Les 10 claus sobre el nou Reglament de Protecció de Dades

El 27 d’abril de 2016 es va aprovar el Reglament (UE) 2016/679 sobre protecció de dades, que és de plena aplicació des del 25 de maig del 2018. La globalització i l’ús de les noves tecnologies implica un risc per a les dades personals, per tant la finalitat de la nova normativa europea és dotar d’un major control a les persones que en són titulars.

A continuació farem un recull de les novetats que presenta el nou Reglament (UE) 2016/679, relatiu a la protecció de les dades personals i lliure circulació d’aquestes dades, que es detallen a continuació:

1. Àmbit d’aplicació

El Reglament afecta organitzacions, tant públiques com privades, i persones físiques professionals que tractin amb dades de caràcter personal, sempre que actuïn dins de la Unió Europea (UE), a fi de proporcionar un marc normatiu harmonitzat per a tots els Estats membres i oferir més garanties a la ciutadania europea.

En relació a les organitzacions, no és important el fet que la seva seu estigui ubicada físicament o no al territori de la Unió Europea, sempre i quan:

  • Ofereixin béns i serveis (inclosos els gratuïts) a Europa.
  • Disposin de fitxers de ciutadans/es europeus/es. En aquest cas, si no tenen un establiment permanent a la Unió Europea, hauran de nomenar un representant a la UE, que actuarà com a punt de contacte amb les autoritats de supervisió i amb les persones ciutadanes.

2. Informació sobre el tractament de dades

La informació sobre el tractament de dades haurà d’adequar-se a les persones destinatàries, especialment quan es tracti de menors. S’haurà de facilitar per escrit, en un llenguatge clar i senzill.

Els principals elements que ha de recollir aquest dret són els següents:

  • Dades identificatives i de contacte del responsable de tractament.
  • Dades identificatives i de contacte del delegat/a de protecció de dades.
  • Finalitat del tractament i la seva base jurídica.
  • Persones destinatàries de les dades recollides i la categoria de dades.
  • Intenció de transferir les dades a un tercer país.
  • Termini de conservació de les dades.
  • Drets de les persones titulars de les dades i el procediment per poder-los exercir.

3. Consentiment

La validesa del tractament de les dades implica que les persones titulars han de prestar el seu consentiment de forma expressa i inequívoca. Per tant, no es considera vàlid cap tipus de consentiment tàcit.

D’altra banda, els tractaments basats en el consentiment que s’hagin iniciat abans de l’aplicació de la nova normativa europea continuaran sent legítims, sempre que aquest consentiment s’hagi prestat de la manera que preveu la citada norma, és a dir, mitjançant una manifestació explícita.

Pel que fa als menors d’edat, el tractament de les seves dades es considerarà vàlid quan tinguin, com a mínim, 16 anys.

Tot i així, els Estats membres podran establir que el consentiment es pugui prestar per una persona amb una edat inferior, que podrà ser fins a 13 anys. En cas de ser menor de 13 anys, el consentiment l’ha de prestar la persona representant legal del menor.

4. Drets dels titulars de les dades

La normativa preveu uns drets de les persones titulars de les dades personals, entre els quals destaquen els següents:

  • Dret d’accés a les dades.
  • Dret de rectificació de les mateixes en cas que s’escaigui.
  • Dret de cancel·lació de les dades que es considerin inadequades o excessives.
  • Dret d’oposició al tractament de certes dades.
  • Dret de supressió de les dades o també anomenat dret a l’oblit.
  • Dret de limitació del tractament.
  • Dret de portabilitat de les dades.
  • Dret a no ser objecte de decisions individualitzades.

La norma europea no estableix una manera concreta per exercir els drets, però si permet que es faci per mitjans electrònics i de forma gratuïta. En cas que es tractés de sol·licituds infundades o excessives, el responsable del tractament pot decidir aplicar una taxa o bé negar-se a actuar.

Aquest també ha d’informar la persona interessada sobre les actuacions derivades de la seva petició d’exercici de drets en del termini d’un mes, que es pot ampliar a dos mesos més quan es tracta de sol·licituds especialment complexes.

Si el responsable decideix no atendre la sol·licitud, n’ha d’informar i motivar la negativa dins del termini d’un mes des que es va presentar.

5. Encàrrec del tractament de dades

Quan una entitat responsable del tractament d’unes dades cedeix una part d’aquestes a un tercer com, per exemple, a través d’una relació contractual de prestació de serveis, aquest tercer passa a denominar-se encarregat del tractament de dades.

La relació entre el responsable i l’encarregat de les dades s’ha de formalitzar mitjançant un contracte que ha de recollir els següents aspectes: l’objecte i la durada de l’encàrrec, la naturalesa del tractament, el tipus de dades personals que han de tractar, les categories d’interessats, les obligacions i els drets del responsable, el compromís de confidencialitat, la disponibilitat per atendre les sol·licituds d’exercici de drets i la supressió o la devolució de les dades en finalitzar l’encàrrec, entre d’altres.

L’encarregat té la obligació de posar a disposició del responsable tota la informació necessària per demostrar que compleix les seves obligacions respecte a la protecció de dades, i permetre que el responsable o un altre auditor autoritzat efectuï auditories i inspeccions.

6. Obligació de dur un registre d’activitat del tractament de dades

El Reglament Europeu de Protecció de Dades aposta per la responsabilitat proactiva per part de les organitzacions a l’hora d’implementar les mesures de seguretat adients per a la correcta protecció de les dades de l’entitat.

En base a aquest principi, estableix la necessitat de dur registres d’activitat del tractament de dades amb la finalitat de poder demostrar l’efectiu compliment de la normativa. A més, la legislació recull que, pel que fa a aquests registres, cada entitat els haurà de mantenir sota la seva responsabilitat.

Les principals informacions, entre d’altres, que han de contenir aquests registres d’activitat són les següents:

  • Identificació de les dades de contacte de la persona responsable del tractament i del delegat/da de protecció de dades.
  • Finalitat del tractament.
  • Descripció de les categories dels interessats/des i de les dades que disposa l’entitat.
  • Categories de destinataris/es de les dades.
  • Transferències internacionals de dades, en cas que n’hi hagi.

Relacionat amb aquest registre d’activitat, s’ha de tenir en compte que desapareix l’actual obligació d’inscriure els fitxers a l’Agència de Protecció de Dades, prevista a la Llei 15/1999.

7. Necessitat de realitzar avaluacions d’impacte

La nova legislació disposa que les entitats realitzin avaluacions d’impacte en matèria de protecció de dades quan es consideri que les operacions de tractament de les mateixes poden suposar un alt risc per als drets i llibertats de les persones.

Aquest risc, sobretot, es refereix a aquelles situacions en què les dades són especialment sensibles i quan s’utilitzen noves tecnologies per al seu tractament.

L’avaluació d’impacte consisteix en una anàlisi dels riscos que es poden derivar del propi tractament de les dades que fa l’entitat i que poden afectar la seva protecció. A més, a conseqüència d’aquesta anàlisi, s’han de prendre lesmesures necessàries per eliminar aquests riscos, o almenys, reduir-los.

Les principals qüestions a tenir en compte a l’hora de realitzar l’avaluació d’impacte són les següents:

  • Anàlisi en profunditat del projecte tenint en compte les dades a tractar, els fluxos d’informació i la tecnologia utilitzada per al seu tractament.
  • Identificació dels riscos per a les dades personals i quins danys es produirien.
  • Determinació de les mesures a adoptar per eliminar o disminuir el risc.
  • Elaboració d’un informe final amb els riscos i les mesures a incorporar.
  • Assegurar-se que el tractament compleix amb els requeriments legals establerts.
  • Assignació dels recursos necessaris per implementar les mesures adequades.
  • Revisió dels sistemes de tractament per comprovar l’efectivitat del resultat de l’avaluació d’impacte.

8. Notificació de les violacions de seguretat

Una altra novetat del Reglament és la notificació a l’Agència de Protecció de Dades de totes aquelles fallades de seguretat que puguin esdevenir.

Fins ara, la normativa només requeria portar un control incidències a nivell intern, a fi de poder dur un registre de les escletxes de seguretat que s’haguessin produït i les seves conseqüències.

Actualment, tot i que s’han de seguir establint els procediments interns necessaris per canalitzar les possibles violacions o escletxes de seguretat i establir les mesures adients per a la seva reparació, el Reglament Europeu estableix l’obligació per al responsable del tractament de notificar totes les fallades de seguretat a l’AEPD en un termini màxim de 72 hores.

S’ha de tenir en compte que, en el cas que la violació de seguretat fecti o impliqui un risc per a les persones interessades, també se’ls hi haurà de notificar.

Aquesta funció l’haurà d’assumir la figura del Delegat/da de Protecció de Dades i, en el seu defecte, la persona encarregada de coordinar el compliment de la normativa de protecció de dades dins de l’entitat. 

9. Disposar d’un Delegat/da de Protecció de Dades

La legislació estableix la figura del Delegat/da de Protecció de Dades (DPO), el qual té com a funció actuar com a garant del compliment de la normativa de protecció de dades dins de l’entitat.

No totes les entitats han de disposar d’aquesta figura, sinó que està pensada, sobretot, per als organismes o empreses públiques, per a aquelles entitats que facin un tractament de dades a gran escala i requereixin una observació habitual i sistemàtica, i també per a les organitzacions que disposin de dades especialment sensibles o relatives a condemnes o infraccions penals.

El DPO pot ser una persona interna de l’organització o bé es podrà realitzar una contractació externa però, en tot cas, la persona que ha de desenvolupar aquesta tasca ha de tenir coneixements sòlids de dret i de protecció de dades, ja que es tracta d’una persona experta en la matèria que ha de vetllar per a la coordinació i control de la normativa de protecció de dades.

Les seves funcions principals són les següents:

  • Informar i assessorar al responsable del tractament de dades de les seves obligacions per complir amb la normativa.
  • Supervisar la implementació i aplicació de la legislació vigent.
  • Dur un control de la documentació i comunicacions de les violacions de seguretat.
  • Gestionar les sol·licituds d’exercici de drets per part dels interessats/des.
  • Supervisar la realització de l’avaluació d’impacte.
  • Ser el punt de contacte amb l’autoritat de control pel que fa al tractament de dades.
  • Realitzar formació al personal de l’entitat.

10. Noves sancions

La nova legislació preveu diferents tipus de sancions que poden ser: advertències, sol·licituds d’atenció a l’exercici dels drets dels interessats/des, limitacions en el tractament i multes administratives.

Una de les qüestions més rellevants en la regulació europea és la quantia de les sancions econòmiques.

Fins ara, amb l’LOPD 15/1999, les sancions en matèria de protecció de dades podien anar des de 900€ fins a 600.000€.

A partir del 25 de maig, quan s’apliqui el Reglament Europeu, la quantia de les sancions s’eleva substancialment, poden arribar aquestes a 20 milions d’euros o al 4% del volum total de negoci de l’organització que ha incomplert amb la normativa.

Entitat redactora: Suport Associatiu – Jurídic | Article publicat a: Xarxanet.