Además de los registros de tratamiento que se gestionan de forma centralizada en la organización, la persona o personas responsables de una actividad de tratamiento específica tienen que mantener una documentación adicional. Para ello, es una buena práctica establecer una forma sistemática de recopilar la documentación necesaria desde el momento en que se concibe y planifica la actividad de posesión[1]. Este tipo de información puede ser solicitada por las autoridades de control de la protección de datos tanto a distancia[2] como durante las auditorías[3] in situ. Las medidas necesarias se describen en las siguientes DO:
Lo que hay que hacer
|
Esta documentación comprende al menos lo siguiente, que se enumera primero en una lista de control y se describe después con más detalle.
Evaluación de si la actividad de tratamiento puede suponer un alto riesgo para los derechos y libertades de las personas físicas
Para determinar si es necesaria una evaluación de impacto sobre la protección de datos (EIPD) para una actividad de tratamiento, hay que evaluar si el tratamiento puede suponer un riesgo elevado. Esto se describió en la sección En qué casos debo realizar una EIPD en la Evaluación de Impacto sobre la Protección de Datos anterior. Se basa en las directrices del Grupo de Trabajo del Artículo 29 y consiste en la evaluación booleana de nueve criterios. Es importante documentar esto, en particular como justificación para el caso en que no sea necesaria una EIPD (véase “EIPD” en la parte II, sección “Principales herramientas y acciones” de estas directrices).
Una evaluación de impacto de la protección de datos cuando la evaluación anterior arroje un resultado afirmativo
Cuando es necesaria una EIPD, la propia EIPD forma parte de la documentación del tratamiento. Véase el art. 35 del RGPD y Evaluación de Impacto de la Protección de Datos para más detalles.
Posible consulta a la autoridad de control competente antes del tratamiento
Cuando la EIPD indique que el tratamiento podría dar lugar a un riesgo elevado incluso después de la mitigación con medidas técnicas y organizativas adecuadas, el responsable del tratamiento consultará a la autoridad de control antes del tratamiento (véase el art. 36(1) DEL RGPD). Dicha consulta debe estar documentada.
Requisitos y pruebas de aceptación para la compra y/o el desarrollo del software, el hardware y la infraestructura empleados
De acuerdo con el Art. 25 del RGPD, al determinar los medios de tratamiento, el responsable del tratamiento debe tener en cuenta lo siguiente:
- El estado de la técnica,
- el coste de la aplicación,
- la naturaleza, el alcance, el contexto y los fines del tratamiento, y
- los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas que plantea el tratamiento.
Sobre la base de esta evaluación, el responsable del tratamiento aplica las medidas técnicas y organizativas apropiadas que están diseñadas para aplicar los principios de protección de datos, para cumplir con los requisitos del RGPD y para proteger los derechos de los interesados.
Esta evaluación y las decisiones tomadas tienen que estar documentadas para cumplir con el requisito de protección de datos por diseño (del art. 25 del RGPD). En la práctica, esto puede adoptar la forma de:
- Requisitos de protección de datos especificados para la compra (por ejemplo, una licitación) o el desarrollo de software, hardware e infraestructura,
- Pruebas de aceptación que verifiquen que el software, los sistemas y la infraestructura elegidos son aptos para el propósito y proporcionan la protección y las salvaguardias adecuadas.
Esta documentación puede formar parte de la EIPD.
Aplicación de medidas técnicas y organizativas
La documentación también incluirá las medidas técnicas y organizativas que se aplican para mitigar los riesgos de protección de datos y salvaguardar los derechos y libertades de los interesados.
Las medidas de seguridad también forman parte de los registros de tratamiento (véase el art. 30(1)(g) RGPD); todas las medidas aplicadas forman parte de la EIPD (véase el Art. 35(7)(d) RGPD).
Comprobación periódica, valoración y evaluación de la eficacia de las medidas técnicas y organizativas
El RGPD hace hincapié en la protección de datos como un proceso. Esto es evidente en el Art. 32(1)(d), que exige la comprobación, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas, y en el art. 35(11), que exige que el responsable del tratamiento lleve a cabo una revisión para evaluar si el tratamiento se realiza de conformidad con la evaluación de impacto de la protección de datos, al menos cuando se produzca un cambio en el riesgo que representan las operaciones de tratamiento. Estas pruebas, valoraciones y evaluaciones recurrentes deberán estar documentadas.
Requisitos y pruebas de aceptación para la selección de procesadores
De acuerdo con el Art. 28 (1) del RGPD, el responsable del tratamiento utilizará únicamente encargados del tratamiento que ofrezcan garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas. Esto requiere un proceso de selección que deberá estar documentado.
Contratos estipulados con los transformadores
De acuerdo con el art. 28(3) del RGPD, el tratamiento por parte de un encargado se regirá por un contrato que exija, entre otras cosas, la aplicación de medidas y garantías adecuadas (véanse los puntos d y e) y el derecho de inspección y auditoría por parte del responsable del tratamiento (véase el punto h). Estos contactos forman parte de la documentación.
Posibles inspecciones y auditorías del procesador
Cuando un responsable del tratamiento inspeccione o audite a un encargado según el art. 28(3)(h), se documentarán las medidas adoptadas y el resultado.
Método para recoger el consentimiento
El consentimiento válido requiere el cumplimiento de requisitos estrictos (véase el art. 4(11) y 7 del RGPD). Cuando un responsable del tratamiento elige el consentimiento como base jurídica para (parte del) tratamiento, la forma (por ejemplo, el diálogo) en que se recogió el consentimiento debe documentarse para demostrar que se cumplieron los requisitos. Cuando los diálogos cambian con el tiempo, es necesario un control de versiones que registre el momento del cambio.
Demostraciones de expresiones individuales de consentimiento
De acuerdo con el art. 7, apartado 1, el responsable del tratamiento deberá poder demostrar que el interesado ha consentido el tratamiento de sus datos personales. Este requisito es analizado con más detalle por elComité Europeo de Protección de Datos (CEPD), ensus Directrices 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679[5]. Una posible forma de demostrar el consentimiento que describen es “conservar información sobre la sesión en la que se expresó el consentimiento, junto con la documentación del flujo de trabajo del consentimiento en el momento de la sesión, y una copia de la información que se presentó al sujeto de los datos en ese momento.”[6]
Esto ilustra que la documentación para poder demostrar el consentimiento en sí misma debe considerarse como datos personales. Por lo tanto, debe protegerse adecuadamente y su uso debe limitarse a la finalidad de dicha demostración.
Información facilitada a los interesados
Los arts. 13 y 14 del RGPD exigen que el responsable del tratamiento proporcione a los interesados información adecuada sobre el tratamiento. Para demostrar el cumplimiento, se documentará la información realmente proporcionada. De nuevo, es necesario un control de versiones si la información proporcionada cambia con el tiempo.
Aplicación de los derechos del interesado
Los artículos 15 a 22 obligan al responsable del tratamiento a conceder a los interesados derechos específicos (como, por ejemplo, el derecho de rectificación de los datos inexactos o el derecho a ser olvidado) (véase “Derechos del interesado” en la Parte II de estas Directrices). Además, cuando el tratamiento se basa en el consentimiento, los interesados tienen derecho a retirarlo en cualquier momento (véase el art. 7(3) del RGPD). Para demostrar el cumplimiento, es necesario documentar cómo se aplican estos derechos[7]. Una vez más, puede ser necesario el control de versiones.
Tratamiento real de los derechos de los interesados
Cuando los interesados invoquen sus derechos, el responsable del tratamiento los tramitará sin demora. Los apartados 3 y 4 del art. 12(3) y (4) especifica los tiempos máximos de respuesta aceptables. Para demostrar la exactitud y la puntualidad de las acciones emprendidas y la respuesta enviada, es necesaria una documentación. Una vez más, esta documentación constituye datos personales y tiene que estar adecuadamente protegida.
Posibles notificaciones de infracciones a la autoridad de supervisión competente
El art. 33 del RGPD exige la notificación de una violación de los datos personales a la autoridad de control. Estas notificaciones pasarán a formar parte de la documentación.
Posible comunicación de las violaciones de datos al interesado
El artículo 34 del RGPD exige la comunicación de una violación de los datos personales al interesado en determinadas condiciones.Estas comunicaciones deberán estar documentadas. Es probable que contengan datos personales que necesiten protección.
Cualquier otra comunicación con la autoridad de control competente
Toda comunicación con una autoridad de control debe estar documentada. Dicha comunicación puede ser iniciada, por ejemplo, por la autoridad de control de acuerdo con el art. 31 del RGPD. La comunicación iniciada por el responsable del tratamiento según el art. 36 ya se ha enumerado anteriormente. Además, los responsables de la protección de datos también pueden consultar a las autoridades de control con arreglo al artículo 39, apartado 1, letra e). 39(1)(e).
Lista de comprobación (documentación adicional relativa a una única actividad de procesamiento)
Deben documentarse los siguientes elementos:
|
- El art. 25(1) del RGPD lo denomina “el momento de la determinación de los medios para el tratamiento”. ↑
- Véase el artículo 58(1)(a) del RGPD. ↑
- Véase el artículo 58(1)(b) del RGPD. ↑
- Véase el art. 25 delRGPD. ↑
- Sección 5.1, páginas 21 y 22 en Comité Europeo de Protección de Datos (CEPD), Guidelines 05/2020 on consent under Regulation 2016/679, Version 1.0, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf (Última visita 11/05/2020). ↑
- Véase al final del apartado 108. ↑
- El término “implementado” no pretende implicar la automatización; el procesamiento manual, por ejemplo, por el responsable de la protección de datos u otra persona designada, puede ser perfectamente aceptable. ↑