Principals novetats del RGPD

El Reglament amplia l'àmbit d'aplicació territorial als responsables i als encarregats del tractament no establerts en la UE, quan les activitats de tractament estan relacionades amb l'oferta de béns o serveis o amb el control del comportament de les persones que es troben a la UE.

L’RGPD incorpora molts dels conceptes, principis i obligacions que establien la Directiva 95/46 i les normes nacionals que l'aplicaven. No obstant això, l’RGPD ha modificat alguns aspectes del règim anterior i conté noves obligacions que cada organització ha d’analitzar i aplicar tenint en compte les seves pròpies circumstàncies.

La innovació més gran de l’RGPD per als responsables la constitueixen dos elements de caràcter general:

• El principi de “responsabilitat proactiva” 

L’RGPD descriu aquest principi com la necessitat que el responsable del tractament apliqui mesures tècniques i organitzatives apropiades, a fi de garantir i poder demostrar que el tractament és conforme al Reglament.

En termes pràctics, aquest principi requereix que les organitzacions analitzin quines dades tracten, amb quines finalitats ho fan i quin tipus d'operacions de tractament duen a terme. A partir d'aquest coneixement, han de determinar de manera explícita com aplicaran les mesures que preveu l’RGPD. Així mateix, s’han d’assegurar que aquestes mesures són les adequades per complir-lo i que poden demostrar-ne el compliment davant les persones interessades i davant les autoritats de supervisió. 

En síntesi, aquest principi exigeix que les organitzacions tinguin una actitud conscient, diligent i proactiva davant de tots els tractaments de dades personals que duguin a terme.

• “L’enfocament de risc” 

L’RGPD assenyala que les mesures adreçades a garantir-ne el compliment han de tenir en compte la naturalesa, l'àmbit, el context i les finalitats del tractament, així com el risc per als drets i les llibertats de les persones.

D'acord amb aquest enfocament, algunes de les mesures que l’RGPD estableix només s’han d’aplicar quan hi hagi un alt risc per als drets i les llibertats, mentre que d’altres s’han de modular d’acord amb el nivell i tipus de risc que presentin els tractaments.

Per tant, l'aplicació de les mesures previstes per l’RGPD s’ha d'adaptar a les característiques de les organitzacions. El que pot ser adequat per a una organització que tracta dades de milions de persones interessades, en tractaments complexos que involucren informació personal sensible o volums importants de dades sobre cada persona afectada, no és necessari per a una petita entitat que duu a terme un volum limitat de tractaments de dades no sensibles.

Aquests dos elements es projecten sobre totes les obligacions de les organitzacions.

A part de les dades especialment protegides que ja preveia l’LOPD, que ara passen a anomenar-se "categories especials de dades", el Reglament inclou dues noves categories especials de dades: 

• Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d'una persona física, que proporcionen una informació única sobre la fisiologia o la salut d'aquesta persona, obtingudes en particular de l'anàlisi d'una mostra biològica. 

• Dades biomètriques: dades personals obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física, que permeten o confirmen la identificació única d'aquesta persona (imatges facials, dades dactiloscòpiques, etc.).

L’RGPD requereix que la persona interessada presti el consentiment mitjançant una declaració inequívoca o una acció afirmativa clara. Als efectes del nou Reglament, les caselles ja marcades, el consentiment tàcit o la inacció no constitueixen un consentiment vàlid.

• Què succeeix amb els tractaments que s’efectuen sobre la base del consentiment per omissió?

Aquestes formes de consentiment no són compatibles amb l’RGPD, ja que es basen en la inacció de la persona interessada. L’RGPD també assenyala que els tractaments basats en el consentiment iniciats abans de l’aplicació del Reglament continuaran sent legítims, sempre que aquest consentiment s'hagués prestat de la manera que preveu el mateix RGPD, és a dir mitjançant una manifestació o acció afirmativa.  

Per tant, els responsables que abans de 25 de maig de 2018 efectuaven tractaments basats en aquest consentiment per omissió han de cessar en el tractament llevat que obtinguin novament un consentiment que s’adeqüi a les exigències de l’RGPD o que comptin amb una altra base jurídica. En qualsevol cas i si es considera que aquesta segona opció és possible, cal informar-ne les persones interessades, que poden exercir els drets específicament aplicables a la nova base jurídica emprada.

• En quines situacions cal que el consentiment sigui explícit?

L’RGPD preveu algunes situacions en què el consentiment ha de ser explícit. Aquesta garantia addicional afecta els casos següents:

• Tractament de categories especials de dades

• Adopció de decisions automatitzades

• Transferències internacionals

Encara que les diferències entre el consentiment inequívoc, tal com el defineix l’RGPD, i el consentiment explícit poden semblar difícils d'apreciar, hi ha situacions en què el consentiment pot ser inequívoc i atorgar-se de forma implícita. 

D’acord amb l’RGPD, en l'àmbit dels serveis de la societat de la informació, el consentiment dels menors només és vàlid si tenen més de 16 anys. No obstant això, permet que els estats membres de la UE rebaixin l'edat fins als 13 anys. L’LOPDGDD ha fixat aquesta edat en els 14 anys, però no només en l’àmbit dels serveis de la societat de la informació, sinó per a qualsevol tractament de dades de menors, excepte que una norma amb rang de llei exigeixi l’assistència dels titulars de la potestat parental o tutela.

A més, el llenguatge utilitzat per informar-los els ha de ser comprensible.

• Quines altres referències als menors conté l’RGPD?

L’RGPD es refereix en diversos llocs als tractaments de les dades dels menors. Per exemple, en els casos següents:

• En la regulació dels interessos legítims del responsable com a base legal per al tractament; s’assenyala que no és aplicable quan prevalen els drets, les llibertats o els interessos de les persones interessades que requereixen protecció de dades personals, especialment quan aquestes persones interessades són nens.

• En assenyalar que, quan les persones interessades són nens, la informació que s'ofereix en relació amb el tractament o amb l'exercici de drets ha de ser especialment concisa, transparent, intel·ligible i proporcionada amb llenguatge clar i senzill.

• En el context del dret a l’esborrat de les dades personals.

• En establir que les activitats de formació i sensibilització adreçades als nens han d'estar entre les prioritats de les autoritats de protecció de dades.

• En el context de les explicacions que ofereixen els considerants de l’RGPD, quan es refereixen a la realització de perfils.

L’RGPD configura la informació com un dret de les persones afectades i amplia les qüestions sobre les quals cal informar-les, amb els aspectes següents: les dades de contacte del delegat de protecció de dades; la base jurídica del tractament; els interessos legítims perseguits en què es fonamenta el tractament, si escau; la intenció de transferir les dades a un tercer país o a una organització internacional i la base per fer-ho, si escau; el termini durant el qual es conservaran les dades; el dret a sol·licitar la portabilitat o la limitació del tractament; el dret a retirar en qualsevol moment el consentiment que s'hagi prestat; si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte; el dret a presentar una reclamació davant una autoritat de control; l'existència de decisions automatitzades, inclosa la lògica aplicada i les seves conseqüències.

• Com s’ha de proporcionar la informació a les persones interessades?

L’RGPD disposa que la informació a les persones interessades, tant respecte de les condicions dels tractaments que les afecten, com en les respostes a l’exercici de drets, s’ha de proporcionar de forma concisa, transparent, intel·ligible i de fàcil accés, en un llenguatge clar i senzill. En aquest aspecte, va més enllà del que disposava l’LOPD, que tan sols exigia que la informació es prestés de manera expressa, precisa i inequívoca.

Aquestes exigències impliquen que cal evitar acudir a fórmules especialment enrevessades i que incorporin remissions als textos legals. Cal que les clàusules informatives expliquin el contingut al quan ens referirem immediatament d'una forma clara i accessible per a les persones interessades, amb independència dels coneixements que tinguin de la matèria.

La importància que l’RGPD concedeix a la claredat i l’accessibilitat de la informació es reflecteix en el fet que preveu que es pugui proporcionar en combinació amb icones estandarditzades que ofereixin una visió de conjunt del tractament previst. El disseny d'aquestes icones l’ha de fer la Comissió Europea.

L’RGPD disposa que la informació a les persones interessades es faciliti per escrit, inclosos els mitjans electrònics quan escaigui.

L’LOPDGDD ha previst la possibilitat d’utilitzar un mecanisme de doble capa per donar compliment a les obligacions d’informació, de tal manera que es faciliti la informació bàsica que sigui pertinent, en funció de si les dades s’han obtingut de la pròpia persona interessada o d’un tercer, amb la possibilitat de remetre a una adreça de correu electrònic o altre mitjà que permeti a la persona interessada accedir a la resta d’informació prevista a l’RGPD.

L'Autoritat Catalana de Protecció de Dades, l'Agència Espanyola de Protecció de Dades i l'Agència Basca de Protecció de Dades han elaborat una Guia sobre el compliment del deure d’informar a l’RGPD on s’ofereixen models de clàusules informatives.

L’RGPD incorpora el dret a l'oblit com un dret vinculat al dret de supressió, al dret a la limitació del tractament i al dret a la portabilitat:

• Les persones interessades tenen dret a obtenir la supressió de les dades ("dret a l'oblit"), quan: 

-Les dades ja no són necessàries per a la finalitat per a la qual es van recollir.

-Es revoca el consentiment en el qual es basava el tractament.

-La persona interessada s'oposa al tractament.

-Les dades s'han tractat il·lícitament.

-Les dades s'han de suprimir per complir una obligació legal.

-Les dades s'han obtingut en relació amb l'oferta de serveis de la societat de la informació adreçada a menors.

Quan el responsable ha fet públiques les dades personals i s'han de suprimir, ha d’adoptar mesures raonables per informar de la supressió els responsables que estan tractant les dades.

Es preveuen algunes excepcions a l'exercici d'aquest dret:

-L'exercici del dret a la llibertat d'expressió i informació.

-El compliment d'una obligació legal.

-L'existència de finalitats d'arxiu en interès públic, de recerca científica o històrica o finalitats estadístiques.

-La formulació, l'exercici o la defensa de reclamacions.

• Dret a la limitació del tractament 

La limitació de tractament es presenta a l’RGPD com un dret de les persones interessades. Per això, no s’ha de confondre amb el bloqueig de dades actualment existent a la legislació espanyola, tot i que el fet que s’hagi inclòs com a nou dret no suposa, per si sol, que la figura del bloqueig desapareix. De fet, l’LOPDGDD segueix recollint la figura com una obligació del responsable del tractament quan es suprimeixin o es rectifiquin dades personals. Consisteix en la identificació i reserva de les dades i l’adopció de mesures tècniques i organitzatives que impedeixin el seu tractament, de manera que només estiguin disponibles per jutjats i tribunals, el Ministeri Fiscal i les administracions públiques per a l’exigència de responsabilitats mentre aquestes no hagin prescrit.

La limitació de tractament suposa que, a petició de la persona interessada, no s'aplicaran a les seves dades personals les operacions de tractament que en cada cas correspondrien. La limitació es pot sol·licitar quan:

• La persona interessada ha exercit els drets de rectificació o oposició i mentre el responsable determina si escau atendre la sol·licitud.

• El tractament és il·lícit, cosa que determinaria l'esborrat de les dades, però la persona interessada s'hi oposa i sol·licita, en canvi, la limitació del tractament.

• Les dades ja no són necessàries per al tractament, la qual cosa en determinaria la supressió, però la persona interessada sol·licita la limitació.

A aquest dret se li apliquen els mateixos terminis i procediments que a la resta de drets previstos a l’RGPD.

Mentre duri la limitació, el responsable només pot tractar les dades afectades, més enllà de conservar-les, en els casos següents:

-Amb el consentiment la persona interessada.

-Per formular, exercir o defensar reclamacions.

-Per protegir els drets d'una altra persona física o jurídica.

-Per raons d'interès públic important de la Unió o de l'estat membre corresponent.

• Dret a la portabilitat:

El dret a la portabilitat de les dades és una forma avançada del dret d'accés, per la qual la persona interessada té dret a rebre les dades personals que l’afecten i que ha facilitat a un responsable del tractament en un format estructurat, d'ús comú i de lectura mecànica, i transmetre-les a un altre responsable, si es compleixen els requisits següents:

-El tractament està basat en el consentiment o en un contracte.

-El tractament es fa per mitjans automatitzats.

-La persona interessada ho sol·licita respecte de les dades que ha proporcionat al responsable i que el   concerneixen, incloses les dades derivades de la pròpia activitat de la persona interessada. Això suposa que no   és aplicable a les dades de terceres persones que una persona interessada hagi facilitat a un responsable.   Tampoc no s'aplica si la persona interessada sol·licita la portabilitat de dades que l’incumbeixen, però que han   estat proporcionades al responsable per tercers.

Inclou el dret que les dades es transmetin directament de responsable a responsable, si és tècnicament possible.

El grup d'autoritats europees de protecció de dades (Grup de l'article 29) ha adoptat una opinió en la qual s'analitza detalladament aquest dret. Aquesta opinió es pot consultar aquí.

• Quin és el procediment per exercir els drets previstos pel RGPD?

Amb caràcter general, l’RGPD exigeix als responsables que facilitin a les persones interessades l'exercici dels seus drets. Aquest mandat suposa que els procediments i les formes per fer-ho han de ser visibles, accessibles i senzilles. L’RGPD no estableix una manera concreta per exercir els drets, però sí que requereix als responsables que possibilitin que les sol·licituds es presentin per  mitjans electrònics, especialment quan el tractament s’efectua per aquests mitjans.

Aquesta obligació exigeix articular procediments que permetin fàcilment que les persones interessades puguin acreditar que han exercit els seus drets per mitjans electrònics, cosa que actualment en moltes ocasions no és viable.

Pel que fa a aquests mecanismes l’LOPDGDD permet que el dret d’accés es faciliti mitjançant un sistema d’accés remot, directe i segur a les dades personals i que la comunicació de la manera d’accedir a aquest sistema pugui servir per considerar atesa la sol·licitud d’exercici del dret. Això sens perjudici que la persona sol·licitant pugui demanar igualment la informació referida als altres aspectes no inclosos al sistema d’accés remot.

L’RGPD preveu també que l'exercici de drets ha de ser gratuït per a la persona interessada. Aquest criteri de gratuïtat pot no seguir-se en els casos en què es formulen sol·licituds manifestament infundades o excessives, especialment per repetitives; en aquests casos, el responsable pot cobrar un cànon que compensi els costos administratius d'atendre la petició, o bé negar-se a actuar. És el responsable qui ha de demostrar aquest caràcter infundat o excessiu. En tot cas, el cànon no pot implicar un ingrés addicional per al responsable, sinó que ha de correspondre al veritable cost de la tramitació de la sol·licitud. Així, en el cas del dret d’accés l’LOPDGDD ha establert que es pot considerar repetitiu el seu exercici en més d’una ocasió durant el termini de sis mesos, excepte que hi hagi una causa legítima per fer-ho.

El responsable ha d'informar la persona interessada sobre les actuacions derivades de la seva petició en el termini d'un mes, que es pot ampliar dos mesos més quan es tracta de sol·licituds especialment complexes. Aquesta ampliació del termini s’ha de notificar dins del primer mes. Si el responsable decideix no atendre la sol·licitud, n’ha d'informar i motivar la negativa dins del termini d'un mes des que es va presentar.

D'acord amb l’RGPD, els responsables han de prendre totes les mesures raonables per verificar la identitat de les persones afectades que sol·liciten accés i, en general, de les persones afectades que exerceixen la resta de drets previstos als articles 15 a 22 de l’RGPD.

El responsable que tracta una gran quantitat d'informació sobre una persona interessada pot demanar-li que especifiqui la informació a què es refereix la seva sol·licitud d'accés.

El responsable pot comptar amb la col·laboració dels encarregats del tractament per atendre l'exercici de drets de les persones interessades. Aquesta col·laboració es pot incloure en el contracte d’encàrrec de tractament.  

L’RGPD va suprimir, a partir del 25 de maig de 2018, la necessitat de crear formalment els fitxers i notificar-los al registre de protecció de dades de les autoritats de control.

L’RGPD preveu noves obligacions de documentació del tractament per als responsables o els encarregats del tractament. Només s’exceptuen d’aquesta obligació els responsables o encarregats del tractament que comptin amb menys de 250 treballadors. No obstant això, aquesta excepció no és d’aplicació si es dona alguna de les circumstàncies següents: 

- És probable que hi hagi un risc per als drets i llibertats dels subjectes afectats.

- El tractament no és ocasional.

- El tractament inclou categories especials de dades o relatives a infraccions i condemnes penals.

Aquests responsables i encarregats del tractament han de portar un registre de les activitats de tractament que duen a terme. Aquest registre ha de contenir, respecte de cada activitat, la informació que estableix l'article 30 de l’RGPD.

Aquesta informació inclou qüestions com les següents:

• Nom i dades de contacte del responsable i, si escau, del corresponsable, així com del delegat de protecció de dades si n’hi ha.

• Finalitats del tractament.

• Descripció de categories de persones interessades i categories de dades personals tractades.

• Transferències internacionals de dades.

• Quan sigui possible, terminis previstos per suprimir les dades.

• Quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat. 

L’LOPDGDD estableix que els subjectes vinculats al sector públic a què es refereix l’article 77.1 de la mateixa Llei orgànica han de fer públic un inventari de les seves activitats del tractament  accessible per mitjans electrònics, on hi ha de constar la informació prevista a l’article 30 de l’RGPD, on s’indiqui, a més, la base legal del tractament.

Com s’ha d’organitzar el registre d’operacions de tractament?

El registre es pot organitzar al voltant d'operacions de tractament concretes, vinculades a una finalitat bàsica comuna de totes elles (per exemple “gestió de clients”, “gestió comptable” o “gestió de recursos humans i nòmines”), o bé d’acord amb altres criteris diferents.

L’APDCAT ha desenvolupat una aplicació senzilla per portar el registre d’activitats del tractament per tal que els responsables i els encarregats del tractament que ho desitgin la puguin utilitzar. Us la podeu descarregar en aquest enllaç.

El Reglament amplia el contingut mínim del contracte d’encàrrec de tractament. Entre altres aspectes, el contracte ha de preveure els punts addicionals següents respecte del contingut que ja establia l’LOPD: l'objecte i la durada de l'encàrrec; la naturalesa del tractament; el tipus de dades personals; les categories de persones interessades; les obligacions i els drets del responsable; la previsió que les persones que han de tractar les dades es comprometen a mantenir la confidencialitat; l'assistència de l'encarregat al responsable per atendre les sol·licituds d'exercici de drets; la supressió o la devolució de les dades en finalitzar l'encàrrec; l'obligació de posar a disposició del responsable tota la informació necessària per demostrar que compleix les obligacions de l'encarregat del tractament i per permetre i contribuir que el responsable o un altre auditor autoritzat pel responsable efectuï auditories i inspeccions.

• Obligacions específiques dels encarregats

L’RGPD no només preveu les obligacions del responsable del tractament sinó també obligacions expressament adreçades als encarregats del tractament. La responsabilitat última sobre el tractament continua atribuïda al responsable, que és qui determina l'existència i la finalitat del tractament. Però, en determinades matèries, els encarregats tenen obligacions pròpies que l’RGPD estableix, que no se circumscriuen a l'àmbit del contracte que els vincula al responsable i que les autoritats de protecció de dades han de supervisar separadament. Per exemple, els encarregats han de mantenir un registre d'activitats de tractament, han de determinar les mesures de seguretat aplicables als tractaments que realitzen o han de designar un delegat de protecció de dades, en els casos en què així ho preveu l’RGPD.  

L’RGPD també preveu que els encarregats es puguin adherir a codis de conducta o certificar-se en el marc dels esquemes de certificació previstos en el mateix RGPD.

L’RGPD estableix explícitament que els responsables només han de triar encarregats que ofereixin garanties suficients per aplicar mesures tècniques i organitzatives apropiades, de manera que el tractament sigui conforme als requisits del Reglament. Aquesta previsió també s'estén als encarregats, quan subcontracten operacions de tractament amb altres subencarregats.

Tot i que en el cas espanyol el Reglament de desenvolupament de l’LOPD ja establia la necessitat de diligència en la selecció dels encarregats, la novetat d'aquesta previsió de l’RGPD deriva de la seva relació amb el principi de responsabilitat proactiva. Segons aquest principi, el responsable ha d'adoptar les mesures apropiades, inclosa l'elecció d'encarregats, de manera que garanteixi i estigui en condicions de demostrar que el tractament es duu a terme conforme a l’RGPD.

El fet que els encarregats o subencarregats s'hagin adherit a codis de conducta o estiguin certificats dins dels esquemes previstos per l’RGPD es pot utilitzar per demostrar que ofereixen les garanties suficients que el Reglament exigeix.

L'Autoritat Catalana de Protecció de Dades, l'Agència Espanyola de Protecció de Dades i l'Agència Basca de Protecció de Dades han elaborat uns materials d'ajuda per redactar aquests encàrrecs, que es poden consultar aquí.

• Què passa amb els contractes d’encàrrec formalitzats abans de l’aplicació de l’RGPD?

D’acord amb la Disposició transitòria cinquena de l’LOPDGDD, els contractes i acords d’encàrrec del tractament establerts abans de 25 de maig de 2018 mantenen la seva vigència fins la data de venciment assenyalada en els mateixos.

Quan es tracti d’encàrrecs amb durada indefinida, mantenen la vigència fins el 25 de maig de 2022.

En qualsevol cas, durant la vigència del contracte o acord, qualsevol de les parts pot exigir a l’altra la modificació del contracte per adaptar-la al que estableix l’article 28 de l’RGPD.

Quan un tractament, per la seva naturalesa, abast, context o fins suposi un alt risc pels drets i llibertats de les persones físiques, especialment quan s’utilitzin noves tecnologies, el responsable ha de fer abans una avaluació de l'impacte en la protecció de dades (AIPD).

L’article 35.3 de l’RGPD estableix que, entre d’altres supòsits, cal fer una avaluació d’impacte relativa a la protecció de dades en els següents supòsits:

"a) Avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques basada en un tractament automatitzat, com l'elaboració de perfils, sobre la base de la qual es prenen decisions que produeixen efectes jurídics per a les persones físiques o que les afecten significativament de manera similar.

b) Tractament a gran escala de les categories especials de dades a què es refereix l'article 9, apartat 1, o de les dades personals relatives a condemnes i infraccions penals a què es refereix l'article 10.

c) Observació sistemàtica a gran escala d'una zona d'accés públic.” 

Per determinar què s’ha d'entendre per “gran escala”, es pot tenir en compte que el Grup de l'article 29, en el seu dictamen sobre la designació de delegats de protecció de dades, considera que per valorar si el tractament es fa a gran escala s’ha de tenir en compte el següent:

• El nombre de persones afectades, ja sigui en termes absoluts o com a proporció d'una determinada població.

• El volum i la varietat de dades tractades.

• La durada o permanència de l'activitat de tractament.

• L'extensió geogràfica de l'activitat de tractament.

L’article 35.4 de l’RGPD preveu que les autoritats de control han de publicar una llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte relativa a la protecció de dades. Aquesta Autoritat considera que cal fer una avaluació de l’impacte relativa a la protecció de dades en els tractaments inclosos en la següent llista.

Aquesta llista recull les Directrius sobre l’avaluació d’impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament comporta probablement un alt risc a efectes del Reglament (UE) 2016/679, adoptades pel Grup de Treball de l’Article 29 el 4 d’abril de 2017 (en endavant, WP 248) i assumides pel Comitè Europeu de Protecció de dades en la seva reunió de 25 de maig de 2018.

Aquesta llista no és exhaustiva i s’anirà actualitzant. Si una operació de tractament no hi figura no significa que no es requereixi fer l’AIPD. Cal verificar sempre que el tractament no suposa un alt risc pels drets i llibertats de les persones, especialment si s’utilitza noves tecnologies.

Aquests criteris són d’aplicació no només als responsables que vulguin dur a terme algun dels tractaments inclosos, sinó també als òrgans i institucions que elaborin un projecte de disposició normativa que comporti algun d’aquests tractaments. En aquest cas, si el projecte normatiu s’ha sotmès a una avaluació d’impacte relativa a la protecció de dades no serà necessari que l’elaborin després els responsables del tractament.

Un cop realitzada l’AIPD, el responsable ha de formular, amb caràcter previ a l’inici del tractament, una consulta a aquesta Autoritat llevat que l’existència d’alt risc pels drets i llibertats de les persones s’hagi pogut mitigar amb l’adopció de mesures tècniques i organitzatives adequades.

Per a més informació podeu consultar les Directrius del Grup de treball de l’article 29 sobre l’avaluació d’impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament comporta probablement un alt risc a efectes del Reglament (UE) 2016/679 (WP 248), assumides pel Comitè Europeu de Protecció de Dades en la seva reunió de 25 de maig de 2018, i la Guia pràctica de l’APDCAT sobre l'avaluació d’impacte relativa a la protecció de dades al RGPD.

Podeu trobar una plantilla d'avaluació d’impacte relativa a la protecció de dades al següent enllaç.  

Si de l'avaluació d'impacte sobre la protecció de dades en resulta que el tractament previst pot infringir l’RGPD, en particular quan el responsable no ha identificat o mitigat suficientment el risc, el responsable ha de fer una consulta a l'autoritat de control de protecció de dades competent. La consulta ha d'anar acompanyada de la documentació que preveu l’RGPD, inclosa la mateixa avaluació d'impacte.

L'autoritat de control ha d'assessorar per escrit el responsable i, si escau, l'encarregat, i pot fer ús de tots els poders que li confereix el Reglament, entre els quals hi ha prohibir l'operació de tractament.

El Reglament introdueix els conceptes de protecció de dades des del disseny i protecció de dades per defecte.

Això implica que el responsable ha d’aplicar, tant en el moment de determinar els mitjans de tractament com en el moment del tractament mateix, les mesures tècniques i organitzatives adequades concebudes per aplicar de manera efectiva els principis de protecció de dades (com, per exemple, la seudonimització), i integrar les garanties necessàries en el tractament per complir els requeriments del Reglament.

Així mateix, el responsable ha d’aplicar les mesures tècniques i organitzatives adequades per garantir que, per defecte, només es tracten les dades personals necessàries per a cada finalitat específica del tractament.

L’RGPD també regula els codis de conducta que poden promoure les associacions i altres organismes representatius de categories de responsables del tractament o d’encarregats del tractament, perquè el Reglament s’apliqui correctament.

El codi de conducta s’ha de presentar a l'autoritat de control competent, perquè l’aprovi, el registri i el publiqui. També correspon a l'autoritat de control acreditar l'organisme de supervisió que prevegi el codi.

L'adhesió i el compliment d'un codi de conducta és un element a tenir en compte a l'hora de demostrar que el responsable del tractament compleix les seves obligacions, especialment en el moment de fer l'avaluació d'impacte sobre la protecció de dades.

D’acord amb la disposició transitòria segona de l’LOPDGDD el promotors de codis tipus inscrits a l’Agència Espanyola de Protecció de Dades o en alguna autoritat autonòmica han d’adaptar el seu contingut al RGPD, en el termini d’un any des de la seva entrada en vigor. És a dir que per a aquells codis tipus que no siguin adequats abans del 7 de desembre de 2019,  es cancel·larà la  seva inscripció.

Per altra banda, l’LOPDGDD preveu que els responsables del tractament o encarregats del tractament que s’adhereixin a un codi de conducta han de sotmetre a l’organisme de supervisió previst pel codi les reclamacions que els siguin formulades per les persones afectades, en cas de considerar que no procedeix atendre la que es sol·licita a la reclamació.

El Reglament també promou els mecanismes de certificació, com certificats, segells o marques, per demostrar que es compleix l’RGPD.

El Reglament introdueix la figura del delegat de protecció de dades, que pot formar part de la plantilla del responsable o l’encarregat o bé actuar en el marc d'un contracte de serveis. Cal designar un delegat de protecció de dades en els casos següents:

• Quan el tractament el dugui a terme una autoritat o un organisme públic (tret de jutjats i tribunals). En aquest cas, es pot designar un únic delegat de protecció de dades per a diverses d'aquestes autoritats o organismes.

• Quan el tractament requereix l'observació habitual i sistemàtica de persones interessades a gran escala.

• Quan el tractament té per objecte categories especials de dades personals o dades relatives a condemnes o infraccions penals.

El delegat de protecció de dades té, entre d’altres, les funcions següents:

• Informar i assessorar el responsable o l'encarregat i els treballadors sobre les obligacions que imposa la normativa de protecció de dades.

• Supervisar que es compleix la normativa.

• Assessorar respecte de l'avaluació d'impacte relativa a la protecció de dades.

• Cooperar amb l'autoritat de control.

• Actuar com a punt de contacte per a qüestions relatives al tractament.

Els responsables i els encarregats han de fer pública la designació del delegat de protecció de dades i les seves dades de contacte i les han de comunicar a l’autoritat de supervisió competent.

La posició del DPD a les organitzacions ha de complir els requisits que estableix l’RGPD. Entre aquests requisits hi ha l’autonomia en l'exercici de les seves funcions, la necessitat que es relacioni amb el nivell superior de la direcció o l'obligació que el responsable o l'encarregat li facilitin tots els recursos necessaris per desenvolupar la seva activitat.

El Grup de treball de l'article 29 ha elaborat unes directrius sobre la designació dels DPD, que es poden consultar aquí, que inclou una sèrie de preguntes freqüents sobre els diversos aspectes d'aquesta figura.

• Quins requisits o qualificacions ha de tenir el delegat de protecció de dades?

El DPD s’ha de nomenar tenint en compte les seves qualificacions professionals i, en particular, el seu coneixement de la legislació i la pràctica de la protecció de dades. Això no significa que el DPD hagi de tenir una titulació específica. Tenint en compte que entre les funcions del DPD s'inclou l'assessorament al responsable o l’encarregat en tot allò referent a la normativa sobre protecció de dades, els coneixements jurídics en la matèria són sens dubte necessaris; però també cal que compti amb coneixements aliens a l'àmbit estrictament jurídic, com per exemple en matèria de tecnologia aplicada al tractament de dades o en relació amb l'àmbit d'activitat de l'organització en la qual exerceix la seva tasca.

L’LOPDGDD ha previst la possibilitat d’acreditar el compliment dels requisits de qualificació previstos a l’RGPD a través de mecanismes voluntaris de certificació, que tindran particularment en compte l’obtenció d’una titulació universitària que acrediti coneixements en dret i la pràctica en matèria de protecció de dades. No obstant això, es poden acreditar també per altres vies.

El model de transferències internacionals dissenyat per l’RGPD segueix els mateixos criteris que establien la Directiva 95/46 i les legislacions nacionals de transposició. D’acord amb l’RGPD, les dades només es poden comunicar fora de l'Espai Econòmic Europeu en els casos següents:

• A països, territoris o sectors específics (l’RGPD també inclou organitzacions internacionals) sobre els quals la Comissió ha adoptat una decisió que reconeix que ofereixen un nivell de protecció adequat.

• Quan s'han ofert garanties adequades sobre la protecció que les dades rebran a la seva destinació.

• Quan s'aplica alguna de les excepcions que permeten transferir les dades sense garanties de protecció adequada, per raons de necessitat vinculades a l’interès del titular de les dades o a interessos generals.

L’RGPD, incorpora algunes novetats a tenir en compte:

• Les decisions d'adequació que la Comissió ha adoptat amb anterioritat a l'aplicació de l’RGPD continuen sent vàlides; per tant, mentre la Comissió no les substitueixi o les derogui es poden continuar fent transferències basades en aquestes decisions.

• Les decisions de la Comissió que estableixen clàusules tipus per als contractes en els quals s'estableixen garanties per a les transferències internacionals continuen sent vàlides fins que la Comissió les substitueixi o les derogui.

• Les autoritzacions de transferències que les autoritats nacionals de protecció de dades han atorgat sobre la base de garanties contractuals continuen sent vàlides mentre les autoritats no les revoquin.

• Les garanties sobre la protecció que rebran les dades a la seva destinació les ha d'oferir l'exportador, que pot ser tant un responsable com un encarregat de tractament.

• S'amplia la llista de possibles instruments per oferir garanties. S’hi inclouen expressament, entre d’altres, les normes corporatives vinculants per a responsables i encarregats, els codis de conducta i els esquemes de certificació, així com les clàusules contractuals tipus que aprovin les autoritats de protecció de dades.

• En els casos de normes corporatives vinculants, clàusules contractuals estàndard, codis de conducta i esquemes de certificació, la transferència no requereix l'autorització de les autoritats de supervisió.

• S’inclou una nova excepció per a que el responsable pugui transferir dades a un país sense el nivell adequat de protecció, quan és necessari per satisfer interessos legítims imperiosos del responsable, la transferència no és repetitiva i afecta només un nombre limitat de persones interessades. En qualsevol cas, la transferència solament és possible si no prevalen els drets, les llibertats i els interessos de les persones afectades i s’ha de comunicar a l'autoritat de protecció de dades.

A diferència de la normativa anterior, el Reglament no estableix un llistat de les mesures de seguretat que són d’aplicació d’acord amb la tipologia de dades objecte de tractament, sinó que estableix que el responsable i l’encarregat del tractament han d’aplicar mesures tècniques i organitzatives adequades al risc que comporta el tractament. Això implica haver de fer una avaluació dels riscos que comporta cada tractament, per determinar les mesures de seguretat que cal implementar. 

En qualsevol cas, per a les entitats del sector públic cal tenir en compte que la disposició addicional primera de l’LOPDGDD estableix que les entitats enumerades a l’article 77.1 de la mateixa Llei orgànica han de complir les mesures de seguretat que corresponguin d’acord amb l’esquema Nacional de Seguretat. D’acord amb l’apartat primer d’aquesta disposició addicional, l’esquema Nacional de Seguretat haurà de tenir en compte el risc del tractament de les dades personals d’acord amb l’RGPD.

• Com es duu a terme una anàlisi de riscos?

Des del punt de vista de la seguretat de la informació una anàlisi de riscos requereix identificar les amenaces (per exemple, accés no autoritzat a les dades personals), valorar quina és la probabilitat que es produeixi i l’impacte que tindria en les persones afectades. 

El tipus d'anàlisi varia segons: 

• Els tipus de tractament

• La naturalesa de les dades que es tracten

• El nombre de persones interessades afectades

• La quantitat i varietat de tractaments que fa una mateixa organització

• Les tecnologies utilitzades 

En les grans organitzacions, com a norma general, aquesta anàlisi de riscos i la determinació de les mesures/controls a implantar es pot dur a terme utilitzant alguna de les metodologies o estàndards d'anàlisi de risc existents: MAGERIT, ISO, etc.. En responsables de dimensions menors i amb tractaments de poca complexitat, aquesta anàlisi pot ser el resultat d'una reflexió documentada, sobre les implicacions dels tractaments en els drets i les llibertats de les persones interessades. Aquesta reflexió ha d’analitzar el context en què es duu a terme el tractament (mitjans, instal·lacions, usuaris etc.) i ha de donar resposta a qüestions com les següents: 

• Es tracten categories especials de dades?

• Es tracten dades de col·lectius vulnerables (per exemple, menors)?

• Es tracten dades d'una gran quantitat de persones?

• Les dades tractades permeten l'elaboració de perfils?

• La revelació, alteració o pèrdua de les dades pot tenir conseqüències importants per les persones afectades?

• Es tracten les dades fora dels equips o instal·lacions del responsable?

• Tenen accés a les dades terceres persones que presten serveis per compte del responsable?

• S'utilitzen tecnologies especialment invasives per a la privacitat, (geolocalització, videovigilància, internet de les coses etc.) ?

En qualsevol cas, és obvi que com més gran és el nombre de respostes afirmatives a aquestes preguntes, més elevat és el risc que es pot derivar del tractament.

Són moltes les qüestions que poden impactar de forma negativa en els drets  i llibertats de les persones si es tracten inadequadament les dades. Per tant, és molt important que, si no s’utilitza una metodologia estàndard, fàcilment auditable i objectivable, es documentin detalladament les qüestions que s’han tingut en compte a l’hora de determinar el nivell de risc existent i concretar les mesures de seguretat que cal aplicar. Això ens servirà per complir amb el principi de responsabilitat proactiva.  

• Aquest canvi d’enfoc de l’RGPD vol dir que les mesures que una entitat aplicava seguint el RLOPD, no són correctes? 

No. Potser són les adequades, però cal, en tot cas, fer l’anàlisi de riscos per determinar si les mesures implementades són correctes o si hi ha alguna mancança. 

En qualsevol cas, les mesures concretes a aplicar han de garantir: 

• La confidencialitat, la integritat, la disponibilitat i la resiliència permanents dels sistemes i dels serveis de tractament.

• La capacitat de restaurar la disponibilitat i l'accés a les dades personals de manera ràpida, en cas d'incident físic o tècnic.

• L’existència d’un procés per verificar i avaluar regularment l'eficàcia de les mesures tècniques i organitzatives establertes per garantir la seguretat del tractament.

Si es produeix una violació de la seguretat, el responsable l’ha de notificar a l’Autoritat Catalana de Protecció de Dades sense dilació indeguda i, si és possible, en un termini màxim de 72 hores des de que en tingui constància, tret que sigui improbable que constitueixi un risc per als drets i les llibertats de les persones.

Es considera que es té constància d'una violació de seguretat quan hi ha una certesa que s'ha produït i se’n té un coneixement suficient de la naturalesa i l’abast. La mera sospita que hi ha hagut una fallada o la constatació que ha succeït algun tipus d'incident, sense que se’n coneguin mínimament les circumstàncies, encara no haurien de donar lloc a la notificació ja que, en la majoria dels casos, en aquestes condicions no es pot determinar fins a quin punt hi pot haver un risc per als drets i les llibertats de les persones interessades.

No obstant això, en casos de violacions que per les seves característiques puguin tenir un gran impacte, sí que pot ser recomanable contactar amb l'APDCAT tan aviat com hi hagi evidències que s'ha produït una situació irregular respecte de la seguretat de les dades. Això, sense perjudici que aquests primers contactes es completin amb una notificació formal, més completa, dins del termini legalment previst.

Hi pot haver casos en què la notificació d’algun dels aspectes requerits no es pugui fer dins les 72 hores, per exemple, a causa de la complexitat a l’hora de determinar-ne completament l’abast. En aquests casos, la notificació d’aquests aspectes es pot fer posteriorment, acompanyada d'una explicació dels motius que han ocasionat el retard.

La notificació de la violació de seguretat s’ha de fer mitjançant el següent formulari de notificació.

A més, quan sigui probable que la violació comporti un alt risc per als drets de les persones interessades, el responsable els l’ha de comunicar sense dilacions indegudes i en un llenguatge clar i senzill, tret que:

-El responsable hagi adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles   per a persones no autoritzades.

-El responsable hagi aplicat mesures posteriors que garanteixen que ja no hi ha la probabilitat que es   concreti l'alt risc.

-Suposi un esforç desproporcionat.

• Quin ha de ser el contingut de la notificació d’una violació de seguretat a l’autoritat de control?

La notificació ha d'incloure un contingut mínim que el mateix RGPD estableix i que inclou elements com la naturalesa de la violació, les categories de dades i de persones afectades, les mesures adoptades pel responsable per solucionar la violació i, si escau, les mesures aplicades per pal·liar els possibles efectes negatius sobre les persones interessades. La informació també es pot proporcionar de forma escalonada, quan no es pugui fer al mateix moment de la notificació.

Amb independència de la notificació a les autoritats, els responsables han de documentar totes les violacions de seguretat. Es tracta d'una obligació que estableix l’RGPD i que s'aproxima molt al registre d'incidències que preveia el Reglament de desenvolupament de l’LOPD.

• Quan és probable que una violació de seguretat comporti un risc alt per als drets de les persones interessades?

Existeix alt risc quan sigui probable que la violació de seguretat ocasioni danys importants a les persones interessades. Això pot succeir, per exemple, si es revela informació confidencial, com contrasenyes o la participació en determinades activitats, si es difonen dades sensibles de forma massiva o si es poden produir perjudicis econòmics per a les persones afectades.

• Com s’ha de comunicar a les persones afectades una violació de seguretat?

L'objectiu d'aquesta comunicació és permetre que les persones afectades puguin prendre mesures per protegir-se de les conseqüències de la violació de seguretat. Per això, l’RGPD requereix que se’ls notifiqui sense dilació indeguda.

El propòsit és sempre que la persona interessada afectada pugui reaccionar tan aviat com sigui possible. Per això, l’RGPD afegeix als continguts de la notificació les recomanacions sobre les mesures que poden prendre les persones interessades per fer front a les conseqüències de la violació.

Aquest sistema permet que els ciutadans i també els responsables establerts en diferents estats membres o que facin tractaments que afecten diferents estats membres tinguin una única autoritat de protecció de dades com a interlocutora.