Procedimiento para adecuarse al GDPR


Manuel Castilleja Toscano     23/02/2017


 

Planificación de un procedimiento para adecuarse al cumplimiento del GDPR

 
Para planificar una adaptación al nuevo Reglamento europeo de protección de datos se deberían tener en cuenta estos 6 procesos:

 
  1. Principios de tratamiento
  2. Registro de las actividades del tratamiento
  3. Política de información
  4. Ejercicio de los derechos del interesado
  5. Política de seguridad
  6. Medidas de protección de datos
 
 
 
1º.- Principios de tratamiento
 
Cumplir con los principios de tratamiento, esto es la responsabilidad proactiva: licitud, exactitud y minimización de los datos, limitación de los fines y del plazo de conservación, integridad y confidencialidad.

Identificar los datos de carácter personal que vamos a tratar en el ejercicio de nuestra actividad, y crear los ficheros correspondientes, con la descripción del tratamiento, el sistema de tratamiento, las categorías de datos correspondientes, la categoría de tratamiento si fuese preciso, y la determinación también de nuestra responsabilidad, esto es si somos responsables o encargados del tratamiento.
 

2º.- Registro de las actividades del tratamiento
 
Si se dan las circunstancias (más de 250 empleados, que el tratamiento pueda suponer un riesgo para los interesados, o se traten categorías de datos especiales o penales), llevar un registro de intervinientes y otro de actividades.

 
3º.- Política de información
 
Establecer una política de información a los interesados. No será necesaria comunicarla a los interesados cuando el tratamiento sea una obligación legal, el interessado ya fue informado antes, o supone un esfuerzo desproporcionado. En el resto de los casos siempre habrá que hacérsela conocer, antes del recabo si obtenemos los datos del interesado, y si no los obtenemos del interesado en un plazo máximo de un mes, en la primera comunicación, o antes de comunicarlos  a un destinatario.

 
4º.- Ejercicio de los derechos del interesado
 
Establecer los protocolos para que los interesados puedan ejercer sus derechos y para la atención de los mismos: acceso, rectificación, supresión (olvido), oposición, limitación, portabilidad, no ser objeto de elaboración de perfiles, interponer una reclamación ante la autoridad de control, responsabilidad e indemnización.
 
 
5º.- Política de seguridad
 
Establecer una política de seguridad:
 
  • Estructurar y organizar los datos y las operaciones de tratamiento de manera que los interesados puedan ejercer sus derechos y que se puedan implementar medidas técnicas y organizativas que permitan la protección de datos desde el diseño y por defecto, esto es desde el inicio del tratamiento y durante todo el tiempo que dure el mismo.
  • Cuando haya tratamientos de alto riesgo se realizarán evaluaciones de impacto.
  • Cuando se produzca una incidencia, una violación de la seguridad, se evaluarán las consecuencias, se tomarán las medidas correctoras pertinentes, y se notificarán en un plazo no superior a 72 horas a la Autoridad de Control. Y llevar un registro de incidencias.
 
  
6º.- Medidas de protección de datos
 
Aplicar las siguientes medidas de protección de datos:
 
  • Usuario y contraseña (con cambios periódicos, no más de un año) para el acceso a redes, equipos informáticos con datos, etc.. Permisos de acceso para los accesos a datos en formato papel. Mecanismos de seguridad para el mobiliario donde se archiven los datos en formato papel. Copias de respaldo internas y externas. Mecanismos de destrucción, seudonimización de datos, medidas de seguridad para el transporte de documentos o soportes con datos, etc.
  • Firmar los contratos de confidencialidad con todas las personas que vayan a tener de una manera u otra acceso a los datos de carácter personal de los que somos responsables. Y llevar un registro de los mismos. Esto es:
    • Con todos los empleados (usuarios) que en el ejercicio de sus funciones tenga permiso de acceso a los datos de carácter personal (acuerdos de confidencialidad).
    • Con cualquier empresa externa que tengamos contratada para que nos preste un servicio determinado, y que para la prestación de este servicio necesite el acceso de sus empleados (usuarios) a los datos de carácter personal de los que somos responsables. O a la inversa si somos nosotros Encargados del tratamiento de algún Responsable del tratamiento. De igual manera el Responsable del tratamiento tendrá que autorizar cualquier subcontratación de encargo del tratamiento  que se produzca y que deberá también estar regulada por un contrato de encargo del tratamiento entre los dos Encargados.
    • Con cualquier tercero al que cedamos los datos, esto es un Destinatario de datos, pero para que él los trate, y por tanto se convierte en Responsable del tratamiento. Y a la inversa si es a nosotros a quien nos ceden los datos, seremos nosotros los Destinatarios, y por tanto Responsables del tratamiento de esos datos.