L’Autoritat Catalana de Protecció de Dades (APDCAT) ha aprovat el Codi de conducta per al tractament de dades en l’àmbit de l’atenció social, elaborat pel Consorci de Salut i Social de Catalunya (CSC) Aquest és el segon codi de conducta que l’APDCAT aprova i registra a Catalunya, després que el desembre de 2020 avalés el Codi de conducta per als tractaments de dades personals en l’àmbit sanitari, iniciativa, també, del CSC.
El codi de conducta és un instrument previst al Reglament general de protecció de dades (RGPD), per establir un marc comú per a l’aplicació dels principis i les obligacions previstes en un sector determinat.
Així, l’APDCAT avala el contingut d’aquest segon codi de conducta elaborat per l’Àrea de Protecció de Dades del CSC, que ha de servir per facilitar l’aplicació de la norma en l’àmbit de l’atenció social a les entitats que s’hi adhereixin, siguin entitats associades al Consorci o altres entitats del sector públic que prestin serveis socials.
En aquest sentit, l’APDCAT conclou que el codi dona criteris d’actuació respecte del compliment adequat de la normativa de protecció de dades en el sector de l’atenció social. Així, determina que satisfà una necessitat específica del sector, facilita i especifica l’aplicació de l’RGPD, aporta prou garanties i disposa de mecanismes eficaços per supervisar el compliment del codi.
Concretament, el codi se centra en les especificitats dels tractaments de dades relatives a l’atenció social i especifica les diferents categories de persones interessades o afectades. Entre d’altres, menors d’edat i persones especialment vulnerables, incloses les que pateixen risc d’estigmatització. També preveu les circumstàncies específiques que cal tenir en compte en cada cas, des de la perspectiva de la protecció de dades.
Així mateix, especifica les mesures de garantia aplicables als tractaments de dades en el sector de l’atenció social i, també, les que garanteixen el compliment dels drets d’autodeterminació informativa. És el cas per exemple del dret d’accés a la història social i a la documentació generada en el procés d’atenció social o la rectificació o supressió de dades personals, que poden resultar especialment problemàtics en aquest àmbit.
Quant a la seguretat de les dades, el codi aporta diferents elements a considerar en l’anàlisi de riscos i l’avaluació d’impacte en matèria de protecció de dades personals, que en el sector de l’atenció social és especialment rellevant atès que es poden tractar dades especialment protegides per la normativa. A més, determina les mesures específiques per als tractaments de dades en el marc de la recerca, la investigació i l’anàlisi estadística en relació amb la prestació de serveis socials.
Finalment, preveu la creació d’un òrgan de supervisió per promoure, informar, controlar i avaluar el grau de compliment del codi per part de les entitats adherides. L’òrgan és plenament competent per determinar l’adequació de les entitats a les disposicions del codi, iniciar procediments o expedients d’instrucció i sanció i atendre peticions i consultes de les persones interessades, entre d’altres funcions.
Més garanties de l’aplicació correcta de la norma
Els codis de conducta estan destinats a contribuir a l’aplicació correcta de l’RGPD, tenint en compte les característiques específiques del sector de tractament al qual es refereixen. L’adhesió d’entitats a codis de conducta aprovats es pot utilitzar com a element per demostrar que es compleixen les obligacions. A més, el compliment de codis de conducta aprovats es valora especialment si l’entitat adherida ha d’efectuar un tractament d’alt risc, que requereix una avaluació d’impacte relativa a la protecció de dades.
Elaborat pel Consorci de Salut i Social de Catalunya, aquest codi és el segon aprovat a Catalunya i estableix un marc comú per a l’aplicació de la normativa de protecció de dades en l’àmbit de l’atenció social. El codi de conducta és un instrument que la norma preveu per oferir solucions pràctiques i unificades a les entitats que s’hi adhereixen i donar garanties del compliment dels principis i obligacions de protecció de dades.