ContacteÉs responsable qui decideix sobre les finalitats i els mitjans del tractament, amb independència que sigui o no la persona que duu a terme el tractament material de la informació.
Pot ser responsable del tractament tant una persona física com una persona jurídica o un òrgan.
En el cas de les administracions públiques, normalment serà responsable del tractament l’òrgan administratiu que té competències sobre la matèria en relació amb la qual o per a l’exercici de la qual es requereix el tractament de dades personals, sempre que aquest tingui capacitat per prendre decisions sobre la finalitat i els mitjans d’aquest tractament.
Els interessats han de poder identificar fàcilment qui pren les decisions sobre les finalitats i els mitjans de tractament de les seves dades. Per aquest motiu, si bé seria possible designar com a responsable del tractament una persona jurídica, en relació amb els tractaments de dades efectuats per les administracions públiques resulta més adequat fer constar com a tal, un òrgan administratiu de l’administració corresponent (conselleria, direcció general, alcaldia, regidoria, gerència, etc.)
Si voleu saber més sobre aquest tema, podeu consultar el Dictamen CNS 24/2018.
L’RGPD amplia les qüestions sobre les quals cal informar les persones afectades i modifica alguns aspectes de la manera com s’ha de proporcionar aquesta informació.
No obstant això, respecte de les dades recollides abans del 25 de maig de 2018 no és preceptiu informar novament amb els requisits establerts a l’RGPD. L’obligació d’informar segons el que estableix l’RGPD és exigible només per a les dades recollides després d’aquesta data. No obstant això, si les circumstàncies ho permeten, una bona pràctica recomanable pot ser aprofitar els actes de comunicació amb les persones afectades per informar-les dels nous aspectes establerts per l’RGPD.
El registre es pot organitzar al voltant d'operacions de tractament concretes, vinculades a una finalitat bàsica comuna de totes elles (per exemple “gestió de clients”, “gestió comptable” o “gestió de recursos humans i nòmines”), o bé d’acord amb altres criteris diferents.
Una possibilitat per organitzar el registre d'activitats de tractament és partir dels fitxers que els responsables havien notificat al Registre de Protecció de Dades de Catalunya, i detallar totes les operacions que es realitzen sobre cada conjunt estructurat de dades. Podeu descarregar-vos els fitxers que teníeu declarats al Registre de Protecció de Dades de Catalunya en aquest enllaç.
L’APDCAT ha desenvolupat una aplicació senzilla per portar el registre d’activitats del tractament per tal que els responsables i els encarregats del tractament que ho desitgin la puguin utilitzar. Us la podeu descarregar en aquest enllaç.
D’acord amb l’article 30.5 de l’RGPD l’obligació de portar el registre no s’aplica a cap empresa ni organització que tingui menys de 250 treballadors, tret que el tractament comporti un risc per als drets i les llibertats dels interessats, no sigui ocasional o inclogui les categories especials de dades personals esmentades a l'article 9, apartat 1, o les dades personals relatives a condemnes i infraccions penals a què es refereix l'article 10.
D’acord amb el posicionament del Grup de treball de l’article 29 sobre aquesta qüestió, aquesta previsió s’ha d’interpretar en el sentit que no s'aplicarà a empreses ni organitzacions que ocupin menys de 250 persones llevat que concorri alguna de les circumstàncies següents:
a) Si és probable que hi hagi un risc per a drets i llibertats dels subjectes.
b) Si el tractament no és ocasional.
c) Si inclou categories especials de dades (art 9 RGPD) o infraccions i condemnes penals.
Si concorre alguna d’aquestes circumstàncies s’ha d’incloure al registre els tractaments en què concorrin.
D’acord amb la Disposició transitòria cinquena de l’LOPDGDD, els contractes i acords d’encàrrec del tractament establerts abans de 25 de maig de 2018 mantenen la seva vigència fins la data de venciment assenyalada en els mateixos.
Quan es tracti d’encàrrecs amb durada indefinida, mantenen la vigència fins el 25 de maig de 2022.
En qualsevol cas, durant la vigència del contracte o acord, qualsevol de les parts pot exigir a l’altra la modificació del contracte per adaptar-la al que estableix l’article 28 de l’RGPD.
Quan un tractament, per la seva naturalesa, abast, context o fins suposi un alt risc pels drets i llibertats de les persones físiques, especialment quan s’utilitzin noves tecnologies, el responsable ha de fer abans una avaluació de l'impacte en la protecció de dades (AIPD).
L’article 35.3 de l’RGPD estableix que, entre d’altres supòsits, cal fer una avaluació d’impacte relativa a la protecció de dades en els següents supòsits:
"a) Avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques basada en un tractament automatitzat, com l'elaboració de perfils, sobre la base de la qual es prenen decisions que produeixen efectes jurídics per a les persones físiques o que les afecten significativament de manera similar.
b) Tractament a gran escala de les categories especials de dades a què es refereix l'article 9, apartat 1, o de les dades personals relatives a condemnes i infraccions penals a què es refereix l'article 10.
c) Observació sistemàtica a gran escala d'una zona d'accés públic.”
Per determinar què s’ha d'entendre per “gran escala”, es pot tenir en compte que el Grup de l'article 29, en el seu dictamen sobre la designació de delegats de protecció de dades, considera que per valorar si el tractament es fa a gran escala s’ha de tenir en compte el següent:
- El nombre de persones afectades, ja sigui en termes absoluts o com a proporció d'una determinada població.
- El volum i la varietat de dades tractades.
- La durada o permanència de l'activitat de tractament.
- L'extensió geogràfica de l'activitat de tractament.
L’article 35.4 de l’RGPD preveu que les autoritats de control han de publicar una llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte relativa a la protecció de dades. Aquesta Autoritat considera que cal fer una avaluació de l’impacte relativa a la protecció de dades en els tractaments inclosos en la següent llista.
Aquesta llista recull les Directrius sobre l’avaluació d’impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament comporta probablement un alt risc a efectes del Reglament (UE) 2016/679, adoptades pel Grup de Treball de l’Article 29 el 4 d’abril de 2017 (en endavant, WP 248) i assumides pel Comitè Europeu de Protecció de dades en la seva reunió de 25 de maig de 2018.
Aquesta llista no és exhaustiva i s’anirà actualitzant. Si una operació de tractament no hi figura no significa que no es requereixi fer l’AIPD. Cal verificar sempre que el tractament no suposa un alt risc pels drets i llibertats de les persones, especialment si s’utilitza noves tecnologies.
Aquests criteris són d’aplicació no només als responsables que vulguin dur a terme algun dels tractaments inclosos, sinó també als òrgans i institucions que elaborin un projecte de disposició normativa que comporti algun d’aquests tractaments. En aquest cas, si el projecte normatiu s’ha sotmès a una avaluació d’impacte relativa a la protecció de dades no serà necessari que l’elaborin després els responsables del tractament.
Un cop realitzada l’AIPD, el responsable ha de formular, amb caràcter previ a l’inici del tractament, una consulta a aquesta Autoritat llevat que l’existència d’alt risc pels drets i llibertats de les persones s’hagi pogut mitigar amb l’adopció de mesures tècniques i organitzatives adequades.
Per a més informació podeu consultar les Directrius del Grup de treball de l’article 29 sobre l’avaluació d’impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament comporta probablement un alt risc a efectes del Reglament (UE) 2016/679 (WP 248), assumides pel Comitè Europeu de Protecció de Dades en la seva reunió de 25 de maig de 2018, i la Guia pràctica de l’APDCAT sobre l'avaluació d’impacte relativa a la protecció de dades al RGPD.
Podeu trobar una plantilla d'avaluació d’impacte relativa a la protecció de dades al següent enllaç.
El Grup de treball de l’article 29, en les seves directrius WP 248, considera que no es requereix una avaluació d’impacte si les operacions de tractament han estat comprovades per una autoritat de control abans de maig de 2018 i la manera com es duen a terme no ha canviat des d’aquella comprovació. En canvi, s’han de sotmetre a una avaluació d’impacte quan les operacions de tractament han canviat des de l’anterior comprovació realitzada i, previsiblement, poden presentar un alt risc per als drets i llibertats de les persones interessades.
Totes les administracions públiques i llurs organismes públics vinculats o dependents, que actuïn com a responsables o encarregats del tractament de dades personals han de designar obligatòriament un delegat de protecció de dades ( DPD). Aquest pot ser un treballador de l’administració pública (DPD intern) o una organització/empresa aliena a l’organització de l’administració pública (DPD extern).
La designació del DPD ha de comunicar-se a aquesta Autoritat a través del següent formulari.
L’RGPD no estableix una titulació específica per al delegat de protecció de dades. Només requereix que tingui coneixements especialitzats en dret, sobre la legislació i pràctiques nacionals i europees en matèria de protecció de dades i un profund coneixement de l’RGPD que li permeti identificar els riscos associats a les operacions del tractament, tenint en compte la naturalesa, l’abast, el context i les finalitats del tractament. Per tant, s’ha de determinar d’acord amb les operacions de tractament de dades que es realitzen i de la protecció requerida per a les dades personals tractades.
En qualsevol cas, ha de tenir coneixements del sector de l’activitat de què es tracti, de l’organització, de les operacions de tractament que es duen a terme i dels sistemes d’informació.
El responsable del tractament pot contractar els serveis de delegat de protecció de dades oferts per un professional, organització o empresa aliena a la seva estructura organitzativa sempre que s’acreditin les competències professionals a què fa referència l’RGPD i es garanteixi la no concurrència de cap conflicte d’interès.
La designació d’aquest delegat de protecció de dades extern exigeix formalitzar un contracte d’encàrrec del tractament, per tal que pugui accedir a la informació personal de què és responsable l’administració contractant que sigui necessària per a l’exercici de les funcions de delegat de protecció de dades.
Un cop designat el delegat de protecció de dades, s’hauran de publicar les seves dades de contacte de tal manera que les persones interessades puguin contactar-hi de manera fàcil i directa, així com comunicar aquesta designació a aquesta Autoritat a través del següent formulari.
Si voleu disposar de més informació sobre aquesta qüestió podeu consultar el dictamen CNS 31/2018.
Les diputacions, en exercici de les seves competències d’assistència i cooperació tècnica als municipis, poden prestar el servei de delegat de protecció de dades a entitats locals. Un ajuntament pot designar un òrgan o una persona al servei de la diputació com a delegat de protecció de dades sempre que no es produeixi cap conflicte d’interès.
Respecte d’aquestes qüestions podeu consultar el dictamen CNS 23/2018.
El delegat de protecció de dades pot formar part de la plantilla del responsable o de l’encarregat del tractament o bé exercir les seves funcions en el marc d’un contracte de serveis. Pot desenvolupar altres tasques i funcions diferents de les que estrictament corresponen al delegat de protecció de dades.
Ara bé, per garantir la independència a l’hora de exercir les seves funcions, el responsable o l’encarregat del tractament han d’evitar que l’assumpció d’aquestes altres tasques i funcions pugui donar lloc a un conflicte d’interessos. Consegüentment, no es pot designar com a delegat de protecció de dades una persona que, alhora, tingui tasques que impliquin participar en el procés de presa de decisions sobre els tractaments o en la seva implementació, en aspectes tan cabdals com la implementació de les mesures de seguretat, com és el cas del responsable de seguretat de la informació.
L’RGPD no estableix cap llistat de mesures de seguretat basat en els nivells de seguretat bàsic, mitjà i alt, com preveia l’RLOPD. Deixa a criteri del responsable i de l’encarregat, prèvia avaluació dels riscos, determinar quines mesures de seguretat cal implementar en cada supòsit.
En qualsevol cas, s’han d’establir les mesures de seguretat tècniques i organitzatives apropiades per garantir un nivell de protecció adequat al risc. Les mesures previstes l’RLOPD que ja estiguin implantades poden ser útils, però cal analitzar en cada cas si són suficients o és necessari modificar-les.
En qualsevol cas, per a les entitats del sector públic cal tenir en compte que la disposició addicional primera de l’LOPDGDD estableix que les entitats enumerades a l’article 77.1 de la mateixa Llei orgànica han de complir les mesures de seguretat que corresponguin d’acord amb l’Esquema Nacional de Seguretat. D’acord amb l’apartat primer d’aquesta disposició addicional, l’Esquema Nacional de Seguretat haurà de tenir en compte el risc del tractament de les dades personals d’acord amb l’RGPD.
Si es produeix una violació de la seguretat, el responsable l’ha de notificar a l’Autoritat Catalana de Protecció de Dades sense dilació indeguda i, si és possible, en un termini màxim de 72 hores des de que en tingui constància, tret que sigui improbable que constitueixi un risc per als drets i les llibertats de les persones.
Es considera que es té constància d'una violació de seguretat quan hi ha una certesa que s'ha produït i se’n té un coneixement suficient de la naturalesa i l’abast. La mera sospita que hi ha hagut una fallada o la constatació que ha succeït algun tipus d'incident, sense que se’n coneguin mínimament les circumstàncies, encara no haurien de donar lloc a la notificació ja que, en la majoria dels casos, en aquestes condicions no es pot determinar fins a quin punt hi pot haver un risc per als drets i les llibertats de les persones interessades.
No obstant això, en casos de violacions que per les seves característiques puguin tenir un gran impacte, sí que pot ser recomanable contactar amb l'APDCAT tan aviat com hi hagi evidències que s'ha produït una situació irregular respecte de la seguretat de les dades. Això, sense perjudici que aquests primers contactes es completin amb una notificació formal, més completa, dins del termini legalment previst.
Hi pot haver casos en què la notificació d’algun dels aspectes requerits no es pugui fer dins les 72 hores, per exemple, a causa de la complexitat a l’hora de determinar-ne completament l’abast. En aquests casos, la notificació d’aquests aspectes es pot fer posteriorment, acompanyada d'una explicació dels motius que han ocasionat el retard.
La notificació de la violació de seguretat s’ha de fer mitjançant el següent formulari de notificació.
La notificació ha d'incloure un contingut mínim que el mateix RGPD estableix i que inclou elements com la naturalesa de la violació, les categories de dades i de persones afectades, les mesures adoptades pel responsable per solucionar la violació i, si escau, les mesures aplicades per pal·liar els possibles efectes negatius sobre les persones interessades. La informació també es pot proporcionar de forma escalonada, quan no es pugui fer al mateix moment de la notificació.
Amb independència de la notificació a les autoritats, els responsables han de documentar totes les violacions de seguretat. Es tracta d'una obligació que estableix l’RGPD i que s'aproxima molt al registre d'incidències que preveia el Reglament de desenvolupament de l’LOPD.
Quan sigui probable que una violació comporti un alt risc per als drets de les persones interessades, el responsable els l’ha de comunicar sense dilacions indegudes i en un llenguatge clar i senzill, tret que:
- El responsable hagi adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles per a persones no autoritzades.
- El responsable hagi aplicat mesures posteriors que garanteixen que ja no hi ha la probabilitat que es concreti l'alt risc.
- Suposi un esforç desproporcionat.
Existeix alt risc quan sigui probable que la violació de seguretat ocasioni danys importants a les persones interessades. Això pot succeir, per exemple, si es revela informació confidencial, com contrasenyes o la participació en determinades activitats, si es difonen dades sensibles de forma massiva o si es poden produir perjudicis econòmics per a les persones afectades.
L'objectiu d'aquesta comunicació és permetre que les persones afectades puguin prendre mesures per protegir-se de les conseqüències de la violació de seguretat. Per això, l’RGPD requereix que se’ls notifiqui sense dilació indeguda.
El propòsit és sempre que la persona interessada afectada pugui reaccionar tan aviat com sigui possible. Per això, l’RGPD afegeix als continguts de la notificació les recomanacions sobre les mesures que poden prendre les persones interessades per fer front a les conseqüències de la violació.