RGPD

El Reglament General de Protecció de Dades (GDPR) (Control (UE) 2016/679) és un reglament europeu mitjançant el qual l'Eurocambra, el Consell de la Unió europea i la Comissió europea pretenen enfortir i unificar protecció de dades per tots els països de la Unió europea (UE), controlant també la transferència de dades fora de la Unió. Els seus principals objectius són retornar als ciutadans el control sobre la seva informació personal i unificar el marc regulador per a les multinacionals. Suposa una llei més estricta que altres normes i es tracta de la primera norma sobre aquesta matèria que afecta a tots els països de la Unió Europea i unifica tant els drets com les obligacions. Quan entri en vigor, la GDPR reemplaçarà a la Directiva de Protecció de Dades 95/46/EC de 1995.

Va entrar en vigor el maig de 2018. A Espanya, l'actual RGPD va a substituir a la Llei Orgànica de Protecció de Dades de Caràcter Personal (LOPD) aprovada per les Corts Generals el 13 de desembre de 1999, i va ser transposada per la Llei Orgànica de Protecció de Dades i Garantia de Drets Digitals (LOPD-GDD) el 22 de novembre de 2018.

Actors principals:

  • Responsable: és la persona física o jurídica, autoritat pública, agència o un altre ens que, sol o en conjunt amb altres, determina els propòsits i mitjans del processament de dades personals.
  • Encarregat: és la persona física o jurídica, autoritat pública, agència o un altre ens que processa dades personals en nom del responsable.

A continuació es descriuen els aspectes més destacats del RGPD.

1. Àmbit d’aplicació

El Reglament amplia l'àmbit d'aplicació territorial als responsables i als encarregats del tractament no establerts en la UE, quan les activitats de tractament estan relacionades amb l'oferta de béns o serveis o amb el control del comportament de les persones que es troben a la UE.

2. Principis

L’RGPD conté molts conceptes, principis i mecanismes similars als que estableixen la Directiva 95/46 i les normes nacionals que l'apliquen. Per això, les organitzacions que complien adequadament l’LOPD espanyola, tenien una bona base de partida per evolucionar cap a una correcta aplicació d'aquest Reglament.

No obstant això, l’RGPD modifica alguns aspectes del règim actual i conté noves obligacions que cada organització ha d’analitzar i aplicar tenint en compte les seves pròpies circumstàncies.

La innovació més gran de l’RGPD per als responsables la constitueixen dos elements de caràcter general:

El principi de “responsabilitat proactiva”

L’RGPD descriu aquest principi com la necessitat que el responsable del tractament apliqui mesures tècniques i organitzatives apropiades, a fi de garantir i poder demostrar que el tractament és conforme al Reglament.

En termes pràctics, aquest principi requereix que les organitzacions analitzin quines dades tracten, amb quines finalitats ho fan i quin tipus d'operacions de tractament duen a terme. A partir d'aquest coneixement, han de determinar de manera explícita com aplicaran les mesures que preveu l’RGPD. Així mateix, s’han d’assegurar que aquestes mesures són les adequades per complir-lo i que poden demostrar-ne el compliment davant les persones interessades i davant les autoritats de supervisió.

En síntesi, aquest principi exigeix que les organitzacions tinguin una actitud conscient, diligent i proactiva davant de tots els tractaments de dades personals que duguin a terme.

“L’enfocament de risc”

L’RGPD assenyala que les mesures adreçades a garantir-ne el compliment han de tenir en compte la naturalesa, l'àmbit, el context i les finalitats del tractament, així com el risc per als drets i les llibertats de les persones.

D'acord amb aquest enfocament, algunes de les mesures que l’RGPD estableix només s’han d’aplicar quan hi hagi un alt risc per als drets i les llibertats, mentre que d’altres s’han de modular d’acord amb el nivell i tipus de risc que presentin els tractaments.

Per tant, l'aplicació de les mesures previstes per l’RGPD s’ha d'adaptar a les característiques de les organitzacions. El que pot ser adequat per a una organització que maneja dades de milions d'interessats, en tractaments complexos que involucren informació personal sensible o volums importants de dades sobre cada afectat, no és necessari per a una petita empresa que duu a terme un volum limitat de tractaments de dades no sensibles.

Aquests dos elements es projecten sobre totes les obligacions de les organitzacions.

3. Noves categories especials de dades

A part de les dades especialment protegides que ja preveia l’LOPD, que ara passen a anomenar-se "categories especials de dades", el Reglament inclou dues noves categories especials de dades:

  • Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d'una persona física, que proporcionen una informació única sobre la fisiologia o la salut d'aquesta persona, obtingudes en particular de l'anàlisi d'una mostra biològica.
  • Dades biomètriques: dades personals obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física, que permeten o confirmen la identificació única d'aquesta persona (imatges facials, dades dactiloscòpiques, etc.).

4. Consentiment

L’RGPD requereix que l'interessat presti el consentiment mitjançant una declaració inequívoca o una acció afirmativa clara. Als efectes del nou Reglament, les caselles ja marcades, el consentiment tàcit o la inacció no constitueixen un consentiment vàlid.

Què succeeix amb els tractaments que s’efectuen sobre la base del consentiment per omissió?

Aquestes formes de consentiment no són compatibles amb l’RGPD, ja que es basen en la inacció de la persona interessada. L’RGPD també assenyala que els tractaments basats en el consentiment iniciats abans de l’aplicació del Reglament continuaran sent legítims, sempre que aquest consentiment s'hagués prestat de la manera que preveu el mateix RGPD, és a dir mitjançant una manifestació o acció afirmativa.

Per tant, els responsables que efectuen tractaments basats en aquest consentiment per omissió haurien d'evitar continuar obtenint aquesta modalitat de consentiment i revisar aquests tractaments de manera que, a partir de maig de 2018, s'hagin adequat a les previsions de l’RGPD. Aquesta adaptació es pot dur a terme obtenint un consentiment d'acord amb les disposicions de l’RGPD o valorant si els tractaments afectats poden tenir suport en una altra base legal, com pot ser, entre d’altres, l'interès legítim del responsable o del cessionari de les dades que prevalgui sobre els drets de l'interessat. En tot cas i si es considera que aquesta segona opció és possible, cal informar-ne els interessats, que poden exercir els drets específicament aplicables a la nova base legal triada, com el d’oposició.

En quines situacions cal que el consentiment sigui explícit?

L’RGPD preveu algunes situacions en què el consentiment ha de ser explícit. Aquesta garantia addicional afecta els casos següents:

  • Tractament de categories especials de dades
  • Adopció de decisions automatitzades
  • Transferències internacionals

Encara que les diferències entre el consentiment inequívoc, tal com el defineix l’RGPD, i el consentiment explícit poden semblar difícils d'apreciar, hi ha situacions en què el consentiment pot ser inequívoc i atorgar-se de forma implícita. Un exemple seria quan es dedueix d'una acció de la persona interessada que decideix continuar navegant per una pàgina web, i accepta així que s'utilitzin galetes (cookies) per monitoritzar la seva navegació.

5. Consentiment dels menors

En l'àmbit dels serveis de la societat de la informació, el consentiment dels menors només és vàlid si tenen més de 16 anys. No obstant això, els estats membres de la UE poden rebaixar l'edat fins als 13 anys.

A més, el llenguatge utilitzat per informar-los els ha de ser comprensible.

Quines altres referències als menors conté l’RGPD?

L’RGPD es refereix en diversos llocs als tractaments de les dades dels menors. Per exemple, en els casos següents:

  • En la regulació dels interessos legítims del responsable com a base legal per al tractament; això no obstant, s’assenyala que no és aplicable quan prevalen els drets, les llibertats o els interessos de les persones interessades que requereixen protecció de dades personals, especialment quan aquests interessats són nens.
  • En assenyalar que, quan els interessats són nens, la informació que s'ofereix en relació amb el tractament o amb l'exercici de drets ha de ser especialment concisa, transparent, intel·ligible i proporcionada amb llenguatge clar i senzill.
  • En el context del dret a l’esborrat de les dades personals.
  • En establir que les activitats de formació i sensibilització adreçades als nens han d'estar entre les prioritats de les autoritats de protecció de dades.
  • En el context de les explicacions que ofereixen els considerants de l’RGPD, quan es refereixen a la realització de perfils.

6. Dret d’informació

El nou Reglament configura la informació com un dret de les persones afectades i amplia les qüestions sobre les quals cal informar-les, amb els aspectes següents:

  • Les dades de contacte del delegat de protecció de dades;
  • La base jurídica del tractament.
  • Els interessos legítims perseguits en què es fonamenta el tractament, si escau.
  • La intenció de transferir les dades a un tercer país o a una organització internacional i la base per fer-ho, si escau.
  • El termini durant el qual es conservaran les dades; el dret a sol·licitar la portabilitat.
  • El dret a retirar en qualsevol moment el consentiment que s'hagi prestat.
  • Si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte.
  • El dret a presentar una reclamació davant una autoritat de control.
  • L'existència de decisions automatitzades, inclosa la lògica aplicada i les seves conseqüències.

Com s’ha de proporcionar la informació a les persones interessades?

L’RGPD disposa que la informació als interessats, tant respecte de les condicions dels tractaments que els afecten com en les respostes als exercicis de drets, s’ha de proporcionar de forma concisa, transparent, intel·ligible i de fàcil accés, en un llenguatge clar i senzill. En aquest aspecte, va més enllà del que disposava l’LOPD, que tan sols exigia que la informació es presti de manera expressa, precisa i inequívoca.

Aquestes exigències impliquen que cal evitar acudir a fórmules especialment enrevessades i que incorporen remissions als textos legals. Cal que les clàusules informatives expliquin el contingut al quan ens referirem immediatament d'una forma clara i accessible per a les persones interessades, amb independència dels coneixements que tinguin de la matèria.

La importància que l’RGPD concedeix a la claredat i l’accessibilitat de la informació es reflecteix en el fet que preveu que es pugui proporcionar en combinació amb icones estandarditzades que ofereixin una visió de conjunt del tractament previst. El disseny d'aquestes icones l’ha de fer la Comissió Europea, que ja està treballant per presentar-ne una proposta.

L’RGPD disposa que la informació a les persones interessades es faciliti per escrit, inclosos els mitjans electrònics quan escaigui.

L'Autoritat Catalana de Protecció de Dades, l'Agència Espanyola de Protecció de Dades i l'Agència Basca de Protecció de Dades estan preparant un model de clàusula informativa perquè l’utilitzin les administracions públiques. Durant el període transitori, també es presentaran directrius per a entitats privades.

7. Drets de les persones interessades

Dret a l'oblit

L’RGPD incorpora el dret a l'oblit com un dret vinculat al dret de supressió, al dret a la limitació del tractament i al dret a la portabilitat:

Els interessats tenen dret a obtenir la supressió de les dades ("dret a l'oblit"), quan:

  • Les dades ja no són necessàries per a la finalitat per a la qual es van recollir.
  • Es revoca el consentiment en el qual es basava el tractament.
  • L'interessat s'oposa al tractament.
  • Les dades s'han tractat il·lícitament.
  • Les dades s'han de suprimir per complir una obligació legal.
  • Les dades s'han obtingut en relació amb l'oferta de serveis de la societat de la informació adreçada a menors.

Quan el responsable ha fet públiques les dades personals i s'han de suprimir, ha d’adoptar mesures raonables per informar de la supressió els responsables que estan tractant les dades.

Es preveuen algunes excepcions a l'exercici d'aquest dret:

  • L'exercici del dret a la llibertat d'expressió i informació.
  • El compliment d'una obligació legal.
  • L'existència de finalitats d'arxiu en interès públic, de recerca científica o històrica o finalitats estadístiques.
  • La formulació, l'exercici o la defensa de reclamacions.
  • Dret a la limitació del tractament

Limitació de tractament

La limitació de tractament es presenta a l’RGPD com un dret de les persones interessades. Per això, no s’ha de confondre amb el bloqueig de dades actualment existent a la legislació espanyola, tot i que el fet que s’hagi inclòs com a nou dret no suposa, per si sol, que la figura del bloqueig desapareix.

La limitació de tractament suposa que, a petició de la persona interessada, no s'aplicaran a les seves dades personals les operacions de tractament que en cada cas correspondrien. La limitació es pot sol·licitar quan:

  • La persona interessada ha exercit els drets de rectificació o oposició i mentre el responsable determina si escau atendre la sol·licitud.
  • El tractament és il·lícit, cosa que determinaria l'esborrat de les dades, però l'interessat s'hi oposa.
  • Les dades ja no són necessàries per al tractament, la qual cosa novament en determinaria l’esborrat, però l'interessat sol·licita la limitació perquè els necessita per formular, exercir o defensar reclamacions.

A aquest dret se li apliquen els mateixos terminis i procediments que a la resta de drets previstos a l’RGPD.

Mentre duri la limitació, el responsable només pot tractar les dades afectades, més enllà de conservar-les, en els casos següents:

  • Amb el consentiment la persona interessada.
  • Per formular, exercir o defensar reclamacions.
  • Per protegir els drets d'una altra persona física o jurídica.
  • Per raons d'interès públic important de la Unió o de l'estat membre corresponent.

Una conseqüència d'aquesta regulació és que impedeix una pràctica que de vegades se segueix i que consisteix a esborrar les dades quan s'exerceixen altres drets, com el d'accés, ja que impediria l'exercici del dret a la limitació del tractament.

Dret a la portabilitat

El dret a la portabilitat de les dades és una forma avançada del dret d'accés, per la qual la persona interessada té dret a rebre les dades personals que l’afecten i que ha facilitat a un responsable del tractament en un format estructurat, d'ús comú i de lectura mecànica, i transmetre-les a un altre responsable, si es compleixen els requisits següents:

  • El tractament està basat en el consentiment o en un contracte.
  • El tractament es fa per mitjans automatitzats.
  • L'interessat ho sol·licita respecte de les dades que ha proporcionat al responsable i que el concerneixen, incloses les dades derivades de la pròpia activitat de l'interessat. Això suposa que no és aplicable a les dades de terceres persones que un interessat hagi facilitat a un responsable. Tampoc no s'aplica si l'interessat sol·licita la portabilitat de dades que l’incumbeixen, però que han estat proporcionades al responsable per tercers.

Inclou el dret que les dades es transmetin directament de responsable a responsable, si és tècnicament possible.

El grup d'autoritats europees de protecció de dades (Grup de l'article 29) ha adoptat una opinió en la qual s'analitza detalladament aquest dret. Aquesta opinió es pot consultar aquí.

Quin és el procediment per exercir els drets recollits pel nou Reglament?

Amb caràcter general, l’RGPD exigeix als responsables que facilitin a les persones interessades l'exercici dels seus drets. Aquest mandat suposa que els procediments i les formes per fer-ho han de ser visibles, accessibles i senzilles. L’RGPD no estableix una manera concreta per exercir els drets, però sí que requereix als responsables que possibilitin que les sol·licituds es presentin per mitjans electrònics, especialment quan el tractament s’efectua per aquests mitjans.

Aquesta obligació exigeix articular procediments que permetin fàcilment que les persones interessades puguin acreditar que han exercit els seus drets per mitjans electrònics, cosa que actualment en moltes ocasions no és viable.

L’RGPD preveu també que l'exercici de drets ha de ser gratuït per a la persona interessada. Aquest criteri de gratuïtat pot no seguir-se en els casos en què es formulen sol·licituds manifestament infundades o excessives, especialment per repetitives; en aquests casos, el responsable pot cobrar un cànon que compensi els costos administratius d'atendre la petició, o bé negar-se a actuar. És el responsable qui ha de demostrar aquest caràcter infundat o excessiu. En tot cas, el cànon no pot implicar un ingrés addicional per al responsable, sinó que ha de correspondre al veritable cost de la tramitació de la sol·licitud.

El responsable ha d'informar la persona interessada sobre les actuacions derivades de la seva petició en del termini d'un mes, que es pot ampliar dos mesos més quan es tracta de sol·licituds especialment complexes. Aquesta ampliació del termini s’ha de notificar dins del primer mes. Si el responsable decideix no atendre la sol·licitud, n’ha d'informar i motivar la negativa dins del termini d'un mes des que es va presentar.

D'acord amb l’RGPD, els responsables han de prendre totes les mesures raonables per verificar la identitat dels afectats que sol·liciten accés i, en general, dels afectats que exerceixen la resta de drets ARCO.

El responsable que tracta una gran quantitat d'informació sobre un interessat pot demanar-li que especifiqui la informació a què es refereix la seva sol·licitud d'accés.

El responsable pot comptar amb la col·laboració dels encarregats per atendre l'exercici de drets dels interessats. Aquesta col·laboració es pot incloure en el contracte d’encàrrec de tractament.

8. Inscripció i notificació de fitxers

L’RGPD suprimeix, a partir del 25 de maig de 2018, la necessitat de crear formalment els fitxers i notificar-los al registre de protecció de dades de les autoritats de control.

9. Documentació de les operacions de tractament: registre d'activitats de tractament (RAT)

L’RGPD preveu noves obligacions de documentació del tractament per als responsables o els encarregats del tractament. Només s’exceptuen d’aquesta obligació els responsables o encarregats del tractament que comptin amb menys de 250 treballadors. No obstant això, aquesta excepció no és d’aplicació si es dona alguna de les circumstàncies següents:

- És probable que hi hagi un risc per als drets i llibertats dels subjectes afectats

- El tractament no és ocasional

- El tractament inclogui categories especials de dades o relatives a infraccions i condemnes penals

Aquests responsables i encarregats del tractament han de portar un registre de les activitats de tractament que duen a terme. Aquest registre ha de contenir, respecte de cada activitat, la informació que estableix l'article 30 de l’RGPD.

Aquesta informació inclou qüestions com les següents:

  • Nom i dades de contacte del responsable i, si escau, del corresponsable, així com del delegat de protecció de dades si n’hi ha.
  • Finalitats del tractament.
  • Descripció de categories d'interessats i categories de dades personals tractades.
  • Transferències internacionals de dades.
  • Quan sigui possible, terminis previstos per suprimir les dades.
  • Quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat.

Com s’ha d’organitzar el registre d’operacions de tractament?

El registre es pot organitzar al voltant d'operacions de tractament concretes, vinculades a una finalitat bàsica comuna de totes elles (per exemple “gestió de clients”, “gestió comptable” o “gestió de recursos humans i nòmines”), o bé d’acord amb altres criteris diferents.

Una possibilitat per organitzar el registre d'activitats de tractament és partir dels fitxers que els responsables havien notificat al Registre de Protecció de Dades de Catalunya, i detallar totes les operacions que es realitzen sobre cada conjunt estructurat de dades. Podeu descarregar-vos els fitxers que teníeu declarats al registre de Protecció de Dades de Catalunya en aquest enllaç.

L’APDCAT ha desenvolupat una aplicació senzilla per portar el registre d’activitats del tractament per tal que els responsables i els encarregats del tractament que ho desitgin la puguin utilitzar. Us la podeu descarregar en aquest enllaç.

10. Encàrrec del tractament

El Reglament amplia el contingut mínim del contracte d’encàrrec de tractament. Entre altres aspectes, el contracte ha de preveure els punts addicionals següents respecte del contingut que ja establia l’LOPD:

  • L'objecte i la durada de l'encàrrec.
  • La naturalesa del tractament.
  • El tipus de dades personals.
  • Les categories d'interessats.
  • Les obligacions i els drets del responsable.
  • La previsió que les persones que han de tractar les dades es comprometen a mantenir la confidencialitat.
  • L'assistència de l'encarregat al responsable per atendre les sol·licituds d'exercici de drets.
  • La supressió o la devolució de les dades en finalitzar l'encàrrec.
  • L'obligació de posar a disposició del responsable tota la informació necessària per demostrar que compleix les obligacions de l'encarregat del tractament i per permetre i contribuir que el responsable o un altre auditor autoritzat pel responsable efectuï auditories i inspeccions.

Obligacions específiques dels encarregats

La Directiva 95/46 i en general les lleis nacionals de transposició se centren en l'activitat dels responsables. L’RGPD, en canvi, conté obligacions expressament adreçades als encarregats. La responsabilitat última sobre el tractament continua atribuïda al responsable, que és qui determina l'existència i la finalitat del tractament. Però, en determinades matèries, els encarregats tenen obligacions pròpies que l’RGPD estableix, que no se circumscriuen a l'àmbit del contracte que els vincula al responsable i que les autoritats de protecció de dades han de supervisar separadament. Per exemple, els encarregats han de mantenir un registre d'activitats de tractament, han de determinar les mesures de seguretat aplicables als tractaments que realitzen o han de designar un delegat de protecció de dades, en els casos en què així ho preveu l’RGPD.

L’RGPD també preveu que els encarregats es puguin adherir a codis de conducta o certificar-se en el marc dels esquemes de certificació previstos en el mateix RGPD.

L’RGPD estableix explícitament que els responsables només han de triar encarregats que ofereixin garanties suficients per aplicar mesures tècniques i organitzatives apropiades, de manera que el tractament sigui conforme als requisits del Reglament. Aquesta previsió també s'estén als encarregats, quan subcontracten operacions de tractament amb altres subencarregats.

Tot i que en el cas espanyol el Reglament de desenvolupament de l'antic LOPD ja establia la necessitat de diligència deguda en la selecció dels encarregats, la novetat d'aquesta previsió de l’RGPD deriva de la seva relació amb el principi de responsabilitat activa. Segons aquest principi, el responsable ha d'adoptar les mesures apropiades, inclosa l'elecció d'encarregats, de manera que garanteixi i estigui en condicions de demostrar que el tractament es duu a terme conforme a l’RGPD.

El fet que els encarregats o subencarregats s'hagin adherit a codis de conducta o estiguin certificats dins dels esquemes previstos per l’RGPD es pot utilitzar per demostrar que ofereixen les garanties suficients que el Reglament exigeix.

L'Autoritat Catalana de Protecció de Dades, l'Agència Espanyola de Protecció de Dades i l'Agència Basca de Protecció de Dades han preparat uns materials d'ajuda per redactar aquests encàrrecs, que es poden consultar aquí. Aquests materials estan pensats per ajudar els responsables i els encarregats durant el període transitori fins a l'entrada en aplicació de l’RGPD. Posteriorment, i d'acord amb el que preveu el Reglament, les autoritats de protecció de dades podran elaborar clàusules model que hauran de ser aprovades pel futur Comitè Europeu de Protecció de Dades. La Comissió Europea també pot preparar clàusules contractuals model.

Què passa amb els contractes d’encàrrec formalitzats abans de l’aplicació de l’RGPD?

Els contractes d’encàrrec formalitzats abans de l'aplicació de l’RGPD, al maig de 2018, s’han d'adaptar per respectar aquest contingut. Tot i que moltes de les obligacions derivades del règim establert a l’RGPD ja estan recollides a la normativa espanyola, cal modificar els contractes existents perquè les seves clàusules reflecteixin tots els continguts del Reglament, tenint en compte que les remissions genèriques a l'article de l’RGPD que els regula no són vàlides.

D’acord amb la Disposició transitòria segona del Reial Decret llei 5/2018, de 27 de juliol, de mesures urgents per l’adaptació del dret espanyol a la normativa de la Unió Europea en matèria de protecció de dades, els contractes i acords d’encàrrec del tractament establerts abans de 25 de maig de 2018 mantenen la seva vigència fins la data de venciment assenyalada en els mateixos.

Quan es tracti d’encàrrecs amb durada indefinida, mantenen la vigència fins al cap de quatre anys, a comptar des del 25 de maig de 2018.

En qualsevol cas, durant la vigència del contracte o acord, qualsevol de les parts pot exigir a l’altra la modificació del contracte per adaptar-la al que estableix l’article 28 de l’RGPD.

11. Avaluacions d’impacte relatives a la protecció de dades

Quan un tractament, per la seva naturalesa, abast, context o fins suposi un alt risc pels drets i llibertats de les persones físiques, especialment quan s’utilitzin noves tecnologies, el responsable ha de fer abans una avaluació de l'impacte en la protecció de dades (AIPD).

L’article 35.3 de l’RGPD estableix que, entre d’altres supòsits, cal fer una avaluació d’impacte relativa a la protecció de dades en els següents supòsits:

“a) Avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques basada en un tractament automatitzat, com l'elaboració de perfils, sobre la base de la qual es prenen decisions que produeixen efectes jurídics per a les persones físiques o que les afecten significativament de manera similar.

b) Tractament a gran escala de les categories especials de dades a què es refereix l'article 9, apartat 1, o de les dades personals relatives a condemnes i infraccions penals a què es refereix l'article 10.

c) Observació sistemàtica a gran escala d'una zona d'accés públic.”

Per determinar què s’ha d'entendre per “gran escala”, es pot tenir en compte que el Grup de l'article 29, en el seu dictamen sobre la designació de delegats de protecció de dades, considera que per valorar si el tractament es fa a gran escala s’ha de tenir en compte el següent:

  • El nombre d'interessats afectats, ja sigui en termes absoluts o com a proporció d'una determinada població.
  • El volum i la varietat de dades tractades.
  • La durada o permanència de l'activitat de tractament.
  • L'extensió geogràfica de l'activitat de tractament.

Més enllà dels supòsits previstos directament a l’RGPD, aquesta Autoritat, en els tractaments que no siguin transfronterers, considera que cal fer una avaluació de l’impacte relativa a la protecció de dades en els tractaments que es vulguin dur a terme que compleixin dues o més de les circumstàncies següents:

  • Avaluació o “puntuació” de persones, inclosa l’elaboració de perfils i la predicció de conductes o comportaments.
  • Presa de decisions automatitzada amb efecte jurídic o similar significatiu.
  • Observació sistemàtica.
  • Dades sensibles o dades molt personals (categories especials de dades de l'article 9 RGPD o dades personals relatives a condemnes i infraccions penals a que es refereix l’article 10 RGPD).
  • Tractaments de dades a gran escala.
  • Associació o combinació de conjunt de dades que poden excedir les expectatives raonables de les persones interessades.
  • Dades relatives a subjectes vulnerables (menors, empleats, persones discapacitades, persones grans, sol.licitants d’asil o refugiats, etc.).
  • Utilització innovadora o aplicació de noves solucions tecnològiques o organitzatives.
  • Quan el tractament impedeix a les persones afectades exercir un dret, utilitzar un servei o executar un contracte.

Aquesta llista recull les Directrius sobre l’avaluació d’impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament comporta probablement un alt risc a efectes del Reglament (UE) 2016/679, adoptades pel Grup de Treball de l’Article 29 el 4 d’abril de 2017 (en endavant, WP 248) i assumides pel Comité Europeu de Protecció de dades en la seva reunió de 25 de maig de 2018.

Aquesta llista no és exhaustiva i s’anirà actualitzant. Si una operació de tractament no hi figura no significa que no es requereixi fer l’AIPD. Cal verificar sempre que el tractament no suposa un alt risc pels drets i llibertats de les persones, especialment si s’utilitza noves tecnologies.

Aquests criteris són d’aplicació no només als responsables que vulguin dur a terme algun dels tractaments inclosos, sinó també als òrgans i institucions que elaborin un projecte de disposició normativa que comporti algun d’aquests tractaments. En aquest cas, si el projecte normatiu s’ha sotmès a una avaluació d’impacte relativa a la protecció de dades no serà necessari que l’elaborin després els responsables del tractament.

Un cop realitzada l’AIPD, el responsable ha de formular, amb caràcter previ a l’inici del tractament, una consulta a aquesta Autoritat (https://seu.apd.cat/ca/tramits/consulta_previa ), llevat que l’existència d’alt risc pels drets i llibertats de les persones s’hagi pogut mitigar amb l’adopció de mesures tècniques i organitzatives adequades.

Per a més informació podeu consultar les Directrius del Grup de treball de l’article 29 sobre l’avaluació d’impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament comporta probablement un alt risc a efectes del Reglament (UE) 2016/679 (WP 248), assumides pel Comité Europeu de Protecció de dades en la seva reunió de 25 de maig de 2018, i la Guia pràctica de l’APDCAT sobre l'avaluació d’impacte relativa a la protecció de dades al RGPD.

Què succeeix amb els tractaments iniciats abans del 25 de maig de 2018 als quals amb la nova normativa els sigui exigible l'avaluació d'impacte sobre la protecció de dades (EIPD)?

Si aquests tractaments es perllonguen més enllà del 25 de maig de 2018 i l'anàlisi de risc que les organitzacions duen a terme sobre els tractaments iniciats amb anterioritat indica que aquests tractaments presenten alt risc per als drets o les llibertats les persones interessades, la Guia per a l’avaluació de l’impacte en la protecció de dades adoptada pel Grup de Treball de l’article 29 també recomana fer una DPIA per als tractaments de dades que han tingut lloc abans de maig de 2018 i els quals, per tant, no estan subjectes a una DPIA, per assegurar-se que 3 anys després d'aquesta data o abans, depenent del context, els riscos per als drets i llibertats estan sent mitigats.

12. Consulta prèvia

Si de l'avaluació d'impacte sobre la protecció de dades en resulta que el tractament previst pot infringir l’RGPD, en particular quan el responsable no ha identificat o mitigat suficientment el risc, el responsable ha de fer una consulta a l'autoritat de control de protecció de dades competent.

En els casos en què les EIPD identifiquin un alt risc que, a parer del responsable de tractament, no es pugui mitigar per mitjans raonables en termes de tecnologia disponible i costos d'aplicació, el responsable ha de consultar l'autoritat de protecció de dades competent. La consulta ha d'anar acompanyada de la documentació que preveu l’RGPD, inclosa la mateixa avaluació d'impacte.

L'autoritat de control ha d'assessorar per escrit el responsable i, si escau, l'encarregat, i pot fer ús de tots els poders que li confereix el Reglament, entre els quals hi ha prohibir l'operació de tractament.

13. Protecció de dades des del disseny i per defecte

El Reglament introdueix els conceptes de privacitat des del disseny i privacitat per defecte.

Això implica que el responsable ha d’aplicar, tant en el moment de determinar els mitjans de tractament com en el moment del tractament mateix, les mesures tècniques i organitzatives adequades concebudes per aplicar de manera efectiva els principis de protecció de dades (com, per exemple, la seudonimització), i integrar les garanties necessàries en el tractament per complir els requeriments del Reglament.

Així mateix, el responsable ha d’aplicar les mesures tècniques i organitzatives adequades per garantir que, per defecte, només es tracten les dades personals necessàries per a cada finalitat específica del tractament.

14. Codis de conducta

L’RGPD també regula els codis de conducta que poden promoure les associacions i altres organismes representatius de categories de responsables del tractament o d’encarregats del tractament, perquè el Reglament s’apliqui correctament.

El codi de conducta s’ha de presentar a l'autoritat de control competent, perquè l’aprovi, la registri i la publiqui. També correspon a l'autoritat de control acreditar l'organisme de supervisió que preveu el codi.

L'adhesió i el compliment d'un codi de conducta és un element a tenir en compte a l'hora de demostrar que el responsable del tractament compleix les seves obligacions, especialment en el moment de fer l'avaluació d'impacte sobre la protecció de dades.

15. Mecanismes de certificació

El Reglament també promou els mecanismes de certificació, com certificats, segells o marques, per demostrar que es compleix l’RGPD.

16. Delegat de protecció de dades (DPD)

El Reglament introdueix la figura del delegat de protecció de dades, que pot formar part de la plantilla del responsable o l’encarregat o bé actuar en el marc d'un contracte de serveis. Cal designar un delegat de protecció de dades en els casos següents:

  • Quan el tractament el dugui a terme una autoritat o un organisme públic (tret de jutjats i tribunals). En aquest cas, es pot designar un únic delegat de protecció de dades per a diverses d'aquestes autoritats o organismes.
  • Quan el tractament requereix l'observació habitual i sistemàtica d'interessats a gran escala.
  • Quan el tractament té per objecte categories especials de dades personals o dades relatives a condemnes o infraccions penals.

El delegat de protecció de dades té, entre d’altres, les funcions següents:

  • Informar i assessorar el responsable o l'encarregat i els treballadors sobre les obligacions que imposa la normativa de protecció de dades.
  • Supervisar que es compleix la normativa.
  • Assessorar respecte de l'avaluació d'impacte relativa a la protecció de dades.
  • Cooperar amb l'autoritat de control.
  • Actuar com a punt de contacte per a qüestions relatives al tractament.

Els responsables i els encarregats han de fer pública la designació del delegat de protecció de dades i les seves dades de contacte i les han de comunicar a les autoritats de supervisió competents.

La posició del DPD a les organitzacions ha de complir els requisits que l’RGPD estableix expressament. Entre aquests requisits hi ha la total autonomia en l'exercici de les seves funcions, la necessitat que es relacioni amb el nivell superior de la direcció o l'obligació que el responsable o l'encarregat li facilitin tots els recursos necessaris per desenvolupar la seva activitat.

El Grup de l'article 29 ha publicat un dictamen sobre la designació dels DPD, que es pot consultar aquí, que inclou una sèrie de preguntes freqüents sobre els diversos aspectes d'aquesta figura.

Quins requisits o qualificacions ha de tenir el delegat de protecció de dades?

El DPD s’ha de nomenar tenint en compte les seves qualificacions professionals i, en particular, el seu coneixement de la legislació i la pràctica de la protecció de dades. Això no significa que el DPD hagi de tenir una titulació específica. Tenint en compte que entre les funcions del DPD s'inclou l'assessorament al responsable o l’encarregat en tot el referent a la normativa sobre protecció de dades, els coneixements jurídics en la matèria són sens dubte necessaris; però també cal que compti amb coneixements aliens a l'àmbit estrictament jurídic, com per exemple en matèria de tecnologia aplicada al tractament de dades o en relació amb l'àmbit d'activitat de l'organització en la qual exerceix la seva tasca.

17. Transferències internacionals

El model de transferències internacionals dissenyat per l’RGPD segueix els mateixos criteris que estableixen la Directiva 95/46 i les legislacions nacionals de transposició. Segons aquest model, les dades només es poden comunicar fora de l'Espai Econòmic Europeu en els casos següents:

  • A països, territoris o sectors específics (l’RGPD també inclou organitzacions internacionals) sobre els quals la Comissió ha adoptat una decisió que reconeix que ofereixen un nivell de protecció adequat.
  • Quan s'han ofert garanties adequades sobre la protecció que les dades rebran a la seva destinació.
  • Quan s'aplica alguna de les excepcions que permeten transferir les dades sense garanties de protecció adequada, per raons de necessitat vinculades a l’interès del titular de les dades o a interessos generals.

Des del punt de vista dels responsables i dels encarregats que actualment fan transferències internacionals o que les faran en el marc de l’RGPD, hi ha alguns aspectes a tenir en compte:

  • Les decisions d'adequació que la Comissió ha adoptat amb anterioritat a l'aplicació de l’RGPD continuen sent vàlides; per tant, mentre la Comissió no les substitueixi o les derogui es poden continuar fent transferències basades en aquestes decisions.
  • Les decisions de la Comissió que estableixen clàusules tipus per als contractes en els quals s'estableixen garanties per a les transferències internacionals continuen sent vàlides fins que la Comissió les substitueixi o les derogui.
  • Les autoritzacions de transferències que les autoritats nacionals de protecció de dades han atorgat sobre la base de garanties contractuals continuen sent vàlides mentre les autoritats no les revoquin.
  • Les garanties sobre la protecció que rebran les dades a la seva destinació les ha d'oferir l'exportador, que pot ser tant un responsable com un encarregat de tractament.
  • S'amplia la llista de possibles instruments per oferir garanties. S’hi inclouen expressament, entre d’altres, les normes corporatives vinculants per a responsables i encarregats, els codis de conducta i els esquemes de certificació, així com les clàusules contractuals model que aprovin les autoritats de protecció de dades.
  • En els casos de normes corporatives vinculants, clàusules contractuals estàndard, codis de conducta i esquemes de certificació, la transferència no requereix l'autorització de les autoritats de supervisió.
  • S'afegeix una excepció al llistat que va establir la Directiva 95/46. Es tracta de la possibilitat que el responsable pugui transferir dades a un país sense el nivell adequat de protecció, quan aquesta transferència és necessària per satisfer interessos legítims imperiosos del responsable i la transferència no és repetitiva i afecta només un nombre limitat d'interessats. En tot cas, la transferència solament és possible si no hi prevalen els drets, les llibertats i els interessos dels afectats i s’ha de comunicar a l'autoritat de protecció de dades.

18. Mesures de seguretat

A diferència de la normativa actual, el Reglament no estableix un llistat de les mesures de seguretat que són d’aplicació d’acord amb la tipologia de dades objecte de tractament, sinó que estableix que el responsable i l’encarregat del tractament han d’aplicar mesures tècniques i organitzatives adequades al risc que comporta el tractament. Això implica haver de fer una avaluació dels riscos que comporta cada tractament, per determinar les mesures de seguretat que cal implementar.

Com es duu a terme una anàlisi de riscos?

Des del punt de vista de la seguretat de la informació una anàlisi de riscos requereix identificar les amenaces (per exemple, accés no autoritzat a les dades personals), valorar quina és la probabilitat que es produeixi i l’impacte que tindria en les persones afectades.

El tipus d'anàlisi varia segons:

  • Els tipus de tractament.
  • La naturalesa de les dades que es tracten.
  • El nombre d'interessats afectats.
  • La quantitat i varietat de tractaments que fa una mateixa organització.
  • Les tecnologies utilitzades.

En les grans organitzacions, com a norma general, aquesta anàlisi de riscos i la determinació de les mesures/controls a implantar es pot dur a terme utilitzant alguna de les metodologies o estàndards d'anàlisi de risc existents: MAGERIT, ISO, etc.. En responsables de dimensions menors i amb tractaments de poca complexitat, aquesta anàlisi pot ser el resultat d'una reflexió documentada, sobre les implicacions dels tractaments en els drets i les llibertats de les persones interessades. Aquesta reflexió ha d’analitzar el context en què es duu a terme el tractament (mitjans, instal·lacions, usuaris etc.) i ha de donar resposta a qüestions com les següents:

  • Es tracten categories especials de dades?
  • Es tracten dades de col·lectius vulnerables (per exemple, menors)?
  • Es tracten dades d'una gran quantitat de persones?
  • Les dades tractades permeten l'elaboració de perfils?
  • La revelació, alteració o pèrdua de les dades pot tenir conseqüències importants per les persones afectades?
  • Es tracten les dades fora dels equips o instal·lacions del responsable?
  • Tenen accés a les dades terceres persones que presten serveis per compte del responsable?
  • S'utilitzen tecnologies especialment invasives per a la privacitat, (geolocalització, videovigilància, internet de les coses etc.) ?

Són moltes les qüestions que poden impactar de forma negativa en els drets i llibertats de les persones si es tracten inadequadament les dades. Per tant, és molt important, que si no s’utilitza una metodologia estàndard, fàcilment auditable i objectivable, es documentin detalladament les qüestions que s’han tingut en compte a l’hora de determinar el nivell de risc existent i concretar les mesures de seguretat que cal aplicar. Això ens servirà per complir amb el principi de responsabilitat proactiva.

En qualsevol cas, és obvi que com més gran és el nombre de respostes afirmatives, més elevat és el risc que es pot derivar del tractament.

Aquest canvi d’enfoc de l’RGPD vol dir que les mesures que una entitat aplicava seguint la LOPD, no són correctes? No. Potser són les adequades, però cal, en tot cas, fer l’anàlisi de riscos per determinar si les mesures implementades són correctes o si hi ha alguna mancança.

En qualsevol cas, les mesures concretes a aplicar han de garantir:

  • La confidencialitat, la integritat, la disponibilitat i la resiliència permanents dels sistemes i dels serveis de tractament.
  • La capacitat de restaurar la disponibilitat i l'accés a les dades personals de manera ràpida, en cas d'incident físic o tècnic.
  • L’existència d’un procés per verificar i avaluar regularment l'eficàcia de les mesures tècniques i organitzatives establertes per garantir la seguretat del tractament.

19. Notificació de violacions de seguretat

Si es produeix una violació de la seguretat, el responsable l’ha de notificar a l'autoritat de control en un termini màxim de 72 hores, tret que sigui improbable que constitueixi un risc per als drets i les llibertats de les persones.

A més, quan sigui probable que la violació comporti un alt risc per als drets de les persones interessades, el responsable l'ha de comunicar a les persones afectades sense dilacions indegudes i en un llenguatge clar i senzill, tret que:

  • El responsable hagi adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles per a persones no autoritzades.
  • El responsable hagi aplicat mesures posteriors que garanteixen que ja no hi ha la probabilitat que es concreti l'alt risc.
  • Suposi un esforç desproporcionat.

Quin és el termini per notificar una violació de seguretat a l’autoritat de control?

La notificació de la fallada a les autoritats s’ha de produir sense dilació indeguda i, si és possible, dins de les 72 hores següents que el responsable n’ha tingut constància. Aquest criteri pot ser objecte d'interpretacions variades. En general, es considera que es té constància d'una violació de seguretat quan hi ha una certesa que s'ha produït i se’n té un coneixement suficient de la naturalesa i l’abast. La mera sospita que hi ha hagut una fallada o la constatació que ha succeït algun tipus d'incident, sense que se’n coneguin mínimament les circumstàncies, encara no haurien de donar lloc a la notificació ja que, en la majoria dels casos, en aquestes condicions no es pot determinar fins a quin punt hi pot haver un risc per als drets i les llibertats de les persones interessades.

No obstant això, en casos de fallades que per les seves característiques puguin tenir un gran impacte, sí que pot ser recomanable contactar amb l'autoritat de supervisió tan aviat com hi hagi evidències que s'ha produït una situació irregular respecte de la seguretat de les dades. Això, sense perjudici que aquests primers contactes es completin amb una notificació formal, més completa, dins del termini legalment previst.

Hi pot haver casos en què la notificació no es pugui fer en aquestes 72 hores, per exemple a causa de la complexitat a l’hora de determinar-ne completament l’abast. En aquests casos, la notificació es pot fer posteriorment, acompanyada d'una explicació dels motius que han ocasionat el retard.

Quin ha de ser el contingut de la notificació d’una violació de seguretat a l’autoritat de control?

La notificació ha d'incloure un contingut mínim que el mateix RGPD estableix i que inclou elements com la naturalesa de la violació, les categories de dades i d'interessats afectats, les mesures adoptades pel responsable per solucionar la fallada i, si escau, les mesures aplicades per pal·liar els possibles efectes negatius sobre les persones interessades. La informació també es pot proporcionar de forma escalonada, quan no es pugui fer al mateix moment de la notificació.

El Grup de l'article 29 prepararà un formulari estandarditzat d’àmbit europeu, tant per ajudar els responsables a presentar unes notificacions completes, d'acord amb els criteris de l’RGPD, com perquè aquestes notificacions es facin de manera harmonitzada a tota la Unió Europea.

Amb independència de la notificació a les autoritats, els responsables han de documentar totes les violacions de seguretat. Es tracta d'una obligació que estableix l’RGPD i que s'aproxima molt al registre d'incidències que preveu el Reglament de desenvolupament de l’LOPD.

Quan és probable que una violació de seguretat comporti un risc alt per als drets de les persones interessades?

El criteri de l'alt risc que esmenta l’RGPD s’ha d'entendre en el sentit que sigui probable que la violació de seguretat ocasioni danys importants a les persones interessades. Això pot succeir, per exemple, si es revela informació confidencial, com contrasenyes o la participació en determinades activitats, si es difonen dades sensibles de forma massiva o si es poden produir perjudicis econòmics per als afectats.

Quin és el règim jurídic de la notificació als afectats d’una violació de seguretat?

L'objectiu d'aquesta notificació ha de ser permetre que els afectats puguin prendre mesures per protegir-se de les conseqüències de la violació de seguretat. Per això, l’RGPD requereix que se’ls notifiqui sense dilació indeguda i sense fer referència ni al moment en què se’n té constància ni tampoc a la possibilitat d'efectuar la notificació dins d'un termini de 72 hores. El propòsit és sempre que l'interessat afectat pugui reaccionar tan aviat com sigui possible.

Pels mateixos motius, l’RGPD afegeix als continguts de la notificació les recomanacions sobre les mesures que poden prendre les persones interessades per fer front a les conseqüències de la fallada.

20. Finestreta única

Aquest sistema permet que els ciutadans i també els responsables establerts en diferents estats membres o que facin tractaments que afecten diferents estats membres tinguin una única autoritat de protecció de dades com a interlocutora.