Article
Què implica el nou Reglament Europeu de Protecció de Dades? #RGPD
La nova normativa amplia els drets dels usuaris i les obligacions de les organitzacions
El 25 de maig de 2018 entrarà en vigor el nou reglament Europeu de Protecció de Dades (RGPD), del que naixeran noves obligacions que les empreses hauran de complir. L’objectiu és oferir més control als ciutadans sobre la seva informació personal en el context de l’era digital (smart cities, big data, xarxes socials, geolocalització a través de dispositius, etc…) al mateix temps que es redueixen càrregues administratives i es facilita l’aplicació per part de les empreses europees.
El RGPD modifica alguns aspectes del règim actual (LOPD) i conté noves obligacions que han de ser analitzades i aplicades per cada organització tenint en compte les seves pròpies circumstàncies. Les empreses que no s’hagin adaptat a temps baix s’enfronten a multes i sancions de fins 20M€ o el 4% del volum de negoci. Gartner calcula que més del 50% de les organitzacions no estaran preparades per complir amb la normativa a la data proposada.
Aquestes són les principals claus de la nova normativa, extretes de la Guia RGPD de l’Agència Espanyola de Protecció de Dades:
El consentiment ha de ser “inequívoc”
No s’admeten formes de consentiment tàcit o per omissió, ja que es basen en la inacció. És a dir, hi ha d’haver una manifestació de l’interessat mitjançant una clara acció afirmativa (p. ex. Quan l’interessat continua navegant per una web i accepta així que s’utilitzin cookies per monitorar la seva navegació).
A més de ser inequívoc, ha de ser explícit en els casos següents:
Tractament de dades sensibles.
Adopció de decisions automatitzades.
Transferències internacionals.
Claredat i senzillesa de la informació als interessats
Les clàusules informatives hauran d’explicar el contingut a què immediatament es refereixen de forma clara i accessible pels interessats, amb independència dels seus coneixements en la matèria. Ha de fer-se per escrit, inclosos els mitjans electrònics, en el moment de la recollida de dades (directa o indirecta), si canvia la finalitat o si hi ha transferència de dades a tercers.
També s’estableix una llista exhaustiva de la informació que ha de proporcionar-se als interessats:
Base jurídica del tractament.
Intenció de realitzar transferències internacionals.
Dades del delegat de protecció de dades (responsable i assessor en matèria de protecció de dades de la companyia, sense responsabilitat jurídica), si hi fos.
Nous drets
A més dels tradicionals ARCO, incorpora nous drets i estableix condicions concretes sobre el procediment a seguir per atendre als interessats en l’exercici dels seus drets:
Els procediments i les formes han de ser visibles, accessibles i senzilles.
L’exercici dels drets serà gratuït per l’interessat, excepte en els casos en què es formulin sol·licituds manifestament infundades o excessives.
Es reconeix el dret a obtenir una còpia de les dades i a accedir en qualsevol moment, fins al màxim detall, en un format estructurat, d’ús comú i lectura mecànica.
Relacions responsable-encarregat
El responsable és la persona física o jurídica, autoritat pública, servei o altre organisme que determini els fins i mitjans del tractament i qui assegura el compliment de la normativa per part de l’encarregat de tractar les dades personals. La relació entre responsable i encarregat ha de formalitzar-se en un contracte o acte jurídic.
El responsable ha de mantenir un registre d’activitats de tractament, determinar les mesures de seguretat i designar un delegat de protecció de dades, quan sigui necessari.
Nova figura: el delegat de protecció de dades
És el responsable i assessor en matèria de protecció de dades de la companyia, sense responsabilitat jurídica. Ha de facilitar el compliment de la normativa, la implementació d’eines de rendició de comptes, i actuar d’intermediaris entre les parts interessades corresponents (autoritats, unitats de negoci dins l’empresa…).
La designació d’un delegat és obligatòria per autoritats i organismes públics, i responsables o representants que requereixin un tractament o una observació habitual i sistemàtica d’interessats a gran escala.
Mesures de seguretat
Els responsables hauran de realitzar una valoració del risc dels tractaments que realitzin, a fi de poder establir quines mesures han d’aplicar i com ho han de fer. En els casos en què la Evaluación de Impacto sobre la Protección de Datos (EIPD) hagi identificat un alt risc que, a judici del responsable de tractament, no pugui mitigar-se per mitjans raonables en termes de tecnologia disponible i costos d’aplicació, el responsable haurà de consultar a l’autoritat de protecció de dades competent.
Registre d’activitats de tractament
Les organitzacions de 250 treballadors o més hauran de mantenir un registre d’operacions de tractament que contingui la informació que estableix el RGPD i reculli qüestions com:
Nom i dades de contacte del responsable o corresponsable i del delegat de protecció de dades si existís.
Finalitats del tractament.
Descripció de categories d’interessats i categories de dades personals tractades.
Transferències internacionals de dades.
Notificació de “violacions de seguretat de les dades”
La destrucció, pèrdua o alteració accidental o il·lícita de dades personals, o la comunicació o accés no autoritzats a aquestes dades, haurà de ser documentada i notificada a l’autoritat competent. També haurà de comunicar-se als interessats en cas que comporti un alt risc pels seus drets o llibertats.
Transferències internacionals
Les dades només podran ser comunicades fora de l’Espai Econòmic Europeu a països, territoris o sectors específics sobre els quals la Comissió hagi adoptat una decisió reconeixent que ofereixen un nivell de protecció adequat, o quan s’apliquin excepcions.
Codi de conducta
Es defineix una certificació del compliment del codi de conducta que atorgarà l’agència de protecció de dades o organismes de certificació acreditats. Les certificacions seran voluntàries i tindran una validesa de tres anys.
Valoració general
Davant del creixent ús de les dades en l’economia digital, que inclús sustenten nous models de negoci, el RGPD suposa una actualització molt necessària per adaptar les normes actuals i assegurar els drets de la ciutadania.
D’altra banda, la normativa presenta dubtes respecte a la interpretació en la normativa de termes com “mesures apropiades o proporcionades”, “garanties suficients” o “expectatives raonables”, perquè necessiten concreció. Tot i així, les organitzacions han de començar a treballar ja per modificar alguns aspectes del règim actual i analitzar i aplicar les noves obligacions per arribar a temps abans de la data límit.