Contacte
Els responsables i els encarregats del tractament han d'emprendre, en el període que va des de l'entrada en vigor fins al 25 de maig de 2018, com a mínim les actuacions següents:
Els responsables i els encarregats de tractaments que es perllonguin més enllà del 25 de maig de 2018, als quals sigui exigible d'acord amb el Reglament, abans d'aquesta data han de crear un registre de les activitats de tractament que duen a terme. En aquest registre han d'anotar, també, les que iniciïn a partir d’aquesta data.
En els casos en què el consentiment és la base jurídica del tractament que duen a terme, els responsables de tractament i, si escau, els encarregats del tractament han de revisar la manera en què recullen el consentiment. Entre altres aspectes, cal revisar per exemple els casos en els quals es recollia el consentiment amb caselles premarcades o a través de consentiment tàcit. A partir del 25 de maig de 2018, tant els tractaments que s’estaven fent com els que s'iniciïn a partir de llavors s’han d'adequar a la nova regulació.
Les noves exigències quant a la transparència del tractament obliguen a revisar el contingut de les clàusules informatives que s’utilitzaven fins ara per informar les persones afectades.
Quant a la informació recollida abans de l'entrada en vigor de l’RGPD, es recomana utilitzar els mitjans que es tingui a l'abast per completar la informació oferta amb el contingut addicional que estableix el Reglament. Per exemple, es poden publicar les clàusules informatives adequades a la web de l'entitat o aprofitar les comunicacions que mantenen amb les persones interessades per completar la informació oferta.
L’APDCAT ha vingut recomanant que les entitats que tenen establerts contractes d’encàrrec del tractament que previsiblement haguessin de desplegar els seus efectes més enllà del 25 de maig de 2018, els adaptin als requeriments del nou Reglament.
No obstant això, d’acord amb la Disposició transitòria segona del Reial Decret llei 5/2018, de 27 de juliol, de mesures urgents per l’adaptació del dret espanyol a la normativa de la Unió Europea en matèria de protecció de dades, els contractes i acords d’encàrrec del tractament establerts abans de 25 de maig de 2018 mantenen la seva vigència fins la data de venciment assenyalada en els mateixos.
Quan es tracti d’encàrrecs amb durada indefinida, mantenen la vigència fins al cap de quatre anys, a comptar des del 25 de maig de 2018.
En qualsevol cas, durant la vigència del contracte o acord, qualsevol de les parts pot exigir a l’altra la modificació del contracte per adaptar-la al que estableix l’article 28 de l’RGPD.
Quan un tractament que s'està duent a terme i que es preveu que es perllongarà més enllà del 25 de maig de 2018 suposi un risc alt per als drets i les llibertats de les persones físiques, abans d'aquesta data el responsable ha de fer una avaluació de l'impacte de les operacions de tractament en la protecció de dades personals i adoptar les mesures correctores que se’n derivin. Aquesta avaluació pot ser comuna per a operacions de tractament similars.
Quant als tractaments sotmesos a avaluació d'impacte iniciats abans que el Reglament sigui aplicable i que es perllonguin més enllà del mes de maig de 2018, és recomanable fer l’avaluació com a màxim abans del 25 de maig de 2021.
Si de l'avaluació de l'impacte sobre la protecció de dades en resulta que el tractament comporta un risc alt que no s'ha mitigat, cal fer una consulta a l'Autoritat Catalana de Protecció de Dades.
Abans del 25 de maig de 2018 convé revisar els mecanismes que s’utilitzen per transferir dades a tercers països, amb l'objecte de verificar que s'adeqüen a la nova regulació.
La nova regulació en matèria de seguretat de les dades requereix una avaluació de riscos per als tractaments que previsiblement es perllonguin més enllà del 25 de maig de 2018. L’objectiu és determinar les mesures de seguretat que, d'acord amb la nova normativa, cal implantar abans d'aquesta data.
A partir del 25 de maig de 2018, s'ha d'establir un protocol per notificar les violacions de seguretat de manera immediata a l'autoritat de protecció de dades i, si escau, a les persones afectades, en els casos en què sigui exigible.
Abans del 25 de maig de 2018, els organismes públics i altres entitats a les quals sigui exigible han de designar un delegat de protecció de dades que formi part del seu personal o que presti serveis en el marc d'un contracte de serveis. En el cas dels organismes públics, es pot designar un únic delegat per a diversos organismes.
Per poder complir de manera efectiva les obligacions derivades del nou Reglament, cal establir un programa de formació del personal que intervé en el tractament de dades de caràcter personal i, especialment, de les persones que tenen atribuïdes responsabilitats en aquesta matèria dins de l'organització.