Les obligacions que l’RGPD imposa al responsable dels tractaments de dades personals són, essencialment, les que llistem a continuació agrupades per tipus de responsabilitats.
Formar i conscienciar el personal
Dins de les principals obligacions que l’RGPD imposa a les empreses, figura la d’ocupar-se de que tots els empleats que tractin dades personals sàpiguin com fer-lo (el desconeixement normatiu dels empleats no pot ser una excusa). És per això que l’empresa està obligada a:
- Formar el seu personal en matèria de protecció de dades personals, conscienciar-lo, i donar-li directrius d’obligat compliment (polítiques) i instruccions clares per tal d’assegurar que les dades personals de les quals és responsable es tracten amb la seguretat que exigeix la normativa (article 19 de l’RGPD).
Controlar com es tracten les dades personals
Una altra de les noves obligacions que l’RGPD imposa a les empreses, llevat les excepcions de la normativa per algunes petites empreses, és la de saber quines dades personals tenen i com les tracten:
- Mantenir un registre amb totes les activitats en què es tractin dades personals i de les quines ell, sigui responsable (art. 30 RGPD). Aquest Registre d’Activitats de Tractament (el RAT) haurà d’estar a la disposició de l’autoritat de control quan aquesta ho sol·liciti (art. 30.4 RGPD), i hi haurà de quedar clar, entre d’altres, quina és la finalitat de cadascuna de les dites activitats i quina és la base jurídica que legitima el responsable per portar-les a terme,
Controlar el que fan els proveïdors
Una altra de les principals novetats en quant a les obligacions que l’RGPD imposa a les empreses, és que les fa responsable de què fan les empreses i particulars que subcontracta o que col·laboren amb ella (hagui o no contraprestació econòmica). Les empreses a les quals apliqui l’RGPD estan obligades per llei a:
- Seleccionar proveïdors de serveis i col·laboradors que tinguin, com a mínim, un nivell de compliment normatiu igual o superior al seu, i que a més, puguin garantir-lo (art. 28.1 RGPD),
- Establir contractes d’encarregat de tractament amb tots els tercers que tractin dades personals per compte del responsable (art. 28.3 RGPD), i
- Vetllar pel compliment dels seus encarregats, pel que haurà de reclama’ls-hi, periòdicament o quan així ho estimi oportú, la informació necessària per a comprovar-ho, realitzant, si escau, auditories o inspeccions (art. 28.h RGPD).
Informar i atendre els interessats
Pel que fa als drets que la normativa atorga als interessats per tal que puguin seguir controlant les seves dades personals, inclòs pel que fa als tractaments del responsable, aquest està obligat a:
- Establir els mecanismes i procediments necessaris per a facilitar als interessats l’exercici dels seus drets (articles 15 a 22 de l’RGPD), i
- Informar als interessats de forma concisa, transparent, intel·ligible i de fàcil accés (articles 13 i 14 de l’RGPD), per tal d’assegurar que les expectatives dels interessats respecte al que s’està fent amb les seves dades personals (el que pensin que el responsable està fent) coincideixen exactament amb el que realment el responsable està fent.
Gestionar riscs, no “checklists”
Probablement el principal canvi de l’RGPD pel que fa a les obligacions de les empreses és que en lloc de dona’ls-hi un checklist de compliment, els demana que siguin elles mateixes les que analitzin i gestionin els riscs als que exposen als interessats pel fet de tractar les seves dades personals. En aquest sentit, el responsable està obligat a:
- Realitzar (o encomanar la realització de) l’anàlisi de risc de cadascuna de les activitats de tractament, i establir i implementar (i cooperar amb els encarregats amb la finalitat d’establir i implementar) un nivell de seguretat adequat al risc (art. 32.1 RGPD). L’eficàcia d’aquestes mesures en la mitigació del risc referit s’haurà de revisar regularment, i
- Notar que això suposa analitzar i gestionar periòdicament el risc que els interessats assumeixen pel fet que el responsable tingui les seves dades personals, així com pels usos que els hi doni.
- Documentar les mesures i actuacions realitzades (24.1 RGPD).
Addicionalment, quan sigui probable que el tractament comporti un alt risc per als drets i llibertats de les persones físiques, i en particular si utilitza noves tecnologies, el responsable està obligat a:
- realitzar, abans de començar un nou tractament, una Avaluació de l’Impacte de les operacions de tractament en la Protecció de les Dades personals (AIPD) dels interessats, o encomanar la seva realització a experts (art. 35 RGPD).
Implantar mesures de seguretat proporcionals al risc pels interessats
El responsable està obligat a adequar la seva estructura, els seus processos (independentment de si estan documentats o no), i els seus sistemes per tal de:
- Garantir i poder demostrar que tot el que fa amb dades personals és conforme amb l’RGPD. Aquestes mesures hauran de ser revisades i actualitzades quan sigui necessari (art 24.1 RGPD),
- Protegir els drets dels interessats (art. 25.1 RGPD),
- Garantir que tota la seva organització (persones, processos i polítiques) contempla i promou la protecció de dades personals des del disseny i per defecte, tant en el moment de determinar els mitjans de tractament com durant el propi tractament (art. 25.1 RGPD),
- Documentar les mesures i actuacions realitzades (24.1 RGPD).
Prestar especial atenció als incidents de seguretat
Pel que fa a les bretxes de seguretat, el responsable està obligat per aquesta normativa a:
- Recopilar informació sobre tots els presumptes incidents de seguretat que pugin afectar les dades personals per valorar i, si escau, procedir a comunicar l’incident a l’autoritat de control i a notificar-lo als interessats (arts. 33.1 i 34.3 RGPD) indicant, entre altres coses, el nom i les dades de contacte del delegat de protecció de dades o d’un altre punt de contacte en el què pugui obtenir més informació, i
- Registrar totes les violacions de seguretat, inclòs aquelles que pel seu impacte no s’estimi necessària la comunicació a l’autoritat de control (art. 33.5 RGPD).
Comptar amb representació a la UE
Les obligacions de l’RGPD per als responsables que no tinguin un establiment dins de la Unió Europea, inclouen:
- Contractar un Representant establert en el territori de la UE, a qui la UE pugui sancionar sense acudir a tribunals internacionals, i perquè atengui, al costat del responsable o a l’encarregat, o en el seu lloc, a les consultes de les autoritats de control i dels interessats, sobre tots els assumptes relatius al tractament, a fi de garantir el compliment del que es disposa en la normativa. (art. 27 RGPD).
Comptar amb assessorament especialitzat
Finalment, si la normativa l’obliga a integrar en la seva estructura un Delegat de Protecció de Dades (el DPD), o si el responsable ha decidit que li interessa integrar-lo (i en general és recomanable), el responsable haurà de:
- Designar (i cessar) al seu DPD (art. 37.1 RGPD), sigui aquest una persona de la seva organització o un servei que li dóna un proveïdor especialitzat (art. 37.6 RGPD),
- En qualsevol cas, el responsable està obligat a assegurar-se de seleccionar el seu DPD de forma que es garanteixin els requisits de capacitat i experiència que resulten obligats per a exercir el càrrec (art. 37.5).
- La millor forma de demostrar el compliment d’aquesta obligació és que el DPD tingui o obtingui el certificat oficial de DPD que atorguen les autoritats de control a tal fi.
- Publicar el seu nomenament (i els corresponents canvis), i comunicar-lo a l’autoritat de control que li pertoqui (art. 37.7 RGPD), i
- Adoptar les mesures precises perquè el DPD pugui exercir les seves funcions, i en concret, facilitar i garantir el següent (art. 38 RGPD):
- La seva participació de manera adequada i en temps oportú en totes les qüestions relatives a la protecció de dades personals,
- Els recursos necessaris per a l’acompliment d’aquestes funcions i l’accés a les dades personals i a les operacions de tractament, no podent oposar-se l’existència de deure de confidencialitat o secret,
- Els recursos precisos per al manteniment dels seus coneixements especialitzats,
- L’absència de conflicte d’interessos en el supòsit de realitzar altres funcions,
- Que no rebi cap instrucció del responsable o els seus encarregats pel que fa a l’exercici de les seves funcions, i
- Que no sigui destituït ni sancionat per exercir les seves funcions, excepte en cas de dol o negligència greu.
Disposar de polítiques internes i cooperar amb l’autoritat de control
Per últim, el responsable haurà de:
- Dissenyar i aplicar una política interna de protecció de dades, quan resulti proporcionat en relació amb les activitats de tractament (art. 24.2 RGPD), i
- Cooperar amb l’autoritat de control en l’acompliment de les seves funcions (art. 31 RGPD).