Avui en dia, tant l’RGPD com l’LOPDGDD haurien de ser ja àmpliament coneguts i aplicats per les entitats que tracten dades personals, però la realitat és una altra bastant diferent. Segons bastants informes de varis organismes, entre ells la pròpia AEPD, són normatives bastant desconegudes, malgrat els seus esforços per a donar-los notorietat.
Volem aportar el nostre granet de sorra i ajudar-vos a tots vosaltres que realitzeu un tractament de dades per a què pugueu comprovar si, en el vostre negoci, associació, fundació o comunitat de propietaris, esteu al dia amb les directrius, obligacions i deures que imposen aquestes normatives, i d’aquesta manera no tan sols evitar possibles sancions (cada vegada més nombroses), sinó també generar més confiança en els vostres clients.
Així doncs, us hem preparat aquest breu checklist on us resumim les obligacions i actuacions bàsiques que teniu com a responsables del tractament. Comencem:
- Tenir actualitzada i al dia la política de protecció de dades: És el document principal on es descriu l’ “escenari de tractament de les dades” que duu a terme el responsable. En ell es descriu el cicle de vida de les dades, és a dir, la forma de recollida, la manera en què es tracten, emmagatzemen i usen, s’indiquen totes les possibles cessions, les transferències si es realitzen, els nomenaments de les diferents figures (per exemple, el DPO), mitjans a través dels quals es tracten les dades i manera de destruir-los una vegada ja no són necessaris per l’organització. En aquest document s’inclou, a més, el següent:
- Garanties del dret d’informació per als interessats amb base en els principis de l’RGPD: Mitjançant les clàusules d’informació en els formularis de recollida de dades es compleix aquest dret, donant transparència i claredat en el tractament de les dades. Es garanteix el compliment normatiu de l’entitat a la vegada que els interessats estan ben informats sobre el que farem amb les seves dades, finalitats, possibles cessions, períodes de conservació, drets que l’assisteixen, on exercir-los, etc. Al seu torn, en el mateix s’analitzen les bases jurídiques del tractament.
- Registre d’Activitats de Tractament (RAT): Substitueix a l’anterior obligació de registrar els fitxers davant el Registre de l’AEPD. Aquest RAT s’elabora per a cada un dels tractaments de dades duts a terme i conté, com a mínim: les dades del responsable, la finalitat, la categoria dels interessats i dades tractades, si es realitzen transferències internacionals, els terminis de supressió i les mesures tècniques i organitzatives de seguretat. Hauran d’estar sempre actualitzats i a disposició de l’autoritat de control que ho sol·liciti.
- L’anàlisi de riscos: Es revisen les possibles amenaces que poden existir en el tractament de les dades per a què, després de valorar la probabilitat en què podrien ocórrer i l’impacte que podrien tenir sobre aquests tractaments, es valori el risc al que estan exposats, i en funció d’aquest risc es revisin i apliquin les mesures de seguretat més efectives per evitar, mitigar, transferir aquests riscos, i en cas de ser analitzat com un risc molt baix per a l’empresa, arribar a acceptar-los.
- En cas de què procedeixi, realitzar una avaluació d’impacte: L’RGPD preveu que quan és probable que existeixi un risc alt es realitzi abans del tractament aquesta avaluació d’impacte (PIA) amb l’objectiu d’avaluar els riscos potencials a que estan exposades les dades personals. L’article 35 de l’RGPD indica en quins supòsits és obligatori.
- Procediments per atendre els drets dels afectats en relació al tractament de les seves dades personals: Els drets que emparen als ciutadans són els d’accés, rectificació, supressió, oposició, limitació al tractament, portabilitat, dret a l’oblit i el dret a no ser objecte de decisions automatitzades amb efectes jurídics sobre els interessats. Per a donar compliment a l’exercici per part dels interessats s’ha de tenir en compte el protocol establert tant per la normativa com per la pròpia empresa, a la vegada que aquesta ha d’haver-la traslladat als seus treballadors per a què no es cometin errors.
- Protocols que incloguin mecanismes i procediments per a la gestió de bretxes de seguretat: Davant qualsevol incidència que es produeixi en el tractament de les dades personals i que afecti als drets i llibertats de les persones haurà de seguir-se una sèrie de procediments per a complir amb la normativa, a part de les mesures de seguretat que es duen a terme en el si de la pròpia entitat, per a què no pugui tornar a ocórrer aquesta bretxa de seguretat.
- En cas de què procedeixi, designar un Delegat de Protecció de Dades: El Delegat de Protecció de Dades (DPD-DPO) és el garant del compliment de la normativa de protecció de dades en les organitzacions. Segons normativa, és obligatòria la seva designació depenent del tipus d’entitat que sigui, i molt recomanable per a la resta, encara que no sigui obligatori.
- En cas de què procedeixi, regular les transferències internacionals de dades: Per a realitzar una transferència internacional de dades acord a l’RGPD/LOPDGDD, aquesta s’ha de dur a terme mitjançant les directrius marcades per la pròpia normativa, realitzant-la a països reconeguts com de nivell adequat per la pròpia Comissió, a través de garanties específiques o complint amb algunes de les excepcions marcades per aquestes normatives. Fora d’aquests casos, no es podran realitzar les transferències.
- Valorar si els encarregats de tractament ofereixen garanties de compliment d’RGPD: Entre encarregat i responsable de tractament s’ha de signar un contracte d’encarregat de tractament per a complir amb l’indicat a l’art. 28 de l’RGPD i el 33 de l’LOPDGDD, en aquests contractes es marquen les directrius per les que es regirà la cessió de dades als encarregats de tractament i les vincula amb els responsables de tractament corresponent.
- Protocol davant treballadors: S’entregarà a cada treballador un document on se l’informi del propi tractament de les seves dades, així com dels seus drets. Per altra banda, i en cas de què accedeixi a dades personals, el treballador haurà de garantir el seu compromís de confidencialitat. Al seu torn, se li farà entrega d’un manual per a usuaris autoritzats de tractaments de dades, a mode de normativa interna per a un tractament acord amb l’RGPD i l’LOPDGDD. És preceptiu realitzar una formació sempre als treballadors, per acabar d’assentar les bases d’un bon tractament de dades de l’empresa, doncs recordem que aquesta sempre és la responsable final del tractament de les dades.
- Mesures d’índole tècnica i organitzatives a implementar: Per assegurar un bon tractament de dades, i sempre prèvia anàlisi dels riscos detectats, és importantíssim aplicar totes aquelles mesures tant tècniques com organitzatives que l’entitat consideri per a garantir la confidencialitat, disponibilitat, integritat i resiliència de les dades. Exemples de mesures: xifrar la informació i les comunicacions, posseir credencials d’accés i mecanismes d’atribució i control de permisos a usuaris, nomenament de DPO, formacions personal, etc.
- Si l’entitat té pàgina web, disposar dels preceptius textos web: Això implica que, quan correspongui, es disposi de l’avís legal, la política de privacitat, del banner y política de galetes (cookies) i condicions generals de contractació. S’ha de tenir en compte que els formularis web han de comptar amb la informació de primera capa i els check corresponents sense estar premarcats. La primera contindrà la informació bàsica amb les dades del responsable, la finalitat, la legitimació, els destinataris, els drets i un enllaç a la política de privacitat, que és la segona capa, on es conté tota la informació detallada que ses requereixen pels articles 13 i 14 de l’RGPD.
Una vegada resumits els aspectes més importants per al compliment de la normativa, és bàsic parlar del principi de responsabilitat proactiva, establert en el propi RGPD, i implica que el responsable del tractament haurà de ser capaç de demostrar que compleix i que pot demostrar aquest compliment de la normativa sobre protecció de dades.
I ja sabeu que, si necessiteu ampliar informació o us sorgeix qualsevol dubte al respecte, estem a la vostra disposició.
L’Equip de Pymelegal.