Grupo SIA ha optado por diseñar una estructura de
inventario donde esté presente, no sólo la información mínima exigida por el artículo 30 del GDPR, sino también información adicional que, a pesar de no requerirse legalmente, es recomendable centralizar por ser de utilidad para facilitar el cumplimiento de otros de los requisitos establecidos por el GDPR.
1. Introducción
El 4 de mayo de 2016 se publicó en el Diario Oficial de la Unión Europea
el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, relativo a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, y por el que se deroga la Directiva 95/46/CE
(en adelante, GDPR o Reglamento (UE) 2016/679).
Una de las principales novedades introducidas por el referido texto,
en el artículo 30, es la obligación de las organizaciones responsables y
encargadas del tratamiento de mantener un registro de las actividades
de tratamiento efectuadas, con el contenido y requisitos establecidos
en dicho precepto.
Dicho registro se concibe, por una parte, como el elemento central
a partir del cual poder gestionar adecuadamente el sistema de
protección de datos por parte de las organizaciones que manejen datos
personales, y, por la otra, como un elemento que permita demostrar la
conformidad y cumplimiento del GDPR ante la autoridad de control.
Problemática
Tradicionalmente, la legislación sobre protección de datos de carácter
personal, así como gran parte de los requisitos en ella contenidos, han
Inventario de tratamientos
Pallars 99, planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B - Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
girado alrededor del concepto de “fichero”. Sin embargo, con la llegada
del GDPR, el concepto de “tratamiento de datos” adquiere un mayor
protagonismo en detrimento del anterior. De hecho, las referencias
que, a lo largo del articulado del Reglamento (UE) 2016/679, se realizan
al término “fichero”, son mínimas.
Dicho cambio tiene una enorme importancia práctica, debido a que
requiere que las organizaciones que manejen datos personales realicen
inicialmente un levantamiento minucioso de todas las actividades
de tratamiento efectuadas, lo que implica la necesidad de revisar la
práctica totalidad de procesos existentes en dichas organizaciones, con
la dificultad, esfuerzo y coste interno que ello lleva aparejado.
Así, no resulta suficiente ni aconsejable la mera identificación de
finalidades genéricas o abstractas adscritas al catálogo-tipo de ficheros
existente en las diferentes organizaciones. Ello, debido a que el registro
de actividades de tratamiento se configura como elemento previo y
de consulta recurrente desde otros de los procesos regulados por el
GDPR como, por ejemplo, y especialmente, la evaluación de impacto a
la protección de datos. De ahí, la necesidad e importancia de dotar a la
información incorporada al registro de actividades de tratamiento del
mayor nivel de granularidad posible.
Descripción de la solución
Para cumplir adecuadamente con lo dispuesto en el artículo 30 del
GDPR y facilitar, a su vez, el correcto cumplimiento de otros de los
requisitos establecidos por dicha norma, Grupo SIA dispone de la
solución denominada Inventario de tratamientos.
Debido a la importancia práctica que adquiere el registro de
las actividades de tratamiento, en base a las razones expuestas
anteriormente, Grupo SIA ha optado por diseñar una estructura de
inventario donde esté presente, no sólo la información mínima exigida
por el artículo 30 del GDPR, sino también información adicional que,
a pesar de no requerirse legalmente, es recomendable centralizar por
ser de utilidad para facilitar el cumplimiento de otros de los requisitos
establecidos por el GDPR.
Dicha solución se basa en el planteamiento metodológico descrito a
continuación:
SieresEncargado…
Contenidomínimo
• Nombre y datos de contacto del Responsable [Corresponsable]
[Representante]
• [Nombre y datos de contacto del DPO].
• Fines de tratamiento.
• Categorías de interesados.
• Categorías de datos.
• [Categorías de destinatarios].
• [Transferencias a terceros países y documentación sobre garantías
adecuadas].
• Plazos previstos de supresión.
• Descripción general de medidas de seguridad técnicas y
organizativas.
• Nombre y datos de contacto del Encargado y de los Responsables
por cuya cuenta actúa [Representante].
• [Nombre y datos de contacto del DPO].
• Categorías de tratamientos.
• [Transferencias a terceros países y documentación sobre garantías
adecuadas].
• Descripción general de medidas de seguridad técnicas y
organizativas.
SieresResponsable…
2. www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B
Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
Pallars 99
planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
Fase 1. Identificación
A lo largo de esta fase, se llevará a cabo la toma de información
que permita conocer y comprender las casuísticas existentes en la
organización respecto de las actividades de tratamiento efectuadas
por las diferentes áreas, funcionales o técnicas, que manejan datos
personales. El análisis de la información obtenida, relativa a las
actividades de tratamiento efectuadas por las diferentes áreas de la
organización, se incorporará en un inventario preliminar.
Fase 2. Racionalización
Una vez identificados los tratamientos efectuados por las diferentes
áreas de la organización, se llevará a cabo un proceso de simplificación
y racionalización de los mismos. El objetivo fundamental que se
persigue, con vistas a facilitar la gestión, es mantener el menor número
posible de tratamientos, para lo cual, se procederá a:
• Detectar aquéllos idénticos o análogos a otros ya identificados
previamente.
• Analizar la necesidad o conveniencia de mantener un registro
independiente por cada uno de ellos.
• En su caso, integrarlos en un único tratamiento.
Fase 3: Inventario
Se procederá al registro final de los mismos en la herramienta que
se determine (por lo general, basada en ofimática), la cual permite
el filtrado y exportación de la información, así como la obtención
de indicadores y gráficos. El inventario de tratamientos podrá
acompañarse con la representación gráfica del ciclo de vida de cada
uno de los tratamientos registrados.
Fase 4: Ficheros (hasta mayo de 2018)
Se analizará el alineamiento del catálogo de ficheros inscritos en el
Registro de Ficheros de la autoridad de control correspondiente con las
actividades de tratamiento registradas en el inventario definitivo. Fruto
de dicho análisis, se establecerá el plan de regularización (acciones de
creación, modificación o supresión de ficheros) que sería recomendable
acometer.
Servicios relacionados
Fase 1. Identificación
1.- Revisión preliminar de
documentación
2.- Reuniones y entrevistas
3.- Análisis y creación del inventario
preliminar
Fase 2. Racionalización Fase 3. Inventario Fase 4. Ficheros
1- Racionalización y simplificación 1- Creación del inventario definitivo
2- Información adicional
1.- Mapeo de tratamientos y ficheros
2.- Propuesta de regularización
Gestión del proyecto
Adecuación
LOPD
Concienciación
Auditoría
LOPD
Adecuación
GDPR
Evaluación de
Impacto a la
Privacidad (PIA)
DPO Virtual
Supervisión
Encargados del
Tratamiento
SATEL®
Actuaciones y
procesos AEPD
servicios asociados a la pdcp
Assessment
GDPR