Procediment per adequar-se al GDPR


Manuel Castilleja Toscano     23/02/2017

Planificació d'un procediment per adequar-se al compliment del GDPR

 
Per planificar una adaptació al nou Reglament europeu de protecció de dades s'haurien de tenir en compte aquests 6 processos:


 
  1. Principis de tractament
  2. Registre de les activitats del tractament
  3. Política d'informació
  4. Exercici dels drets de l'interessat
  5. Política de seguretat
  6. Mesures de protecció de dades

 
 
 
1º.- Principis de tractament
 
Complir amb els principis de tractament, això és la responsabilitat proactiva: licitud, exactitud i minimització de les dades, limitació dels fins i el termini de conservació, integritat i confidencialitat.

Identificar les dades de caràcter personal que tractarem en l'exercici de la nostra activitat, i crear els fitxers corresponents, amb la descripció del tractament, el sistema de tractament, les categories de dades corresponents, la categoria de tractament si fos necessari, i la determinació també de la nostra responsabilitat, és a dir si som responsables o encarregats del tractament.
 

2º.- Registre de les activitats del tractament
 
Si es donen les circumstàncies (més de 250 empleats, que el tractament pugui suposar un risc per als interessats, o es tractin categories de dades especials o penals), portar un registre d'intervinents i un altre d'activitats.

 
3º.- Política d'informació
 
Establir una política d'informació als interessats. No serà necessària comunicar-la als interessats quan el tractament sigui una obligació legal, l'interessat ja va ser informat abans, o suposa un esforç desproporcionat. En la resta dels casos sempre caldrà fer-li conèixer, abans de recollir-les si obtenim les dades de l'interessat, i si no les obtenim de l'interessat en un termini màxim d'un mes, a la primera comunicació, o abans d'comunicar a un destinatari.

 
4º.- Exercici dels drets de l'interessat
 
Establir els protocols perquè els interessats puguin exercir els seus drets i per a l'atenció dels mateixos: accés, rectificació, supressió (oblit), oposició, limitació, portabilitat, no ser objecte d'elaboració de perfils, interposar una reclamació davant l'autoritat de control , responsabilitat i indemnització.
 
 
5º.- Política de seguretat
 
Establir una política de seguretat:
 
  • Estructurar i organitzar les dades i les operacions de tractament de manera que els interessats puguin exercir els seus drets i que es puguin implementar mesures tècniques i organitzatives que permetin la protecció de dades des del disseny i per defecte, és a dir des de l'inici del tractament i durant tot el temps que duri el mateix.
  • Quan hagi tractaments d'alt risc es realitzaran avaluacions d'impacte.
  • Quan es produeixi una incidència, una violació de la seguretat, s'avaluaran les conseqüències, s'han de prendre les mesures correctores pertinents, i es notificaran en un termini no superior a 72 hores a l'Autoritat de Control. I portar un registre d'incidències.
 
  
6º.- Mesures de protecció de dades
 
Aplicar les següents mesures de protecció de dades:
 
  • Usuari i contrasenya (amb canvis periòdics, no més d'un any) per a l'accés a xarxes, equips informàtics amb dades, etc .. Permisos d'accés per als accessos a dades en format paper. Mecanismes de seguretat per al mobiliari on s'arxivin les dades en format paper. Còpies de seguretat internes i externes. Mecanismes de destrucció, seudonimització de dades, mesures de seguretat per al transport de documents o suports amb dades, etc.
  • Signar els contractes de confidencialitat amb totes les persones que vagin a tenir d'una manera o altra accés a les dades de caràcter personal dels que som responsables. I portar un registre dels mateixos. És a dir:
    • Amb tots els empleats (usuaris) que en l'exercici de les seves funcions tingui permís d'accés a les dades de caràcter personal (acords de confidencialitat).
    • Amb qualsevol empresa externa que tinguem contractada perquè ens presti un servei determinat, i que per a la prestació d'aquest servei necessiti l'accés dels seus empleats (usuaris) a les dades de caràcter personal dels que som responsables. O al revés si som nosaltres Encarregats del tractament d'algun responsable del tractament. De la mateixa manera el Responsable del tractament haurà d'autoritzar qualsevol subcontractació d'encàrrec del tractament que es produeixi i que també ha d'estar regulada per un contracte d'encàrrec del tractament entre els dos Encarregats.
    • Amb qualsevol tercer a qui cedim les dades, això és un Destinatari de dades, però perquè ell els tracti, i per tant es converteix en Responsable del tractament. I al revés si és a nosaltres a qui ens cedeixen les dades, serem nosaltres els Destinataris, i per tant Responsables del tractament d'aquestes dades.
 
 
 
Manuel Castilleja Toscano
Responsable de Consultoría
Grupo Juridesp