Transició a la protecció de dades – ‘de la LOPD al RGPD’.
El proper 25 de maig de 2018 és la data límit d’aplicació del Reglament Europeu 679/2016 de Protecció de Dades, més conegut com RGPD, un cop transcorreguts els dos anys de marge des de la seva entrada en vigor.
L’aplicació d’aquest nou Reglament és el canvi més important que es produeix en aquest àmbit des de fa molts anys i pretén harmonitzar totes les normatives dels estats membres i donar més garanties de control als ciutadans.
Hi ha molta inquietud entre les empreses sobre com implantar les noves mesures. L’aplicació d’aquest Reglament que deroga l’anterior Directiva 95/46/CE, s’ha aprovat la nova ‘LOPD’ que podrà complementar en alguns aspectes al RGPD i que s’ha previst que entri en vigor el mateix dia que el RGPD.
1) Aplicar el RGPD suposa més carrega per a la meva empresa?
El Reglament suposarà un major compromís de les empreses amb la protecció de dades, però no necessàriament una major carrega de treball.
Es molt important tenir en compte que, si actualment ja portem una correcta gestió de la actual LOPD, el RGPD serà una continuació o reemplaçament de les mesures que ja estem aplicant.
2) Obtenció del consentiment.
És un dels canvis més rellevants que implica el RGPD. Si fins ara teníem vàries modalitats d’obtenció del consentiment per al tractament de dades, ara es limita a que hi hagi una declaració dels interessats o una acció positiva que indiqui l’acord del mateix.
Es prohibeixen pràctiques com el consentiment tàcit o per inacció del ciutadà tipus: ‘si en 30 dies no ens dona la seva negativa al tractament de les seves dades, entenem que està d’acord …’.
En el cas de les pàgines web, es podran seguir utilitzant les caselles per a l’obtenció del consentiment, però no seran vàlides les caselles pre-marcades.
A més, el consentiment haurà de donar-se per cada una de les finalitats de tractament i ser verificable.
Si el consentiment obtingut previ a l’aplicació del RGPD es conforme als requisits, no serà necessari obtenir-lo de nou. Els tractaments basats en el ‘consentiment tàcit’ hauran de trobar fonament en un altra causa de legitimació. No obstant, s’haurà d’estudiar cas per cas, ja que en alguns supòsits, és possible que no sigui necessari el consentiment per que el tractament es realitza sota l’empara de l’interès legítim o per l’execució d’un contracte.
3) Clàusules d’ informació – avisos de privacitat.
S’hauran de revisar les clàusules informatives i avisos legals. El RGPD preveu que s’inclogui en la informació que es proporciona als interessats una sèrie de qüestions que amb la Directiva i moltes lleis nacionals de transposició no eren necessàriament obligatòries (base jurídica del tractament, termini de conservació o criteris per a la seva determinació).
Aquesta informació haurà de proporcionar-se de forma concisa, transparent, intel·ligible, de fàcil accés, amb un llenguatge clar i senzill, per escrit o altres mitjans i de forma gratuïta.
4) Contractes amb tercers – Encarregats de Tractament (ET).
S’amplia el contingut dels contractes firmats amb els encarregats de tractament (ET-tercers que ens presten un servei amb accés a dades) que hauran d’incloure entre altres aspectes: descripció detallada dels serveis prestats, mesures aplicades, possibles transferències internacionals de dades, subcontractacions, etc.
Es recomanable firmar de nou amb tots els tercers els nous contractes amb el contingut adaptat al RGPD.
5) Nivells de seguretat de les dades.
No s’estableixen nivells de les dades (bàsic, mig, alt) com en la LOPD per aplicar les corresponents mesures de seguretat, tot i que es manté la categoria de nivell alt que passa a anomenar-se ‘categories especials de dades’. A més, el RGPD inclou dues noves categories en aquest apartat: dades genètiques i dades biomètriques.
6) Mesures de seguretat.
El RGPD no estableix mesures de seguretat específiques tal com coneixíem les de RD1720/2007 però apareix el concepte LA RESPONSABILITAT PROACTIVA (accountability) que fa referencia a la prevenció per part de les organitzacions que tracten dades. És a dir, les empreses, hauran d’aplicar les mesures necessàries per garantir els criteris de seguretat corresponents: confidencialitat, integritat, disponibilitat i resiliència. Mesures per assegurar el compliment del RGPD:
– Protecció de dades des del disseny.
– Protecció de dades per defecte.
– Mesures de seguretat (tècnic-organitzatives).
– Manteniment d’un registre d’activitats de tractament.
– Anàlisis de riscos i avaluacions d’impacte (quan sigui probable que el tractament presenti un alt risc específic per als drets i llibertat dels interessats).
– Nomenament d’un delegat de protecció de dades (DPO) (només en determinats supòsits).
– Notificació de violacions de la seguretat de les dades.
7) Registre de fitxers.
L’actual inscripció de fitxers davant l’Agència de Protecció de Dades (AEPD) desapareix, però s’obliga al responsable de tractament (RT) i al encarregat de tractament (ET) a portar un ‘registre d’activitats de tractament’ amb un contingut mínim. Aquest registre d’activitats seria, d’alguna manera, l’equivalent a l’actual ‘document de seguretat’.
8) Nous Drets – Oblit i Portabilitat.
A més dels tradicionals drets ARCO (accés, rectificació, cancel·lació i oposició) el RGPD introdueix nous conceptes com el dret a l’oblit (manifestació dels tradicionals drets de cancel·lació i oposició aplicats als buscadors d’internet) i dret a la portabilitat (permet a l’interessat recuperar les seves dades de forma estructurada per a traslladar-los a altre responsable).
9) Delegat de Protecció de Dades – DPO.
S’assignarà un delegat de protecció de dades sempre que:
– El tractament el porti a terme una autoritat o organisme públic (excepte tribunals quan actuïn en la seva funció jurisdiccional).
– Les activitats principals consisteixin en operacions que requereixin una observació habitual i sistemàtica d’interessats a gran escala.
– Les activitats principals consisteixin en el tractament a gran escala de categories especials de dades personals.
El DPO serà designat atenent a les seves qualitats professionals i, en particular, als seus coneixements especialitzats en Dret i la pràctica en matèria de protecció de dades. Podrà formar part de la plantilla o realitzar les seves funcions com extern mitjançant un contracte de prestació de serveis.