• Imprimeix

Quines actuacions han d’emprendre els responsables i els encarregats del tractament, per adequar la seva activitat a la nova regulació?

Els responsables i els encarregats del tractament han d'emprendre, en el període que va des de l'entrada en vigor fins al 25 de maig de 2018, com a mínim les actuacions següents:

Els responsables i els encarregats de tractaments que es perllonguin més enllà del 25 de maig de 2018, als quals sigui exigible d'acord amb el Reglament, abans d'aquesta data han de crear un registre de les activitats de tractament que duen a terme. En aquest registre han d'anotar, també, les que iniciïn a partir d’aquesta data.

En els casos en què el consentiment és la base jurídica del tractament que duen a terme, els responsables de tractament i, si escau, els encarregats del tractament han de revisar la manera en què recullen el consentiment. Entre altres aspectes, cal revisar per exemple els casos en els quals es recollia el consentiment amb caselles premarcades o a través de consentiment tàcit. A partir del 25 de maig de 2018, tant els tractaments que s’estaven fent com els que s'iniciïn a partir de llavors s’han d'adequar a la nova regulació.

Les noves exigències quant a la transparència del tractament obliguen a revisar el contingut de les clàusules informatives que s’utilitzaven fins ara per informar les persones afectades.

Quant a la informació recollida abans de l'entrada en vigor de l’RGPD, es recomana utilitzar els mitjans que es tingui a l'abast per completar la informació oferta amb el contingut addicional que estableix el Reglament. Per exemple, es poden publicar les clàusules informatives adequades a la web de l'entitat o aprofitar les comunicacions que mantenen amb les persones interessades per completar la informació oferta.

Les entitats que tenen establerts contractes d’encàrrec del tractament que previsiblement despleguin els seus efectes més enllà del 25 de maig de 2018, cal que els adaptin als requeriments del nou Reglament.

Quan un tractament que s'està duent a terme i que es preveu que es perllongarà més enllà del 25 de maig de 2018 suposi un risc alt per als drets i les llibertats de les persones físiques, abans d'aquesta data el responsable ha de fer una avaluació de l'impacte de les operacions de tractament en la protecció de dades personals i adoptar les mesures correctores que se’n derivin. Aquesta avaluació pot ser comuna per a operacions de tractament similars. 

Quant als tractaments sotmesos a avaluació d'impacte iniciats abans que el Reglament sigui aplicable i que es perllonguin més enllà del mes de maig de 2018, és recomanable fer l’avaluació com a màxim abans del 25 de maig de 2021. 

Si de l'avaluació de l'impacte sobre la protecció de dades en resulta que el tractament comporta un risc alt que no s'ha mitigat, cal fer una consulta a l'Autoritat Catalana de Protecció de Dades.

Abans del 25 de maig de 2018 convé revisar els mecanismes que s’utilitzen per transferir dades a tercers països, amb l'objecte de verificar que s'adeqüen a la nova regulació.

La nova regulació en matèria de seguretat de les dades requereix una avaluació de riscos per als tractaments que previsiblement es perllonguin més enllà del 25 de maig de 2018. L’objectiu és determinar les mesures de seguretat que, d'acord amb la nova normativa, cal implantar abans d'aquesta data.

A partir del 25 de maig de 2018, s'ha d'establir un protocol per notificar les violacions de seguretat de manera immediata a l'autoritat de protecció de dades i, si escau, a les persones afectades, en els casos en què sigui exigible.

Abans del 25 de maig de 2018, els organismes públics i altres entitats a les quals sigui exigible han de designar un delegat de protecció de dades que formi part del seu personal o que presti serveis en el marc d'un contracte de serveis. En el cas dels organismes públics, es pot designar un únic delegat per a diversos organismes.

Per poder complir de manera efectiva les obligacions derivades del nou Reglament, cal establir un programa de formació del personal que intervé en el tractament de dades de caràcter personal i, especialment, de les persones que tenen atribuïdes responsabilitats en aquesta matèria dins de l'organització.

Data d'actualització:  25.01.2017