PROCESO ÚNICO DE IMPLANTACIÓN DEL RGPD
A continuación, y con el fin de darle a conocer la metodología de trabajo aplicada por E&K Pro, le detallamos los procesos considerados como actuaciones únicas y periódicas y la descripción del desarrollo de las fases contenidas en la misma
Actuaciones previas
La primera actuación prevista, con el fin de establecer unas líneas directrices correctas se trata del Análisis de la información:
Durante esta primera fase de la adaptación el objetivo es conocer su organización y recoger la mayor información posible y sus métodos, las instalaciones que albergan la información y sus posibles delegaciones. A continuación, se analizan los flujos de información, considerando la recogida de datos, el tratamiento y el destino de los mismos, prestando especial atención a esta fase para reforzar las posibles medidas en torno al tratamiento de datos.
Este primer proceso nos permite definir los niveles de seguridad y determinar las actuaciones que deberemos llevar a cabo en profundidad.
Como consecuencia de los resultados obtenidos en el “análisis de la información” podremos considerar la propuesta inicial de actividades de tratamiento, atendiendo siempre a las necesidades concretas de la organización.
1.- Designación del Delegado de Protección de Datos
Entre la aplicación de medidas de responsabilidad proactiva, el nombramiento del DPD (Delegado de Protección de Dato o DPO en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.
Es decir, al Delegado de Protección de Datos, que deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.
Conviene precisar dos cuestiones al respecto:
- El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado;
- El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.
El DPD podrá ostentar una certificación específica y acreditada por organismos oficiales de carácter voluntaria, por tanto, para su ejercicio no es necesario poseer la misma, el hecho de obtenerla supone una garantía tanto de la competencia profesional certificada como del ejercicio de la mencionada competencia.
2.- Redacción del Registro de Actividades
La siguiente fase, viene determinada por la redacción del registro de actividades de tratamiento, conforme al artículo 30 del RGPD y que contendrá
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos
b) los fines del tratamiento
c) una descripción de las categorías de interesados y de las categorías de datos personales
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad
3.-Análisis de Riesgos
El diseño adecuado de las actividades de tratamiento es un aspecto clave para poder garantizar los derechos y libertades de los interesados. La fase de diseño de un tratamiento define el flujo de los datos personales, así como todos los elementos que intervendrán a lo largo del mismo. De igual modo, es el momento idóneo para definir las medidas de control y seguridad para garantizar los derechos y libertades de los interesados con el objetivo de que un tratamiento nazca respetando los requerimientos de privacidad asociados al nivel de riesgo a la que está expuesto.
4.- Medidas de seguridad
Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
5.- Adaptación de mecanismos y procedimientos de respuestas a incidentes, violaciones de seguridad y ejercicio de derechos
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación, igualmente y cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos. En los casos a que se refiere el artículo 11, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos, salvo que pueda demostrar que no está en condiciones de identificar al interesado. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.
6.- Adecuación política de información
El RGPD añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, generalizando el concepto de “Tratamiento” incorporando, en líneas generales, los siguientes detalles:
- Los datos de contacto del Delegado de Protección de Datos, en su caso,
- La base jurídica o legitimación para el tratamiento,
- El plazo o los criterios de conservación de la información,
- La existencia de decisiones automatizadas o elaboración de perfiles,
- La previsión de transferencias a Terceros Países
- El derecho a presentar una reclamación ante las Autoridades de Control
7.-Valoración y revisión las relaciones con encargados de tratamiento
El responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas. Existe, por tanto, un deber de diligencia en la elección del responsable.
La regulación de la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato o de un acto jurídico similar que los vincule. El contrato o acto jurídico debe constar por escrito, inclusive en formato electrónico