El proper 25 de maig de 2018 és el dia que tots els consultors en matèria de protecció de dades, advocats i assessors tenen marcada en els seus calendaris ja que és la data límit d’aplicació del Reglament Europeu 679/2016 de Protecció de Dades, més conegut com RGPD, un cop transcorreguts els dos anys de marge des de la seva entrada en vigor.
L’aplicació d’aquest nou Reglament és el canvi més important que es produeix en aquest àmbit des de fa molts anys i pretén harmonitzar totes les normatives dels estats membres i donar més garanties de control als ciutadans.
En aquest context, hi ha molta inquietud entre les empreses sobre com implantar les noves mesures i entre els consultors, certs dubtes sobre alguns aspectes que es posen de manifest en les ponències i congressos als que assistim. A més, en paral·lel a l’aplicació d’aquest Reglament que deroga l’anterior Directiva 95/46/CE, s’ha aprovat lanova ‘LOPD’ que podrà complementar en alguns aspectes al RGPD i que s’ha previst entri en vigor el mateix dia que el RGPD.
Des de PymeLegal, volem ajudar-vos a entendre de forma sintetitzada quins seran aquests canvis i les implicacions pràctiques que tindrà el nou RGPD per facilitar al màxim la transició. Hem preparat un resum dels aspectes que considerem més importants:
1) Aplicar el RGPD suposa més carrega per a la meva empresa?
Com ja vàrem comentar en un post anterior, el Reglament suposarà un major compromís de les empreses amb la protecció de dades, però no necessàriament una major carrega de treball.
Es molt important tenir en compte que, si actualment ja portem una correcta gestió de la actual LOPD, el RGPD serà una continuació o reemplaçament de les mesures que ja estem aplicant. A més, en el nostre cas, partim d’una bona base al que fa referència a les mesures de seguretat (RD1720/2007) derivades de la LOPD, aspecte diferencial amb altres països.
2) Obtenció del consentiment.
És un dels canvis més rellevants que implica el RGPD. Si fins ara teníem vàries modalitats d’obtenció del consentiment per al tractament de dades, ara es limita a que hi hagi una declaració dels interessats o una acció positiva que indiqui l’acord del mateix.
Es prohibeixen pràctiques com el consentiment tàcit o per inacció del ciutadà tipus: ‘si en 30 dies no ens dona la seva negativa al tractament de les seves dades, entenem que està d’acord …’.
En el cas de les pàgines web, es podran seguir utilitzant les caselles per a l’obtenció del consentiment, però no seran vàlides les caselles pre-marcades.
A més, el consentiment haurà de donar-se per cada una de les finalitats de tractament i ser verificable.
Si el consentiment obtingut previ a l’aplicació del RGPD es conforme als requisits, no serà necessari obtenir-lo de nou. Els tractaments basats en el ‘consentiment tàcit’ hauran de trobar fonament en un altra causa de legitimació. No obstant, s’haurà d’estudiar cas per cas, ja que en alguns supòsits, és possible que no sigui necessari el consentiment per que el tractament es realitza sota l’empara de l’interès legítim o per l’execució d’un contracte.
3) Clàusules d’ informació – avisos de privacitat.
S’hauran de revisar les clàusules informatives i avisos legals. El RGPD preveu que s’inclogui en la informació que es proporciona als interessats una sèrie de qüestions que amb la Directiva i moltes lleis nacionals de transposició no eren necessàriament obligatòries (base jurídica del tractament, termini de conservació o criteris per a la seva determinació).
Aquesta informació haurà de proporcionar-se de forma concisa, transparent, intel·ligible, de fàcil accés, amb un llenguatge clar i senzill, per escrit o altres mitjans i de forma gratuïta.
4) Contractes amb tercers – Encarregats de Tractament (ET).
S’amplia el contingut dels contractes firmats amb els encarregats de tractament (ET-tercers que ens presten un servei amb accés a dades) que hauran d’incloure entre altres aspectes: descripció detallada dels serveis prestats, mesures aplicades, possibles transferències internacionals de dades, subcontractacions, etc.
Es recomanable firmar de nou amb tots els tercers els nous contractes amb el contingut adaptat al RGPD.
5) Nivells de seguretat de les dades.
No s’estableixen nivells de les dades (bàsic, mig, alt) com en la LOPD per aplicar les corresponents mesures de seguretat, tot i que es manté la categoria de nivell alt que passa a anomenar-se ‘categories especials de dades’. A més, el RGPD inclou dues noves categories en aquest apartat: dades genètiques i dades biomètriques.
6) Mesures de seguretat.
El RGPD no estableix mesures de seguretat específiques tal com coneixíem les de RD1720/2007 però apareix el concepte LA RESPONSABILITAT PROACTIVA (accountability) que fa referencia a la prevenció per part de les organitzacions que tracten dades. És a dir, les empreses, hauran d’aplicar les mesures necessàries per garantir els criteris de seguretat corresponents: confidencialitat, integritat, disponibilitat i resiliència. Mesures per assegurar el compliment del RGPD:
– Protecció de dades des del disseny.
– Protecció de dades per defecte.
– Mesures de seguretat (tècnic-organitzatives).
– Manteniment d’un registre d’activitats de tractament.
– Anàlisis de riscos i avaluacions d’impacte (quan sigui probable que el tractament presenti un alt risc específic per als drets i llibertat dels interessats).
– Nomenament d’un delegat de protecció de dades (DPO) (només en determinats supòsits).
– Notificació de violacions de la seguretat de les dades.
7) Registre de fitxers.
L’actual inscripció de fitxers davant l’Agència de Protecció de Dades (AEPD) desapareix, però s’obliga al responsable de tractament (RT) i al encarregat de tractament (ET) a portar un ‘registre d’activitats de tractament’ amb un contingut mínim. Aquest registre d’activitats seria, d’alguna manera, l’equivalent a l’actual ‘document de seguretat’.
8) Nous Drets – Oblit i Portabilitat.
A més dels tradicionals drets ARCO (accés, rectificació, cancel·lació i oposició) el RGPD introdueix nous conceptes com el dret a l’oblit (manifestació dels tradicionals drets de cancel·lació i oposició aplicats als buscadors d’internet) i dret a la portabilitat (permet a l’interessat recuperar les seves dades de forma estructurada per a traslladar-los a altre responsable).
9) Delegat de Protecció de Dades – DPO.
S’assignarà un delegat de protecció de dades sempre que:
– El tractament el porti a terme una autoritat o organisme públic (excepte tribunals quan actuïn en la seva funció jurisdiccional).
– Les activitats principals consisteixin en operacions que requereixin una observació habitual i sistemàtica d’interessats a gran escala.
– Les activitats principals consisteixin en el tractament a gran escala de categories especials de dades personals.
El DPO serà designat atenent a les seves qualitats professionals i, en particular, als seus coneixement especialitzats en Dret i la pràctica en matèria de protecció de dades. Podrà formar part de la plantilla o realitzar les seves funcions com extern mitjançant un contracte de prestació de serveis. L’AEPD va publicar al juliol l’Esquema de Certificación de Delegados de Protección de Datos per a establir un mecanisme de certificació per aquesta nova figura que serà rellevant dins de les corporacions.
Sobre el DPO, alguns clients ens han comunicat que han rebut trucades d’empreses que els transmeten que estan incomplint la normativa per no comptar amb aquesta figura a la seva organització. Per suposat, oferint els seus serveis a continuació. Al igual que en el seu dia lluitàvem contra la LOPD a ‘cost 0’ que oferien algunes empreses, en el nou context normatiu, serà important assessorar-nos prèviament, per valorar que implica pel nostre negoci el RGPD i si, per exemple, realment necessitem un DPO.
L’equip de PymeLegal està a la vostra disposició per resoldre els dubte que os puguin sorgir, i en el nostre afany de mantenir el nivell d’excel·lència del nostre servei, informarem puntualment a clients i partners sobre els canvis que estem realitzant a la nostra plataforma en referencia al RGPD. Aquesta setmana, es publicaran el primers canvis referents als contractes ET.
L’equip de PymeLegal.