La Política de Privacidad es el documento público que explica cómo un proyecto de investigación procesa los datos personales y cómo aplica los principios de protección de datos, según los artículos 12-14 del RGPD. Todos los interesados deben tener acceso a esta política de privacidad. Debe estar documentada. Una plantilla no oficial, pero recomendable, puede encontrarse aquí: https://gdpr.eu/wp-content/uploads/2019/01/Our-Company-Privacy-Policy.pdf

Los responsables deben tener siempre presente que, en el caso de los datos recogidos en las redes sociales, pueden acabar mezclando diferentes conjuntos de datos o crear datos inferidos o derivados. Los registros deben garantizar la trazabilidad del tratamiento, la información sobre la posible reutilización de los datos y el uso de datos pertenecientes a diferentes conjuntos de datos en la misma o en diferentes etapas del ciclo de vida. Quienquiera que procese datos personales (incluyendo tanto a los responsables como a los encargados del tratamiento) debe documentar sus actividades principalmente para el uso de las Autoridades de Supervisión cualificadas/relevantes. Esto debe hacerse mediante registros de las actividades de tratamiento que la organización mantiene de forma centralizada en todas sus actividades de tratamiento, y la documentación adicional que corresponde a una actividad individual de tratamiento de datos (véase la subsección “Documentación del tratamiento” en la sección “Principales acciones y herramientas” de la parte general de estas directrices).

Las primeras etapas del desarrollo del proyecto son el momento perfecto para establecer una forma sistemática de recopilar la documentación necesaria, ya que será el momento en que la organización conciba y planifique la actividad de tratamiento^[1].

Por último, pero no menos importante, los responsables deben tener en cuenta que los comités de ética probablemente desempeñarán un papel fundamental en el tratamiento de los datos personales. Sin embargo, esto podría cambiar considerablemente entre sectores y países. Los responsables deberán preguntar a su DPD sobre este tema.

Por último, los responsables no deben olvidar que puede haber implicaciones éticas más allá del cumplimiento legal. Siempre se recomienda consultar a un experto en ética de las redes sociales.

Lista de control. Política de Privacidad ☐ Los responsables se han puesto en contacto con la oficina/persona que lleva los registros de tratamiento de la organización. Si es necesario, el responsable de la protección de datos puede ayudar a establecer este contacto. ☐ Los responsables han informado con antelación a la oficina/persona mencionada de su intención de procesar datos personales. Su actividad de tratamiento tiene que estar inscrita en los registros antes de que se inicie el tratamiento. ☐ Los responsables han seguido sus instrucciones sobre qué información debe proporcionar para los registros de tratamiento, cuándo tiene que enviar las actualizaciones de esta información. Documentación adicional relativa a una única actividad de transformación). Deben documentarse los siguientes elementos: ☐ Evaluación de si la actividad de tratamiento supone un alto riesgo para los derechos y libertades de las personas físicas. ☐ Una evaluación de impacto de la protección de datos cuando la evaluación anterior arroje un resultado afirmativo. ☐ Posible consulta a la autoridad de control competente antes del tratamiento. ☐ Requisitos y pruebas de aceptación para la compra y/o el desarrollo del software, el hardware y la infraestructura empleados. ☐ Implementación de medidas técnicas y organizativas. ☐ Pruebas periódicas, valoración y evaluación de la eficacia de las medidas técnicas y organizativas. ☐ Requisitos y pruebas de aceptación para la selección de procesadores. ☐ Contratos estipulados con los transformadores. ☐ Posibles inspecciones y auditorías del transformador. ☐ Método de recogida del consentimiento. ☐ Demostraciones de las manifestaciones individuales del consentimiento. ☐ Información facilitada a los interesados. ☐ Implementación de los derechos de los interesados. ☐ Tratamiento real de los derechos de los interesados. ☐ Notificación de posibles infracciones a la autoridad de control competente. ☐ Posible comunicación de las violaciones de los datos al interesado. Cualquier otra comunicación con la autoridad de control competente.

 

 

1. El artículo 25.1 del RGPD lo denomina “el momento de la determinación de los medios para el tratamiento”. ↑