Los responsables y los encargados del tratamiento deberían emprender, en el periodo que va desde la entrada en vigor hasta el 25 de mayo de 2018, las siguientes actuaciones, como mínimo:
Los responsables y los encargados de tratamientos a los que sea exigible de acuerdo con el Reglamento, que se prevean mantener más allá del 25 de mayo de 2018, deben crear antes de esta fecha un registro de las actividades de tratamiento que lleven a cabo, en el que deberán anotar también las que inicien a partir de la citada fecha.
En aquellos casos en los que el consentimiento es la base jurídica del tratamiento que llevan a cabo, los responsables de tratamiento y, en su caso, los encargados del tratamiento deben revisar la forma en que recogen el consentimiento. Entre otros aspectos hay que revisar los casos en los que, por ejemplo, se recogía el consentimiento con casillas premarcadas o a través de consentimiento tácito. A partir del 25 de mayo de 2018 tanto los tratamientos que se venían haciendo como los que se inicien a partir de entonces deben adecuarse a la nueva regulación.
Las nuevas exigencias en cuanto a la transparencia del tratamiento obligan a revisar el contenido de las cláusulas informativas que se empleaban hasta ahora para informar a las personas afectadas.
En cuanto a la información recogida antes de la entrada en vigor del RGPD, se recomienda emplear los medios que estén al alcance para poder completar la información ofrecida con el contenido adicional establecido por el Reglamento. Por ejemplo se pueden publicar las cláusulas informativas adecuadas en la web de la entidad o aprovechar las comunicaciones que mantienen con las personas interesadas para completar la información ofrecida.
La APDCAT ha venido recomendando que las entidades que tienen establecidos contratos de encargo del tratamiento que previsiblemente debieran desplegar sus efectos más allá del 25 de mayo de 2018, los adapten a los requerimientos del nuevo Reglamento.
Sin embargo, de acuerdo con la Disposición transitoria segunda del Real Decreto ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del derecho español a la normativa de la Unión Europea en materia de protección de datos, los contratos y acuerdos de encargo del tratamiento establecidos antes de 25 de mayo de 2018 mantienen su vigencia hasta la fecha de vencimiento señalada en los mismos.
Cuando se trate de encargos con duración indefinida, mantienen la vigencia hasta cuatro años después, a contar desde el 25 de mayo de 2018.
En cualquier caso, durante la vigencia del contrato o acuerdo, cualquiera de las partes puede exigir a la otra la modificación del contrato para adaptarla a lo establecido en el artículo 28 del RGPD.
Cuando un tratamiento que se esté llevando a cabo y que se prevea que se prolongará más allá del 25 de mayo de 2018 suponga un riesgo alto para los derechos y libertades de las personas físicas, antes de esa fecha el responsable debe hacer una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales y adoptar las medidas correctoras que se deriven. Esta evaluación puede ser común para operaciones de tratamiento similares.
En cuanto a los tratamientos sometidos a evaluación de impacto iniciados antes de que el Reglamento sea aplicable y que se alarguen más allá del mes de mayo de 2018, es recomendable llevar a cabo la evaluación como máximo antes de 25 de mayo de 2021.
Si de la evaluación del impacto sobre la protección de datos resulte que el tratamiento conllevaría un riesgo alto que no se haya mitigado, se debe hacer una consulta a la Autoridad Catalana de Protección de Datos.
Antes del 25 de mayo de 2018 conviene revisar los mecanismos utilizados para transferir datos a terceros países, con el objeto de verificar que se adecúan a la nueva regulación.
La nueva regulación en materia de seguridad de los datos requiere una evaluación de riesgos para los tratamientos que previsiblemente se alarguen más allá del 25 de mayo de 2018, con el objetivo de determinar las medidas de seguridad que, de acuerdo con la nueva normativa, se deberán implantar antes de esta fecha.
Se debe establecer un protocolo para notificar de manera inmediata a la autoridad de protección de datos y, en su caso, a las personas afectadas, las violaciones de seguridad en aquellos casos en que sea exigible, a partir del 25 de mayo de 2018.
Antes del 25 de mayo de 2018, los organismos públicos y otras entidades a las que resulte exigible designarán un delegado de protección de datos que forme parte de su personal o que preste servicios en el marco de un contrato de servicios. En el caso de los organismos públicos, se puede designar un único delegado para diversos organismos.
Para poder cumplir de manera efectiva las obligaciones derivadas del nuevo Reglamento, es necesario establecer un programa de formación del personal que intervenga en el tratamiento de datos de carácter personal y, en especial, de las personas que tengan atribuidas responsabilidades en esta materia dentro de la organización.