7 punts clau del nou reglament europeu de protecció de dades

El nou Reglament Europeu 2016/679 de protecció de dades que ha aprovat el Parlament Europeu, després de 4 anys de negociacions, es començarà a aplicar el 25 de maig de 2018.

Fins llavors, tant la Directiva UE 95/46, com les normes nacionals dels Estats Membres de la UE que la transposen, entre elles la Llei Orgànica Espanyola 15/1999 de Protecció de Dades, segueixen sent plenament vàlides i aplicables, com manifesta la mateixa Agència Espanyola de Protecció de Dades en la seva web

Així doncs, els diferents Estats Membres han de començar a preparar, elaborar o modificar les normes necessàries perquè entrin en vigor el 25.5.18 quan el Nou Reglament de la UE sigui d’aplicació. Cal tenir en compte que, actualment, Espanya és el país d’Europa amb el sistema més dur en matèria de protecció de dades.

Entre les novetats mes significatives del Nou Reglament UE, en destaquem 7 punts clau:

  1. L’ampliació de l’àmbit d’aplicació: El nou reglament també s’ampliarà a responsables i encarregats del tractament no establerts a la UE, sempre que realitzin tractaments derivats d’una oferta de béns o serveis destinats a ciutadans de la UE. Aquest canvi implicarà que el Reglament també s’apliqui a les empreses de fora la UE que tractin dades de persones de la UE. Fins ara, es regeixen per les normes dels seus països, que no sempre ofereixen el mateix nivell de protecció que la norma europea (per exemple a l’empresa Mail Chimp dels EEUU).
  2. S’introdueix el dret a l’oblit, que permetrà que els ciutadans puguin sol·licitar i aconseguir que les seves dades personals siguin suprimides, entre altres casos, quan aquestes ja no siguin necessàries per a la finalitat amb què es van recollir, quan es retiri el consentiment o quan aquestes s’hagin recollit de forma il·lícita. El dret a l’oblit recollit en el Nou Reglament UE es va reconèixer per primera vegada en la sentencia del TSJUE del 13.5.14. Permet que l’interessat pugui sol·licitar que es bloquegin en la llista de resultats dels buscadors els vincles que condueixin a informacions que l’afectin, que resultin obsoletes, falses o irrellevants i que no siguin d’interès públic, entre altres motius.
  3. S’introdueix el dret a la portabilitat, que implica que qualsevol interessat que hagi proporcionat les seves dades a un responsable que les estigui tractant de forma automatitzada pugui sol·licitar i obtenir la recuperació d’aquestes dades en un format que li permeti traslladar-los a un altre responsable. S’hauran de transferir directament al nou responsable designat per l’interessat sempre que sigui tècnicament possible.
  4. S’introdueix la responsabilitat activa per part de les organitzacions que tracten dades. S’hauran d’adoptar mesures que assegurin que estan en condicions de complir amb els principis, drets i garanties que estableix el Reglament UE. Per aconseguir aquest objectiu el Reglament preveu les següents mesures:

    1. Protecció de dades des del disseny.

    2. Protecció de dades per defecte.

    3. Manteniment d’un registre dels tractaments de dades.

    4. Realització d’avaluacions d’impacte sobre protecció de dades: necessari quan les operacions de tractament que es realitzin suposin un alt risc pels drets i llibertats de les persones físiques, cas que exigeix adoptar mesures d’anticipació adequades).

    5. Nomenament d’un delegat de protecció de dades (Obligatori en 3 supòsits).

    6. Notificació de violacions de la seguretat de les dades.

    7. Els codis de conducta, les certificacions i els segells de qualitat: s’elaboraran guies pràctiques per sectors d’activitat i s’establiran mecanismes de certificació i qualitat de protecció de dades, que es convertiran en un element de distinció i competitivitat.

    8. Adopció de normes corporatives vinculants en les transferències fora la UE. El Responsable del fitxer o l’Encarregat del tractament hauran de compensar la manca de seguretat i protecció de dades en un país tercer mitjançant garanties com les normes corporatives vinculants o clàusules tipus adoptades per la UE o una Autoritat de Control.

    El Nou Reglament UE estableix que l’obligació d’implementar les anteriors mesures, o la forma en què s’aplicaran dependrà de factors tals com el tipus de tractament, els costos d’implantació de les mesures o el risc que el tractament significa pels drets i llibertats dels titulars de les dades.

    L’AGPD Espanyola ha manifestat que les empreses hauran de realitzar una anàlisi de risc dels tractaments que realitzen per determinar quines mesures han d’aplicar i com fer-ho. Aquesta anàlisi poden ser operacions molt simples en entitats que portin a terme tractaments senzills que no impliquin dades sensibles, o també operacions complexes que duguin a terme molts tractaments que afectin gran quantitat d’interessats o que, per les seves característiques, requereixin una valoració acurada dels seus riscos.

  5. S’hauran de revisar els avisos de privacitat dirigits als afectats per afegir determinades informacions que el Nou Reglament preveu que també s’hauran de proporcionar als interessats.
  6. Es reforça que el consentiment dels afectats no es pot deduir del silenci o de la inacció dels ciutadans. Ha de ser lliure, informat, específic i inequívoc. Es requereix que hi hagi una declaració dels interessats o una acció positiva que indiqui l’acord de l’interessat.
  7. Les infraccions es sancionaran amb multes que podran variar segons la gravetat i categoria de la infracció, equivalents al 2% i al 4% com a màxim del volum de negoci total anual global de l’exercici anterior, o de 10 a 20 milions d’euros.(Actualment, la LOPD espanyola preveu les següents sancions que no depenen del volum de negoci: infraccions lleus de 900€ a 40.000€, infraccions greus multes de 40.001€ a 300.000€, infraccions molt greus multes de 300.001€ a 600.000€).

Actualment, les Autoritats Europees de Protecció de Dades i l’Agència Espanyola individualment estan treballant en el desenvolupament d’eines per poder acompanyar les empreses durant aquest període de transició fins al 25.5.18, que facilitin la identificació i valoració de riscos. També treballen en les recomanacions sobre l’aplicació de mesures, especialment en relació amb les pimes que realitzen els tractaments de dades més habituals en la gestió empresarial.

El Nou Reglament de la UE, si bé és una norma d’aplicació immediata per tots els Estats Membres una vegada entri en vigor el 25.5.18, conté molts preceptes -una cinquantena d’articles- on es deixa la porta oberta als Estats Membres perquè interpretin i legislin determinats aspectes en l’àmbit nacional.

Per tant, haurem d’anar veient com s’implementaran aquests canvis a la legislació espanyola i els diferents treballs que l’AGPD vagi elaborant en el marc d’aquesta nova normativa per anar-nos preparant per quan sigui d’aplicació.

Anna Sallés Vancells
Advocada experta en Protecció de Dades.

0 985
Avatar
Rius Consultors

Deixa una resposta