Newsletter

El RGPD incorpora una obligación para los responsables de tratamientos: evaluar el impacto de las operaciones de tratamiento en la protección de datos personales, cuando sea probable que el tratamiento comporte un riesgo significativo para los derechos y las libertades de las personas. Las evaluaciones de impacto deben basarse en metodologías o métodos sistemáticos para que resulten objetivas, repetibles y comparables, y queden documentadas.

Las evaluaciones de impacto hay que establecerlas por aquellos tratamientos con riesgo significativo para los derechos y libertades de las personas que se pongan en marcha y antes de esta puesta en marcha. Los tratamientos ya en funcionamiento en la entrada en vigor del RGPD tendrán que efectuarla si hay modificaciones significativas. De todas maneras, en ámbitos tan sensibles y críticos como los tratamientos de datos de salud o de datos sociales resulta aconsejable que el DPD planifique su realización.

Las Agencias de Protección de Datos han establecido guías con metodología de referencia para llevar a cabo las evaluaciones de impacto (enlace con la guía de la Autoridad Catalana de Protección de Datos).

Una de las manifestaciones más visibles del principio de responsabilidad proactiva consiste en la obligación de comunicar las violaciones de seguridad que constituyan un riesgo para los derechos y libertades de las personas. Así mismo, si hay posibilidades de que este riesgo devenga alto, la notificación se tendría que hacer a los interesados.

Esta actuación está sometida a determinados contenidos de la notificación (sobre naturaleza de la violación, sobre volumen de afectados y de registros, identificar el DPD, sobre posibles consecuencias y sobre medidas a adoptar) y a plazos (en 72 horas a la Agencia de Protección de Datos y sin dilación a los interesados). Por lo tanto, resulta imprescindible definir los procesos para prever una actuación rápida en la detección e intervención sobre las violaciones de seguridad.

Sigue siendo muy aconsejable seguir registrando las incidencias en protección de datos, al margen de las comunicaciones de violaciones de seguridad que se produzcan.

En el decálogo que hemos elaborado desde el Código Tipo habéis encontrado aquellas actuaciones necesarias que hemos estado recomendando tener a punto para el 25 de mayo. Hace falta, por lo tanto, no perder de vista actuaciones necesarias, especialmente las relativas a documentos:

• Derecho a la información (interesado y personal): adecuar la leyenda informativa de los formularios, contratos y cualquier otro documento o soporte.
• Consentimiento: recoger el consentimiento en los tratamientos que lo requieran y reconducir consentimientos tácitos (siempre refiriéndonos a finalidades diferentes del asistencial)
• Derecho de los afectados: revisar el mecanismo, procedimientos y formularios de los derechos.
• Encargos de tratamiento: adecuar los contratos de los encargados del tratamiento.
• Política de privacidad: revisar la política de privacidad en las páginas web.

Hay temas que todavía no tienen el nivel de definición esperado por parte de las Agencias de Protección de Datos, como puede ser el ámbito de la investigación, en el cual se plantean tesis todavía no concretadas, de consentimientos genéricos para ámbitos temáticos de investigación que permiten el uso de los datos obtenidos para la prestación de servicios sanitarios y/o sociales.

Por otro lado, hay temas que son el núcleo problemático del sector sanitario y social y que habrá que abordar desde la nueva perspectiva de la responsabilidad proactiva, como por ejemplo, el control de los accesos no adecuados a los datos. Por otro lado, la proliferación del uso de las redes sociales en el entorno de las organizaciones nos obligará a fijarnos en cómo lo regulamos, puesto que estas son uno de los elementos en que se focaliza el RGPD. En este sentido, serán necesarias las políticas sobre, por ejemplo, el uso de imágenes en las redes sociales.