En el artículo anterior determinamos las medidas de seguridad a implementar según la categoría de datos (básicos, especiales o penales). Una vez establecidas estas medidas se deberán analizar las operaciones de tratamiento para ver si se corresponden con alguna de las categorías de tratamiento que dispone el Reglamento.
Las medidas de seguridad que afectan a cualquier tratamiento diseñadas en la política de seguridad, como el análisis de riesgos, la protección desde el diseño y por defecto y las medidas técnico-organizativas de tratamiento, deberán adaptarse a la normativa específicaque dispone el Reglamento para cada categoría de tratamiento.
Las categorías de tratamiento se aplican a cualquier categoría de datos y pueden ser varias, por ejemplo, unos datos básicos pueden tener un alto riesgo, realizarse transferencias internacionales y ser tratados por un grupo empresarial. Así, el procedimiento a seguir después de assignar al fichero la categoría de datos correspondiente, es analizar las operaciones de tratamiento para ver si le afecta alguna categoría de tratamiento:
Categorías de tratamiento |
|
A continuación detallaremos las medidas de seguridad para cada categoría de tratamiento.
Cuando sea probable que el tratamiento comporte un alto riesgo para los derechos y libertades de los interesados, se deberá realizar una evaluación de impacto que determine dichos riesgos y la forma de mitigarlos.
La Autoridad de control podrá establecer una lista de los tipos de tratamiento que requieren una evaluación de impacto.
Tendremos la obligación de realizar una evaluación de impacto cuando:
Cuando el tratamiento contemple tratamientos de condenas y delitos penales o gran escala también será necesario designar un DPO.
TRATAMIENTO | MEDIDAS DE SEGURIDAD |
Alto riesgo |
|
Gran escala |
|
Penales |
|
Perfiles |
|
Solo se podrán realizar transferencias internacionales de datos si el Responsable o Encargado del tratamiento pueden asegurar que el nivel de protección de datos está garantizado mediante:
En cualquier caso, se deberá suscribir el correspondiente contrato con el receptor de datos, sea Destinatario de datos o Encargado del tratamiento, especificando en el mismo las garantías adecuadas de protección de datos en que se basa la transferencia.
TRATAMIENTO | MEDIDAS DE SEGURIDAD |
Interesados |
|
Registro de actividades |
|
LICITUD PARA REALIZAR TRANSFERENCIAS INTERNACIONALES DE DATOS |
|
Comisión UE |
|
Autoridad de control |
|
Interesado |
|
Responsable del tratamiento |
|
Público |
|
Una elaboración de perfiles es la confección de decisiones individuales basadas en un tratamiento automatizado de datos destinado a evaluar aspectos personales o analizar o predecir:
Solo se podrá realizar una elaboración de perfiles si se aplican medidas de seguridad adecuadas para la protección de los derechos, libertades e intereses legítimos de los interesados.
Será obligatorio realizar una evaluación del impacto cuando se realice un tratamiento automatizado basado en una evaluación sistemática y exhaustiva de aspectos personales y sobre cuya base se tomen decisiones que puedan producir efectos jurídicos para los interesados.
TRATAMIENTO | MEDIDAS DE SEGURIDAD |
Licitud |
|
Información al interesado |
|
Alto riesgo | Con evaluación sistemática y exhaustiva de aspectos personales:
|
El Reglamento se refiere a Grupo de empresas cuando existan varios Responsables del tratamiento que pertenezcan a un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.
Un grupo de empresas comprende una empresa que ejerce el control y las empresas controladas.
Las normas corporativas vinculantes son unas políticas de protección de datos diseñadas por un grupo de empresas y aprobadas por la Autoridad de control que serán jurídicamente vinculantes y se aplicarán a todos los miembros adheridos al grupo.
Cuando un Responsable del tratamiento esté adherido a las normas corporativas vinculantes del grupo, la política de seguridad se basará en dichas normas.
TRATAMIENTO | MEDIDAS DE SEGURIDAD |
Garantías de cumplimiento |
|
Derechos del interesado |
|
Destinatarios de datos |
|
La categoría de tratamiento público corresponde a las siguientes operaciones de tratamiento::
TRATAMIENTO | MEDIDAS DE SEGURIDAD |
Licitud |
|
Sin límite de plazo de conservación |
|
Sin necesidad de informar al interesado |
|
Especiales |
|
Transferencias internacionales |
|
Autoridades u Organismos públicos |
|
Tema anterior: 4. Política de seguridad Tema siguiente: 6. Derechos del interesado