Ya hemos dicho en anteriores artículos que el Reglamento se aplica a las personas físicas o jurídicas, Autoridades públicas, servicios u organismos (en adelante Responsables del tratamiento), que en el ejercicio de su actividad tratan datos personales.
Por lo tanto, el Responsable del tratamiento es el sujeto obligado a cumplir todas las disposiciones del GDPR con el deber de tratar los datos personales de manera lícita y aplicar las medidas adecuadas para protegerlos en cualquier fase del tratamiento.
También cabe recordar que el Reglamento solo es de aplicación cuando los datos personales son tratados por una organización, o sea que no será aplicado cuando se tratan datos de personas jurídicas (empresas) ni tampoco cuando se tratan datos entre personas individuales, excepto si alguna de estas personas realiza el tratamiento para el ejercicio una actividad económica. (más información...)
Vamos a revisar los conceptos básicos del GDPR:
Una vez el Responsable del tratamiento tiene claros estos conceptos básicos, establecerá en su organización un proceso de adaptación para aplicar el Reglamento.
Para ello, primero que nada, debe identificar los ficheros de datos personales que está tratando o que prevea tratar, su finalidad, y si los trata por cuenta propia (Responsable) o por cuenta de terceros (Encargado).
Vamos a poner un ejemplo de un club deportivo como Responsable del tratamiento.
Identificación de los ficheros de datos personales:
Fichero | Descripción | Categoría de datos | Responsabilidad |
SOCIOS | Gestión social. Datos de los asociados (padres, jugadores, alumnos, voluntarios, u otras personas). | BÁSICO | Responsable |
FEDERADOS | Gestión de licencias federativas. Son los jugadores que participan en competiciones federadas. Las revisiones médicas de los jugadores estarán incluidas en este fichero ya que no contienen datos de salud, solo indican si es apto o no para competir. | BÁSICO | Responsable |
SALUD | Gestión de informes médicos destinados a prevenir trastornos de salud en el ejercicio de actividades físicas o la tramitación de accidentes deportivos. El tratamiento se realizará por interés del jugador o de la persona que participa en las actividades del club. | ESPECIAL | Responsable |
IMÁGENES | Gestión de audiovisuales para su publicación en los medios de comunicación (personas que participan en las actividades de club, u otras personas). | BÁSICO | Responsable |
ACTIVIDADES | Gestión de los asistentes a las actividades que organiza el club: formación, campus, fiestas sociales, etc. (socios, federados, voluntarios, u otras personas). | BÁSICO | Responsable |
VOLUNTARIOS | Organización de actividades sociales (personas, socias o no, que colaboran en la organización de las actividades del club). | BÁSICO | Responsable |
ESCUELAS | Gestión por encargo de escuelas para la formación deportiva de sus alumnos (el club se encarga de la formación deportiva extraescolar). | BÁSICO | Encargado |
Como se puede ver en esta tabla, una misma persona (interesado) podría ser objeto de 7 ficheros (o tratamientos) distintos ya que la finalidad y los medios de tratamiento varían para cada uno de ellos.
Recordaremos las distintas categorías de datos que determina el Reglamento:
Una vez identificados los ficheros, las categorías de datos y la responsabilidad del tratamiento, se deberá garantizar que el tratamiento que se realiza, o que se pretende realizar, será conforme con el Reglamento. (más información...)
Para ello se deben cumplir todos los principios de protección de datos para realizar un tratamiento en cada fichero:
Principio | Descripción | Aplicación |
Licitud | Lealtad y transparencia con el interesado. |
|
Limitación de los fines | Recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines. |
|
Minimización de los datos | Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. |
|
Exactitud | Actualizados sin demora con respecto a los fines para los que se tratan. |
|
Limitación del plazo de conservación | Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines por los que se tratan. |
|
Integridad y confidencialidad | Implementar medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales. |
|
Responsabilidad proactiva | Siendo responsable y capaz de demostrar el cumplimiento de todos los principios del tratamiento. |
|
Todo el Reglamento se basa en la aplicación de estos principios, disponiendo de reglas y normas específicas para diferentes categorías de tratamiento.
Una vez identificados los ficheros y determinados los principios del tratamiento aplicados a los mismos, se procederá a comprobar si las operaciones de tratamiento realizadas con dichos ficheros contemplan alguna de las siguientes categorías de tratamiento:
En el caso que algún fichero contemplara alguna de las categorías de tratamiento mencionadas, se debería determinar un protocolo de actuación para implementar la normativa específica que les afecte.
La primera fase para la identificación del tratamiento comprende, como hemos especificado anteriormente:
En una segunda fase, que publicaremos en próximos artículos, se detallarán los procesos para conseguir una aplicación efectiva del GDPR con el fin de ser responsable y capaz de demostrar el cumplimiento de todos los principios del tratamiento (responsabilidad proactiva):
Curso Aplicación del GDPR: 0. Introducción Tema siguiente: 2. Licitud del tratamiento