El nou Reglament Europeu de Protecció de Dades

General Data Protection Regulation (GDPR)

La nova normativa que la Unió Europea aprovarà aquesta primavera, pretén aconseguir que totes les empreses i organitzacions que tracten dades de ciutadans europeus, siguin locals o internacionals, s'atenguin a una única legislació en tota la UE, evitant així diferències de criteris i règims sancionadors segons el país en què es realitzi el tractament.

Amb el nou reglament, la protecció de les dades personals es convertirà en alguna cosa més que un compliment formal d'obligacions legals com venia sent fins ara. La normativa pretén propiciar una veritable cultura de la privacitat, havent d'analitzar els riscos que comporta el tractament, avaluar el seu impacte i tenir en compte molts altres factors que afecten la privacitat de les persones i la confidencialitat de les seves dades.

La figura del consultor a privacitat serà de gran rellevància per emprendre aquest objectiu. El raonament de la normativa, l'assessorament en els procediments a implementar i la resolució d'incidències seran els pilars perquè la cultura de privacitat s'instal·li en el nostre teixit empresarial i els ciutadans europeus se sentin molt més protegits.

 

Novetats pel que fa a la LOPD

Àmbit territorial

Estaran subjectes al Reglament les empreses establertes fora de la UE que realitzin tractaments de dades personals de ciutadans residents a la UE quan els ofereixin béns o serveis, pagant o sense pagar, o controlin el seu comportament.
 

Consentiment de l'interessat

El consentiment per autoritzar el tractament de dades ha de ser lliure, específic, informat, explícit i inequívoc. Serà tan fàcil retirar el consentiment com donar-lo. El Responsable del tractament ha de poder demostrar que s'ha obtingut el consentiment de l'interessat.
No serà necessari obtenir el consentiment quan el tractament sigui necessari per al compliment d'obligacions legals a les què estigui subjecte el Responsable.
 

Informació a l'interessat

La informació ha d'estar unificada i facilitada per escrit o mitjans electrònics, podent estar combinada amb icones formalitzats. El deure d'informar estarà basat en la transparència del tractament i en els drets que assisteixen a l'interessat. S'afegeix l'obligació d'informar sobre el termini de conservació de les dades i les possibles transferències internacionals.
 

Drets dels interessats

• El dret a l'oblit, com equilibri entre el dret a la informació i el dret a la supressió de les dades quan ja no siguin necessaris.
• El dret a la limitació del tractament, afegit als existents d'oposició y supressió per a restringir el tractament mentre sigui necessari.
• El dret a la portabilitat de les dades d'un Responsable del tractament a un altre a petició de l'interessat.
• El dret a no ser objecte d'una elaboració de perfils basada únicament en el tractament automatitzat, quan la decisió que pugui ser presa a conseqüència de la mateixa pugui produir efectes jurídics que puguin afectar-lo significativament, i amb dret a poder reclamar al Responsable una intervenció humana i a impugnar la decisió.
• El dret a reclamar davant l'Autoritat de control.

Seudonimización

El Reglament introdueix el concepte de dades codificades per quan les dades no es puguin atribuir a un interessat sense recórrer a informació addicional, separada i subjecta a mesures de seguretat que garanteixin l'anonimat d'aquest. Aquesta pràctica pretén minimitzar els riscos del tractament.
 

Rendició de comptes

Els Responsables del tractament hauran de ser capaços de demostrar el compliment de tots els principis del tractament que imposa el Reglament: licitud, limitació dels fins, minimització de les dades, exactitud, limitació del termini de conservació, efectivitat, integritat i confidencialitat.
 

Fitxers

S'elimina l'obligació de notificar els fitxers a l'Autoritat de control. Aquest requisit ha resultat inutil per aconseguir el propòsit inicial de conscienciació per a la protecció de dades personals, convertint en molts casos la simple notificació com el màxim deure del Responsable del tractament.
 

Mesures de seguretat

Implantar mesures, procediments i sistemes que garanteixen la privacitat ajustats a les necessitats, mida, circumstàncies, context i finalitats del tractament de dades. Ja no serà necessari inventariar els equips informàtics, el mobiliari i els suports com precisava el reglament LOPD. N'hi haurà prou amb establir una política de seguretat que garanteixi mitjançant unes pràctiques de seguretat (identificació, autenticació, accessos, permisos, tractament, destrucció de documents, còpies de seguretat, etc.) que es corresponguin adequadament a la protecció de dades segons els riscos previstos. Hi haurà mecanismes de certificació homologats per demostrar que es compleix el Reglament.
 

Protecció de dades des del disseny i per defecte

Les empreses hauran de garantir des del disseny i per defecte la protecció de dades en qualsevol fase del tractament: obtenció, accés, intervenció, transmissió, conservació i supressió. Hauran d'assegurar que el tractament es realitzi per a fins específics, aplicar tècniques de minimització de dades, possibilitar l'exercici dels drets dels interessats i que les dades no siguin accessibles a un nº indeterminat de persones.
 

Avaluació d'impacte

Les empreses hauran d'assumir la responsabilitat d'avaluar el grau de risc que representa per a les persones que siguin objecte de tractament, havent de realitzar una avaluació d'impacte quan es prevegi un alt risc per als drets, llibertats i interessos legítims de les mateixes. Quan el tractament no presenti risc, la càrrega per al compliment es veurà notablement reduïda. Les avaluacions d'impacte s'hauran de tenir en compte per a nous procediments de tractament.
 

Registre de les activitats del tractament

Els Responsables i Encarregats del tractament tindran l'obligació de portar un registre d'activitats quan emprin a un mínim de 250 persones, o el tractament pugui suposar un risc per als drets i llibertats dels interessats, o es tractin categories especials de dades o dades relatives a condemnes i delictes penals. Aquest registre estarà a disposició de l'Autoritat de control.
 

Encarregats del tractament

Els Encarregats de tractament estaran subjectes a les mateixes sancions que els Responsables. Hauran de subscriure un contracte de prestació de serveis per compte del Responsable seguint les seves instruccions, que hauran de ser documentades, incloent si fos el cas les transferències de dades a tercers països o organitzacions internacionals. Quan l'encarregat del tractament determini els fins i mitjans del tractament pel seu compte serà considerat Responsable i estarà subjecte a les normes aplicables com a tal.
 

Corresponsables del tractament

Hi ha la nova figura de Corresponsable del tractament per quan entre diversos Responsables o Encarregats determinin els fins i els mitjans del tractament. En aquest cas s'haurà de formalitzar un acord on es determini les funcions i responsabilitats de cadascun d'ells pel que fa al tractament i a les seves relacions amb els interessats. Amb aquesta nova figura, molts Encarregats es convertiran en Corresponsables del tractament.
 

Violació de dades

S'ahuran de notificar les incidències a l'Autoritat de control en 72 hores, documentant la naturalesa i el context de la violació i els possibles efectes de la mateixa. Podrá implicar l'informar a les persones afectades quan sigui probable que presenti un alt risc per als seus drets i llibertats o li sigui exigit per l'Autoritat de control.
 

Delegat de protecció de dades

Nova figura a càrrec del Responsable encarregada d'informar i assessorar al Responsable o Encarregat del tractament i al personal autoritzat per tractar dades, de les obligacions relatives a la protecció de dades personals en tractaments a gran escala o amb un alt nivell de risc en protecció de dades
 

Autoritat de control

Hi haurà la "finestreta única" per quan un negoci es desenvolupa en diversos estats de la UE. L'Autoritat de control de la seu central de l'empresa actuarà com l'autoritat principal de les activitats de tractament de dades que tenen un impacte a tota la UE. Les reclamacions i possibles violacions del Reglament es podran tramitar a qualsevol Autoritat de control competent d'on pertanyi l'interessat.
 

Sancions

Les multes seran proporcionals a cada cas particular. Hi haurà un increment de la quantia de sanció que podrà arribar, en casos greus, al 4% de la facturació a tot el món.

 

Hem de preparar per a l'GDPR

En la mesura en que el nou Reglament proposa una nova cultura de privacitat, aquest és el moment de revisar els procediments que estem fent servir actualment:

- Si no s'està complint amb la LOPD, haurem de posar-nos al dia, ja que la transició al GDPR serà més senzilla des del seu compliment. A partir de l'entrada en vigor del nou Reglament haurà 2 anys per adaptar-nos.

- Regularitzar les relacions amb els Encarregats del tractament: realitzar un inventari dels mateixos, revisar els contractes per establir si existeix corresponsabilitat i documentar les instruccions de l'encàrrec per minimitzar els riscos.

- Implementar mesures de seguretat des del disseny i per defecte en tots els processos del tractament mitjançant procediments i sistemes que garanteixin la protecció de dades i l'exercici dels drets dels interessats.

- Realitzar una anàlisi dels riscos que afecten el tractament i prevenir el seu impacte per garantir els drets i les llibertats de les persones que puguin estar afectades, assumint que la protecció de dades és molt més que un compliment formal i documental.