El Reglament General de Protecció de Dades de la UE (l’RGPD) fa responsable del tractament a l’entitat que determina les seves “finalitats i mitjans”.
Aquest paper correspon exclusivament a l’empresa, o qualsevol altre tipus d’organització, sota quines directrius, es treballa.
Serà, doncs, l’empresa l’única responsable davant les autoritats de control de tot el que es faci en el seu nom, o per a ella. Sense poder excusar-se en els seus treballadors o proveïdors de serveis, encara que després pugui fer-los complir amb les seves obligacions contractuals.
… i, que s’entén com a “finalitats i mitjans del tractament”?
Les finalitats del tractament defineixen el “per què es realitza el mateix”, mentre que els mitjans determinen el “com es duu a terme el tractament”.
Aquest “com es duu a terme el tractament” inclou tant les qüestions tècniques com les organitzatives. Les tècniques responen a preguntes sobre els sistemes que es fan servir i la seguretat de la informació. En tant que les organitzatives donen resposta a preguntes del tipus:
- quines dades han de tractar-se?
- quins tercers han de tenir accés a aquestes dades?
- quan s’han d’esborrar les dades?
- etc.
… i si és el proveïdor qui defineix “com es duu a terme” el seu treball?
Inclòs en aquest cas, és l’empresa u organització que contracta el proveïdor, i per tant, qui decideix que aquest pot tractar les dades personals. L’entitat que contracta és responsable de que el proveïdor tingui, quant menys, els estàndards de protecció que té ella mateixa.
La “determinació dels mitjans” no exigeix que el responsable assumeixi la definició de tots els aspectes tècnics i organitzatius relatius a aquests.
El proveïdor pot definir certs aspectes sense soscavar la capacitat del responsable per elegir, organitzar o influir en la forma en que aquest treballa.
És a dir, que certes qüestions poden delegar-se en els encarregats del tractament, reservant-se a la determinació del responsable els aspectes essencials.
… i, doncs, que ha de tenir en compte el responsable en definir aquestes finalitats i mitjans?
Respecte a com s’han de definir les finalitats i mitjans del tractament, cal assenyalar l’obligació de respectar els principis de la normativa:
6 principis fonamentals pel responsable dels tractaments
Concretament, els principis als quals el responsable estarà obligat a respectar, segons indica l’article 5.1-2 de l’RGPD, són els que a continuació s’exposen. I no només haurà de respectar-los, sinó que també haurà de poder demostrar-lo tant en el que respecta al seu personal com als seus encarregats.
Principi de transparència
El responsable ha de garantir la licitud del tractament, així com la seva lleialtat i transparència en relació amb les persones de les que es tracten dades.
Principi de limitació de la finalitat (del propòsit amb el que es tracten les dades personals)
Les dades personals no es poden recollir “pel que calgui en el futur”, sinó que hauran de ser tractades amb finalitats determinades, explícites i legítimes.
Principi de minimització de dades
Les dades personals dels interessats seran tractades (inclouen-hi la seva recollida) de manera adequada, pertinent i limitada al necessari en relació amb les seves finalitats.
Principi d’exactitud
Segons el qual, el responsable, en la mesura que sigui possible, haurà d’adoptar les mesures que siguin raonables perquè les dades personals tractades per ell o els seus encarregats es mantinguin actualitzades, suprimint o rectificant aquelles dades que siguin inexactes respecte a les finalitats per als quals es tracten.
Principi de la limitació del termini de conservació
Pel qual el responsable haurà d’adoptar mesures perquè les dades personals es guardin només durant el temps estrictament necessari per a les finalitats del tractament.
Principi de l’assegurament de la integritat i la confidencialitat de les dades
Pel quin el responsable haurà d’adoptar mesures tècniques i organitzatives apropiades per a garantir una seguretat adequada de les dades personals. Inclosa la protecció contra el tractament i accés no autoritzat o il·lícit i contra la seva pèrdua, destrucció o mal accidental.
Per a més informació sobre les obligacions del responsable respecte de l’RGPD, podeu consultar aquest post.