Quines són les principals novetats del Reglament general de protecció de dades (RGPD)?

1. Àmbit d’aplicació

El Reglament amplia l'àmbit d'aplicació territorial als responsables i als encarregats del tractament no establerts en la UE, quan les activitats de tractament estan relacionades amb l'oferta de béns o serveis o amb el control del comportament de les persones, si tenen lloc en la UE.

2. Principis

L’RGPD conté molts conceptes, principis i mecanismes similars als que estableixen la Directiva 95/46 i les normes nacionals que l'apliquen. Per això, les organitzacions que actualment compleixen adequadament l’LOPD espanyola tenen una bona base de partida per evolucionar cap a una correcta aplicació del nou Reglament.

No obstant això, l’RGPD modifica alguns aspectes del règim actual i conté noves obligacions que cada organització ha d’analitzar i aplicar tenint en compte les seves pròpies circumstàncies.

La innovació més gran de l’RGPD per als responsables la constitueixen dos elements de caràcter general:

  • El principi de “responsabilitat proactiva”

L’RGPD descriu aquest principi com la necessitat que el responsable del tractament apliqui mesures tècniques i organitzatives apropiades, a fi de garantir i poder demostrar que el tractament és conforme al Reglament.

En termes pràctics, aquest principi requereix que les organitzacions analitzin quines dades tracten, amb quines finalitats ho fan i quin tipus d'operacions de tractament duen a terme. A partir d'aquest coneixement, han de determinar de manera explícita com aplicaran les mesures que preveu l’RGPD. Així mateix, s’han d’assegurar que aquestes mesures són les adequades per complir-lo i que poden demostrar-ne el compliment davant les persones interessades i davant les autoritats de supervisió.

En síntesi, aquest principi exigeix que les organitzacions tinguin una actitud conscient, diligent i proactiva davant de tots els tractaments de dades personals que duguin a terme.

  • “L’enfocament de risc”

L’RGPD assenyala que les mesures adreçades a garantir-ne el compliment han de tenir en compte la naturalesa, l'àmbit, el context i les finalitats del tractament, així com el risc per als drets i les llibertats de les persones.

D'acord amb aquest enfocament, algunes de les mesures que l’RGPD estableix només s’han d’aplicar quan hi hagi un alt risc per als drets i les llibertats, mentre que d’altres s’han de modular d’acord amb el nivell i tipus de risc que presentin els tractaments. 

Per tant, l'aplicació de les mesures previstes per l’RGPD s’ha d'adaptar a les característiques de les organitzacions. El que pot ser adequat per a una organització que maneja dades de milions d'interessats, en tractaments complexos que involucren informació personal sensible o volums importants de dades sobre cada afectat, no és necessari per a una petita empresa que duu a terme un volum limitat de tractaments de dades no sensibles.

Aquests dos elements es projecten sobre totes les obligacions de les organitzacions.

3. Noves categories especials de dades

A part de les dades especialment protegides que ja preveia l’LOPD, que ara passen a anomenar-se "categories especials de dades", el Reglament inclou dues noves categories especials de dades:

  • Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d'una persona física, que proporcionen una informació única sobre la fisiologia o la salut d'aquesta persona, obtingudes en particular de l'anàlisi d'una mostra biològica.
  • Dades biomètriques: dades personals obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física, que permeten o confirmen la identificació única d'aquesta persona (imatges facials, dades dactiloscòpiques, etc.).

4. Consentiment

L’RGPD requereix que l'interessat presti el consentiment mitjançant una declaració inequívoca o una acció afirmativa clara. Als efectes del nou Reglament, les caselles ja marcades, el consentiment tàcit o la inacció no constitueixen un consentiment vàlid.

  • Què succeeix amb els tractaments que s’efectuen sobre la base del consentiment per omissió?

Aquestes formes de consentiment no són compatibles amb l’RGPD, ja que es basen en la inacció de la persona interessada. L’RGPD també assenyala que els tractaments basats en el consentiment iniciats abans de l’aplicació del Reglament continuaran sent legítims, sempre que aquest consentiment s'hagués prestat de la manera que preveu el mateix RGPD, és a dir mitjançant una manifestació o acció afirmativa.  

Per tant, els responsables que efectuen tractaments basats en aquest consentiment per omissió haurien d'evitar continuar obtenint aquesta modalitat de consentiment i revisar aquests tractaments de manera que, a partir de maig de 2018, s'hagin adequat a les previsions de l’RGPD. Aquesta adaptació es pot dur a terme obtenint un consentiment d'acord amb les disposicions de l’RGPD o valorant si els tractaments afectats poden tenir suport en una altra base legal, com pot ser, entre d’altres, l'interès legítim del responsable o del cessionari de les dades que prevalgui sobre els drets de l'interessat. En tot cas i si es considera que aquesta segona opció és possible, cal informar-ne els interessats, que poden exercir els drets específicament aplicables a la nova base legal triada, com el d’oposició.

  • En quines situacions cal que el consentiment sigui explícit?

L’RGPD preveu algunes situacions en què el consentiment ha de ser explícit. Aquesta garantia addicional afecta els casos següents:

  • Tractament de categories especials de dades
  • Adopció de decisions automatitzades
  • Transferències internacionals

Encara que les diferències entre el consentiment inequívoc, tal com el defineix l’RGPD, i el consentiment explícit poden semblar difícils d'apreciar, hi ha situacions en què el consentiment pot ser inequívoc i atorgar-se de forma implícita. Un exemple seria quan es dedueix d'una acció de la persona interessada que decideix continuar navegant per una pàgina web, i accepta així que s'utilitzin galetes (cookies) per monitoritzar la seva navegació.

5. Consentiment dels menors

En l'àmbit dels serveis de la societat de la informació, el consentiment dels menors només és vàlid si tenen més de 16 anys. No obstant això, els estats membres de la UE poden rebaixar l'edat fins als 13 anys.

A més, el llenguatge utilitzat per informar-los els ha de ser comprensible.

  • Quines altres referències als menors conté l’RGPD?

L’RGPD es refereix en diversos llocs als tractaments de les dades dels menors. Per exemple, en els casos següents:

  • En la regulació dels interessos legítims del responsable com a base legal per al tractament; això no obstant, s’assenyala que no és aplicable quan prevalen els drets, les llibertats o els interessos de les persones interessades que requereixen protecció de dades personals, especialment quan aquests interessats són nens.
  • En assenyalar que, quan els interessats són nens, la informació que s'ofereix en relació amb el tractament o amb l'exercici de drets ha de ser especialment concisa, transparent, intel·ligible i proporcionada amb llenguatge clar i senzill.
  • En el context del dret a l’esborrat de les dades personals.
  • En establir que les activitats de formació i sensibilització adreçades als nens han d'estar entre les prioritats de les autoritats de protecció de dades.
  • En el context de les explicacions que ofereixen els considerants de l’RGPD, quan es refereixen a la realització de perfils.

6. Dret d’informació

El nou Reglament configura la informació com un dret de les persones afectades i amplia les qüestions sobre les quals cal informar-les, amb els aspectes següents: les dades de contacte del delegat de protecció de dades; la base jurídica del tractament; els interessos legítims perseguits en què es fonamenta el tractament, si escau; la intenció de transferir les dades a un tercer país o a una organització internacional i la base per fer-ho, si escau; el termini durant el qual es conservaran les dades; el dret a sol·licitar la portabilitat; el dret a retirar en qualsevol moment el consentiment que s'hagi prestat; si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte; el dret a presentar una reclamació davant una autoritat de control; l'existència de decisions automatitzades, inclosa la lògica aplicada i les seves conseqüències.

  • Com s’ha de proporcionar la informació a les persones interessades?

L’RGPD disposa que la informació als interessats, tant respecte de les condicions dels tractaments que els afecten com en les respostes als exercicis de drets, s’ha de proporcionar de forma concisa, transparent, intel·ligible i de fàcil accés, en un llenguatge clar i senzill. En aquest aspecte, va més enllà del que disposa l’LOPD, que tan sols exigeix que la informació es presti de manera expressa, precisa i inequívoca.

Aquestes exigències impliquen que cal evitar acudir a fórmules especialment enrevessades i que incorporen remissions als textos legals. Cal que les clàusules informatives expliquin el contingut al quan ens referirem immediatament d'una forma clara i accessible per a les persones interessades, amb independència dels coneixements que tinguin de la matèria.

La importància que l’RGPD concedeix a la claredat i l’accessibilitat de la informació es reflecteix en el fet que preveu que es pugui proporcionar en combinació amb icones estandarditzades que ofereixin una visió de conjunt del tractament previst. El disseny d'aquestes icones l’ha de fer la Comissió Europea, que ja està treballant per presentar-ne una proposta.

L’RGPD disposa que la informació a les persones interessades es faciliti per escrit, inclosos els mitjans electrònics quan escaigui.

L'Autoritat Catalana de Protecció de Dades, l'Agència Espanyola de Protecció de Dades i l'Agència Basca de Protecció de Dades estan preparant un model de clàusula informativa perquè l’utilitzin les administracions públiques. Durant el període transitori, també es presentaran directrius per a entitats privades.

7. Drets de les persones interessades

L’RGPD incorpora el dret a l'oblit com un dret vinculat al dret de supressió, al dret a la limitació del tractament i al dret a la portabilitat:

  • Els interessats tenen dret a obtenir la supressió de les dades ("dret a l'oblit"), quan:
  • Les dades ja no són necessàries per a la finalitat per a la qual es van recollir.
  • Es revoca el consentiment en el qual es basava el tractament.
  • L'interessat s'oposa al tractament.
  • Les dades s'han tractat il·lícitament.
  • Les dades s'han de suprimir per complir una obligació legal.
  • Les dades s'han obtingut en relació amb l'oferta de serveis de la societat de la informació adreçada a menors.


Quan el responsable ha fet públiques les dades personals i s'han de suprimir, ha d’adoptar mesures raonables per informar de la supressió els responsables que estan tractant les dades.

Es preveuen algunes excepcions a l'exercici d'aquest dret:

  • L'exercici del dret a la llibertat d'expressió i informació.
  • El compliment d'una obligació legal.
  • L'existència de finalitats d'arxiu en interès públic, de recerca científica o històrica o finalitats estadístiques.
  • La formulació, l'exercici o la defensa de reclamacions.
  • Dret a la limitació del tractament

La limitació de tractament es presenta a l’RGPD com un dret de les persones interessades. Per això, no s’ha de confondre amb el bloqueig de dades actualment existent a la legislació espanyola, tot i que el fet que s’hagi inclòs com a nou dret no suposa, per si sol, que la figura del bloqueig desapareix.

La limitació de tractament suposa que, a petició de la persona interessada, no s'aplicaran a les seves dades personals les operacions de tractament que en cada cas correspondrien. La limitació es pot sol·licitar quan:

  • La persona interessada ha exercit els drets de rectificació o oposició i mentre el responsable determina si escau atendre la sol·licitud.
  • El tractament és il·lícit, cosa que determinaria l'esborrat de les dades, però l'interessat s'hi oposa.
  • Les dades ja no són necessàries per al tractament, la qual cosa novament en determinaria l’esborrat, però l'interessat sol·licita la limitació perquè els necessita per formular, exercir o defensar reclamacions.

A aquest dret se li apliquen els mateixos terminis i procediments que a la resta de drets previstos a l’RGPD.

Mentre duri la limitació, el responsable només pot tractar les dades afectades, més enllà de conservar-les, en els casos següents:

  • Amb el consentiment la persona interessada.
  • Per formular, exercir o defensar reclamacions.
  • Per protegir els drets d'una altra persona física o jurídica.
  • Per raons d'interès públic important de la Unió o de l'estat membre corresponent.

Una conseqüència d'aquesta regulació és que impedeix una pràctica que de vegades se segueix i que consisteix a esborrar les dades quan s'exerceixen altres drets, com el d'accés, ja que impediria l'exercici del dret a la limitació del tractament.

  • Dret a la portabilitat:

El dret a la portabilitat de les dades és una forma avançada del dret d'accés, per la qual la persona interessada té dret a rebre les dades personals que l’afecten i que ha facilitat a un responsable del tractament en un format estructurat, d'ús comú i de lectura mecànica, i transmetre-les a un altre responsable, si es compleixen els requisits següents:

  • El tractament està basat en el consentiment o en un contracte.
  • El tractament es fa per mitjans automatitzats.
  • L'interessat ho sol·licita respecte de les dades que ha proporcionat al responsable i que el concerneixen, incloses les dades derivades de la pròpia activitat de l'interessat. Això suposa que no és aplicable a les dades de terceres persones que un interessat hagi facilitat a un responsable. Tampoc no s'aplica si l'interessat sol·licita la portabilitat de dades que l’incumbeixen, però que han estat proporcionades al responsable per tercers.


Inclou el dret que les dades es transmetin directament de responsable a responsable, si és tècnicament possible.

El grup d'autoritats europees de protecció de dades (Grup de l'article 29) ha adoptat una opinió en la qual s'analitza detalladament aquest dret. Aquesta opinió es pot consultar aquí.

  • Quin és el procediment per exercir els drets recollits pel nou Reglament?

Amb caràcter general, l’RGPD exigeix als responsables que facilitin a les persones interessades l'exercici dels seus drets. Aquest mandat suposa que els procediments i les formes per fer-ho han de ser visibles, accessibles i senzilles. L’RGPD no estableix una manera concreta per exercir els drets, però sí que requereix als responsables que possibilitin que les sol·licituds es presentin per  mitjans electrònics, especialment quan el tractament s’efectua per aquests mitjans.

Aquesta obligació exigeix articular procediments que permetin fàcilment que les persones interessades puguin acreditar que han exercit els seus drets per mitjans electrònics, cosa que actualment en moltes ocasions no és viable.

L’RGPD preveu també que l'exercici de drets ha de ser gratuït per a la persona interessada. Aquest criteri de gratuïtat pot no seguir-se en els casos en què es formulen sol·licituds manifestament infundades o excessives, especialment per repetitives; en aquests casos, el responsable pot cobrar un cànon que compensi els costos administratius d'atendre la petició, o bé negar-se a actuar. És el responsable qui ha de demostrar aquest caràcter infundat o excessiu. En tot cas, el cànon no pot implicar un ingrés addicional per al responsable, sinó que ha de correspondre al veritable cost de la tramitació de la sol·licitud.

El responsable ha d'informar la persona interessada sobre les actuacions derivades de la seva petició en del termini d'un mes, que es pot ampliar dos mesos més quan es tracta de sol·licituds especialment complexes. Aquesta ampliació del termini s’ha de notificar dins del primer mes. Si el responsable decideix no atendre la sol·licitud, n’ha d'informar i motivar la negativa dins del termini d'un mes des que es va presentar.

D'acord amb l’RGPD, els responsables han de prendre totes les mesures raonables per verificar la identitat dels afectats que sol·liciten accés i, en general, dels afectats que exerceixen la resta de drets ARCO.

El responsable que tracta una gran quantitat d'informació sobre un interessat pot demanar-li que especifiqui la informació a què es refereix la seva sol·licitud d'accés.

El responsable pot comptar amb la col·laboració dels encarregats per atendre l'exercici de drets dels interessats. Aquesta col·laboració es pot incloure en el contracte d’encàrrec de tractament.

8. Inscripció i notificació de fitxers

L’RGPD suprimeix, a partir del 25 de maig de 2018, la necessitat de crear formalment els fitxers i notificar-los al registre de protecció de dades de les autoritats de control.

9. Documentació de les operacions de tractament: registre d'activitats de tractament

L’RGPD preveu noves obligacions de documentació del tractament per als responsables o els encarregats del tractament, tret que el tractament que efectuïn pugui comportar un risc per als drets i les llibertats de les persones interessades, no sigui ocasional o inclogui categories especials de dades personals, o dades personals relatives a condemnes i infraccions penals.

Aquests responsables i encarregats del tractament han de portar un registre de les activitats de tractament que duen a terme. Aquest registre ha de contenir, respecte de cada activitat, la informació que estableix l'article 30 de l’RGPD.

Aquesta informació inclou qüestions com les següents:

  • Nom i dades de contacte del responsable i, si escau, del corresponsable, així com del delegat de protecció de dades si n’hi ha.
  • Finalitats del tractament.
  • Descripció de categories d'interessats i categories de dades personals tractades.
  • Transferències internacionals de dades.
  • Quan sigui possible, terminis previstos per suprimir les dades.
  • Quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat.
  • Com s’ha d’organitzar el registre d’operacions de tractament?

Una possibilitat per organitzar aquest registre d'activitats de tractament és partir dels fitxers que actualment els responsables han notificat al Registre de Protecció de Dades de Catalunya, i detallar totes les operacions que es realitzen sobre cada conjunt estructurat de dades.

No obstant això, el registre també es pot organitzar al voltant d'operacions de tractament concretes, vinculades a una finalitat bàsica comuna de totes elles (per exemple “gestió de clients”, “gestió comptable” o “gestió de recursos humans i nòmines”), o bé d’acord amb altres criteris diferents.

10. Encàrrec del tractament

El Reglament amplia el contingut mínim del contracte d’encàrrec de tractament. Entre altres aspectes, el contracte ha de preveure els punts addicionals següents respecte del contingut que ja establia l’LOPD: l'objecte i la durada de l'encàrrec; la naturalesa del tractament; el tipus de dades personals; les categories d'interessats; les obligacions i els drets del responsable; la previsió que les persones que han de tractar les dades es comprometen a mantenir la confidencialitat; l'assistència de l'encarregat al responsable per atendre les sol·licituds d'exercici de drets; la supressió o la devolució de les dades en finalitzar l'encàrrec; l'obligació de posar a disposició del responsable tota la informació necessària per demostrar que compleix les obligacions de l'encarregat del tractament i per permetre i contribuir que el responsable o un altre auditor autoritzat pel responsable efectuï auditories i inspeccions.

  • Obligacions específiques dels encarregats

La Directiva 95/46 i en general les lleis nacionals de transposició se centren en l'activitat dels responsables. L’RGPD, en canvi, conté obligacions expressament adreçades als encarregats. La responsabilitat última sobre el tractament continua atribuïda al responsable, que és qui determina l'existència i la finalitat del tractament. Però, en determinades matèries, els encarregats tenen obligacions pròpies que l’RGPD estableix, que no se circumscriuen a l'àmbit del contracte que els vincula al responsable i que les autoritats de protecció de dades han de supervisar separadament. Per exemple, els encarregats han de mantenir un registre d'activitats de tractament, han de determinar les mesures de seguretat aplicables als tractaments que realitzen o han de designar un delegat de protecció de dades, en els casos en què així ho preveu l’RGPD.  

L’RGPD també preveu que els encarregats es puguin adherir a codis de conducta o certificar-se en el marc dels esquemes de certificació previstos en el mateix RGPD.

L’RGPD estableix explícitament que els responsables només han de triar encarregats que ofereixin garanties suficients per aplicar mesures tècniques i organitzatives apropiades, de manera que el tractament sigui conforme als requisits del Reglament. Aquesta previsió també s'estén als encarregats, quan subcontracten operacions de tractament amb altres subencarregats.

Tot i que en el cas espanyol el Reglament de desenvolupament de l’LOPD ja estableix la necessitat de diligència deguda en la selecció dels encarregats, la novetat d'aquesta previsió de l’RGPD deriva de la seva relació amb el principi de responsabilitat activa. Segons aquest principi, el responsable ha d'adoptar les mesures apropiades, inclosa l'elecció d'encarregats, de manera que garanteixi i estigui en condicions de demostrar que el tractament es duu a terme conforme a l’RGPD.

El fet que els encarregats o subencarregats s'hagin adherit a codis de conducta o estiguin certificats dins dels esquemes previstos per l’RGPD es pot utilitzar per demostrar que ofereixen les garanties suficients que el Reglament exigeix.

L'Autoritat Catalana de Protecció de Dades, l'Agència Espanyola de Protecció de Dades i l'Agència Basca de Protecció de Dades han preparat uns materials d'ajuda per redactar aquests encàrrecs, que es poden consultar aquí. Aquests materials estan pensats per ajudar els responsables i els encarregats durant el període transitori fins a l'entrada en aplicació de l’RGPD. Posteriorment, i d'acord amb el que preveu el Reglament, les autoritats de protecció de dades podran elaborar clàusules model que hauran de ser aprovades pel futur Comitè Europeu de Protecció de Dades. La Comissió Europea també pot preparar clàusules contractuals model.

  • Què passa amb els contractes d’encàrrec finalitzats abans de l’aplicació de l’RGPD?

Els contractes d’encàrrec finalitzats abans de l'aplicació de l’RGPD, al maig de 2018, s’han d'adaptar per respectar aquest contingut. Tot i que moltes de les obligacions derivades del règim establert a l’RGPD ja estan recollides a la normativa espanyola, cal modificar els contractes existents perquè les seves clàusules reflecteixin tots els continguts del Reglament, tenint en compte que les remissions genèriques a l'article de l’RGPD que els regula no són vàlides.

11. Avaluacions d’impacte relatives a la protecció de dades

 

Quan sigui probable que un tractament suposi un risc alt per als drets i les llibertats de les persones físiques, per la seva naturalesa, abast, context o finalitats, especialment si s'utilitzen les noves tecnologies, abans d'iniciar el tractament el responsable ha de fer una avaluació de l'impacte de les operacions de tractament en la protecció de dades personals. 

  • Com es determina la necessitat de fer una avaluació d’impacte i quin contingut ha de tenir? 

L’RGPD conté una llista indicativa de tres supòsits en els quals es considera que els tractaments comporten un alt risc: 

  • Elaboració de perfils sobre la base dels quals es prenen decisions que produeixen efectes jurídics sobre els interessats o que els afecten significativament de manera similar.
  • Tractament a gran escala de dades sensibles.
  • Observació sistemàtica a gran escala d'una zona d'accés públic. 

Aquests criteris inclouen la noció de “gran escala”. L’RGPD no determina què s’ha d'entendre per “gran escala”. El Grup de l'article 29, en el seu dictamen sobre la designació de delegats de protecció de dades (del qual es parla més endavant), considera que per valorar si el tractament es fa a gran escala s’ha de tenir en compte el següent: 

  • El nombre d'interessats afectats, ja sigui en termes absoluts o com a proporció d'una determinada població.
  • El volum i la varietat de dades tractades.
  • La durada o permanència de l'activitat de tractament.
  • L'extensió geogràfica de l'activitat de tractament. 

Juntament amb aquests tres supòsits, l’RGPD obliga les autoritats de protecció de dades a confeccionar llistes addicionals de tractaments que requereixen una avaluació d'impacte. 

L’RGPD també preveu que les autoritats puguin elaborar llistes de tractaments que no requereixen avaluació d'impacte. 

L'existència d'aquests llistats no exclou que els responsables hagin de fer la l’anàlisi de risc corresponent i, si conclouen que hi ha un alt risc per als drets i les llibertats de les persones interessades, duguin a terme una avaluació d'impacte encara que el tractament en qüestió no estigui inclòs en cap de les dues llistes esmentades. L’RGPD es basa en el principi de responsabilitat activa del responsable, que en últim extrem sempre és el responsable de decidir quines mesures s’han d’aplicar i com s’ha de fer. La intervenció de les autoritats de supervisió o les previsions del mateix RGPD n’aclareixen les disposicions o les especifiquen, però no substitueixen la responsabilitat de qui tracta les dades. 

Al marge de les llistes expressament previstes per l’RGPD, l'Autoritat Catalana de Protecció de Dades, l'Agència Espanyola de Protecció de Dades i l'Agència Basca de Protecció de Dades publicaran durant el període transitori recursos per ajudar els responsables a determinar la necessitat de fer una avaluació d'impacte. 

L’RGPD estableix un contingut mínim de les avaluacions d'impacte sobre la protecció de dades, tot i que no preveu cap metodologia específica per fer-les. 

Cal tenir en compte que es pot fer una única avaluació d'impacte per a diversos tractaments similars que comporten alts riscos també similars. 

Per a la delimitació de la noció d’alt risc als efectes de l’obligatorietat de fer una avaluació d’impacte i sobre els criteris per fer-la, es recomana consultar la Guia d'avaluació d’impacte en la protecció de dades (DPIA) adoptada pel Grup de Treball de l’article 29 en data 4 d’abril de 2017, que es pot consultar aquí

  • Què succeeix amb els tractaments iniciats abans del 25 de maig de 2018 als quals amb la nova normativa els sigui exigible l'avaluació d'impacte sobre la protecció de dades (EIPD)? 

Si aquests tractaments es perllonguen més enllà del 25 de maig de 2018 i l'anàlisi de risc que les organitzacions duen a terme sobre els tractaments iniciats amb anterioritat indica que aquests tractaments presenten alt risc per als drets o les llibertats les persones interessades, la Guia per a l’avaluació de l’impacte en la protecció de dades adoptada pel Grup de Treball de l’article 29 també recomana fer una DPIA  “per als tractaments de dades que han tingut lloc abans de maig de 2018 i els quals, per tant, no estan subjectes a una DPIA, per assegurar-se que 3 anys després d'aquesta data o abans, depenent del context, els riscos per als drets i llibertats estan sent mitigats.”

12. Consulta prèvia

Si de l'avaluació d'impacte sobre la protecció de dades en resulta que el tractament previst pot infringir l’RGPD, en particular quan el responsable no ha identificat o mitigat suficientment el risc, el responsable ha de fer una consulta a l'autoritat de control de protecció de dades competent.

En els casos en què les EIPD identifiquin un alt risc que, a parer del responsable de tractament, no es pugui mitigar per mitjans raonables en termes de tecnologia disponible i costos d'aplicació, el responsable ha de consultar l'autoritat de protecció de dades competent. La consulta ha d'anar acompanyada de la documentació que preveu l’RGPD, inclosa la mateixa avaluació d'impacte.

L'autoritat de control ha d'assessorar per escrit el responsable i, si escau, l'encarregat, i pot fer ús de tots els poders que li confereix el Reglament, entre els quals hi ha prohibir l'operació de tractament.

13. Protecció de dades des del disseny i per defecte

El Reglament introdueix els conceptes de privacitat des del disseny i privacitat per defecte.

Això implica que el responsable ha d’aplicar, tant en el moment de determinar els mitjans de tractament com en el moment del tractament mateix, les mesures tècniques i organitzatives adequades concebudes per aplicar de manera efectiva els principis de protecció de dades (com, per exemple, la seudonimització), i integrar les garanties necessàries en el tractament per complir els requeriments del Reglament.

Així mateix, el responsable ha d’aplicar les mesures tècniques i organitzatives adequades per garantir que, per defecte, només es tracten les dades personals necessàries per a cada finalitat específica del tractament.

14. Codis de conducta

L’RGPD també regula els codis de conducta que poden promoure les associacions i altres organismes representatius de categories de responsables del tractament o d’encarregats del tractament, perquè el Reglament s’apliqui correctament.

El codi de conducta s’ha de presentar a l'autoritat de control competent, perquè l’aprovi, la registri i la publiqui. També correspon a l'autoritat de control acreditar l'organisme de supervisió que preveu el codi.

L'adhesió i el compliment d'un codi de conducta és un element a tenir en compte a l'hora de demostrar que el responsable del tractament compleix les seves obligacions, especialment en el moment de fer l'avaluació d'impacte sobre la protecció de dades.

15. Mecanismes de certificació

El Reglament també promou els mecanismes de certificació, com certificats, segells o marques, per demostrar que es compleix l’RGPD.

16. Delegat de protecció de dades (DPD)

El Reglament introdueix la figura del delegat de protecció de dades, que pot formar part de la plantilla del responsable o l’encarregat o bé actuar en el marc d'un contracte de serveis. Cal designar un delegat de protecció de dades en els casos següents:

  • Quan el tractament el dugui a terme una autoritat o un organisme públic (tret de jutjats i tribunals). En aquest cas, es pot designar un únic delegat de protecció de dades per a diverses d'aquestes autoritats o organismes.
  • Quan el tractament requereix l'observació habitual i sistemàtica d'interessats a gran escala.
  • Quan el tractament té per objecte categories especials de dades personals o dades relatives a condemnes o infraccions penals.


El delegat de protecció de dades té, entre d’altres, les funcions següents:

  • Informar i assessorar el responsable o l'encarregat i els treballadors sobre les obligacions que imposa la normativa de protecció de dades.
  • Supervisar que es compleix la normativa.
  • Assessorar respecte de l'avaluació d'impacte relativa a la protecció de dades.
  • Cooperar amb l'autoritat de control.
  • Actuar com a punt de contacte per a qüestions relatives al tractament.

Els responsables i els encarregats han de fer pública la designació del delegat de protecció de dades i les seves dades de contacte i les han de comunicar a les autoritats de supervisió competents.

La posició del DPD a les organitzacions ha de complir els requisits que l’RGPD estableix expressament. Entre aquests requisits hi ha la total autonomia en l'exercici de les seves funcions, la necessitat que es relacioni amb el nivell superior de la direcció o l'obligació que el responsable o l'encarregat li facilitin tots els recursos necessaris per desenvolupar la seva activitat.

El Grup de l'article 29 ha publicat un dictamen sobre la designació dels DPD, que es pot consultar aquí, que inclou una sèrie de preguntes freqüents sobre els diversos aspectes d'aquesta figura.

  • Quins requisits o qualificacions ha de tenir el delegat de protecció de dades?

El DPD s’ha de nomenar tenint en compte les seves qualificacions professionals i, en particular, el seu coneixement de la legislació i la pràctica de la protecció de dades. Això no significa que el DPD hagi de tenir una titulació específica. Tenint en compte que entre les funcions del DPD s'inclou l'assessorament al responsable o l’encarregat en tot el referent a la normativa sobre protecció de dades, els coneixements jurídics en la matèria són sens dubte necessaris; però també cal que compti amb coneixements aliens a l'àmbit estrictament jurídic, com per exemple en matèria de tecnologia aplicada al tractament de dades o en relació amb l'àmbit d'activitat de l'organització en la qual exerceix la seva tasca.

17. Transferències internacionals

El model de transferències internacionals dissenyat per l’RGPD segueix els mateixos criteris que estableixen la Directiva 95/46 i les legislacions nacionals de transposició. Segons aquest model, les dades només es poden comunicar fora de l'Espai Econòmic Europeu en els casos següents:

  • A països, territoris o sectors específics (l’RGPD també inclou organitzacions internacionals) sobre els quals la Comissió ha adoptat una decisió que reconeix que ofereixen un nivell de protecció adequat.
  • Quan s'han ofert garanties adequades sobre la protecció que les dades rebran a la seva destinació.
  • Quan s'aplica alguna de les excepcions que permeten transferir les dades sense garanties de protecció adequada, per raons de necessitat vinculades a l’interès del titular de les dades o a interessos generals.

Des del punt de vista dels responsables i dels encarregats que actualment fan transferències internacionals o que les faran en el marc de l’RGPD, hi ha algunes novetats a tenir en compte:

  • Les decisions d'adequació que la Comissió ha adoptat amb anterioritat a l'aplicació de l’RGPD continuen sent vàlides; per tant, mentre la Comissió no les substitueixi o les derogui es poden continuar fent transferències basades en aquestes decisions.
  • Les decisions de la Comissió que estableixen clàusules tipus per als contractes en els quals s'estableixen garanties per a les transferències internacionals continuen sent vàlides fins que la Comissió les substitueixi o les derogui.
  • Les autoritzacions de transferències que les autoritats nacionals de protecció de dades han atorgat sobre la base de garanties contractuals continuen sent vàlides mentre les autoritats no les revoquin.
  • Les garanties sobre la protecció que rebran les dades a la seva destinació les ha d'oferir l'exportador, que pot ser tant un responsable com un encarregat de tractament.
  • S'amplia la llista de possibles instruments per oferir garanties. S’hi inclouen expressament, entre d’altres, les normes corporatives vinculants per a responsables i encarregats, els codis de conducta i els esquemes de certificació, així com les clàusules contractuals model que aprovin les autoritats de protecció de dades.
  • En els casos de normes corporatives vinculants, clàusules contractuals estàndard, codis de conducta i esquemes de certificació, la transferència no requereix l'autorització de les autoritats de supervisió.
  • S'afegeix una excepció al llistat que va establir la Directiva 95/46. Es tracta de la possibilitat que el responsable pugui transferir dades a un país sense el nivell adequat de protecció, quan aquesta transferència és necessària per satisfer interessos legítims imperiosos del responsable i la transferència no és repetitiva i afecta només un nombre limitat d'interessats. En tot cas, la transferència solament és possible si no hi prevalen els drets, les llibertats i els interessos dels afectats i s’ha de comunicar a l'autoritat de protecció de dades.

18. Mesures de seguretat

A diferència de la normativa actual, el Reglament no estableix un llistat de les mesures de seguretat que s’han aplicar d'acord amb la tipologia de dades objecte de tractament, sinó que estableix que el responsable i l'encarregat del tractament han d’aplicar les mesures tècniques i organitzatives adequades al risc que comporta el tractament. Això implica que cal fer una avaluació dels riscos associats a cada tractament, per determinar les mesures de seguretat que cal implementar.

  • Com es duu a terme una anàlisi de riscos?

El tipus d'anàlisi varia segons els tipus de tractament, la naturalesa de les dades que es tracten, el nombre d'interessats afectats o la quantitat i varietat de tractaments que una mateixa organització efectua.

En les grans organitzacions, com a norma general aquesta anàlisi s’ha de dur a terme utilitzant alguna de les metodologies d'anàlisi de risc existents. En responsables de dimensions menors i amb tractaments de poca complexitat, aquesta anàlisi hauria de ser el resultat d'una reflexió, mínimament documentada, sobre les implicacions dels tractaments en els drets i les llibertats de les persones interessades. Aquesta reflexió ha de donar resposta a  qüestions com les següents:

  • Es tracten dades sensibles?
  • Es tracten dades d'una gran quantitat de persones?
  • El tractament inclou l'elaboració de perfils?
  • Les dades obtingudes de les persones interessades es creuen amb altres de disponibles en altres fonts?
  • Es pretén utilitzar les dades obtingudes amb una finalitat per a un altre tipus de finalitats?
  • S'estan tractant grans quantitats de dades, incloses tècniques d'anàlisi massiva tipus big data?
  • S'utilitzen tecnologies especialment invasives per a la privacitat, com les relatives a geolocalització, videovigilància a gran escala o certes aplicacions de la internet de les coses?

Com més gran és el nombre de respostes afirmatives, més elevat és el risc que es pot derivar del tractament. D'aquesta manera, si la resposta a aquestes preguntes i a d’altres del mateix tipus és negativa, és raonable concloure que l'organització no efectua tractaments que generin un nivell de risc elevat i que, per tant, no ha de posar en marxa les mesures previstes per a aquests casos.

19. Notificació de violacions de seguretat

Si es produeix una violació de la seguretat, el responsable l’ha de notificar a l'autoritat de control en un termini màxim de 72 hores, tret que sigui improbable que constitueixi un risc per als drets i les llibertats de les persones.

A més, quan sigui probable que la violació comporti un alt risc per als drets de les persones interessades, el responsable l'ha de comunicar a les persones afectades sense dilacions indegudes i en un llenguatge clar i senzill, tret que:

  • El responsable hagi adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles per a persones no autoritzades.
  • El responsable hagi aplicat mesures posteriors que garanteixen que ja no hi ha la probabilitat que es concreti l'alt risc.
  • Suposi un esforç desproporcionat.
  • Quin és el termini per notificar una violació de seguretat a l’autoritat de control?

La notificació de la fallada a les autoritats s’ha de produir sense dilació indeguda i, si és possible, dins de les 72 hores següents que el responsable n’ha tingut constància. Aquest criteri pot ser objecte d'interpretacions variades. En general, es considera que es té constància d'una violació de seguretat quan hi ha una certesa que s'ha produït i se’n té un coneixement suficient de la naturalesa i l’abast. La mera sospita que hi ha hagut una fallada o la constatació que ha succeït algun tipus d'incident, sense que se’n coneguin mínimament les circumstàncies, encara no haurien de donar lloc a la notificació ja que, en la majoria dels casos, en aquestes condicions no es pot determinar fins a quin punt hi pot haver un risc per als drets i les llibertats de les persones interessades.

No obstant això, en casos de fallades que per les seves característiques puguin tenir un gran impacte, sí que pot ser recomanable contactar amb l'autoritat de supervisió tan aviat com hi hagi evidències que s'ha produït una situació irregular respecte de la seguretat de les dades. Això, sense perjudici que aquests primers contactes es completin amb una notificació formal, més completa, dins del termini legalment previst.

Hi pot haver casos en què la notificació no es pugui fer en aquestes 72 hores, per exemple a causa de la complexitat a l’hora de determinar-ne completament l’abast. En aquests casos, la notificació es pot fer posteriorment, acompanyada d'una explicació dels motius que han ocasionat el retard.

  • Quin ha de ser el contingut de la notificació d’una violació de seguretat a l’autoritat de control?

La notificació ha d'incloure un contingut mínim que el mateix RGPD estableix i que inclou elements com la naturalesa de la violació, les categories de dades i d'interessats afectats, les mesures adoptades pel responsable per solucionar la fallada i, si escau, les mesures aplicades per pal·liar els possibles efectes negatius sobre les persones interessades. La informació també es pot proporcionar de forma escalonada, quan no es pugui fer al mateix moment de la notificació.

El Grup de l'article 29 prepararà un formulari estandarditzat d’àmbit europeu, tant per ajudar els responsables a presentar unes notificacions completes, d'acord amb els criteris de l’RGPD, com perquè aquestes notificacions es facin de manera harmonitzada a tota la Unió Europea.

Amb independència de la notificació a les autoritats, els responsables han de documentar totes les violacions de seguretat. Es tracta d'una obligació que estableix l’RGPD i que s'aproxima molt al registre d'incidències que preveu el Reglament de desenvolupament de l’LOPD.

  • Quan és probable que una violació de seguretat comporti un risc alt per als drets de les persones interessades?

El criteri de l'alt risc que esmenta l’RGPD s’ha d'entendre en el sentit que sigui probable que la violació de seguretat ocasioni danys importants a les persones interessades. Això pot succeir, per exemple, si es revela informació confidencial, com contrasenyes o la participació en determinades activitats, si es difonen dades sensibles de forma massiva o si es poden produir perjudicis econòmics per als afectats.

  • Quin és el règim jurídic de la notificació als afectats d’una violació de seguretat?

L'objectiu d'aquesta notificació ha de ser permetre que els afectats puguin prendre mesures per protegir-se de les conseqüències de la violació de seguretat. Per això, l’RGPD requereix que se’ls notifiqui sense dilació indeguda i sense fer referència ni al moment en què se’n té constància ni tampoc a la possibilitat d'efectuar la notificació dins d'un termini de 72 hores. El propòsit és sempre que l'interessat afectat pugui reaccionar tan aviat com sigui possible.

Pels mateixos motius, l’RGPD afegeix als continguts de la notificació les recomanacions sobre les mesures que poden prendre les persones interessades per fer front a les conseqüències de la fallada.

 

20. Finestreta única

Aquest sistema permet que els ciutadans i també els responsables establerts en diferents estats membres o que facin tractaments que afecten diferents estats membres tinguin una única autoritat de protecció de dades com a interlocutora.