Instrucció RGEPD Ajuntament de Barcelona PDF
Document Details
Uploaded by FeasibleHydrangea
UPC
2019
Tags
Summary
This document is an instruction for the application of the General European Data Protection Regulation (GDPR) and the Organic Law 3/2018, from December 5, which protects personal data and guarantees digital rights at the Barcelona City Council. The document establishes criteria and procedures for data protection practices within the council. This document details processes and procedures for handling personal data and regulations in the Barcelona city council.
Full Transcript
GASETA MUNICIPAL 13 de març del 2019 CSV: 4d46-6a48-50a7-fc7b Disposicions generals – Instruccions INSTRUCCIÓ per la qual es fixen els criteris d'aplicació del Reglament General Europeu de Protecció de Dades i la Llei Orgànica 3/2018, de 5 d...
GASETA MUNICIPAL 13 de març del 2019 CSV: 4d46-6a48-50a7-fc7b Disposicions generals – Instruccions INSTRUCCIÓ per la qual es fixen els criteris d'aplicació del Reglament General Europeu de Protecció de Dades i la Llei Orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals a l'Ajuntament de Barcelona. Índex de continguts PREÀMBUL. Article Primer. Objecte i finalitats. Article Segon. Àmbit objectiu. Article Tercer. Àmbit subjectiu d’aplicació. Article Quart. Responsables executius de tractament. Article Cinquè. Referents de Protecció de Dades. Article Sisè. Oficina del Delegat de Protecció de Dades. Article Setè. Taula de Protecció de Dades. Article Vuitè. Registre d’activitats de tractaments. Article Novè. Procediments d’alta, modificació o supressió de tractaments. Article Desè. Avaluació d’impacte de Protecció de Dades. Article Onzè. Tramitació de les peticions d’exercici de Drets per part de la ciutadania. Article Dotzè. Requeriments de l’Autoritat Catalana de Protecció de Dades. Article Tretzè. Procés de notificació de bretxes de seguretat. Disposició addicional primera. Disposició addicional segona. Disposició transitòria. Disposició final. 1 [email protected] barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 13 de març del 2019 CSV: 4d46-6a48-50a7-fc7b PREÀMBUL El Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques respecte al tractament de dades personals i la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE, en endavant RGPD, és plenament aplicable a partir del 25 de maig de 2018. Posteriorment, en data 7 de desembre de 2018, va entrar en vigor la Llei Orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals, que recull els canvis normatius del Reglament esmentat i especifica algun dels seus continguts. Ambdues normes introdueixen certes novetats en la regulació fins ara en vigor que obliga a adaptar els procediments de tramitació relatius a la protecció de dades ja existents i a regular-ne de nou aquells que són necessaris. Dins de les novetats destaquen les concernents a la desaparició del concepte de fitxer de dades i la seva substitució per la obligació de disposar d’un registre de tractaments; l’ampliació dels continguts que formen part de l’anomenat dret d’informació que cal fer efectiu cada cop que es recullen dades d’aquesta naturalesa i l’ampliació dels drets de les persones interessades sobre les seves dades de caràcter personal, entre els que s’hi inclouen, a part del dret d’accés, oposició i rectificació, els drets de supressió, limitació del tractament i portabilitat de les dades (coneguts, a partit d’ara, com a drets ARSOLP). També les noves normes estableixen noves obligacions per al responsable del tractament de les dades sota els principis de protecció de dades des del disseny i per defecte, que requereixen una acció proactiva d’anàlisi de les dades, per garantir que siguin tractades les mínimes dades possibles, i detectar els potencials riscos derivats del seu tractament per tal d’adoptar les mesures tècniques i organitzatives necessàries. En l’àmbit de la seguretat, s’estableixen també noves obligacions com són les notificacions de violacions de la seguretat de les dades i les avaluacions d’impacte en aquells casos en què es detecti que un tractament pot comportar un risc alt per als drets i llibertats de les persones físiques. Finalment, cal destacar la introducció de la figura del Delegat de Protecció de Dades que, obligatòria en l’àmbit de l’Administració, té com a missió principal informar i assessorar al responsable del tractament de les dades sobre les obligacions de l’RGPD i supervisar-ne el seu compliment. A partir d’aquestes premisses, i considerant els continguts establerts pel Model de Governança de les Dades Municipal aprovat per Decret de data 22 de març de 2018, s’articula la present Instrucció amb la finalitat d’establir els criteris generals a seguir en l’aplicació de l’RGPD i la nova LOPD, de forma que proporcioni als diferents operadors municipals el coneixement i concreció de les pautes a observar en relació als aspectes que s’hi contemplen. Aquesta Instrucció té caràcter marc i, per tant, podrà ser desenvolupada mitjançant altres instruccions en què s’abordin en detall, totalment o parcialment, aquells aspectes respecte dels quals sigui necessari un pronunciament, aclariment o concreció. 2 [email protected] barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 13 de març del 2019 CSV: 4d46-6a48-50a7-fc7b Article Primer. Objecte i finalitats. 1. Aquesta Instrucció té per objecte fixar els criteris d’aplicació de la normativa reguladora de la protecció de dades a la tramitació dels procediments propis d’aquest àmbit d’actuació. 2. Així mateix, aquesta instrucció estableix els responsables i referents de la seva aplicació i en defineix les seves funcions. Article Segon. Àmbit objectiu 1. Aquesta instrucció fixa els criteris per aplicar la normativa reguladora de la protecció de dades en els àmbits següents: l’alta, baixa i modificació dels tractaments de dades de caràcter personal en el Registre de Tractaments; el circuit intern per l’exercici dels drets d’accés, rectificació, supressió, oposició i limitació; les actuacions davant bretxes de seguretat. les avaluacions d’impacte. les relacions del Delegat de Protecció de Dades amb el grup municipal. 2. Aquesta instrucció s’aplica als tractaments totals o parcialment automatitzats de dades personals, així com al tractament no automatitzat de dades personals contingudes o adreçades a estar incloses en fitxers municipals. Article Tercer. Àmbit subjectiu d’aplicació. 1. Aquesta instrucció s’aplica a: a) els òrgans de govern i administratius de l’Ajuntament de Barcelona; b) Els organismes autònoms i les entitats públiques empresarials municipals, així com qualsevol organisme públic i entitat de dret públic vinculat o depenent de l’Ajuntament de Barcelona. 2. L’Ajuntament de Barcelona ha de promoure que les societats mercantils, els consorcis, les fundacions i associacions vinculades o dependents aprovin els seus propis Criteris prenent com a base aquesta instrucció. En tot cas, aquestes entitats han de facilitar a l’Oficina del Delegat de protecció de Dades de l’Ajuntament de Barcelona la informació que els hi sigui requerida i coordinar-se amb l’Ajuntament mitjançant els mecanismes que s’estableixin. Article Quart. Responsables executius de tractament. 1. El responsable dels tractaments que es duen a terme en l’àmbit de l’Ajuntament de Barcelona és l’Alcalde o Alcaldessa en tant que representant del mateix. 2. A fi i efecte de donar compliment a les obligacions que la normativa vigent en matèria de protecció de dades imposa al responsable de tractament, i en exercici de la potestat 3 [email protected] barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 13 de març del 2019 CSV: 4d46-6a48-50a7-fc7b d’autoorganització, s’ha de nomenar un Responsable Executiu de Tractament per a cada Gerència. Aquest Responsable Executiu de Tractament és la persona titular de la gerència o aquella persona que assumeixi la responsabilitat executiva de cada àrea o sector municipal, o dels altres ens subjectes a l’aplicació d’aquesta Instrucció. 3. Aquest Responsable Executiu és responsable dels tractaments de dades que es duguin a terme dins la seva àrea, tant dels nous com d’aquells ja existents que li siguin assignats a resultes de la creació del Registre de Tractaments. Aquesta responsabilitat implica que ha de garantir el compliment de les obligacions legals i reglamentàries que corresponen al responsable del tractament. A aquests efectes el responsable executiu de tractament té les funcions següents: Donar d’alta, modificar o suprimir els tractaments de dades de caràcter personal que resultin necessaris per a complir amb les funcions de la seva àrea segons el procediment establert a aquesta instrucció. Complir amb tots els requisits per a la protecció de la informació en funció de l’avaluació del risc pels drets i llibertats a les persones, actuant de conformitat amb les polítiques de seguretat que s’aprovin i destinant els recursos necessaris a l’efecte. Elaborar i implantar les mesures organitzatives i tècniques necessàries per a poder fer un tractament de dades i els seus mecanismes de seguiment posterior. Aquestes mesures han de ser informades pels òrgans competents. Establir els acords de coresponsabilitat corresponents en els termes previstos a l’art. 26 del RGPD, d’acord amb la delegació de l’Alcalde o Alcaldessa. Autoritzar l’accés de tercers a les dades de caràcter personal mitjançant la formalització d’encàrrecs de tractament, o dels acords de prestació de serveis sense accés a les dades, en la forma prevista per la normativa aplicable. Tramitar i resoldre les peticions d’exercicis de drets corresponents als tractaments que tingui assignats segons el procediment establert a aquesta instrucció. Donar resposta als requeriments formulats referits al sector o entitat de la seva competència per les Autoritats de Control de protecció de dades segons el procediment establert a aquesta instrucció. Designar un Referent en matèria de protecció de dades en l’àmbit de la Gerència a qui li correspon prestar l’assessorament i assistència al Responsable Executiu de Tractament. En el cas de Gerències d’especial complexitat organitzativa, podrà nomenar-se més d’un Referent. 4 [email protected] barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 13 de març del 2019 CSV: 4d46-6a48-50a7-fc7b Article Cinquè. Referents de Protecció de Dades 1. El Referent en matèria de protecció de dades assisteix tècnicament i assessora en la matèria al Responsable executiu del tractament. 2. Ha de ser designat pel Responsable Executiu del Tractament entre el personal de l’àrea o sector amb coneixements jurídics. A fi de garantir la uniformitat de criteri i facilitar la coordinació de les polítiques de privacitat, és recomanable que s’opti per titulars de lloc de treball amb funcions i responsabilitats equivalents. En cas que la informació sol·licitada o l’exercici de drets per part dels ciutadans es trobi custodiada en l’Arxiu Municipal, la persona responsable d’aquest actuarà com a Referent. D’aquesta designació se n’ha de donar compte al Delegat de Protecció de Dades. 3.- El Referent té les funcions següents: assessorar i assistir el Responsable Executiu de Tractament per a l’exercici de les seves funcions; constituir-se com a interlocutor directe preferent amb l’Oficina del Delegat de Protecció de Dades i per a la resta de l’organització; atendre les peticions i sol·licituds en aquesta matèria i derivar-les a les unitats de gestió directa de les dades, així com vetllar per al seu compliment, demanar aclariments a les persones sol·licitants d’exercici de drets, si escau, elevar propostes de resposta o resolució al Responsable Executiu del Tractament en els supòsits relatius a protecció de dades; El Referent ha de demanar informe als Serveis Jurídics Centrals, així com a l’Oficina del Delegat de Protecció de Dades, en aquells casos que puguin plantejar-se d’especial complexitat o que resultin novedosos, i que no hagin estat informats prèviament. Article Sisè. Oficina del Delegat de Protecció de Dades 1. L’Oficina del Delegat de Protecció de Dades es regeix en el seu funcionament, adscripció i funcions, segons allò disposat a l’Acord de la Comissió de Govern 103/2018, de 19 d’abril. 2. A banda de les funcions fixades en la normativa anterior, l’Oficina coordina l’aplicació de les polítiques establertes al Model de Governança de les Dades Municipals amb la resta de Delegats de Protecció de Dades del grup municipal. A aquest fi, el Delegat de Protecció de Dades ha d’establir els instruments de seguiment, informació i coordinació necessàries amb les societats mercantils, els consorcis, les fundacions i associacions vinculades o dependents que nomenin el seu propi Delegat de Protecció de Dades segons el disposat a l’article 3 d’aquesta Instrucció. 5 [email protected] barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 13 de març del 2019 CSV: 4d46-6a48-50a7-fc7b Article Setè. Taula de Protecció de Dades La Taula de Protecció de Dades coordina les polítiques de protecció de dades de l’Ajuntament de Barcelona, amb l’assistència i assessorament del Delegat de Protecció de Dades en els termes establerts en les seves normes de regulació corresponents. Amb aquest objectiu incorporarà els Referents designats pels Responsables executius de tractament. Article Vuitè. Registre d’activitats de tractaments. 1. Els tractaments de dades de caràcter personal que es duguin a terme per l’Ajuntament de Barcelona han d’estar degudament inscrits en el Registre de Tractaments. Aquest Registre, que és públic, ha de recollir de manera individualitzada cadascun dels tractaments de dades. 2. Concretament, al Registre de Tractaments ha de constar la següent informació: Responsable executiu del tractament i, si escau, del corresponsable i del Delegat de Protecció de Dades. Finalitats del tractament. Legitimació pel tractament (base legal o consentiment) Categories de dades personals objecte de tractament. Categories d’afectats (persones de qui es recullen les dades). Descripció, quan sigui possible, de les mesures tècniques i organitzatives de seguretat a adoptar segons el tractament i el risc inherent del mateix pels drets i llibertats dels afectats. Categories dels destinataris de comunicacions, inclosos tercers països o organitzacions internacionals. Terminis previstos per a la supressió de les diferents categories de dades, quan sigui possible. 3. El Registre d’Activitats de Tractament s’adscriu formalment a la Oficina del Delegat de Protecció de Dades de l’Ajuntament de Barcelona, qui serà l’encarregat de la seva gestió. Article Novè. Procediments d’alta, modificació o supressió de tractaments L’alta, la modificació o la supressió d’un tractament en el Registre ha de seguir els procediments que es detallen seguidament. a) Alta de nous tractaments de dades de caràcter personal. (1) El procediment d’alta d’un nou tractament en el Registre s’inicia amb un informe justificatiu de la Gerència que té atribuïda la competència del tràmit, procediment o servei que motiva el nou tractament de dades de caràcter personal. 6 [email protected] barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 13 de març del 2019 CSV: 4d46-6a48-50a7-fc7b Aquest informe justificatiu s’ha de pronunciar sobre la competència de la Gerència que inicia el procediment d’alta, la base jurídica que legitima el tractament de dades de caràcter personal i, si escau, ha d’incloure la proposta de clàusules informativa i per a la recollida del consentiment. (2) Aquest informe justificatiu s’ha de trametre al Delegat de Protecció de Dades junt amb el “Document d’avaluació de nous tractaments”, també signat per la Gerència competent. Aquest Document d’avaluació de nous tractaments té les finalitats següents: identificar el tractament pel seu posterior procés d’aprovació i registre. fer una anàlisi preliminar dels riscos inherents al tractament de les dades de caràcter personal, per determinar la necessitat d’avaluació d’impacte descrita a l’article 10. determinar el nivell de classificació de seguretat i les mesures tècniques necessàries a aplicar per tal de garantir els drets i llibertats de les persones afectades tant per la seva inclusió al Registre d’Activitats de Tractament com a les clàusules contractuals d’encàrrec de tractament que puguin derivar-se. El model d’aquest document l’aprova la Taula de Protecció de Dades i ha de ser facilitat a les Gerències pel Delegat de Protecció de Dades: (3) A la vista de la documentació presentada per la Gerència corresponent, el Delegat de Protecció de Dades ha de sol·licitar preceptivament informe a la Direcció dels Serveis Jurídics sobre la competència de la Gerència que inicia el procediment d’alta, la base que legitima el tractament de dades de caràcter personal i la proposta de clàusules informativa i per a la recollida del consentiment. Igualment, ha de sol·licitar informe a l’Institut Municipal d’Informàtica per tal de valorar la viabilitat tècnica del projecte i determinar les mesures de seguretat a aplicar. (4) Un cop recollida la documentació anteriorment esmentada, el Delegat de Protecció de Dades ha d’emetre informe sobre l’adequació del tractament a la normativa de protecció de dades. (5) Un cop efectuats els tràmits anteriors i rebuda tota la documentació de l’Oficia del Delegat de Dades, la Gerència corresponent ha de sotmetre la inscripció del nou tractament a informació pública per un període de 10 dies en els termes previstos en la llei de procediment administratiu. Transcorregut aquest termini, i en el seu cas valorades les al·legacions que puguin presentar- se, ha d’emetre resolució acordant la creació del nou tractament, que s’ha d’inscriure al Registre d’Activitats de Tractament. b) Modificació de tractaments de dades de caràcter personal ja inscrits. (1) El procediment de modificació d’un tractament ja inscrit en el Registre s’inicia amb un informe justificatiu de la Gerència que té atribuïda la competència del tràmit, procediment o servei que motiva la modificació del tractament de dades de caràcter personal. 7 [email protected] barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 13 de març del 2019 CSV: 4d46-6a48-50a7-fc7b Aquest informe justificatiu s’ha de pronunciar sobre els elements que cal modificar respecte de la inscripció inicial del tractament. Igualment ha de valorar l’afectació de la modificació respecte de la competència inicial de la Gerència per al tractament de dades, la base jurídica que legitima la modificació del tractament de dades de caràcter personal i la proposta de clàusules informativa i per a la recollida del consentiment, si escau. (2) Aquest informe justificatiu s’ha de trametre al Delegat de Protecció de Dades junt amb el “Document d’avaluació de nous tractaments”, també signat per la Gerència competent. Aquest document té per finalitat: identificar les modificacions del tractament ja inscrit pel seu posterior procés d’aprovació i registre. fer una anàlisi preliminar dels riscos inherents a la modificació del tractament de les dades de caràcter personal, per determinar si amb la modificació es genera una nova necessitat d’avaluació d’impacte i la obtenció del nivell de classificació de seguretat per tal de garantir els drets i llibertats de les persones afectades. (3) En aquells casos en què la modificació sigui substancial el Delegat de Protecció de Dades ha de demanar informe a la Direcció dels Serveis Jurídics a fi de contrastar l’afectació de la modificació proposada als elements jurídics considerats. Igualment, ha de sol·licitar informe a l’Institut Municipal d’Informàtica per tal de valorar la viabilitat tècnica de la modificació i determinar les mesures de seguretat a aplicar. (4) Un cop recollida la documentació anteriorment esmentada, el Delegat de Protecció de Dades ha d’emetre informe sobre l’adequació del tractament modificat a la normativa de protecció de dades. (5) Un cop efectuats els tràmits anteriors, la Gerència corresponent ha de sotmetre la modificació a informació pública per un període de 10 dies en els termes previstos en la llei de procediment administratiu. Transcorregut aquest termini, i en el seu cas valorades les al·legacions que puguin presentar- se, ha d’emetre resolució acordant la modificació del nou tractament i inscriure’l degudament al Registre d’Activitats de Tractament. c) Supressió de nous tractaments de dades de caràcter personal. El procediment de supressió d’un tractament ja inscrit en el Registre s’inicia amb un informe justificatiu de la Gerència que té atribuïda la competència del tràmit, procediment o servei que motiva la supressió del tractament de dades de caràcter personal en el qual ha de fer-se constar els motius que justifiquen la manca de necessitat de mantenir-lo, així com l’afectació de la supressió a les dades involucrades en el tractament (eliminació, bloqueig o conservació temporal). Aquest informe justificatiu s’ha de remetre al Delegat de Protecció de Dades per a la seva valoració. 8 [email protected] barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 13 de març del 2019 CSV: 4d46-6a48-50a7-fc7b En el cas en que la supressió de tractament pugui afectar interessos de tercers, caldrà sotmetre-la a informació pública de forma prèvia a la resolució de supressió definitiva. Article Desè. Avaluació d’impacte de Protecció de Dades 1. En el supòsit en què de l’anàlisi del Document d’avaluació de nous tractaments, o de modificació de tractaments ja existents, s’identifiqui una situació com d’ “Alt risc”, segons la qualificació establerta a la normativa reguladora, el Delegat de Protecció de Dades ha de proposar la realització d’una Avaluació d’Impacte de Protecció de Dades de forma prèvia a la inscripció del tractament. 2. Un cop determinada la seva necessitat, correspon al Responsable Executiu del Tractament dur a terme aquesta avaluació, d’acord amb la metodologia aprovada per la Taula de Protecció de Dades. Al llarg del procés d’avaluació, la Oficina del Delegat de Protecció de Dades podrà atendre les consultes que es derivin al respecte. El resultat d’aquesta Avaluació d’Impacte ha de ser presentat al Delegat de Protecció de Dades per al seu informe favorable. Article Onzè. Tramitació de les peticions d’exercici de Drets per part de la ciutadania. 1. Un cop es tingui constància de la recepció d’una petició d’exercici de drets per part de la ciutadania, aquesta s’ha de remetre a l’Oficina del Delegat de Protecció de Dades amb la màxima celeritat. El Delegat de Protecció de Dades analitza les peticions i identifica els Responsables executius del tractament que han de resoldre. Un cop identificats, ha de remetre la petició als Referents corresponents per tal que s’ocupin de la seva tramitació i elaborin les resolucions per a la seva elevació al Responsable executiu competent. 2. El Responsable executiu del Tractament notificarà les resolucions de forma preceptiva a la persona sol·licitant dins els terminis establerts a la normativa reguladora. 3. En el supòsit que aquest exercici pugui afectar a diferents Responsables executius de tractament, la Gerència de Recursos centralitzarà la coordinació de les resolucions a partir de la informació elaborada per cadascun dels Responsables executius i durà a terme la notificació corresponent. En el supòsit en què la persona interessada consideri que no ha rebut una resposta satisfactòria respecte el seu exercici de drets, i decideixi acudir al Delegat de protecció de dades amb caràcter previ a presentar una reclamació davant l’Autoritat de control de protecció de dades, aquest haurà d’actuar segons es preveu a l’art. 37 de la Llei Orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals, donant resposta a l’interessat en un termini màxim de dos mesos a comptar des de la recepció de la seva petició. 9 [email protected] barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 13 de març del 2019 CSV: 4d46-6a48-50a7-fc7b Article Dotzè. Requeriments de l’Autoritat Catalana de Protecció de Dades 1. Els Responsables Executius de Tractament han d’informar al Delegat de Protecció de Dades de la recepció de requeriments d’informació prèvia o altres comunicacions efectuades per part de l’Autoritat Catalana de Protecció de Dades als òrgans gestors amb la màxima celeritat. 2. Correspon al Referent de la Gerència afectada tramitar el requeriment i elaborar la proposta de resposta, que ha de ser elevada al Responsable Executiu de Tractament. El Referent elaborarà la resposta corresponent, amb l’assessorament tant del Delegat de Protecció de Dades com dels Serveis Jurídics en els termes previstos a l’article 5 d’aquesta Instrucció. 3. Un cop elaborada la resposta, s’ha de remetre al Delegat de Protecció de Dades de forma preceptiva i amb el temps suficient a fi que aquest pugui notificar-la a l’autoritat competent dins els terminis establerts a la normativa reguladora. 4. En el supòsit de que aquests requeriments o comunicacions puguin afectar a diferents Responsables Executius de Tractament, el Delegat de Protecció de Dades centralitza i coordina la elaboració de la resposta. Article Tretzè. Procés de notificació de bretxes de seguretat. 1. Les funcions de Responsable de Seguretat Tècnica de l’Ajuntament de Barcelona corresponen a l’IMI, que és el responsable del control i monitorització de les mesures de seguretat corresponents a cada tractament, sempre i quan els aplicatius informàtics siguin gestionats per aquest organisme. Si d’aquesta monitorització i control es detecten evidències de vulnerabilitat en l’àmbit de seguretat de les dades personals que comportin la seva destrucció, pèrdua o alteració accidental o il·lícita de dades personals trameses, el Responsable de Seguretat Tècnica ha de realitzar el corresponent informe, degudament documentat. Aquest informe ha de ser remès al Responsable Executiu del Tractament afectat, així com al Delegat de Protecció de Dades, i ha d’indicar les mesures mitigadores del risc que s’hagin implantat després de la detecció de la incidència. 2. A la vista d’aquest informe el Responsable Executiu del Tractament, amb el suport del Delegat de Protecció de Dades, ha de classificar la incidència en funció de l’afectació i risc produïts als drets de les persones físiques i les seves llibertats. Aquesta classificació determina si l’incident és considerat com una vulnerabilitat tècnica o com una bretxa de seguretat. En el supòsit en què l’incident es classifiqui com a vulnerabilitat tècnica es comunicarà al Responsable de Seguretat per fer el seguiment de les mesures tècniques a adoptar. En el supòsit en què l’incident de seguretat es classifiqui com a bretxa de seguretat per haver-se compromès dades personals, el Responsable Executiu del Tractament ha d’iniciar el procés de notificació a l’autoritat de control competent i a les persones afectades, si escau. 10 [email protected] barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 13 de març del 2019 CSV: 4d46-6a48-50a7-fc7b Aquesta notificació s’ha de produir abans del transcurs de 72 hores des que s’hagi tingut constància de la incidència a l’autoritat de control i, en el seu cas, als possibles afectats, i de conformitat amb el Protocol establert per l’autoritat de control, amb explicació de l’impacte produït i les mesures tècniques i organitzatives per a la seva mitigació i correcció. 3. El Responsable executiu de Tractament, d’acord amb les propostes tècniques efectuades, ha d’aplicar les mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament és conforme a la legalitat. Igualment, ha d’executar el procés de resposta a fi de contenir l’incident, eradicar la situació generada per aquest i restablir el servei en la seva totalitat, confirmant el seu funcionament normal i evitant en la mesura del possible que tornin a ocórrer altres incidents basats en la mateixa causa. En aquest sentit, el Responsable Executiu de Tractament, amb el suport del Delegat de Protecció de Dades i del Responsable de Seguretat Tècnica, ha de verificar que les mesures correctores adoptades siguin adequades per a la resolució de la bretxa de seguretat i per a la minimització del risc en cas de que es produeixi una altra de característiques similars. 4. El Responsable de Seguretat Tècnica ha de documentar degudament la incidència en el Registre d’Incidències en el moment de la seva detecció així com les accions realitzades per a la seva mitigació. Disposició addicional primera Mitjançant Decret d’Alcaldia es delegarà en els Responsables Executius de Tractament les competències corresponents a l’Alcaldia en matèria d’alta, modificació i supressió de tractaments. Disposició addicional segona Mitjançant Decret d’Alcaldia es delegarà en els Responsables Executius de Tractament la competència per establir els acords de coresponsabilitat corresponents en els termes previstos a l’art. 26 del RGPD. Disposició transitòria Els tractaments ja existents s’incorporaran al Registre de Tractaments sense perjudici que la seva inscripció es vagi adequant progressivament als requeriments del Reglament General Europeu de Protecció de Dades. Disposició final Aquesta instrucció entra en vigor l’endemà de la seva publicació a la Gaseta Municipal i es publicarà també al web municipal. 11 [email protected] barcelona.cat/gasetamunicipal DLB-5.656-2007
