Orientaciones sobre protección de datos – Pregunta 2
Recogida de formularios en papel: ¿cuáles son las obligaciones del representante del grupo de organizadores como único responsable del tratamiento de datos?
Aplicable a la hipótesis n.º 2, salvo en lo que se refiere a la utilización del servicio de intercambio de archivos de la Comisión.
El representante del grupo de organizadores, cuando actúe como único responsable del tratamiento de datos, debe garantizar que se lleve a cabo de conformidad con el RGPD, la legislación nacional aplicable y el Reglamento sobre la iniciativa ciudadana europea, y debe poder demostrarlo.
Entre otras cosas, debe:
- Evaluar, antes del tratamiento, las repercusiones de las operaciones de tratamiento en los derechos y libertades de los interesados, lo cual incluye determinar si los datos recogidos son sensibles (cuando los datos de los firmantes sean sensibles, deberá designar un delegado de protección de datos y llevar a cabo una evaluación de impacto relativa a la protección de datos).
- Establecer y mantener un registro de las actividades de tratamiento.
- Adoptar las medidas adecuadas para proteger los datos personales contra formas ilícitas de tratamiento (destrucción, pérdida o alteración accidental o ilícita, comunicación o acceso no autorizados, en particular cuando el tratamiento implique la transmisión de datos por una red, etc.). Las medidas pueden variar en función de la forma en que se lleve a cabo la recogida: en papel o en línea.
- Informar a los firmantes sobre el tratamiento de sus datos personales, el modo en que se garantiza su protección y los derechos que pueden ejercer.
- Garantizar el seguimiento adecuado de las consultas y peticiones de los firmantes al amparo del Reglamento general de protección de datos.
- Velar por la seguridad de los datos al presentar las declaraciones de apoyo recogidas a los Estados miembros a efectos de verificación.
- Cerciorarse de que los datos personales recogidos no se utilicen para fines distintos de los definidos en el Reglamento sobre la iniciativa ciudadana europea.
- Notificar cualquier violación de la seguridad de los datos personales a la autoridad de control de la protección de datos competente en un plazo de 72 horas a partir de su conocimiento y cooperar, previa petición, con las autoridades de control de la protección de datos.
- Garantizar la destrucción de todas las declaraciones de apoyo (así como sus copias) respetando los plazos establecidos de conservación de datos.
La lista anterior se ofrece con fines informativos y no exime a los organizadores de cumplir las obligaciones que les son directamente aplicables en virtud del RGPD.
Referencias:
- Artículo 5, apartado 7, y artículo 19 del Reglamento sobre la iniciativa ciudadana europea.
- Artículo 24 del RGPD.