Aplicación del GDPR: 1. Tratamiento de datos

Tratamiento de datos personales

Ya hemos dicho en anteriores artículos que el Reglamento se aplica a las personas físicas o jurídicas, Autoridades públicas, servicios u organismos (en adelante Responsables del tratamiento), que en el ejercicio de su actividad tratan datos personales.

Por lo tanto, el Responsable del tratamiento es el sujeto obligado a cumplir todas las disposiciones del GDPR con el deber de tratar los datos personales de manera lícita y aplicar las medidas adecuadas para protegerlos en cualquier fase del tratamiento.

También cabe recordar que el Reglamento solo es de aplicación cuando los datos personales son tratados por una organización, o sea que no será aplicado cuando se tratan datos de personas jurídicas (empresas) ni tampoco cuando se tratan datos entre personas individuales, excepto si alguna de estas personas realiza el tratamiento para el ejercicio una actividad económica. (más información...)

Vamos a revisar los conceptos básicos del GDPR:

• “Responsable del tratamiento” es la organización que determina los fines y los medios del tratamiento.
• “Encargado del tratamiento” es la organización que realiza un tratamiento de datos por cuenta (encargo) del Responsable del tratamiento.
• “Tratamiento” es cualquier operación realizada sobre datos personales: obtención, acceso, intervención, transmisión, conservación y supresión.
• “Datos personales” son cualquier información relativa a una persona física por la cual pueda determinarse su identidad.
• “Interesado” es la persona física sometida al tratamiento de sus datos personales.
• “Fichero” es un conjunto estructurado de datos personales susceptibles de tratamiento para un fin determinado.

Una vez el Responsable del tratamiento tiene claros estos conceptos básicos, establecerá en su organización un proceso de adaptación para aplicar el Reglamento.

Para ello, primero que nada, debe identificar los ficheros de datos personales que está tratando o que prevea tratar, su finalidad, y si los trata por cuenta propia (Responsable) o por cuenta de terceros (Encargado).

Vamos a poner un ejemplo de un club deportivo como Responsable del tratamiento.

Identificación de los ficheros de datos personales:

Fichero	Descripción	Categoría de datos	Responsabilidad
SOCIOS	Gestión social. Datos de los asociados (padres, jugadores, alumnos, voluntarios, u otras personas).	BÁSICO	Responsable
FEDERADOS	Gestión de licencias federativas. Son los jugadores que participan en competiciones federadas. Las revisiones médicas de los jugadores estarán incluidas en este fichero ya que no contienen datos de salud, solo indican si es apto o no para competir.	BÁSICO	Responsable
SALUD	Gestión de informes médicos destinados a prevenir trastornos de salud en el ejercicio de actividades físicas o la tramitación de accidentes deportivos. El tratamiento se realizará por interés del jugador o de la persona que participa en las actividades del club.	ESPECIAL	Responsable
IMÁGENES	Gestión de audiovisuales para su publicación en los medios de comunicación (personas que participan en las actividades de club, u otras personas).	BÁSICO	Responsable
ACTIVIDADES	Gestión de los asistentes a las actividades que organiza el club: formación, campus, fiestas sociales, etc. (socios, federados, voluntarios, u otras personas).	BÁSICO	Responsable
VOLUNTARIOS	Organización de actividades sociales (personas, socias o no, que colaboran en la organización de las actividades del club).	BÁSICO	Responsable
ESCUELAS	Gestión por encargo de escuelas para la formación deportiva de sus alumnos (el club se encarga de la formación deportiva extraescolar).	BÁSICO	Encargado

Como se puede ver en esta tabla, una misma persona (interesado) podría ser objeto de 7 ficheros (o tratamientos) distintos ya que la finalidad y los medios de tratamiento varían para cada uno de ellos.

Recordaremos las distintas categorías de datos que determina el Reglamento:

• Datos básicos: Datos personales que no correspondan a categorías especiales de datos ni a condenas y delitos penales. Por ejemplo: nombre, dirección, email, teléfono, edad, sexo, firma, imagen, aficiones, patrimonio, datos bancarios, información académica, profesional, social, comercial, financiera, etc.
• Categorías especiales de datos: Datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales. (más información...)
• Condenas y delitos penales: Datos relativos a condenas y delitos penales o medidas de seguridad afines.

Principios del tratamiento

Una vez identificados los ficheros, las categorías de datos y la responsabilidad del tratamiento, se deberá garantizar que el tratamiento que se realiza, o que se pretende realizar, será conforme con el Reglamento. (más información...)

Para ello se deben cumplir todos los principios de protección de datos para realizar un tratamiento en cada fichero:

Principio	Descripción	Aplicación
Licitud	Lealtad y transparencia con el interesado.	Determinar el protocolo que establecerá la organización para informar al interesado (Política de información). Crear la documentación informativa correspondiente. Crear un procedimiento para la obtención del consentimiento explícito del interesado para tratar sus datos.
Limitación de los fines	Recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.	Determinar los fines del tratamiento para cada fichero. No pueden ser fines genéricos, deben ser claros y relacionados entre si. Informar la finalidad del tratamiento en el documento usado para obtener el consentimiento explícito del interesado.
Minimización de los datos	Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.	Determinar los datos que se van a obtener (calidad de los datos). Solo se deben obtener los datos que sean necesarios para alcanzar los fines. Eliminar la información que no sea necesaria para el tratamiento.
Exactitud	Actualizados sin demora con respecto a los fines para los que se tratan.	Determinar procedimientos para actualizar los datos. Avisos o recordatorios a los interesados para actualizar sus datos
Limitación del plazo de conservación	Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines por los que se tratan.	Determinar los criterios de conservación y eliminación de datos. Guardados solo el tiempo del necesario para conseguir los fines. Informar del plazo en el documento usado para obtener el consentimiento explícito del interesado.
Integridad y confidencialidad	Implementar medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales.	Determinar el protocolo que establecerá la organización para proteger los datos personales en todas las fases del tratamiento (Política de seguridad). Contratos de confidencialidad con el personal autorizado para el tratamiento. Contratos de tratamiento de datos con empresas externas (Encargados, Corresponsables, Destinatarios, etc.). Aplicación de medidas de seguridad adecuadas para la protección de los datos. Implantar la protección de datos desde el diseño y por defecto. Obtener garantías adecuadas para la transmisión de datos a terceros, inclusive las transferencias internacionales de datos. Análisis de los riesgos previstos en el tratamiento y realización de una evaluación de impacto en el caso que existan.
Responsabilidad proactiva	Siendo responsable y capaz de demostrar el cumplimiento de todos los principios del tratamiento.	Documentar y guardar los consentimientos, protocolos, políticas, contratos, garantías, registros de actividades, evaluaciones de impacto, auditorías, informes, etc que puedan demostrar el cumplimiento de todos los principios del tratamiento.

Aplicación de los principios del tratamiento

Todo el Reglamento se basa en la aplicación de estos principios, disponiendo de reglas y normas específicas para diferentes categorías de tratamiento.

Una vez identificados los ficheros y determinados los principios del tratamiento aplicados a los mismos, se procederá a comprobar si las operaciones de tratamiento realizadas con dichos ficheros contemplan alguna de las siguientes categorías de tratamiento:

• Tratamiento con alto riesgo: Tratamiento sujeto a una evaluación de impacto por ser susceptible de comportar un Alto Riesgo para la protección de los derechos y libertades de los Interesados. (más información...)
• Transferencias internacionales de datos: Traspaso de datos a Responsables o Encargados del tratamiento, o a Destinatarios de terceros países u organizaciones internacionales no establecidos en la UE. (más información...)
• Elaboración de perfiles: Confección de decisiones individuales basadas en un tratamiento automatizado de datos, destinadas a evaluar aspectos personales o analizar o predecir el rendimiento profesional, situación económica, salud, preferencias o intereses personales, fiabilidad, comportamiento, ubicación o movimientos de una persona. (más información...)
• Datos tratados por grupos de empresas: Grupo que comprende una empresa que ejerce el control y las empresas controladas.
• Datos de titularidad o interés público:
  • Tratamientos realizados por Autoridades u Organismos públicos en el ejercicio de sus funciones.
  • Tratamientos con finalidades de interés público fundamentados en la legislación vigente.
  • Tratamientos con finalidades de investigación histórica, estadística o científica.

En el caso que algún fichero contemplara alguna de las categorías de tratamiento mencionadas, se debería determinar un protocolo de actuación para implementar la normativa específica que les afecte.

La primera fase para la identificación del tratamiento comprende, como hemos especificado anteriormente:

• La identificación de ficheros.
• La asignación de la categoría de datos y responsabilidad a cada fichero.
• El cumplimiento de los principios del tratamiento.
• Si la hubiere, la asignación de la categoría de tratamiento a cada fichero.

En una segunda fase, que publicaremos en próximos artículos, se detallarán los procesos para conseguir una aplicación efectiva del GDPR con el fin de ser responsable y capaz de demostrar el cumplimiento de todos los principios del tratamiento (responsabilidad proactiva):

• La licitud del tratamiento.
• La responsabilidad del tratamiento.
• La política de seguridad.
• Las categorías de tratamiento
• Los derechos del interesado.
• Las garantías de cumplimiento (documentación).

Información relacionada

• Aplicación del GDPR: 2. Licitud del tratamiento
• Aplicación del GDPR: 3. Responsabilidad del tratamiento
• Aplicación del GDPR: 4. Política de seguridad
• Aplicación del GDPR: 5. Categorías de tratamiento
• Aplicación del GDPR: 6. Derechos del interesado
• Aplicación del GDPR: 7. Garantías de cumplimiento (documentación)
• Conceptos generales de la protección de datos
• Los principios del tratamiento
• Tratamiento de categorías especiales de datos
• Tratamiento con alto riesgo: La evaluación de impacto
• Transferencias internacionales de datos
• La elaboración de perfiles
• La responsabilidad del tratamiento
• La seguridad del tratamiento
• Publicación oficial del Reglamento Europeo de Protección de Datos

Seguimiento del curso Aplicación del GDPR

Curso Aplicación del GDPR: 0. Introducción Tema siguiente: 2. Licitud del tratamiento