Inventario de Tratamientos

57 visualizaciones

Publicado el

Grupo SIA ha optado por diseñar una estructura de
inventario donde esté presente, no sólo la información mínima exigida por el artículo 30 del GDPR, sino también información adicional que, a pesar de no requerirse legalmente, es recomendable centralizar por ser de utilidad para facilitar el cumplimiento de otros de los requisitos establecidos por el GDPR.

Publicado en: Derecho
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Inventario de Tratamientos

  1. 1. Introducción El 4 de mayo de 2016 se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (en adelante, GDPR o Reglamento (UE) 2016/679). Una de las principales novedades introducidas por el referido texto, en el artículo 30, es la obligación de las organizaciones responsables y encargadas del tratamiento de mantener un registro de las actividades de tratamiento efectuadas, con el contenido y requisitos establecidos en dicho precepto. Dicho registro se concibe, por una parte, como el elemento central a partir del cual poder gestionar adecuadamente el sistema de protección de datos por parte de las organizaciones que manejen datos personales, y, por la otra, como un elemento que permita demostrar la conformidad y cumplimiento del GDPR ante la autoridad de control. Problemática Tradicionalmente, la legislación sobre protección de datos de carácter personal, así como gran parte de los requisitos en ella contenidos, han Inventario de tratamientos Pallars 99, planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B - Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 girado alrededor del concepto de “fichero”. Sin embargo, con la llegada del GDPR, el concepto de “tratamiento de datos” adquiere un mayor protagonismo en detrimento del anterior. De hecho, las referencias que, a lo largo del articulado del Reglamento (UE) 2016/679, se realizan al término “fichero”, son mínimas. Dicho cambio tiene una enorme importancia práctica, debido a que requiere que las organizaciones que manejen datos personales realicen inicialmente un levantamiento minucioso de todas las actividades de tratamiento efectuadas, lo que implica la necesidad de revisar la práctica totalidad de procesos existentes en dichas organizaciones, con la dificultad, esfuerzo y coste interno que ello lleva aparejado. Así, no resulta suficiente ni aconsejable la mera identificación de finalidades genéricas o abstractas adscritas al catálogo-tipo de ficheros existente en las diferentes organizaciones. Ello, debido a que el registro de actividades de tratamiento se configura como elemento previo y de consulta recurrente desde otros de los procesos regulados por el GDPR como, por ejemplo, y especialmente, la evaluación de impacto a la protección de datos. De ahí, la necesidad e importancia de dotar a la información incorporada al registro de actividades de tratamiento del mayor nivel de granularidad posible. Descripción de la solución Para cumplir adecuadamente con lo dispuesto en el artículo 30 del GDPR y facilitar, a su vez, el correcto cumplimiento de otros de los requisitos establecidos por dicha norma, Grupo SIA dispone de la solución denominada Inventario de tratamientos. Debido a la importancia práctica que adquiere el registro de las actividades de tratamiento, en base a las razones expuestas anteriormente, Grupo SIA ha optado por diseñar una estructura de inventario donde esté presente, no sólo la información mínima exigida por el artículo 30 del GDPR, sino también información adicional que, a pesar de no requerirse legalmente, es recomendable centralizar por ser de utilidad para facilitar el cumplimiento de otros de los requisitos establecidos por el GDPR. Dicha solución se basa en el planteamiento metodológico descrito a continuación: SieresEncargado… Contenidomínimo • Nombre y datos de contacto del Responsable [Corresponsable] [Representante] • [Nombre y datos de contacto del DPO]. • Fines de tratamiento. • Categorías de interesados. • Categorías de datos. • [Categorías de destinatarios]. • [Transferencias a terceros países y documentación sobre garantías adecuadas]. • Plazos previstos de supresión. • Descripción general de medidas de seguridad técnicas y organizativas. • Nombre y datos de contacto del Encargado y de los Responsables por cuya cuenta actúa [Representante]. • [Nombre y datos de contacto del DPO]. • Categorías de tratamientos. • [Transferencias a terceros países y documentación sobre garantías adecuadas]. • Descripción general de medidas de seguridad técnicas y organizativas. SieresResponsable…
  2. 2. www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 Pallars 99 planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 Fase 1. Identificación A lo largo de esta fase, se llevará a cabo la toma de información que permita conocer y comprender las casuísticas existentes en la organización respecto de las actividades de tratamiento efectuadas por las diferentes áreas, funcionales o técnicas, que manejan datos personales. El análisis de la información obtenida, relativa a las actividades de tratamiento efectuadas por las diferentes áreas de la organización, se incorporará en un inventario preliminar. Fase 2. Racionalización Una vez identificados los tratamientos efectuados por las diferentes áreas de la organización, se llevará a cabo un proceso de simplificación y racionalización de los mismos. El objetivo fundamental que se persigue, con vistas a facilitar la gestión, es mantener el menor número posible de tratamientos, para lo cual, se procederá a: • Detectar aquéllos idénticos o análogos a otros ya identificados previamente. • Analizar la necesidad o conveniencia de mantener un registro independiente por cada uno de ellos. • En su caso, integrarlos en un único tratamiento. Fase 3: Inventario Se procederá al registro final de los mismos en la herramienta que se determine (por lo general, basada en ofimática), la cual permite el filtrado y exportación de la información, así como la obtención de indicadores y gráficos. El inventario de tratamientos podrá acompañarse con la representación gráfica del ciclo de vida de cada uno de los tratamientos registrados. Fase 4: Ficheros (hasta mayo de 2018) Se analizará el alineamiento del catálogo de ficheros inscritos en el Registro de Ficheros de la autoridad de control correspondiente con las actividades de tratamiento registradas en el inventario definitivo. Fruto de dicho análisis, se establecerá el plan de regularización (acciones de creación, modificación o supresión de ficheros) que sería recomendable acometer. Servicios relacionados Fase 1. Identificación 1.- Revisión preliminar de documentación 2.- Reuniones y entrevistas 3.- Análisis y creación del inventario preliminar Fase 2. Racionalización Fase 3. Inventario Fase 4. Ficheros 1- Racionalización y simplificación 1- Creación del inventario definitivo 2- Información adicional 1.- Mapeo de tratamientos y ficheros 2.- Propuesta de regularización Gestión del proyecto Adecuación LOPD Concienciación Auditoría LOPD Adecuación GDPR Evaluación de Impacto a la Privacidad (PIA) DPO Virtual Supervisión Encargados del Tratamiento SATEL® Actuaciones y procesos AEPD servicios asociados a la pdcp Assessment GDPR

×