PROCESOS PROTECCIÓN DE DATOS GDPR

1.- Principios del tratamiento:

 

Se debe tratar de forma activa y responsable teniendo en cuenta la licitud (5), exactitud, minimización de los datos, limitación de los fines, integridad y confidencialidad.

Definir correctamente los datos que trataremos en el ejercicio de la actividad creando los ficheros (2) correspondientes con las descripciones, sistema/s de tratamiento (3), la categoría de datos, definiendo en todo caso que responsabilidades nos corresponden, si somos responsables o encargados de tratamiento.

 

 

2.- Registro para actividades de tratamiento:

 

En los casos en que las empresas tengan más de 250 empleado, que el tratamiento que se realicen con los datos de carácter personal pueda suponer un riesgo mayor o bien tratándose de datos especiales (2) o penales, se deberá además llevar un Registro de usuarios y de las actividades que se realizan con el fichero.

 

3.- Política de Información:

 

Se deberá seguir informando adecuadamente a los interesados estableciendo protocolos de avisos y consentimientos, de manera que el interesado quede suficientemente informado de la cesión y el tratamiento de sus datos. En todo caso no será necesario la comunicación al interesado cuando el tratamiento sea derivado de una obligación legal ya que este estaría avisado con anterioridad en sus derechos y obligaciones. En los casos que los datos no se recaben directamente del usuario, se deberá informar al interesado del tratamiento de sus datos antes de un mes, en la primera comunicación o bien antes de comunicarlos a un tercero si fuere el caso.

 

4.- Ejercicio de los derechos del interesado:

 

Al igual que con la LOPD en la GDPR el interesado (usuario) tendrá en su poder la opción de ejercer sus derechos de acceder a su información, supresión (olvido), oponerse, limitar el contenido, portabilidad de sus datos, a pedir no ser objeto de la elaboración de perfiles con fines estadísticos y comerciales o a interponer una reclamación ante las autoridades de control AEPD, a pedir responsabilidades e incluso indemnización por daños y perjuicios a su persona.

 

5.- Política de Seguridad.

  • Igualmente será necesario establecer una política de seguridad, estructurando  y organizando el tratamiento de los datos, implementando medidas técnicas y organizativas suficientes desde el diseño y por defecto que permitan tanto la privacidad de los datos como el fácil ejercicio de los derechos del interesado.
  • En los casos en los que el tratamiento pueda suponer un alto riesgo para los derechos y libertades de los interesados o bien se traten datos especialmente protegidos (6) se deberá realizar una “Evaluación de impacto” (7) siendo en este último caso necesaria la designación de un DPO (8)
  • Cuando se haya producido una incidencia o violación en la seguridad de los datos (4) se deberán evaluar las posibles consecuencias tomando las medidas técnicas y organizativas necesarias suficientes para revertir la situación, llevando un control de las incidencias. Además será necesaria la notificación en un plazo máximo de 3 días la incidencia a las autoridades de control quedando a disposición de las mismas.

6.- Medidas de Protección de datos

  • Como en la LOPD, será preciso establecer en nuestro Hardware (PC, Discos duros, Smart Phone…ect) las debidas contraseñas de seguridad y darle una periodicidad de cambios que no excedan del año.
  • Establecer permisos de accesos y control de usuarios a documentos físicos con datos de carácter personal y confinando la documentación sensible en armarios o archivos con mecanismos de acceso restringido.
  • Se deberá tener las debidas copias de seguridad que seguirán siendo necesarias, tanto la interna (en el centro de trabajo) como la externa (fuera del centro de trabajo), pudiéndose realizar estas  en hardware propio (disco duro, servidos, USB, peen drive) como en servidores externos, en este último caso siempre y cuando se firme el debido contrato de “Destinatario de Datos” con la empresa externa y esta esté situada físicamente dentro del marco comunitario de la UE o en países con convenio en materia de protección de datos con la UE.
  • Otra cuestión de cumplimiento será la destrucción de documentos no necesarios, mediante mecanismos seguros, la seudonimización (9), establecer medidas de seguridad en el transporte de documentos y soportes de datos (USB, discos duros…etc).
  • La celebración de contratos de confidencialidad con los empleados o personas dependientes de la empresa que desarrollen labores por las cuales sea necesario el tratamiento de datos personales (1) de usuarios, llevando un registro de los mismos.

Al igual que en el Art.12 de la LOPD en la que se regula la cesión de datos mediantes la celebración de contratos de “Encargados de Tratamiento” con la GDPR se estable la necesidad de celebrar dichos contratos en los casos en que el tratamiento precisa la cesión de datos a otras organizaciones distintas a las del Encargado del tratamiento. En este sentido solo se podrán transmitir datos a Destinatarios (10) si se cumplen estos dos requisitos: 

  • Siendo necesario para alcanzar la finalidad del tratamiento.
  • Cuando se ha informado al interesado de la cesión de sus datos.

D.Gómez

 

 

Definiciones:

Datos personales (1): Según Art. 4 del nuevo Reglamento GDPR Apartado 1

Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

 

Fichero (2): Según Art. 4 del nuevo Reglamento GDPR Apartado 6

Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

 

Tratamiento (3): Según Art. 4 del nuevo Reglamento GDPR Apartado 2

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

 

Violación en la seguridad de los datos (4): Según Art. 4 del nuevo Reglamento GDPR Apartado 12

Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

 

Licitud (5):

Compromiso correspondiente a las empresas y  profesionales que deben asumir al tratar datos de carácter personales de los solicitantes de prestaciones de servicio o bienes, por  lo que se asume el respecto y la confianza del tratamiento.

 

Datos especialmente protegidos (6):

Datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos , datos biométricos  dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

(Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona).

(Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos).

 

Evaluación de impacto deberá incluir como mínimo (7):

  • Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  • Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  • Una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1
  • Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

El Delegado de Protección de Datos (DPO) (8):


El DPO deberá ser la persona designada por la empresa como responsable de  informar y asesorar al Responsable (RT) o Encargado (ET) del tratamiento y al personal (empleado) sobre el tratamiento  las obligaciones que nos  afectan en virtud del Reglamento (GDPR) y demás de disposiciones relacionadas con la protección de datos.

 

Seudonimización (9): Según Art. 4 del nuevo Reglamento GDPR

El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

 

Destinatario (10): Según Art. 4 del nuevo Reglamento GDPR Apartado (9)

La persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que 4.5.2016 ES Diario Oficial de la Unión Europea L 119/33 puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento. http://www.legalveritas.es


Llamar

E-mail

Cómo llegar