Com planificar una adaptació al nou Reglament europeu GDPR?

Planificació d'una adaptació al GDPR

Entenem per tractament de dades personals qualsevol operació realitzada sobre les dades personals, des de l’emmagatzematge a la seva manipulació, transformació i transmissió.

Un fitxer és un conjunt estructurat de dades que permet el seu tractament per a una determinada finalitat. 

L’adaptació al GDPR requereix seguir les següents fases:

1. Anàlisi i categorització de les dades

Identificar els fitxers, les categories de dades  (bàsiques, especials o penals) i la nostra responsabilitat (si els tractem per compte propi en som responsables; si és per compte de tercers en som els encarregats).

2. Anàlisi dels tractaments

Assegurar que el tractament de cada fitxer sigui conforme al GDPR. En concret caldrà assegurar i explicitar: la licitació i finalitat del tractament; la minimització de les dades (les dades del fitxer són les mínimes necessàries per aconseguir la finalitat del tractament); l’exactitud de les dades (i per tant els seus mecanismes d’actualització); la limitació del temps de conservació (les dades es mantenen només mentre siguin necessàries pel tractament); i els mecanismes per assegurar la integritat i confidencialitat de les dades i la responsabilitat proactiva.

3. Categorització dels tractaments

Cal  analitzar cadascun dels tractaments, ja definits i explicitats, per detectar si es tracta d’un tractament de risc; amb transferència internacional de dades; que elabora perfils  dels usuaris; amb dades tractades per un grup d’empreses; o amb dades de titularitat pública. Cadascuna d’aquestes categories exigeixen un protocol d’actuació diferent.

4. Política d’informació

Des de l’inici del disseny del tractament s’han de tenir en compte els drets dels interessats. Per això és imprescindible definir una política d’informació, on es contempli com es dóna i s’informa del consentiment, i de quins protocols cal seguir per tal que els interessat puguin exercir els seus drets.

5. Política de seguretat

Des de l’inici del disseny del tractament s’ha de tenir en compte la seguretat. Per això és imprescindible definir una política de seguretat, amb actuacions administratives (contractes, acords de confidencialitat,..) i tècniques (encriptació, còpies de seguretat, distribució de dades,...)


L’aplicació de qualsevol d’aquestes fases s’ha de poder demostrar per garantir el principi de responsabilitat proactiva.
 
El principi de la responsabilitat proactiva és una de les grans novetats del GDPR. La idea  subjacent és que pertoca al responsable del fitxer, i no al legislador, establir les mesures pertinents de seguretat. Això significa que tota mesura presa ha d’estar raonada, explicitada i documentada, de tal manera que es pugui posar en coneixement dels interessats (sigui la persona de qui manipulem dades, sigui algun tipus d’autoritat) en qualsevol moment.
 
De fet, en la descripció de les fases necessàries que cal segui per adaptar-se al GDPR ja es parla en tot moment d’explicitació i informació a l’usuari. Això no deixa  de ser conseqüència de l’aplicació de la responsabilitat proactiva.
 
Hom pot veure la responsabilitat proactiva com el conjunt de processos tècniques i documentació que ens asseguren que complim amb els principis del tractament. Aquests principis són: la licitud i responsabilitat del tractament, la política de seguretat; aplicació correcta del protocol corresponent a la categoria del tractament; els drets de l’interessat i les proves garants del compliment (documentació).


Josep M Merenciano
Departament de Ciències de la Computació
Escola Politècnica Superior d'Enginyeria de Vilanova i la Geltrú (EPSVEG)
Universitat Politècnica de Catalunya