Quan entrarà en vigor l’RGPD?

El nou Reglament general de protecció de dades (RGPD) és una norma directament aplicable, que no requereix normes internes de transposició ni tampoc, en la majoria dels casos, normes de desenvolupament o d’aplicació. Per això, abans de res cal que els responsables assumeixin que la norma de referència és l’RGPD i no les normes nacionals, com havia estat fins ara amb la Directiva 95/46. No obstant això, la llei que substituirà l'actual Llei orgànica de protecció de dades (LOPD) sí que podrà incloure algunes precisions o desenvolupaments en matèries en les quals l’RGPD ho permet.

L’RGPD es va publicar al maig de 2016 i, tot i que va entrar en vigor el 24 de maig de 2016, serà aplicable a partir del 25 de maig de 2018. En aquest període transitori, i tot i que les disposicions de la Directiva 95/46 i les normes nacionals de desenvolupament continuen vigents, els responsables i els encarregats de tractament han d'anar preparant i adoptant les mesures necessàries per estar en condicions de complir amb les previsions de l’RGPD en el moment en què sigui aplicable.

Es deroguen l’LOPD i el reglament que la desenvolupa (RLOPD)?

Fins al 25 de maig de 2018, la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD) i el seu Reglament de desenvolupament (RLOPD), aprovat pel Reial decret 1720/2007, de 21 de desembre, continuen sent de plena aplicació.

A partir d'aquesta data, alguns aspectes de l’LOPD i de l’RLOPD quedaran desplaçats per l’RGPD. Altres aspectes, en canvi, poden continuar sent aplicables, bé perquè queden fora de l'àmbit d'aplicació de l’RGPD o perquè el mateix RGPD en permet la regulació d’àmbit estatal.

Com afecta l’RGPD la Llei de l’Autoritat Catalana de Protecció de Dades?

L’RGPD preveu expressament la possibilitat que en un estat hi pugui haver diverses autoritats de protecció de dades. En qualsevol cas, l’RGPD no afecta l'àmbit d'actuació de l’APDCAT establert per l’EAC i la Llei 32/2010, si bé pot caldre adaptar aquesta llei a la nova regulació de les funcions de les autoritats de control.


Quina és l'autoritat de control competent en matèria de transferències internacionals?

L’RGPD disposa que cada estat membre ha d’establir que la supervisió de l’aplicació de l’RGPD sigui responsabilitat d’una o diverses autoritats públiques independents. Així, preveu expressament la possibilitat que en un estat hi pugui haver diverses autoritats de protecció de dades.

D’acord amb l’RGPD, l’autoritat de control competent en matèria de transferències internacionals respecte les entitats incloses en l’àmbit d’actuació de l’Autoritat Catalana de Protecció de Dades és aquesta mateixa Autoritat, atès que en els estats on hi ha més d’una autoritat els  correspon a cadascuna exercir la totalitat de les funcions establertes a l’article 57, incloses les previstes a la lletra r) sobre les transferències internacionals.

Es poden continuar fent els tractaments basats en el consentiment tàcit iniciats abans de 25 de maig de 2018?

L’RGPD estableix que el consentiment ha de consistir en una declaració o un acte afirmatiu clar, que reflecteixi una manifestació de voluntat lliure, específica, informada i inequívoca de l’interessat d’acceptar el tractament de dades de caràcter personal que l’afecten. Per tant, el silenci, les caselles ja marcades o la inacció (com, per exemple; el consentiment tàcit) no constitueixen un consentiment vàlid d’acord amb l’RGPD.

D’acord amb això, cal que els tractaments de dades iniciats abans del 25 de maig de 2018, basats en un consentiment tàcit, s’ajustin als requisits de l’RGPD abans d’aquesta data, ja sigui mitjançant l’obtenció d’un nou consentiment que reuneixi els requisits establerts per l’RGPD, ja sigui mitjançant alguna altra de les bases jurídiques establertes per l’RGPD.

Cal tornar a informar les persones afectades que ja ho havien estat d’acord amb l’LOPD, per assabentar-les dels nous aspectes que exigeixen els articles 13 i 14 de l’RGPD?

L’RGPD amplia les qüestions sobre les quals cal informar les persones afectades  i modifica alguns aspectes de la manera com s’ha de proporcionar aquesta informació.

No obstant això, respecte de les dades recollides abans del 25 de maig de 2018 no és preceptiu informar novament amb els requisits establerts a l’RGPD. L’obligació d’informar segons el que estableix l’RGPD és exigible només per a les dades recollides després d’aquesta data. No obstant això, si les circumstàncies ho permeten, una bona pràctica recomanable pot ser aprofitar els actes de comunicació amb les persones afectades per informar-les dels nous aspectes establerts per l’RGPD. 

Quin és el termini per adaptar a l’RGPD tots els encàrrecs del tractament formalitzats abans del 25 de maig de 2018?

D’acord amb la Disposició transitòria segona del Reial Decret llei 5/2018, de 27 de juliol, de mesures urgents per l’adaptació del dret espanyol a la normativa de la Unió Europea en matèria de protecció de dades, els contractes i acords d’encàrrec del tractament establerts abans d’aquesta data mantenen la seva vigència fins la data de venciment assenyalada en els mateixos. 

Quan es tracti d’encàrrecs amb durada indefinida,  mantenen la vigència fins al cap de quatre anys, a comptar des del 25 de maig de 2018. 

En qualsevol cas, durant la vigència del contracte o acord, qualsevol de les parts pot exigir a l’altra la modificació del contracte per adaptar-la al que estableix l’article 28 de l’RGPD.

En quins supòsits cal fer una Avaluació d’impacte relativa a la protecció de dades?

Quan un tractament, per la seva naturalesa, abast, context o fins suposi un alt risc pels drets i llibertats de les persones físiques, especialment quan s’utilitzin noves tecnologies, el responsable ha de fer abans una avaluació de l'impacte en la protecció de dades (AIPD). 

L’article 35.3 de l’RGPD estableix que, entre d’altres supòsits, cal fer una avaluació d’impacte relativa a la protecció de dades en els següents supòsits: 

"a) Avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques basada en un tractament automatitzat, com l'elaboració de perfils, sobre la base de la qual es prenen decisions que produeixen efectes jurídics per a les persones físiques o que les afecten significativament de manera similar.

b) Tractament a gran escala de les categories especials de dades a què es refereix l'article 9, apartat 1, o de les dades personals relatives a condemnes i infraccions penals a què es refereix l'article 10.

c) Observació sistemàtica a gran escala d'una zona d'accés públic". 

Per determinar què s’ha d'entendre per “gran escala”, es pot tenir en compte que el Grup de l'article 29, en el seu dictamen sobre la designació de delegats de protecció de dades, considera que per valorar si el tractament es fa a gran escala s’ha de tenir en compte el següent: 

  • El nombre d'interessats afectats, ja sigui en termes absoluts o com a proporció d'una determinada població.
  • El volum i la varietat de dades tractades.
  • La durada o permanència de l'activitat de tractament.
  • L'extensió geogràfica de l'activitat de tractament. 

Més enllà dels supòsits previstos directament a l’RGPD, aquesta Autoritat, en els tractaments que no siguin transfronterers, considera que cal fer una avaluació de l’impacte relativa a la protecció de dades en els tractaments que es vulguin dur a terme que compleixin dues o més de les circumstàncies següents: 

  • Avaluació o “puntuació” de persones, inclosa l’elaboració de perfils i la predicció de conductes o comportaments.
  • Presa de decisions automatitzada amb efecte jurídic o similar significatiu.
  • Observació sistemàtica.
  • Dades sensibles o dades molt personals (categories especials de dades de l'article 9 RGPD o dades personals relatives a condemnes i infraccions penals a que es refereix l’article 10 RGPD).
  • Tractaments de dades a gran escala.
  • Associació o combinació de conjunt de dades que poden excedir les expectatives raonables de les persones interessades.
  • Dades relatives a subjectes vulnerables (menors, empleats, persones discapacitades, persones grans, sol.licitants d’asil o refugiats, etc.).
  • Utilització innovadora o aplicació de noves solucions tecnològiques o organitzatives.
  • Quan el tractament impedeix a les persones afectades exercir un dret, utilitzar un servei o executar un contracte. 

Aquesta llista recull les Directrius sobre l’avaluació d’impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament comporta probablement un alt risc a efectes del Reglament (UE) 2016/679, adoptades pel Grup de Treball de l’Article 29 el 4 d’abril de 2017 (en endavant, WP 248) i assumides pel Comité Europeu de Protecció de dades en la seva reunió de 25 de maig de 2018. 

Aquesta llista no és exhaustiva i s’anirà actualitzant. Si una operació de tractament no hi figura no significa que no es requereixi fer l’AIPD. Cal verificar sempre que el tractament no suposa un alt risc pels drets i llibertats de les persones, especialment si s’utilitza noves tecnologies. 

Aquests criteris són d’aplicació no només als responsables que vulguin dur a terme algun dels tractaments inclosos, sinó també als òrgans i institucions que elaborin un projecte de disposició normativa que comporti algun d’aquests tractaments. En aquest cas, si el projecte normatiu s’ha sotmès a una avaluació d’impacte relativa a la protecció de dades no serà necessari que l’elaborin després els responsables del tractament. 

Un cop realitzada l’AIPD, el responsable ha de formular, amb caràcter previ a l’inici del tractament, una consulta a aquesta Autoritat (https://seu.apd.cat/ca/tramits/consulta_previa ), llevat que l’existència d’alt risc pels drets i llibertats de les persones s’hagi pogut mitigar amb l’adopció de mesures tècniques i organitzatives adequades. 

Per a més informació podeu consultar les Directrius del Grup de treball de l’article 29 sobre l’avaluació d’impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament comporta probablement un alt risc a efectes del Reglament (UE) 2016/679 (WP 248), assumides pel Comité Europeu de Protecció de dades en la seva reunió de 25 de maig de 2018, i la Guia pràctica de l’APDCAT sobre l'avaluació d’impacte relativa a la protecció de dades al RGPD.

Cal fer una avaluació d’impacte sobre la protecció de dades dels tractaments iniciats abans de 25 de maig de 2018, inclosos en els supòsits previstos a l’RGPD?

El Grup de treball de l’article 29, en les seves directrius WP 248, considera que no es requereix una avaluació d’impacte si les operacions de tractament han estat comprovades per una autoritat de control abans de maig de 2018  i la manera com es duen a terme no ha canviat des d’aquella comprovació. En canvi, s’han de sotmetre a una avaluació d’impacte quan les operacions de tractament han canviat des de l’anterior comprovació realitzada i, previsiblement, poden presentar un alt risc per als drets i llibertats de les persones interessades.

Quin perfil professional i titulació ha de tenir el delegat de protecció de dades?

L’RGPD no estableix una titulació específica per al delegat de protecció de dades. Només requereix que tingui coneixements especialitzats en dret, sobre la legislació i pràctiques nacionals i europees en matèria de protecció de dades i un profund coneixement de l’RGPD que li permeti identificar els riscos associats a les operacions del tractament, tenint en compte la naturalesa, l’abast, el context i les finalitats del tractament. Per tant, s’ha de determinar d’acord amb les operacions de tractament de dades que es realitzen i de la protecció requerida per a les dades personals tractades.

En qualsevol cas, ha de tenir coneixements del sector de l’activitat de què es tracti, de l’organització, de les operacions de tractament que es duen a terme i dels sistemes d’informació.

El responsable de seguretat pot ser designat com a delegat de protecció de dades?

El delegat de protecció de dades pot formar part de la plantilla del responsable o de l’encarregat del tractament o bé exercir les seves funcions en el marc d’un contracte de serveis. Pot desenvolupar altres tasques i funcions diferents de les que estrictament corresponen al delegat de protecció de dades. 

Ara bé, per garantir la independència a l’hora de exercir les seves funcions, el responsable o l’encarregat del tractament han d’evitar que l’assumpció d’aquestes altres tasques i funcions pugui donar lloc a un conflicte d’interessos. Consegüentment, no es pot designar com a delegat de protecció de dades una persona que, alhora, tingui tasques que impliquin participar en el procés de presa de decisions sobre els tractaments o en la seva implementació, en aspectes tan cabdals com la implementació de les mesures de seguretat, com és el cas del responsable de seguretat de la informació. 

Com reforça el nou Reglament els drets de les persones?

L’RGPD introdueix nous drets per a les persones afectades, com el dret a l'oblit, que es vincula al dret de cancel·lació, el dret a la portabilitat o el dret a la limitació del tractament.

Però, a més, el nou Reglament estableix altres garanties per a les persones afectades:

D'una banda, estableix l'aplicabilitat de la normativa europea no només quan l'establiment del responsable o de l'encarregat estigui en un estat de la Unió Europea, sinó en qualsevol altre cas en què el tractament es faci en ocasió d'una oferta de béns i serveis o del control del comportament d’interessats que es troben la Unió Europea. Això reforça especialment l'aplicabilitat de la normativa europea en els serveis prestats a la xarxa.

D'altra banda, també els garanteix el dret a ser informats sense dilacions indegudes de les violacions de seguretat que comporten un risc alt per als seus drets i llibertats, perquè puguin adoptar les mesures pertinents.

Finalment, en tractaments en què hi pugui haver elements d'internacionalitat, el mecanisme de la finestreta única (one stop shop) que preveu l’RGPD permet que els ciutadans no s’hagin de relacionar amb autoritats de control diferents de la de l'estat en què resideixen, per plantejar reclamacions o denúncies.

Es poden continuar aplicant les mesures de seguretat que preveia l’RLOPD?

L’RGPD no estableix cap llistat de mesures de seguretat basat en els nivells de seguretat bàsic, mitjà i alt, com preveia l’RLOPD. Deixa a criteri del responsable i de l’encarregat, prèvia avaluació dels riscos, determinar quines mesures de seguretat cal implementar en cada supòsit.

En qualsevol cas, s’han d’establir les mesures de seguretat tècniques i organitzatives apropiades per garantir un nivell de protecció adequat al risc. Les mesures previstes l’RLOPD que ja estiguin implantades poden ser útils, però cal analitzar en cada cas si són suficients o és necessari modificar-les.  

 

L’RGPD és aplicable als tractaments que es duen a terme en l'àmbit policial i judicial penal?

No. En aquest àmbit, cal tenir en compte la Directiva (UE) 2016/680 del Parlament i del Consell, de 27 d'abril de 2016, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals per part de les autoritats competents per a finalitats de prevenció, recerca, detecció o enjudiciament d'infraccions penals o d'execució de sancions penals, i a la lliure circulació d'aquestes dades i per la qual es deroga la Decisió marc 2008/977/JAI del Consell.

Els estats membres de la Unió Europea han de transposar aquesta directiva abans del 6 de maig de 2018.

 

Com s’ha d’organitzar el registre d’operacions de tractament?

El registre es pot organitzar al voltant d'operacions de tractament concretes, vinculades a una finalitat bàsica comuna de totes elles (per exemple “gestió de clients”, “gestió comptable” o “gestió de recursos humans i nòmines”), o bé d’acord amb altres criteris diferents.

Una possibilitat per organitzar el registre d'activitats de tractament és partir dels fitxers que els responsables havien notificat al Registre de Protecció de Dades de Catalunya, i detallar totes les operacions que es realitzen sobre cada conjunt estructurat de dades. Podeu descarregar-vos els fitxers que teníeu declarats al registre de Protecció de Dades de Catalunya en aquest enllaç.

L’APDCAT ha desenvolupat una aplicació senzilla per portar el registre d’activitats del tractament per tal que els responsables i els encarregats del tractament que ho desitgin la puguin utilitzar. Us la podeu descarregar en aquest enllaç.

Data d'actualització:  23.01.2017