Es responsable quien decide sobre las finalidades y los medios del tratamiento, con independencia de que sea o no la persona que lleva a cabo el tratamiento material de la información.
Puede ser responsable del tratamiento tanto una persona física como una persona jurídica o un órgano.
En el caso de las administraciones públicas, normalmente será responsable del tratamiento el órgano administrativo que tiene competencias sobre la materia en relación con la cual o para el ejercicio de la cual se requiere el tratamiento de datos personales, siempre que éste tenga capacidad para tomar decisiones sobre la finalidad y los medios de este tratamiento.
Los interesados deben poder identificar fácilmente quién toma las decisiones sobre los fines y los medios de tratamiento de sus datos. Por este motivo, si bien sería posible designar como responsable del tratamiento una persona jurídica, en relación con los tratamientos de datos efectuados por las administraciones públicas resulta más adecuado hacer constar como tal, un órgano administrativo de la administración correspondiente (consejería, dirección general, alcaldía, concejalía, gerencia, etc.)
Si desea saber más sobre este tema, puede consultar el Dictamen CNS 24/2018.
El RGPD amplía las cuestiones sobre las cuales hay que informar a las personas afectadas y modifica algunos aspectos de la forma cómo se debe hacer.
No obstante, respecto de los datos recogidos antes del 25 de mayo de 2018 no es preceptivo informar nuevamente con los requisitos establecidos en el RGPD. La obligación de informar según lo que establece el RGPD es exigible sólo para los datos recogidos después de esta fecha. No obstante, si las circunstancias lo permiten, una buena práctica recomendable puede ser aprovechar los actos de comunicación con las personas afectadas para informarlas de los nuevos aspectos establecidos por el RGPD.
El registro se puede organizar en torno a operaciones de tratamiento concretas, vinculadas a una finalidad básica común de todas ellas (por ejemplo, gestión de clientes, “gestión contable” o “gestión de recursos humanos y nóminas”), o bien de acuerdo con otros criterios diferentes.
Una posibilidad para organizar el registro de actividades de tratamiento es partir de los ficheros que los responsables habían notificado al Registro de Protección de Datos de Cataluña, y detallar todas las operaciones que se realizan sobre cada conjunto estructurado de datos. Podéis descargaros los ficheros que teníais declarados al registro de Protección de Datos de Cataluña en este enlace.
La APDCAT ha desarrollado una aplicación sencilla para llevar el registro de actividades del tratamiento a fin de que los responsables y los encargados del tratamiento que lo deseen la puedan utilizar. Os la podéis descargar en este enlace.
De acuerdo con el artículo 30.5 del RGPD la obligación de llevar el registro no se aplica en ninguna empresa ni organización que tenga menos de 250 trabajadores, a no ser que el tratamiento comporte un riesgo para los derechos y las libertades de los interesados, no sea ocasional o incluya las categorías especiales de datos personales mencionados en el artículo 9, apartado 1, o los datos personales relativos a condenas e infracciones penales en qué se refiere el artículo 10.
De acuerdo con el posicionamiento del Grupo de Trabajo del artículo 29 sobre esta cuestión, esta previsión se tiene que interpretar en el sentido que no se aplicará a empresas ni organizaciones que ocupen menos de 250 personas a menos que concurra alguna de las circunstancias siguientes:
a) Si es probable que haya un riesgo para los derechos y libertades de los sujetos.
b) Si el tratamiento no es ocasional.
c) Si incluye categorías especiales de datos (arte 9 RGPD) o infracciones y condenas penales.
Si concurre alguna de estas circunstancias se tiene que incluir en el registro los tratamientos en que concurran.
De acuerdo con la Disposición transitoria quinta de la LOPDGDD, los contratos y acuerdos de encargo del tratamiento establecidos antes de 25 de mayo de 2018 mantienen su vigencia hasta la fecha de vencimiento señalada en los mismos.
Cuando se trate de encargos con duración indefinida, mantienen la vigencia hasta el 25 de mayo de 2022.
En cualquier caso, durante la vigencia del contrato o acuerdo, cualquiera de las partes puede exigir a la otra la modificación del contrato para adaptarla a lo que establece el artículo 28 del RGPD.
Cuando un tratamiento, por su naturaleza, alcance, contexto o fines suponga un alto riesgo para los derechos y libertades de las personas físicas, especialmente cuando se utilicen nuevas tecnologías, el responsable debe hacer antes una evaluación del impacto en la protección de datos (EIPD).
El artículo 35.3 del RGPD establece que, entre otros supuestos, hay que hacer una evaluación de impacto relativa a la protección de datos en los siguientes supuestos:
“a) Evaluación sistemática y exhaustiva de aspectos personales de personas físicas basada en un tratamiento automatizado, como la elaboración de perfiles, sobre la base de la cual se toman decisiones que producen efectos jurídicos para las personas físicas o que las afectan significativamente de manera similar.
b) Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.
c) Observación sistemática a gran escala de una zona de acceso público.”
Para determinar qué debe entenderse por "gran escala" se puede tener en cuenta que el Grupo del artículo 29, en su dictamen sobre la designación de delegados de protección de datos, considera que para valorar si el tratamiento se hace a gran escala se debe tener en cuenta el siguiente:
- El número de personas afectadas, ya sea en términos absolutos o como proporción de una determinada población.
- El volumen y la variedad de datos tratados.
- La duración o permanencia de la actividad de tratamiento.
- La extensión geográfica de la actividad de tratamiento.
El artículo 35.4 del RGPD prevé que las autoridades de control deben publicar una lista de los tipos de operaciones de tratamiento que requieren una evaluación de impacto relativa a la protección de datos. Esta Autoridad considera que se debe realizar una evaluación del impacto relativa a la protección de datos en los tratamientos incluidos en la siguiente lista.
Esta lista recoge las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento conlleva probablemente un alto riesgo a efectos del Reglamento (UE) 2016/679, adoptadas por el Grupo de Trabajo del Artículo 29 el 4 de abril de 2017 (en adelante, WP 248) y asumidas por el Comité Europeo de Protección de datos en su reunión de 25 de mayo de 2018.
Esta lista no es exhaustiva y se irá actualizando. Si una operación de tratamiento no figura no significa que no se requiera hacer una EIPD. Debe verificarse siempre que el tratamiento no supone un alto riesgo para los derechos y libertades de las personas, especialmente si se utiliza nuevas tecnologías.
Estos criterios son de aplicación no sólo a los responsables que quieran llevar a cabo alguno de los tratamientos incluidos, sino también a los órganos e instituciones que elaboren un proyecto de disposición normativa que conlleve alguno de estos tratamientos. En este caso, si el proyecto normativo se ha sometido a una evaluación de impacto relativa a la protección de datos no será necesario que lo elaboren después los responsables del tratamiento.
Una vez realizada la EIPD, el responsable debe formular, con carácter previo al inicio del tratamiento, una consulta a esta Autoridad salvo que la existencia de alto riesgo para los derechos y libertades de las personas se haya podido mitigar con la adopción de medidas técnicas y organizativas adecuadas.
Para más información consultar las Directrices del Grupo de trabajo del artículo 29 sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento comporta probablemente un alto riesgo a efectos del Reglamento (UE) 2016/679 (WP 248), asumidas por el Comité Europeo de protección de datos en su reunión de 25 de mayo de 2018, y la Guía práctica de la APDCAT sobre la evaluación de impacto relativa a la protección de datos en el RGPD (disponible en versión original).
Pueden encontrar una plantilla de evaluación de impacto relativa a la protección de datos (en versión original) en el siguiente enlace.
El Grupo de trabajo del artículo 29, en sus directrices WP 248, considera que no se requiere una evaluación de impacto si las operaciones de tratamiento han sido comprobadas por una autoridad de control antes de mayo de 2018 y la manera como se llevan a cabo no ha cambiado desde aquella comprobación. En cambio, se tienen que someter a una evaluación de impacto cuando las operaciones de tratamiento han cambiado desde la anterior comprobación realizada y, previsiblemente, pueden presentar un alto riesgo para los derechos y libertades de las personas interesadas.
Todas las administraciones públicas y sus organismos públicos vinculados o dependientes, que actúen como responsables o encargados del tratamiento de datos personales designarán obligatoriamente un delegado de protección de datos (DPD). Éste puede ser un trabajador de la administración pública (DPD interno) o una organización / empresa ajena a la organización de la administración pública (DPD externo).
La designación del DPD debe comunicarse a esta Autoridad a través del siguiente formulario.
El RGPD no establece una titulación específica para el delegado de protección de datos. Sólo requiere que tenga conocimientos especializados en derecho, sobre la legislación y prácticas nacionales y europeas en materia de protección de datos y un profundo conocimiento del RGPD que le permita identificar los riesgos asociados a las operaciones del tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y las finalidades del tratamiento. Por lo tanto, se tiene que determinar de acuerdo con las operaciones de tratamiento de datos que se realizan y de la protección requerida para los datos personales tratados.
En cualquier caso, tiene que tener conocimientos del sector de la actividad de que se trate, de la organización, de las operaciones de tratamiento que se llevan a cabo y de los sistemas de información.
El responsable del tratamiento puede contratar los servicios de delegado de protección de datos ofrecidos por un profesional, organización o empresa ajena a su estructura organizativa siempre que se acrediten las competencias profesionales a que se refiere el RGPD y se garantice la no concurrencia de ningún conflicto de interés.
La designación de este delegado de protección de datos externo exige formalizar un contrato de encargado del tratamiento para que pueda acceder a la información personal que sea necesaria para el ejercicio de las funciones de delegado de protección de datos, de la que es responsable la administración contratante.
Una vez designado el delegado de protección de datos, se deberán publicar sus datos de contacto de tal manera que los interesados puedan contactar de manera fácil y directa, así como comunicar esta designación a esta Autoridad a través del siguiente formulario.
Si desea disponer de más información al respecto puede consultar el Dictamen CNS 31/2018.
Las diputaciones, en ejercicio de sus competencias de asistencia y cooperación técnica a los municipios, pueden prestar el servicio de delegado de protección de datos a entidades locales. Un ayuntamiento puede designar un órgano o una persona al servicio de la diputación como delegado de protección de datos siempre que no se produzca ningún conflicto de intereses.
Respecto de estas cuestiones puede consultar el Dictamen CNS 23/2018.
El delegado de protección de datos puede formar parte de la plantilla del responsable o del encargado del tratamiento o bien ejercer sus funciones en el marco de un contrato de servicios. Puede desarrollar otras tareas y funciones diferentes de las que estrictamente corresponden al delegado de protección de datos.
Ahora bien, para garantizar la independencia a la hora de ejercer sus funciones, el responsable o el encargado del tratamiento tienen que evitar que la asunción de estas otras tareas y funciones pueda dar lugar a un conflicto de intereses. Consiguientemente, no se puede designar como delegado de protección de datos una persona que, al mismo tiempo, tenga tareas que impliquen participar en el proceso de toma de decisiones sobre los tratamientos o en su implementación, en aspectos tan primordiales como la implementación de las medidas de seguridad, como es el caso del responsable de seguridad de la información.
El RGPD no establece ningún listado de medidas de seguridad basado en los niveles de seguridad básico, medio y alto, como preveía el RLOPD. Deja a criterio del responsable y del encargado, previa evaluación de los riesgos, determinar qué medidas de seguridad hay que implementar en cada supuesto.
En cualquier caso, se tienen que establecer las medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de protección adecuado al riesgo. Las medidas previstas en el RLOPD que ya estén implantadas pueden ser útiles, pero hay que analizar en cada caso si son suficientes o es necesario modificarlas.
En cualquier caso, para las entidades del sector público hace falta tener en cuenta que la disposición adicional primera del LOPDGDD establece que las entidades enumeradas en el artículo 77.1 de la misma Ley orgánica han de cumplir las medidas de seguridad que correspondan de acuerdo con el esquema Nacional de Seguridad. De acuerdo con el apartado primero de esta disposición adicional, el esquema Nacional de Seguridad tendrá que tener en cuenta el riesgo del tratamiento de los datos personales de acuerdo con el RGPD.
Si se produce una violación de la seguridad, el responsable deberá notificar a la Autoridad Catalana de Protección de Datos sin dilación indebida y, si es posible, en un plazo máximo de 72 horas desde que tenga constancia, salvo que sea improbable que constituya un riesgo para los derechos y las libertades de las personas.
Se considera que se tiene constancia de una violación de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de la naturaleza y el alcance. La mera sospecha de que ha habido un fallo o la constatación de que ha sucedido algún tipo de incidente, sin que se conozcan mínimamente las circunstancias, no deberían dar lugar a la notificación ya que, en la mayoría de los casos, en estas condiciones no se puede determinar hasta qué punto puede haber un riesgo para los derechos y las libertades de las personas interesadas.
Sin embargo, en casos de violaciones que por sus características puedan tener un gran impacto, sí puede ser recomendable contactar con la APDCAT tan pronto como existan evidencias que se ha producido una situación irregular respecto de la seguridad de los datos. Ello, sin perjuicio de que estos primeros contactos se completen con una notificación formal, más completa, dentro del plazo legalmente previsto.
Puede haber casos en que la notificación de alguno de los aspectos requeridos no se pueda realizar dentro de las 72 horas, por ejemplo, debido a la complejidad a la hora de determinar completamente el alcance. En estos casos, la notificación de estos aspectos se puede realizar posteriormente, acompañada de una explicación de los motivos que han ocasionado el retraso.
La notificación de la violación de seguridad se debe hacer mediante el siguiente formulario de notificación.
La notificación incluirá un contenido mínimo que el mismo RGPD establece y que incluye elementos como la naturaleza de la violación, las categorías de datos y de personas afectadas, las medidas adoptadas por el responsable para solucionar la violación y, en su caso, las medidas aplicadas para paliar los posibles efectos negativos sobre las personas interesadas. La información también se puede proporcionar de forma escalonada, cuando no se pueda hacer en el mismo momento de la notificación.
Con independencia de la notificación a las autoridades, los responsables deben documentar todas las violaciones de seguridad. Se trata de una obligación que establece el RGPD y que se aproxima mucho al registro de incidencias que preveía el Reglamento de desarrollo de la LOPD.
Cuando sea probable que una violación comporte un alto riesgo para los derechos de las personas interesadas, el responsable se la comunicará sin dilaciones indebidas y en un lenguaje claro y sencillo, a menos que:
- El responsable haya adoptado medidas de protección adecuadas, tales como que los datos no sean inteligibles para personas no autorizadas.
- El responsable haya aplicado medidas posteriores que garantizan que ya no existe la probabilidad de que se concrete el alto riesgo.
- Suponga un esfuerzo desproporcionado.
Existe alto riesgo cuando sea probable que la violación de seguridad ocasione daños importantes a las personas interesadas. Ello puede suceder, por ejemplo, si se revela información confidencial, como contraseñas o la participación en determinadas actividades, si se difunden datos sensibles de forma masiva o si se pueden producir perjuicios económicos para las personas afectadas.
El objetivo de esta comunicación es permitir que las personas afectadas puedan tomar medidas para protegerse de las consecuencias de la violación de seguridad. Por ello, el RGPD requiere que se les notifique sin dilación indebida.
El propósito es siempre que la persona interesada afectada pueda reaccionar tan pronto como sea posible. Por ello, el RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la violación.