NUEVA VERSIÓN DE “GESTIONA RGPD”

El Reglamento General de Protección de Datos (RGPD) establece que las organizaciones que tratan datos personales deben llevar un Registro de Actividades (RAT) e identificar y gestionar los riesgos que esos tratamientos pueden tener para los derechos y libertades de las personas cuyos datos se están tratando.

Según el artículo 30 del RGPD “Cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación: a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos; b) los fines del tratamiento; c) una descripción de las categorías de interesados y de las categorías de datos personales; las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales; e)en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas; f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos; g) cuando sea posible, una descripción”

Por otro lado, el artículo 35 del RGPD dispone que “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.

 La evaluación de impacto relativa a la protección de los datos se requerirá en particular en caso de: a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o c) observación sistemática a gran escala de una zona de acceso público.”

En base a lo anterior, la Agencia Española de Protección de Datos (AEPD) acaba de estrenar una nueva versión de Gestiona RGPD, una herramienta para responsables y encargados del tratamiento, así como para delegados de protección de datos.

La herramienta permitirá la gestión de tratamientos de una entidad en los siguientes aspectos: gestión del Registro de Actividades de Tratamiento; generación del Inventario de Tratamientos y bases mínimas para iniciar las actividades de análisis y gestión de riesgos en el ámbito del RGPD así como generación de informes y gestión y almacenamiento local de los datos.

Lo que se pretende es facilitar la labor de los sujetos anteriormente citados, colaborando en la gestión de tratamientos de datos personales y la evaluación de riesgos mediante un catálogo de medidas de privacidad, así como la asistencia en la realización de evaluaciones de impacto.

El nuevo instrumento permitirá gestionar el registro de actividades de tratamiento de una organización, así como de distintas entidades mediante medidas de privacidad para cada factor de riesgo identificado, así como medidas para la gestión de brechas de datos personales y seguridad, y medidas organizativas y políticas de protección de datos.

La herramienta ya existía pero ahora pasa de incluir de 500 a más de 800 medidas clasificadas en función de los factores de riesgo incluyendo también aspectos como la gobernanza, seguridad y brechas de datos y además será de gran utilidad para aquellas organizaciones y empresas que necesitan iniciarse en la realización de Evaluaciones de Impacto en Protección de Datos personales cuando, del análisis de riesgos realizado se desprenda que el tratamiento puede suponer un alto riesgo para los derechos y libertades de las personas cuyos datos se tratan.

En cuanto a la mecánica no es complicada puesto que la gestión del tratamiento se realiza en el dispositivo del usuario a través de su navegador, sin instalar ningún tipo de aplicación, almacenando la información de forma local, permitiendo gestionar los datos de distintos responsables y sin transmitir información a la Agencia, o a terceros, garantizando la confidencialidad. La información se puede almacenar en un archivo en el ordenador del usuario y recuperar después de cada sesión, permitiendo distintas versiones.

Como último apunte, hay que destacar que la utilización de herramientas de este tipo no sustituye el cumplimiento de la responsabilidad proactiva de todo negocio, empresa u organización. Ninguna herramienta toma decisiones que corresponden al responsable sobre los fines y medios del tratamiento, no sustituye las obligaciones y principios que son aplicables a un tratamiento en función de su naturaleza, ámbito, fines y contexto, ni puede implementar, en ningún caso, políticas de protección de datos, así como medidas y garantías para la gestión del riesgo para los derechos y libertades.