El nou Reglament general de protecció de dades (RGPD)

El 25 de maig de 2018 va entrar en vigor el nou Reglament general de protecció de dades de la Unió Europea (RGPD). Són moltes les obligacions que tant les empreses com els autònoms i els organismes públics i privats que tractin dades de caràcter personal han de conèixer i també n’han d’estar al dia, ja que el risc de no fer-ho suposa multes que poden arribar fins als 20 milions d’euros o el 4% de la facturació anual global de l’infractor. L’autoritat de control pot actuar d’ofici o per denúncia de les persones interessades.

Queda, a més, pendent aprovar la nova Llei orgànica de protecció de dades, que actualment està en tramitació parlamentària. De tota manera, això no suposa cap tipus d’avantatge ni d’inconvenient, ja que el Reglament europeu serà plenament exigible de tota manera. El RGPD és un tipus de norma que s’aplica de manera directa a tots els estats de la UE i que, per tant, no necessita cap tipus de mecanisme de transposició específic. Dit d’una altra manera, no cal que hi hagi cap llei espanyola perquè el Reglament europeu sigui obligatori, és exigible com si fos una llei nacional.

És important establir un mapa de ruta per complir el nou Reglament, ja que hi ha nombroses decisions jurídiques rellevants que cal tenir en compte.

El primer pas que totes les empreses haurien d’executar és identificar i analitzar les àrees de risc i documentar els tractaments de dades personals que es duen a terme, a través d’un inventari de totes les activitats de tractament que efectua la companyia. D’aquesta manera serà més senzill classificar les dades d’acord amb: la naturalesa, la finalitat, la categoria, l’origen, si són susceptibles de ser compartides, etc.

Quant als canvis i les obligacions que afecten les empreses, podem destacar, entre d’altres, els següents:

• Delegat de protecció de dades (DPD/DPO). El Reglament obliga les persones que duguin a terme certs tractaments a nomenar un DPO, que pot ser extern o intern. Un DPO ha de ser una persona experta en protecció de dades i en mètodes i tècniques de seguretat de la informació.
• Exigència de la realització d’una avaluació d’impacte relativa a la protecció de dades per a certs tractaments.
• Violacions de la seguretat de les dades personals. Obligatorietat de comunicar-les en un termini de 72 hores a l’Agència Espanyola de Protecció de Dades i, en casos greus, a les persones afectades.
• S’elimina el consentiment tàcit (per silenci), la qual cosa obligarà les empreses a obtenir un nou consentiment per poder mantenir totes les dades que en el passat s’hagin obtingut tàcitament o buscar-ne una altra cobertura legal.
• S’amplien les obligacions d’informació a les persones afectades, així que obligarà a posar-les al dia d’aquesta informació.
• S’amplia el contingut mínim en els contractes d’accés a dades per part de tercers, per la qual cosa s’han d’establir de nou els contractes amb els encarregats de tractament, ja que els actuals no compleixen el RGPD.
• El RGPD no estableix cap diferència entre dades personals i dades ‘professionals’ (dades de contacte de persones físiques que presten els serveis a una persona jurídica i empresaris individuals), com va establir el vigent Reglament, la qual cosa obligarà les empreses a dur a terme accions informatives en aquesta categoria de dades.

1. CONSENTIMENT EXPRÉS

S’estableix l’obligació de les empreses d’obtenir un consentiment exprés, inequívoc i verificable, i no tàcit de la informació que obtingui dels clients. Es considera consentiment tàcit quan, després que hagi rebut la informació corresponent, l’usuari no diu que no (exemple: “si no em contestes abans de 30 dies, llavors t’enviaré informació comercial de tercers”).

Per tant, el consentiment tàcit es considera vàlid, sempre que no ens trobem davant de dades especialment protegides.

Pot ser inequívoc i atorgar-se de manera implícita quan es dedueixi d’una acció de la persona interessada (per exemple, quan la persona interessada continua navegant per una web i accepta així que es facin servir galetes per monitorar la seva navegació).

2. TRANSPARÈNCIA EN LA INFORMACIÓ

Cal que les empreses detallin explícitament i amb un llenguatge comprensible les dades i la informació personal que requereixen a l’usuari o el client i només poden tractar les dades en cas que tinguin un interès legítim.

El deure d’informar les persones afectades sobre l’ús i les finalitats del tractament de dades té una modificació important amb el nou RGPD, ja que s’amplia considerablement la informació que se’ls ha de subministrar, que inclou aspectes que no es preveien fins ara, per exemple:

• La base jurídica del tractament
• La intenció d’efectuar transferències internacionals
• Les dades del delegat de protecció de dades (si n’hi ha)
• El termini o els criteris de conservació de la informació
• L’existència de decisions automatitzades o l’elaboració de perfils,
• El dret a presentar una reclamació davant de les autoritats de control

3. SEGURETAT

Quan hagin patit una bretxa de seguretat, les empreses estan obligades a informar les autoritats de control i, depenent de la gravetat, les persones afectades. Tot i que és un assumpte necessari avui dia, el reglament estableix la necessitat de concretar una estratègia en matèria de seguretat.

En la nova normativa, les mesures de seguretat no apareixen tan detallades, sinó que cada organització ha de tenir un nivell de seguretat adequat en funció dels riscos que s’hagin detectat en l’anàlisi prèvia.

A més, la tipologia de les dades no és l’única variable que cal considerar a l’hora de determinar les mesures tècniques i organitzatives aplicables, sinó que, al contrari, el nou RGDP té en compte:

• El cost de la tècnica
• Els costos d’aplicació
• La naturalesa, l’abast, el context i les finalitats del tractament
• Els riscos per als drets i llibertats

4. PERSONES ENCARREGADES DEL TRACTAMENT

També la figura dels encarregats del tractament té canvis importants en la nova regulació. En síntesi, aquests canvis es poden resumir en tres punts:

1) El nou RGPD estableix obligacions expressament dirigides als encarregats del tractament, com ara:

• Mantenir un registre d’activitats de tractament.
• Determinar les mesures de seguretat aplicables als tractaments que duen a terme.
• Designar un delegat de protecció de dades en els casos que preveu pel RGPD.

2) S’accentua el deure de diligència en l’elecció de l’encarregat del tractament, de manera que els responsables han de triar únicament encarregats que ofereixin prou garanties per aplicar mesures tècniques i organitzatives apropiades.

3) Es modifica el contingut mínim que ha d’incloure el contracte amb l’encarregat del tractament, que inclou aspectes com ara:

• Objecte, durada, naturalesa i finalitat del tractament
• Tipus de dades personals i categories de persones interessades
• Obligació de l’encarregat de tractar les dades personals únicament seguint instruccions documentades del responsable
• Condicions perquè el responsable pugui donar l’autorització prèvia, específica o general, a les subcontractacions
• Assistència al responsable, sempre que sigui possible, en l’atenció a l’exercici de drets de les persones interessades...

5. DRETS DEL CIUTADÀ

El nou RGPD inclou nous drets, com el dret a la portabilitat i el dret a l’oblit, el dret a no ser objecte de decisions individualitzades i el dret a la limitació del tractament.

• EL DRET D’ACCÉS. És el dret de conèixer quines de les teves dades de caràcter personal està tractant el responsable, quina és la finalitat d’aquest tractament, quin és l’origen de les dades en qüestió i si s’han comunicat a un tercer o es comunicaran.

Atenció. Segons la LOPD, el responsable del tractament havia de facilitar totes les dades de base de la persona afectada, però no còpies ni documents. Tanmateix, el nou RGPD reconeix expressament el dret de les persones afectades a obtenir gratuïtament una còpia de les dades personals objecte de tractament.

Si és possible, el responsable del tractament ha d’estar facultat per facilitar accés remot a un sistema segur que ofereixi a la persona interessada un accés directe a les seves dades personals.

• EL DRET DE RECTIFICACIÓ. Consisteix en la possibilitat de modificar les dades que siguin inexactes o incompletes.

Atenció. A més de rectificar les dades inexactes, s’inclou el dret a fer que es completin les dades personals incompletes, fins i tot mitjançant una declaració addicional.

• EL DRET DE CANCEL·LACIÓ. Permet la cancel·lació de les dades personals que siguin inadequades o excessives.

Atenció. Les persones interessades tenen dret a fer que les seves dades personals se suprimeixin i es deixin de tractar:

• si ja no són necessàries per a les finalitats per a les quals es van recollir o es tracten d’una altra manera,
• si les persones interessades han retirat el consentiment per al tractament de dades personals que els concerneixen o s’hi oposen,
• si el tractament de les dades personals incompleix d’alguna altra manera el RGPD.
• El DRET D’OPOSICIÓ. Mitjançant l’exercici d’aquest dret, la persona interessada es pot oposar al tractament de les seves dades personals en els casos següents:
• Quan el seu consentiment per al tractament no sigui necessari i hi hagi un motiu legítim i fundat referent a la seva situació personal concreta (tret que una llei estableixi el contrari).
• Quan estiguem davant de tractaments de dades personals la finalitat del qual sigui la realització d’activitats de publicitat i prospecció comercial.
• Quan el tractament tingui com a finalitat l’adopció d’una decisió referida a la seva persona, basada únicament en un tractament automatitzat de les seves dades personals.
• DRET A L’OBLIT. És una manifestació dels drets de cancel·lació o oposició en l’entorn en línia. El responsable del tractament que hagi fet públiques dades personals està obligat a indicar als responsables del tractament que estiguin tractant aquestes dades personals que suprimeixin qualsevol enllaç a aquestes, o les còpies o rèpliques d’aquestes.

Atenció. El dret a l’oblit té algunes limitacions, com la llibertat d’expressió i el dret a la informació, l’interès públic en l’àmbit de la salut, la investigació així com la defensa de reclamacions.

• DRET A LA PORTABILITAT DE LES DADES. És una forma avançada del dret d’accés, pel qual la còpia que es proporciona a la persona interessada s’ha d’oferir en un format estructurat, d’ús comú i lectura mecànica. Implica que les dades personals de la persona interessada es transmeten directament d’un responsable a un altre, sense necessitat que prèviament es transmetin a la persona interessada en qüestió, sempre que això sigui tècnicament possible.
• DRET A NO SER OBJECTE DE DECISIONS INDIVIDUALITZADES. La persona interessada ha de tenir dret a no ser objecte d’una decisió, que pot incloure una mesura, que avaluï aspectes personals sobre ella i que es basi únicament en el tractament automatitzat i li produeixi efectes jurídics o l’afecti significativament de manera similar.
• DRET A LA LIMITACIÓ DEL TRACTAMENT. Sol·licitar al responsable que suspengui el tractament de dades quan:
• S’impugni l’exactitud de les dades, mentre el responsable verifica aquesta exactitud.
• La persona interessada ha exercit el dret d’oposició al tractament de dades, mentre es verifica si els motius legítims del responsable prevalen sobre la persona interessada.
• El tractament sigui il·lícit i la persona interessada s’oposi a la supressió de les dades personals i sol·liciti, en lloc seu, la limitació del seu ús.
• El responsable ja no necessiti les dades personals per a les finalitats del tractament, però la persona interessada les necessiti per formular, exercir o defensar reclamacions.

6. REGISTRE

El reglament exigeix l’obligació de registrar documentalment les operacions de tractament, tant per part dels responsables de fitxer com pels encarregats de tractament.

7. QUINES PÀGINES WEB HAN DE SOL·LICITAR UN CONSENTIMENT?

Qualsevol pàgina web o botiga en línia que reculli dades personals a través de formularis (de contacte, de subscripció o de sol·licitud de pressupost) ha de sol·licitar el consentiment dels usuaris per poder tractar les seves dades.

8. PUC ENVIAR COMUNICACIONS COMERCIALS A CLIENTS SENSE CONSENTIMENT?

Es permet l’enviament de missatges publicitaris o comercials per correu electrònic als usuaris que prèviament ho hagin sol·licitat o autoritzat de manera expressa. També s’admet l’enviament de comunicacions comercials als usuaris amb qui hi hagi una relació contractual prèvia. En aquest cas el proveïdor pot enviar publicitat sobre productes o serveis similars als contractats pel client.

Per a més informació, també podeu consultar la pàgina web de l’AEPD:
https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php