El Encargado deberá comprobar si tiene la obligación de llevar un Registro de las actividades del tratamiento.
 

Subcontratación del servicio a otro Encargado del tratamiento

El Encargado del tratamiento solo podrá subcontratar el servicio a otro Encargado si existe una autorización previa y por escrito del Responsable del tratamiento. Si fuera el caso, deberá formalizar un contrato entre los dos Encargados que disponga las mismas obligaciones adquiridas con el Responsable del tratamiento.

El Encargado del tratamiento será responsable subsidiario ante el Responsable del tratamiento del incumplimiento de las obligaciones del Encargado subcontratado.
 
 

Acuerdos con Corresponsables del tratamiento

 
Cuando los fines y los medios del tratamiento se determinan entre varios Responsables, todos serán Corresponsables del tratamiento.

La relación entre Corresponsables del tratamiento (varios Responsables) se formalizará mediante un acuerdo, por escrito y debidamente firmado por ambas partes, en formato electrónico o papel, para poder demostrar las funciones y responsabilidades asignadas a cada uno.

 

Contratos de cesión de datos a Destinatarios (cuando comunicamos datos a otros Responsables)

Cuando el tratamiento precise la transmisión o cesión de datos a otra empresa distinta de un Encargado del tratamiento, esta será considerada Destinatario de datos.

El Responsable solo podrá comunicar datos a Destinatarios si se cumplen todos los siguientes requisitos:
 

• Es necesario para alcanzar la finalidad del tratamiento.
• Informa al interesado de la cesión de datos (excepto en cesiones a Autoridades públicas).

Antes de transferir datos a un Destinatario deberemos suscribir un contrato, por escrito y debidamente firmado por ambas partes, en formato electrónico o papel, donde se refleje la licitud de la obtención de datos, la finalidad de la cesión y que el Destinatario será el Responsable del tratamiento de dichos datos.

 

Cuando el Responsable también es receptor de datos (Destinatario)

 
Si recibimos datos como Destinatarios, tal y como indicábamos en el primer capítulo dedicado a la aplicación del GDPR “1. Tratamiento de datos”, deberemos clasificarlos en ficheros y asignarles las categorías de datos y de tratamiento que les correspondan para tratarlos como Responsable del tratamiento.
 
 

Empresas sin permiso de acceso a datos

 
Cuando el Responsable del tratamiento contrata empresas de servicios que no están autorizadas a tratar datos (limpieza, extintores, etc.), deberá analizar los riesgos que puedan existir por realizar el servicio.

Si determina que pueden existir riesgos, deberá formalizar un contrato donde se especifique que no tiene permiso para acceder a los datos personales y que se compromete a establecer acuerdos de confidencialidad con el personal que presta los servicios en la empresa, por si, en el ejercicio de su trabajo, accedieran de manera accidental o fortuita a ellos.

 

Registro de las actividades del tratamiento

 
La obligación de llevar un Registro de actividades afecta a Responsables y Encargados del tratamiento que cumplan alguna de las siguientes condiciones:
 

• Empleen a un mínimo de 250 personas.
• Realicen habitualmente tratamientos que puedan suponer un riesgo para los interesados.
• Traten categorías especiales de datos.
• Traten datos relativos a condenas y delitos penales.

El Registro de actividades deberá documentarse en formato electrónico y contener la siguiente información:

Responsable del tratamiento:
 

• Datos contacto de todos los implicados en el tratamiento.
• Fines del tratamiento.
• Descripción de las categorías de interesados.
• Descripción de las categorías de datos.
• Categorías de Destinatarios.
• Transferencias internacionales de datos y documentación de garantías apropiadas.
• Cuando sea posible:
  • Plazos previstos para suprimir las categorías de datos.
  • Descripción de las medidas técnicas y organizativas de seguridad.

Encargado del tratamiento:
 

• Datos de contacto de todos los implicados en el tratamiento.
• Categorías de datos y de tratamiento efectuados en nombre de cada Responsable del tratamiento.
• Transferencias internacionales de datos y documentación de garantías apropiadas.
• Cuando sea posible, una descripción de las medidas técnicas y organizativas de seguridad.

  
 

Resumen de la responsabilidad del tratamiento

  

Responsable del tratamiento	Clasificar los ficheros en categorías de datos y de tratamiento Determinar los fines y los medios del tratamiento Garantizar la protección de datos Acuerdos de confidencialidad con el personal Contratos de acceso a datos con los Encargados del tratamiento Acuerdos de corresponsabilidad con los Corresponsables del tratamiento Contratos de cesión de datos con Destinatarios Registro de actividades
Personal autorizado	Seguir las instrucciones del Responsable del tratamiento Acuerdo de compromiso de confidencialidad
Encargado del tratamiento	Contratos de acceso a datos con el Responsable del tratamiento Seguir las instrucciones del Responsable del tratamiento Clasificar los ficheros asignándoles categorías de datos y de tratamiento Acuerdos de confidencialidad con el personal Gestionar los derechos de los interesados del Responsable del tratamiento Autorización del Responsable para subcontratar a otros Encargados del tratamiento Registro de actividades
Corresponsable del tratamiento	Definir las funciones de cada Corresponsable del tratamiento Determinar las responsabilidades de cada Corresponsable del tratamiento Acordar la gestión de los derechos de los interesados
Destinatario de datos	Contratos de cesión de datos con el Responsable o Encargado del tratamiento Información sobre la licitud de la comunicación de datos Tratamiento de datos para alcanzar los fines Proceder como Responsable del tratamiento de los datos obtenidos
Sin permiso de acceso a datos	Analizar los riesgos del servicio Contratos sin permiso de acceso a datos con el Responsable o Encargado del tratamiento Acuerdos de confidencialidad con el personal
Registro de actividades	Emplear a un mínimo de 250 personas Realizar habitualmente tratamientos con riesgo para los interesados Tratar categorías especiales de datos Tratar datos relativos a condenas y delitos penales

 



 Josep Aragonés Salvat

Información relacionada

 

• Aplicación del GDPR: 1. Tratamiento de datos
• Aplicación del GDPR: 2. Licitud del tratamiento
• Aplicación del GDPR: 4. Política de seguridad
• Aplicación del GDPR: 5. Categorías de tratamiento
• Aplicación del GDPR: 6. Derechos del interesado
• Aplicación del GDPR: 7. Garantías de cumplimiento (documentación)
• Conceptos generales de la protección de datos
• La responsabilidad del tratamiento
• Empresas externas con acceso a datos
• El Encargado del tratamiento
• El Corresponsable del tratamiento
• Los Destinatarios de datos
• Publicación oficial del Reglamento Europeo de Protección de Datos