EL REGLAMENT GENERAL DE PROTECCIÓ DE DADES

EL REGLAMENT GENERAL DE PROTECCION DE DADES

El nou Reglament General de Protecció de Dades (RGPD) va ser aprovat per la Unió Europea amb l’objectiu de constituir un nou marc jurídic sobre protecció de dades personals. El Reglament va entrar en vigor al maig de 2016 i serà directament aplicable a partir del 25 de maig de 2018.

Els principals objectius del Reglament són avaluar l’impacte de les noves tecnologies, augmentar la transparència per als interessats i reforçar el control de les persones sobre les seves pròpies dades.

Aquest Reglament obliga les empreses a realitzar una anàlisi prèvia per a determinar:

Identificar i analitzar el flux de dades, procediments, models i formularis que s’utilitzen en la captació, consentiment, tractament i registre de dades.
Determinar l’ús previst de les dades per a identificar el tipus de tractament al qual hauran de sotmetre’s.
Segons el tractament que es dugui a terme, s’hauran d’implementar les mesures de seguretat corresponents.
D’aquesta manera, es garanteix la protecció de les dades de treballadors, clients, proveïdors i/o qualsevol altra dada de caràcter personal.

Mitjançant l’anàlisi prèvia, es pot identificar si s’ha de realitzar una Avaluació d’Impacte en la Protecció de Dades Personals (EIDP), amb l’objectiu que les empreses puguin demostrar el degut compliment del RGPF.

Àmbit d’aplicació. El Reglament àmplia l’àmbit d’aplicació territorial als responsables i encarregats de tractament no establerts a la Unió Europea, quan les activitats del tractament estiguin relacionades amb l’oferta de béns o serveis o amb el control del comportament de les personal si tenen lloc a la Unió Europea.

Principis. La major innovació del RGPD per als responsables es projecta en el principi de responsabilitat proactiva que es tradueix en què el responsable del tractament apliqui mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament és conforme amb el Reglament. Aquest principi requereix que les organitzacions analitzin que dades tracten, que finalitat ho fan i que tipus d’operacions de tractament duen a terme.

I, d’altra banda, en l’enfocament del risc, el Reglament estableix que les mesures dirigides a garantir el seu compliment han de tenir en compte la naturalesa, l’àmbit, el context i els fins del tractament, així com el risc per als drets i llibertats de les persones.

Com a novetat, les dades personals seran tractats de manera lícita, lleial i transparent en relació amb l’interessat (licitud, lleialtat i transparència).

1.- Glossari:

* Responsable de dades (organització): persona física o jurídica, autoritat pública, servei o un altre organisme que, només o juntament amb uns altres, determini els fins i mitjans del tractament de les dades personals.

* Interessat (persona): persona física identificable amb tota persona “la identitat de la qual pugui determinar-se, directament o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d’identificació, dades de localització o un identificador en línia”.

* Dades personals: tota informació sobre una persona física identificada o identificable (“l’interessat”). El Reglament indica que això també inclou els identificadors en línia com ara les adreces IP i les cookies.

* Encarregat del tractament (prestadors del servei): persona física o jurídica, autoritat pública, servei o un altre organisme que tracti dades personals per compte del responsable del tractament. Un exemple és un proveïdor en el núvol que ofereix emmagatzematge de dades.

Consentiment. El nou Reglament requereix que l’interessat presti el consentiment mitjançant una declaració inequívoca o una acció afirmativa clara. Les caselles ja marcades, el consentiment tàcit o la inacció no constitueixen un consentiment vàlid.

A més, es contemplen situacions en les quals el consentiment haurà de ser inequívoc i explícit:

Tractament de dades sensibles.
Adopció de decisions automatitzades.
Transferències internacionals.
Una altra novetat és el fet que la informació als interessats haurà de proporcionar-se de manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill.

Delegat de Protecció de Dades.

El nou reglament introdueix la figura del delegat de protecció de dades, aquesta figura serà obligatòria en els següents casos:

Quan el tractament el dugui a terme una autoritat o un organisme públic.
Quan el tractament requereixi una observació habitual i sistemàtica d’interessats a gran escala.
Quan el tractament tingui per objecte categories especials de dades personals o dades relatives a condemnes o infraccions penals.

Les funcions bàsiques del delegat de protecció de dades són:

1.- Informar i assessorar el responsable, encarregat i als treballadors sobre les obligacions imposades per la llei de protecció de dades.

2.- Supervisar que es compleixi la normativa.

3.- Cooperar amb l’autoritat de control.

Aquest delegat ha de ser nomenat atenent les seves qualificacions professionals i al seu coneixement de la legislació i la pràctica de la protecció de dades.

Ha de fer-se pública la designació del delegat de protecció de dades i les seves dades de contacte, a més hauran de comunicar a les autoritats de supervisió competents aquest nomenament.

Novetats que s’introdueixen amb el RGPD per a les empreses:

1.- Les sancions per incompliment poden arribar als 20 milions d’euros o l’equivalent al 4% de la facturació global.

2.- Implementació d’una nova figura en l’organització: el Data Protection Officer (DPO), que ha de comptar amb coneixements en matèria de protecció de dades.

3.- Tota companyia haurà de dissenyar i adoptar les mesures de seguretat oportunes.

4.- Les bretxes de seguretat que sorgeixin hauran de ser comunicades en un màxim de 72 hores.

5.- Es deurà duu a terme un registre intern en les activitats i la gestió de dades.

6.- Serà necessari comptar amb el consentiment exprés per a l’obtenció i tractament de dades.

7.- Apareix el dret a la modificació i oblit de les dades per part de les persones físiques.

8.- Per a determinats tractament de dades, serà obligatori realitzar un Privacy Assessment.

9.- Es requerirà privacitat i responsabilitat proactiva durant tot el procés.

10.- S’haurà de comptar amb garanties demostrables de l’adequat tractament de les dades segons el RGPD.

2.- Normes de compliment:

El RGPD fomenta l’adopció de programes de certificació com a mitjà de demostrar el compliment. El compliment de la norma internacional de seguretat d’informació ISO 27001, l’única norma de seguretat de les dades reconeguda internacionalment, ajudarà les organitzacions a demostrar que s’han esforçat a complir els requisits de la seguretat de les dades del RGPD. Implementar ISO 27001 implica establir un marc holístic de processos, persones i tecnologies amb la finalitat d’assegurar la informació.

3.- Registres de tractament de dades:

El Reglament ara col·loca la responsabilitat en les organitzacions i els responsables del tractament de mantenir els seus propis registres d’activitats de tractament de les dades i posar aquests a la disposició de l’autoritat de control. Aquest registre ha de contenir un conjunt específic d’informació perquè sigui clar la dada que s’està tractant, on s’està tractant, com s’està tractant i per què s’està tractant. Les empreses petites que emprin menys de 250 empleats estan exemptes d’aquests requisits de conservació de registres tret que les seves activitats de tractament impliquin un risc per als drets i llibertats dels interessats, no siguin ocasionals o incloguin categories especials de dades personals o dades relatives a condemnes o delictes penals.

4.- Transferències de dades fora de la UE:

El Reglament prohibeix la transferència de dades personals anés de la UE a un país tercer que no tingui una protecció de dades adequada. La Comissió Europea té el poder d’aprovar països concrets que proporcionen un nivell adequat de protecció de dades, tenint en consideració les lleis de protecció de dades en vigor en esses país i els seus compromisos internacionals. En l’actualitat aquesta llista és Andorra, l’Argentina, el Canadà, Illes Fèroe, Guernesey, Israel, illa de Man, Jersey, Nova Zelanda, Suïssa i l’Uruguai.

Per a les transferències de dades a qualsevol país que no estigui en la llista, ha d’haver-hi un contracte legal que estipuli que el destinatari que no és de la UE accepta les garanties de protecció de les dades exigides. El Reglament reconeix explícitament i fomenta l’ús de normes corporatives vinculants com a mecanisme de transferència de dades vàlid en els grups d’empreses. Els codis de conducta aprovats també poden utilitzar-se per a les transferències de dades.