Reglament Europeu de protecció de dades

El proper 25 de maig de 2018 és el dia que tots els consultors en matèria de protecció de dades, advocats i assessors tenen marcada en els seus calendaris ja que és la data límit d’aplicació del Reglament Europeu 679/2016 de Protecció de Dades, més conegut com RGPD, un cop transcorreguts els dos anys de marge des de la seva entrada en vigor.

L’aplicació d’aquest nou Reglament és el canvi més important que es produeix en aquest àmbit des de fa molts anys i pretén harmonitzar totes les normatives dels estats membres i donar més garanties de control als ciutadans.

En aquest context, hi ha molta inquietud entre les empreses sobre com implantar les noves mesures, certs dubtes sobre alguns aspectes que es posen de manifest en les ponències i congressos als que assistim. A més, en paral·lel a l'aplicació d'aquest Reglament que deroga l'anterior Directiva 95/46 CE, s'ha aprovat la nova "LOPD" que podrà complementar en alguns aspectes al RGPD i que s'ha previst entri en vigor el mateix dia que RGPD.

Des de Economia Sensible, volem ajudar-vos a entendre de forma sintetitzada quins seran aquest canvis i les implicacions pràctiques que tindrà el nou RGPD per facilitar al màxim la transició. Hem preparat un resum dels aspectes que considerem més importants:

1.- Aplicar el RGPD suposa més càrrega per a la meva empresa?

El Reglament suposarà un major compromís de les empreses amb la protecció de dades, però no necessàriament una major càrrega de treball. Es molt important tenir en compte que, si actualment ja portem una correcta gestió de l'actual LOPD, el RGPD serà una continuació o reemplaçament de les mesures que ja estem aplicant. A més, en el nostre cas, partim d'una bona base al que fa referència a les mesures de seguretat (RD1720/2007) derivades de la LOPD, aspecte diferencial amb altres països.

2.- Obtenció del consentiment.

És un dels canvis més rellevants que implica el RGPD. Si fins ara teníem vàries modalitats d'obtenció del consentiment per al tractament de dades, ara els limita a que hi hagi una declaració dels interessats o una acció positiva que indiqui l'acord del mateix. Es prohibeixen pràctiques com el consentiment tàcit o per inacció del ciutadà tipus : " Si en 30 dies no ens dona la seva negativa al tractament de les seves dades, entenem que està d'acord..."

En el cas de les pàgines web, es podran seguir utilitzant les caselles per a l'obtenció del consentiment, però no seran vàlides les caselles pre-marcades. A més, el consentiment haurà de donar-se per cada una de les finalitats de tractament i ser verificable.

Si el consentiment obtingut previ a l'aplicació del RGPD es conforme als requisits, no serà necessari obtenir-lo de nou. Els tractament basats en el "consentiment tàcit" hauran de torbar fonament en una altre causa de legitimació. No obstant, s'haurà d'estudiar cas per cas, ja que en alguns supòsits, és possible que no sigui necessari el consentiment per que el tractament es realitza sota l'empara de d'interès legítim o per l'execució d'un contracte.

3.- Clàusules d'informació - avisos de privacitat.

S'hauran de revisar les clàusules informatives i avisos legals. El RGPD preveu que s'inclogui en la informació que es proporciona als interessats una sèrie de qüestions que amb la Directiva i moltes lleis nacionals de transposició no eren necessàriament obligatòries ( base jurídica del tractament, termini de conservació o criteris per a la seva determinació)

Aquesta informació, haurà de proporcionar de forma concisa, transparent, intel·ligible, de fàcil accés, amb un llenguatge clar i senzill, per escrit o altre mitjans i de forma gratuïta.

4.- Contractes amb tercers - Encarregats del Tractament (ET)

S'amplia el contingut dels contractes firmats amb els encarregats del tractaments ( ET- tercers que ens presten un servei amb accés a dades) que hauran d'incloure entre altres aspectes: Descripció detallada dels serveis prestats, mesures aplicades, possibles transferències internacionals de dades, subcontractacions, etc.. Es recomanable firmar de nou amb tots els tercers els nous contractes amb el contingut adaptat al RGPD.

5.- Nivells de seguretat de les dades.

No s'estableixen nivells de les dades ( bàsic, mig , alt ) com en la LOPD per aplicar les corresponents mesures de seguretat, tot i que es manté la categoria  de nivell alt que passa a anomenar-se "categories especials de dades". A més, el RGPD inclou dues noves categories en aquest apartat : Dades genètiques i dades biomètriques.

6.- Mesures de seguretat.

El RGPD no estableix mesures de seguretat específiques tal com coneixíem de les RD1720/2007 però apareix el concepte LA RESPONSABILITAT PROACTIVA ( Accountability) que fa referència a la prevenció per part de les organitzacions que tracten dades. Es a dir, les empreses, hauran d'aplicar les mesures necessàries per garantir els criteris de seguretat corresponents : Confidencialitat, integritat, disponibilitat i resiliència. Mesures per assegurar el compliment del RGPD:

- Protecció de dades des del disseny.

- Protecció de dades per defecte.

- Mesures de seguretat (tècnic-organitzatives.)

- Manteniment d'un registre d'activitats de tractament.

- Anàlisis de riscos i avaluacions d'impacte ( quan sigui probable que el tractament presenti un alt risc específic per als drets i llibertat dels interessats).

- Nomenament d'un delegat de protecció de dades (DPO) (només en determinats supòsits).

- Notificació de violacions de la seguretat de les dades.

7.- Registre de fitxers.

L'actual inscripció de fitxers davant l'Agència de protecció de Dades (AEPD) desapareix, però s'obliga al responsable del tractament (RT) i al encarregat del tractament (ET) a portar un "registre d'activitats de tractament" amb un contingut mínim. Aquest registre d'activitats, seria, d'alguna manera, l'equivalent a l'actual "document de seguretat"

8.- Nous Drets - Oblit i Portabilitat.

A més dels tradicionals drets ARCO ( accés, rectificació, cancel·lació i oposició) el RGPD introdueix nous conceptes com el dret a l'oblit ( manifestació dels tradicionals drets de cancel·lació i oposició aplicats als buscadors d'Internet) i dret a la portabilitat (permet a l'interessat recuperar  les seves dades de forma estructurada per a traslladar-los a altre responsable).

9.- Delegat de protecció de dades - DPO.

S'assignarà un delegat de protecció de dades sempre que :

- El tractament el porti a terme una autoritat o organisme públic ( excepte tribunals quan actuïn en al seva funció jurisdiccional).

- Les activitats principals consisteixin en operacions que requereixin una observació habitual i sistemàtica d'interessats a gran escala.

- Les activitats principals consisteixin en el tractament a gran escala de categories especials de dades personals.

El DPO serà designat atenent a les seves qualitats professionals i , en particular, als seus coneixements especialitzats en Dret i la pràctica en matèria de protecció de dades. Podrà formar part de la plantilla o realitzar les seves funcions com extern mitjançant un contracte de prestació de serveis. L'AEPD va publicar al juliol l'esquema de Certificación de Delegados de Proteccion de datos per establir un mecanisme de certificació per aquesta nova figura que serà rellevant dins de les corporacions.

Sobre el DPO, alguns clients en han comunicat que han rebut trucades d'empreses que els transmetent que estan incomplint la normativa per no comptar amb  aquesta figura a la seva organització. Per suposat, oferint els seus serveis a continuació. Al igual que en el seu dia lluitàvem contra la LOPD a "cost 0" que oferien algunes empreses, el nou context normatiu, serà important assessorar-nos prèviament, per valorar que implica pel nostre negoci el RGPD i si, per exemple, realment necessitem un DPO.

l'equip d'Economia Sensible, està a la vostra disposició per resoldre els dubtes que us puguin sorgir.

Departament protecció de dades.

carol@economiasensible.cat