Instrucciones para cumplimentar el Formulario de Declaración de tratamiento RGPD
- 1. Responsable Interno del Tratamiento (antiguo fichero)
- 2. Nombre del tratamiento de datos
- 3. Finalidad del tratamiento de datos
- 4. Legitimación del tratamiento
- 5. Estructura básica y descripción de los tipos de datos de carácter personal incluidos en el tratamiento
- 6. Finalidad y características del tratamiento
- 7. Categorías de interesados
- 8. Procedencia y procedimiento de recogida de datos
- 9. Cesión o comunicación de datos
- 10. Transferencias Internacionales de datos
- 11. Encargados de tratamiento
- 12. Corresponsables del tratamiento
- 13. Derechos de los interesados
- 14. Disponibilidad, Integridad, Confidencialidad, Resiliencia
- 15. Sistemas, Seguridad y Medios de tratamiento en Proyectos de Investigación
- 16. Evaluación de impacto
- 17. Datos del registro de tratamiento
- 18. Información legal básica (1ª capa)
- 19. Información legal completa (2ª capa)
1. Responsable Interno del Tratamiento (antiguo fichero)
Debe ser un miembro de la plantilla de la UPV/EHU.
2. Nombre del tratamiento de datos
Procure que sea un nombre breve y definitorio del tratamiento.
3. Finalidad del tratamiento de datos
Explique claramente cuál es la finalidad del tratamiento. Tenga en cuenta que esta información se va a trasladar, tal y como la describa, a las personas interesadas (apartados 18 y 19 del formulario, como información legal).
Además, debe rellenar los campos:
- Duración del tratamiento.
- Periodo de conservación de los datos (tiempo que debe guardarlos una vez finalizado el tratamiento).
- Nº de personas afectadas (rango).
- Extensión geográfica del tratamiento.
- Medios de tratamiento.
- Si se toma o no alguna medida de tratamiento para proteger la identidad de las personas interesadas (pseudonimización, disociación o ninguna).
Bajo estos campos verán otros dos campos que se rellenan de manera automática en función de los datos que usted suministre en el formulario:
El nivel de impacto estimado es: | 0 | BAJO |
El primero es el cálculo del nivel de impacto en la privacidad expresado tanto en términos
cuantitativos como cualitativos, y en el segundo aparecerá si debe realizar o no un análisis de
impacto del tratamiento. Veremos más adelante cómo.
4. Legitimación del tratamiento
Aquí debe consignar cuál es la base legal del tratamiento, es decir, cuál o cuáles de los seis supuestos le autorizan a tratar los datos personales. Es posible que haya más de uno. Si tiene dudas, contacte con el Delegado de Protección de Datos (dpd@ehu.eus).
En el caso de que la legitimación del tratamiento no se base exclusivamente en el consentimiento de las personas interesadas, debe detallar en el apartado 4.1 las leyes o regulaciones que legitiman el tratamiento de datos. Esta información también se trasladará a las personas interesadas (apartado 19 del formulario, como información legal).
En el apartado 4.2 no ponga nada, ya que la UPV/EHU no se ha adherido aún a ningún Código de Conducta.
5. Estructura básica y descripción de los tipos de datos de carácter personal incluidos en el tratamiento
6. Finalidad y características del tratamiento
En el apartado 6.1 marque los ítems que puedan caracterizar a su tratamiento.
En el apartado 6.2, la tipificación correspondiente a la finalidad. Pueden ser varias. Por ejemplo, en los proyectos de investigación suelen ser 2:
- En Finalidades Varias:
- Fines científicos, históricos o estadísticos.
- Publicaciones.
7. Categorías de interesados
8. Procedencia y procedimiento de recogida de datos
9. Cesión o comunicación de datos
Debe entenderse por cesión, la comunicación de datos personales a una tercera parte previamente autorizada por la persona interesada o basada en alguna fuente de legitimación (apartado 4). No se considerarán cesiones aquellas comunicaciones de datos realizadas a quienes se encargan del tratamiento.
En este apartado debe detallar el número de cesiones y a quién se destinan. Esta información también se trasladará a las personas interesadas (apartado 19 del formulario, como información legal).
10. Transferencias Internacionales de datos
En este apartado deben consignarse todas las transferencias internacionales de datos. Debe considerarse transferencia internacional cualquier comunicación o encargo de tratamiento de datos personales y entidades situadas fuera de la Unión Europea.
Debe indicarse si se realizan transferencias internacionales de datos a países considerados "no seguros" para el tratamiento de datos personales. Se consideran "no seguros" países de fuera de la Unión Europea y que NO figuran en el siguiente listado:
- Andorra
- Argentina
- Canadá (Sector privado)
- Suiza
- Islas Feroe
- Guernsey
- Israel
- Isla de Man
- Jersey
- Nueva Zelanda
- Uruguay
En este apartado debe detallar el número de transferencias y a quién se destinan. Esta información también se trasladará a las personas interesadas (apartado 19 del formulario, como información legal).
11. Encargados de tratamiento
Un «encargado del tratamiento» o «encargado» es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta de la persona responsable del tratamiento.
En este apartado debe detallar el número de encargados de tratamiento y su razón social.
12. Corresponsables del tratamiento
Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento tendrán la consideración de corresponsables del tratamiento.
En este apartado debe detallar el número de corresponsables de tratamiento y su razón social.
13. Derechos de los interesados
En este apartado debe indicar la mayor o menor de dificultad para cumplir con el ejercicio de los derechos de las personas interesadas:
- acceso
- rectificación
- limitación del tratamiento
- oposición
- portabilidad
- supresión
14. Disponibilidad, Integridad, Confidencialidad, Resiliencia
15. Sistemas, Seguridad y Medios de tratamiento en Proyectos de Investigación
Rellene este apartado si se trata de un proyecto de investigación. Este apartado es muy importante. Es fundamental que los proyectos de investigación cumplan los estándares del Esquema Nacional de Seguridad (ENS) y tengan elaborado un análisis de riesgos. Eso significa, en nuestro país, tener un estudio de los mismos según metodología MAGERIT. No se asuste, estamos para ayudarle. Simplemente conteste a las preguntas con el compromiso de cumplir sus respuestas:
Apartado 15.1
Describa con el mejor detalle posible los sistemas que utilizarán en su tratamiento de datos: dónde guardarán los datos no informatizados (papel, cintas de video…) y los medios informatizados (servidores, ordenadores personales, sistemas de almacenamiento compartido, comunicaciones, teleproceso, etc.)
Apartado 15.2
Debe responder afirmativamente a todos los ítems. Esto quiere decir:
- a) Que se compromete a guardar bajo llave toda la información no informatizada (papel, grabaciones video o audio…)
- b) Que hay un registro de accesos de las personas que acceden a dicha información (o que sólo hay una persona facultada para ello)
- c) Que pasado el plazo de conservación de los datos no informatizados, estos se destruirán de forma confidencial y segura.
- d) Que además de todo lo anterior, se toman medidas adicionales para garantizar la confidencialidad de los datos no informatizados.
Si no responde afirmativamente a los ítems, el Comité de Ética de Investigación con Seres Humanos (CEISH), puede reclamarle un Análisis de Riegos que contemple las medidas que garanticen un tratamiento legal de los datos personales.
Apartado 15.3
Marque los ítems que sea menester. Conviene que sean todos o casi todos, porque si no: "el Comité de Ética de Investigación con Seres Humanos (CEISH), puede reclamarle un Análisis de Riegos que contemple las medidas que garanticen un tratamiento legal de los datos personales."
Como es una duda común, la "Autenticación de factor único" y la "Autenticación de doble factor" se refiere a los requisitos para entrar al sistema informatizado. Una identificación de factor único, puede ser un simple usuario y contraseña. Una de doble factor puede que además le exija una huella dactilar.
Apartado 15.4 "Disponibilidad"
Marque los sistemas de que dispone frente a fallos del sistema que impidan continuar con el tratamiento de los datos personales. Conviene que sean todos o casi todos, porque si no: "el Comité de Ética de Investigación con Seres Humanos (CEISH), puede reclamarle un Análisis de Riegos que contemple las medidas que garanticen un tratamiento legal de los datos personales."
En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (por sus siglas en inglés, Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos.
Apartado 15.5
Marque lo que utilice. Conviene que sean todos o casi todos, porque si no: "el Comité de Ética de Investigación con Seres Humanos (CEISH), puede reclamarle un Análisis de Riegos que contemple las medidas que garanticen un tratamiento legal de los datos personales."
Apartado 15.6
Marque lo que utilice. Conviene que sean todos o casi todos, porque si no: "el Comité de Ética de Investigación con Seres Humanos (CEISH), puede reclamarle un Análisis de Riegos que contemple las medidas que garanticen un tratamiento legal de los datos personales."
Apartado 15.7
Con las respuestas que Vd. nos de, su proyecto de investigación quedará caracterizado por los medios que se emplean. Eso, junto con los apartados anteriores del punto 15 nos permitirá hacer un análisis de riesgos a medida.
16. Evaluación de impacto
Sólo si ha rellenado todos los apartados anteriores, vaya a la página 2. Si al final de la página lee la frase "SE DEBE HACER UNA EVALUACIÓN DE IMPACTO PARA ESTE TRATAMIENTO”, rellene este apartado.
Es un apartado muy subjetivo. Responda con sinceridad y piense si merece la pena ética hacer lo que pretende.
Suerte.