Quan entrarà en vigor l’RGPD?

El nou Reglament general de protecció de dades (RGPD) és una norma directament aplicable, que no requereix normes internes de transposició ni tampoc, en la majoria dels casos, normes de desenvolupament o d’aplicació. Per això, abans de res cal que els responsables assumeixin que la norma de referència és l’RGPD i no les normes nacionals, com havia estat fins ara amb la Directiva 95/46. No obstant això, la llei que substituirà l'actual Llei orgànica de protecció de dades (LOPD) sí que podrà incloure algunes precisions o desenvolupaments en matèries en les quals l’RGPD ho permet.

L’RGPD es va publicar al maig de 2016 i, tot i que va entrar en vigor el 24 de maig de 2016, serà aplicable a partir del 25 de maig de 2018. En aquest període transitori, i tot i que les disposicions de la Directiva 95/46 i les normes nacionals de desenvolupament continuen vigents, els responsables i els encarregats de tractament han d'anar preparant i adoptant les mesures necessàries per estar en condicions de complir amb les previsions de l’RGPD en el moment en què sigui aplicable.

Es deroguen l’LOPD i el reglament que la desenvolupa (RLOPD)?

Fins al 25 de maig de 2018, la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD) i el seu Reglament de desenvolupament (RLOPD), aprovat pel Reial decret 1720/2007, de 21 de desembre, continuen sent de plena aplicació.

A partir d'aquesta data, alguns aspectes de l’LOPD i de l’RLOPD quedaran desplaçats per l’RGPD. Altres aspectes, en canvi, poden continuar sent aplicables, bé perquè queden fora de l'àmbit d'aplicació de l’RGPD o perquè el mateix RGPD en permet la regulació d’àmbit estatal.

Com afecta l’RGPD la Llei de l’Autoritat Catalana de Protecció de Dades?

L’RGPD preveu expressament la possibilitat que en un estat hi pugui haver diverses autoritats de protecció de dades. En qualsevol cas, l’RGPD no afecta l'àmbit d'actuació de l’APDCAT establert per l’EAC i la Llei 32/2010, si bé pot caldre adaptar aquesta llei a la nova regulació de les funcions de les autoritats de control.


Quina és l'autoritat de control competent en matèria de transferències internacionals?

L’RGPD disposa que cada estat membre ha d’establir que la supervisió de l’aplicació de l’RGPD sigui responsabilitat d’una o diverses autoritats públiques independents. Així, preveu expressament la possibilitat que en un estat hi pugui haver diverses autoritats de protecció de dades.

D’acord amb l’RGPD, l’autoritat de control competent en matèria de transferències internacionals respecte les entitats incloses en l’àmbit d’actuació de l’Autoritat Catalana de Protecció de Dades és aquesta mateixa Autoritat, atès que en els estats on hi ha més d’una autoritat els  correspon a cadascuna exercir la totalitat de les funcions establertes a l’article 57, incloses les previstes a la lletra r) sobre les transferències internacionals.

Es poden continuar fent els tractaments basats en el consentiment tàcit iniciats abans de 25 de maig de 2018?

L’RGPD estableix que el consentiment ha de consistir en una declaració o un acte afirmatiu clar, que reflecteixi una manifestació de voluntat lliure, específica, informada i inequívoca de l’interessat d’acceptar el tractament de dades de caràcter personal que l’afecten. Per tant, el silenci, les caselles ja marcades o la inacció (com, per exemple; el consentiment tàcit) no constitueixen un consentiment vàlid d’acord amb l’RGPD.

D’acord amb això, cal que els tractaments de dades iniciats abans del 25 de maig de 2018, basats en un consentiment tàcit, s’ajustin als requisits de l’RGPD abans d’aquesta data, ja sigui mitjançant l’obtenció d’un nou consentiment que reuneixi els requisits establerts per l’RGPD, ja sigui mitjançant alguna altra de les bases jurídiques establertes per l’RGPD.

Cal tornar a informar les persones afectades que ja ho havien estat d’acord amb l’LOPD, per assabentar-les dels nous aspectes que exigeixen els articles 13 i 14 de l’RGPD?

L’RGPD amplia les qüestions sobre les quals cal informar les persones afectades  i modifica alguns aspectes de la manera com s’ha de proporcionar aquesta informació.

No obstant això, respecte de les dades recollides abans del 25 de maig de 2018 no és preceptiu informar novament amb els requisits establerts a l’RGPD. L’obligació d’informar segons el que estableix l’RGPD és exigible només per a les dades recollides després d’aquesta data. No obstant això, si les circumstàncies ho permeten, una bona pràctica recomanable pot ser aprofitar els actes de comunicació amb les persones afectades per informar-les dels nous aspectes establerts per l’RGPD. 

Quin és el termini per adaptar a l’RGPD tots els encàrrecs del tractament formalitzats abans del 25 de maig de 2018?

A partir del dia 25 de maig de 2018, qualsevol encàrrec del tractament establert abans d’aquesta data ha d’adaptar-se a la nova regulació, atès que l’RGPD no preveu un termini d’adaptació que vagi més enllà d’aquesta data.

Actualment, s’està tramitant una nova llei orgànica de protecció de dades personals que substituirà l’actual Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, per tal d’adaptar l’ordenament jurídic espanyol a l’RGPD i complementar-ne les disposicions. Aquest projecte de llei  (disposició transitòria cinquena) estableix un període transitori  per adaptar a l’RGPD tots els encàrrecs del tractament formalitzats abans del 25 de maig de 2018: d’una banda, estableix que els contractes d’encàrrec de tractament que tinguin una durada determinada mantenen la vigència fins la seva data de venciment o en el moment de la seva pròrroga; d’altra banda, quan es tracti d’encàrrecs amb durada indefinida,  mantenen la vigència fins al cap de quatre anys, a comptar des del 25 de maig de 2018. 

Cal fer una avaluació d’impacte sobre la protecció de dades dels tractaments iniciats abans de 25 de maig de 2018, inclosos en els supòsits previstos a l’RGPD?

El Grup de treball de l’article 29, en les seves directrius WP 248, considera que no es requereix una avaluació d’impacte si les operacions de tractament han estat comprovades per una autoritat de control abans de maig de 2018  i la manera com es duen a terme no ha canviat des d’aquella comprovació. En canvi, s’han de sotmetre a una avaluació d’impacte quan les operacions de tractament han canviat des de l’anterior comprovació realitzada i, previsiblement, poden presentar un alt risc per als drets i llibertats de les persones interessades.

Quin perfil professional i titulació ha de tenir el delegat de protecció de dades?

L’RGPD no estableix una titulació específica per al delegat de protecció de dades. Només requereix que tingui coneixements especialitzats en dret, sobre la legislació i pràctiques nacionals i europees en matèria de protecció de dades i un profund coneixement de l’RGPD que li permeti identificar els riscos associats a les operacions del tractament, tenint en compte la naturalesa, l’abast, el context i les finalitats del tractament. Per tant, s’ha de determinar d’acord amb les operacions de tractament de dades que es realitzen i de la protecció requerida per a les dades personals tractades.

En qualsevol cas, ha de tenir coneixements del sector de l’activitat de què es tracti, de l’organització, de les operacions de tractament que es duen a terme i dels sistemes d’informació.

El responsable de seguretat pot ser designat com a delegat de protecció de dades?

El delegat de protecció de dades pot formar part de la plantilla del responsable o de l’encarregat del tractament o bé exercir les seves funcions en el marc d’un contracte de serveis. Pot desenvolupar altres tasques i funcions diferents de les que estrictament corresponen al delegat de protecció de dades. 

Ara bé, per garantir la independència a l’hora de exercir les seves funcions, el responsable o l’encarregat del tractament han d’evitar que l’assumpció d’aquestes altres tasques i funcions pugui donar lloc a un conflicte d’interessos. Consegüentment, no es pot designar com a delegat de protecció de dades una persona que, alhora, tingui tasques que impliquin participar en el procés de presa de decisions sobre els tractaments o en la seva implementació, en aspectes tan cabdals com la implementació de les mesures de seguretat, com és el cas del responsable de seguretat de la informació. 

Com reforça el nou Reglament els drets de les persones?

L’RGPD introdueix nous drets per a les persones afectades, com el dret a l'oblit, que es vincula al dret de cancel·lació, el dret a la portabilitat o el dret a la limitació del tractament.

Però, a més, el nou Reglament estableix altres garanties per a les persones afectades:

D'una banda, estableix l'aplicabilitat de la normativa europea no només quan l'establiment del responsable o de l'encarregat estigui en un estat de la Unió Europea, sinó en qualsevol altre cas en què el tractament es faci en ocasió d'una oferta de béns i serveis o del control del comportament d’interessats que es troben la Unió Europea. Això reforça especialment l'aplicabilitat de la normativa europea en els serveis prestats a la xarxa.

D'altra banda, també els garanteix el dret a ser informats sense dilacions indegudes de les violacions de seguretat que comporten un risc alt per als seus drets i llibertats, perquè puguin adoptar les mesures pertinents.

Finalment, en tractaments en què hi pugui haver elements d'internacionalitat, el mecanisme de la finestreta única (one stop shop) que preveu l’RGPD permet que els ciutadans no s’hagin de relacionar amb autoritats de control diferents de la de l'estat en què resideixen, per plantejar reclamacions o denúncies.

Es poden continuar aplicant les mesures de seguretat que preveia l’RLOPD?

L’RGPD no estableix cap llistat de mesures de seguretat basat en els nivells de seguretat bàsic, mitjà i alt, com preveia l’RLOPD. Deixa a criteri del responsable i de l’encarregat, prèvia avaluació dels riscos, determinar quines mesures de seguretat cal implementar en cada supòsit.

En qualsevol cas, s’han d’establir les mesures de seguretat tècniques i organitzatives apropiades per garantir un nivell de protecció adequat al risc. Les mesures previstes l’RLOPD que ja estiguin implantades poden ser útils, però cal analitzar en cada cas si són suficients o és necessari modificar-les.  

 

L’RGPD és aplicable als tractaments que es duen a terme en l'àmbit policial i judicial penal?

No. En aquest àmbit, cal tenir en compte la Directiva (UE) 2016/680 del Parlament i del Consell, de 27 d'abril de 2016, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals per part de les autoritats competents per a finalitats de prevenció, recerca, detecció o enjudiciament d'infraccions penals o d'execució de sancions penals, i a la lliure circulació d'aquestes dades i per la qual es deroga la Decisió marc 2008/977/JAI del Consell.

Els estats membres de la Unió Europea han de transposar aquesta directiva abans del 6 de maig de 2018.

 

Data d'actualització:  23.01.2017