• Imprimeix

Obligacions del responsable i de l'encarregat del tractament

L’RGPD amplia les qüestions sobre les quals cal informar les persones afectades i modifica alguns aspectes de la manera com s’ha de proporcionar aquesta informació.

No obstant això, respecte de les dades recollides abans del 25 de maig de 2018 no és preceptiu informar novament amb els requisits establerts a l’RGPD. L’obligació d’informar segons el que estableix l’RGPD és exigible només per a les dades recollides després d’aquesta data. No obstant això, si les circumstàncies ho permeten, una bona pràctica recomanable pot ser aprofitar els actes de comunicació amb les persones afectades per informar-les dels nous aspectes establerts per l’RGPD. 

El registre es pot organitzar al voltant d'operacions de tractament concretes, vinculades a una finalitat bàsica comuna de totes elles (per exemple “gestió de clients”, “gestió comptable” o “gestió de recursos humans i nòmines”), o bé d’acord amb altres criteris diferents.

Una possibilitat per organitzar el registre d'activitats de tractament és partir dels fitxers que els responsables havien notificat al Registre de Protecció de Dades de Catalunya, i detallar totes les operacions que es realitzen sobre cada conjunt estructurat de dades. Podeu descarregar-vos els fitxers que teníeu declarats al Registre de Protecció de Dades de Catalunya en aquest enllaç.

L’APDCAT ha desenvolupat una aplicació senzilla per portar el registre d’activitats del tractament per tal que els responsables i els encarregats del tractament que ho desitgin la puguin utilitzar. Us la podeu descarregar en aquest enllaç

D’acord amb l’article 30.5 de l’RGPD l’obligació de portar el registre no s’aplica a cap empresa ni organització que tingui menys de 250 treballadors, tret que el tractament comporti un risc per als drets i les llibertats dels interessats, no sigui ocasional o inclogui les categories especials de dades personals esmentades a l'article 9, apartat 1, o les dades personals relatives a condemnes i infraccions penals a què es refereix l'article 10.

D’acord amb el posicionament del Grup de treball de l’article 29 sobre aquesta qüestió, aquesta previsió s’ha d’interpretar en el sentit que no s'aplicarà a empreses ni organitzacions que ocupin menys de 250 persones llevat que concorri alguna de les circumstàncies següents:

a) Si és probable que hi hagi un risc per a drets i llibertats dels subjectes.

b) Si el tractament no és ocasional.

c) Si inclou categories especials de dades (art 9 RGPD) o infraccions i condemnes penals.

Si concorre alguna d’aquestes circumstàncies s’ha d’incloure al registre els tractaments en què concorrin.

D’acord amb la Disposició transitòria cinquena de l’LOPDGDD, els contractes i acords d’encàrrec del tractament establerts abans de 25 de maig de 2018 mantenen la seva vigència fins la data de venciment assenyalada en els mateixos. 

Quan es tracti d’encàrrecs amb durada indefinida, mantenen la vigència fins el 25 de maig de 2022. 

En qualsevol cas, durant la vigència del contracte o acord, qualsevol de les parts pot exigir a l’altra la modificació del contracte per adaptar-la al que estableix l’article 28 de l’RGPD.

Quan un tractament, per la seva naturalesa, abast, context o fins, suposi un alt risc pels drets i llibertats de les persones físiques, especialment quan s’utilitzin noves tecnologies, el responsable ha de fer abans una avaluació de l'impacte en la protecció de dades (AIPD). 

L’article 35.3 de l’RGPD estableix que, entre d’altres supòsits, cal fer una avaluació d’impacte relativa a la protecció de dades en els següents supòsits: 

a) Avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques basada en un tractament automatitzat, com l'elaboració de perfils, sobre la base de la qual es prenen decisions que produeixen efectes jurídics per a les persones físiques o que les afecten significativament de manera similar.

b) Tractament a gran escala de les categories especials de dades a què es refereix l'article 9, apartat 1, o de les dades personals relatives a condemnes i infraccions penals a què es refereix l'article 10.

c) Observació sistemàtica a gran escala d'una zona d'accés públic".

Per determinar què s’ha d'entendre per “gran escala”, es pot tenir en compte que el Grup de l'article 29, en el seu dictamen sobre la designació de delegats de protecció de dades, considera que per valorar si el tractament es fa a gran escala s’ha de tenir en compte el següent: 

  • El nombre d'interessats afectats, ja sigui en termes absoluts o com a proporció d'una determinada població.
  • El volum i la varietat de dades tractades.
  • La durada o permanència de l'activitat de tractament.
  • L'extensió geogràfica de l'activitat de tractament.

L’LOPDGDD ha previst expressament que caldrà realitzar una avaluació d’impacte que determini els riscos derivats de tractaments amb finalitats d’investigació en salut pública i, en particular biomèdica, que haurà d’avaluar específicament els riscos de reidentificació vinculats a l’anonimització o seudonimització de les dades. 

Més enllà dels supòsits previstos directament a l’RGPD i a l’LOPDGDD, aquesta Autoritat, en els tractaments que no siguin transfronterers, considera que cal fer una avaluació de l’impacte relativa a la protecció de dades en els tractaments que es vulguin dur a terme que compleixin dues o més de les circumstàncies següents: 

  • Avaluació o “puntuació” de persones, inclosa l’elaboració de perfils i la predicció de conductes o comportaments.
  • Presa de decisions automatitzada amb efecte jurídic o similar significatiu.
  • Observació sistemàtica.
  • Dades sensibles o dades molt personals (categories especials de dades de l'article 9 RGPD o dades personals relatives a condemnes i infraccions penals a que es refereix l’article 10 RGPD).
  • Tractaments de dades a gran escala.
  • Associació o combinació de conjunt de dades que poden excedir les expectatives raonables de les persones interessades.
  • Dades relatives a subjectes vulnerables (menors, empleats, persones discapacitades, persones grans, sol.licitants d’asil o refugiats, etc.).
  • Utilització innovadora o aplicació de noves solucions tecnològiques o organitzatives.
  • Quan el tractament impedeix a les persones afectades exercir un dret, utilitzar un servei o executar un contracte. 

Aquesta llista recull les Directrius sobre l’avaluació d’impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament comporta probablement un alt risc a efectes del Reglament (UE) 2016/679, adoptades pel Grup de Treball de l’Article 29 el 4 d’abril de 2017 (en endavant, WP 248) i assumides pel Comité Europeu de Protecció de dades en la seva reunió de 25 de maig de 2018. 

Aquesta llista no és exhaustiva i s’anirà actualitzant. Si una operació de tractament no hi figura no significa que no es requereixi fer l’AIPD. Cal verificar sempre que el tractament no suposa un alt risc pels drets i llibertats de les persones, especialment si s’utilitza noves tecnologies. 

Aquests criteris són d’aplicació no només als responsables que vulguin dur a terme algun dels tractaments inclosos, sinó també als òrgans i institucions que elaborin un projecte de disposició normativa que comporti algun d’aquests tractaments. En aquest cas, si el projecte normatiu s’ha sotmès a una avaluació d’impacte relativa a la protecció de dades no serà necessari que l’elaborin després els responsables del tractament. 

Un cop realitzada l’AIPD, el responsable ha de formular, amb caràcter previ a l’inici del tractament, una consulta a aquesta Autoritat (https://seu.apd.cat/ca/tramits/consulta_previa ), llevat que l’existència d’alt risc pels drets i llibertats de les persones s’hagi pogut mitigar amb l’adopció de mesures tècniques i organitzatives adequades. 

Per a més informació podeu consultar les Directrius del Grup de treball de l’article 29 sobre l’avaluació d’impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament comporta probablement un alt risc a efectes del Reglament (UE) 2016/679 (WP 248), assumides pel Comité Europeu de Protecció de dades en la seva reunió de 25 de maig de 2018, i la Guia pràctica de l’APDCAT sobre l'avaluació d’impacte relativa a la protecció de dades al RGPD.

El Grup de treball de l’article 29, en les seves directrius WP 248, considera que no es requereix una avaluació d’impacte si les operacions de tractament han estat comprovades per una autoritat de control abans de maig de 2018 i la manera com es duen a terme no ha canviat des d’aquella comprovació. En canvi, s’han de sotmetre a una avaluació d’impacte quan les operacions de tractament han canviat des de l’anterior comprovació realitzada i, previsiblement, poden presentar un alt risc per als drets i llibertats de les persones interessades.

L’RGPD no estableix una titulació específica per al delegat de protecció de dades. Només requereix que tingui coneixements especialitzats en dret, sobre la legislació i pràctiques nacionals i europees en matèria de protecció de dades i un profund coneixement de l’RGPD que li permeti identificar els riscos associats a les operacions del tractament, tenint en compte la naturalesa, l’abast, el context i les finalitats del tractament. Per tant, s’ha de determinar d’acord amb les operacions de tractament de dades que es realitzen i de la protecció requerida per a les dades personals tractades.

En qualsevol cas, ha de tenir coneixements del sector de l’activitat de què es tracti, de l’organització, de les operacions de tractament que es duen a terme i dels sistemes d’informació.

El delegat de protecció de dades pot formar part de la plantilla del responsable o de l’encarregat del tractament o bé exercir les seves funcions en el marc d’un contracte de serveis. Pot desenvolupar altres tasques i funcions diferents de les que estrictament corresponen al delegat de protecció de dades. 

Ara bé, per garantir la independència a l’hora de exercir les seves funcions, el responsable o l’encarregat del tractament han d’evitar que l’assumpció d’aquestes altres tasques i funcions pugui donar lloc a un conflicte d’interessos. Consegüentment, no es pot designar com a delegat de protecció de dades una persona que, alhora, tingui tasques que impliquin participar en el procés de presa de decisions sobre els tractaments o en la seva implementació, en aspectes tan cabdals com la implementació de les mesures de seguretat, com és el cas del responsable de seguretat de la informació. 

L’RGPD no estableix cap llistat de mesures de seguretat basat en els nivells de seguretat bàsic, mitjà i alt, com preveia l’RLOPD. Deixa a criteri del responsable i de l’encarregat, prèvia avaluació dels riscos, determinar quines mesures de seguretat cal implementar en cada supòsit.

En qualsevol cas, s’han d’establir les mesures de seguretat tècniques i organitzatives apropiades per garantir un nivell de protecció adequat al risc. Les mesures previstes l’RLOPD que ja estiguin implantades poden ser útils, però cal analitzar en cada cas si són suficients o és necessari modificar-les.  

En qualsevol cas, per a les entitats del sector públic cal tenir en compte que la disposició addicional primera de l’LOPDGDD estableix que les entitats enumerades a l’article 77.1 de la mateixa Llei orgànica han de complir les mesures de seguretat que corresponguin d’acord amb l’Esquema Nacional de Seguretat. D’acord amb l’apartat primer d’aquesta disposició addicional, l’Esquema Nacional de Seguretat haurà de tenir en compte el risc del tractament de les dades personals d’acord amb l’RGPD.

Si es produeix una violació de la seguretat, el responsable l’ha de notificar a l’Autoritat Catalana de Protecció de Dades sense dilació indeguda i, si és possible, en un termini màxim de 72 hores des de que en tingui constància, tret que sigui improbable que constitueixi un risc per als drets i les llibertats de les persones.

Es considera que es té constància d'una violació de seguretat quan hi ha una certesa que s'ha produït i se’n té un coneixement suficient de la naturalesa i l’abast. La mera sospita que hi ha hagut una fallada o la constatació que ha succeït algun tipus d'incident, sense que se’n coneguin mínimament les circumstàncies, encara no haurien de donar lloc a la notificació ja que, en la majoria dels casos, en aquestes condicions no es pot determinar fins a quin punt hi pot haver un risc per als drets i les llibertats de les persones interessades.

No obstant això, en casos de violacions que per les seves característiques puguin tenir un gran impacte, sí que pot ser recomanable contactar amb l'APDCAT tan aviat com hi hagi evidències que s'ha produït una situació irregular respecte de la seguretat de les dades. Això, sense perjudici que aquests primers contactes es completin amb una notificació formal, més completa, dins del termini legalment previst.

Hi pot haver casos en què la notificació d’algun dels aspectes requerits no es pugui fer dins les 72 hores, per exemple, a causa de la complexitat a l’hora de determinar-ne completament l’abast. En aquests casos, la notificació d’aquests aspectes es pot fer posteriorment, acompanyada d'una explicació dels motius que han ocasionat el retard.

La notificació de la violació de seguretat s’ha de fer mitjançant el següent formulari de notificació.

La notificació ha d'incloure un contingut mínim que el mateix RGPD estableix i que inclou elements com la naturalesa de la violació, les categories de dades i de persones afectades, les mesures adoptades pel responsable per solucionar la violació i, si escau, les mesures aplicades per pal·liar els possibles efectes negatius sobre les persones interessades. La informació també es pot proporcionar de forma escalonada, quan no es pugui fer al mateix moment de la notificació.

Amb independència de la notificació a les autoritats, els responsables han de documentar totes les violacions de seguretat. Es tracta d'una obligació que estableix l’RGPD i que s'aproxima molt al registre d'incidències que preveia el Reglament de desenvolupament de l’LOPD.

Quan sigui probable que una violació comporti un alt risc per als drets de les persones interessades, el responsable els l’ha de comunicar sense dilacions indegudes i en un llenguatge clar i senzill, tret que:

  • El responsable hagi adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles per a persones no autoritzades.
  • El responsable hagi aplicat mesures posteriors que garanteixen que ja no hi ha la probabilitat que es concreti l'alt risc.
  • Suposi un esforç desproporcionat.

Existeix alt risc quan sigui probable que la violació de seguretat ocasioni danys importants a les persones interessades. Això pot succeir, per exemple, si es revela informació confidencial, com contrasenyes o la participació en determinades activitats, si es difonen dades sensibles de forma massiva o si es poden produir perjudicis econòmics per a les persones afectades.

L'objectiu d'aquesta comunicació és permetre que les persones afectades puguin prendre mesures per protegir-se de les conseqüències de la violació de seguretat. Per això, l’RGPD requereix que se’ls notifiqui sense dilació indeguda.

El propòsit és sempre que la persona interessada afectada pugui reaccionar tan aviat com sigui possible. Per això, l’RGPD afegeix als continguts de la notificació les recomanacions sobre les mesures que poden prendre les persones interessades per fer front a les conseqüències de la violació.