Nou reglament general de protecció de dades (RGDP) de la UE
Destaquem algunes de les novetats del nou Reglament General de Protecció de Dades de la UE (RGPD), Reglament (UE) 2016/679, que és d’aplicació directa a partir del 25 de maig de 2018.
El RGPD amplia el seu àmbit d’aplicació a aquelles empreses no establertes a la Unió Europea que realitzin tractaments derivats d’una oferta de béns o serveis destinats a ciutadans de la UE o com a conseqüència d’un monitoratge i seguiment del seu comportament.
El RGPD inclou la regulació de dos nous drets: el dret a l’oblit i el dret a la portabilitat. A més, estableix condicions concretes sobre el procediment a seguir per atendre a les persones interessades en l’exercici dels seus drets:
- El dret a l’oblit és la conseqüència de l’aplicació del dret a l’esborrat de les dades personals. És una manifestació dels drets de cancel·lació o d’oposició en l’entorn online.
- El dret a la portabilitat de les dades és una forma avançada del dret d’accés pel qual la còpia que es proporciona a l’interessat ha d’oferir en un format estructurat, d’ús comú i lectura mecànica que permeti el seu trasllat a un altre responsable.
El RGPD estableix un tractament de dades basat en el consentiment «inequívoc» de l’afectat. El consentiment inequívoc és aquell que s’ha prestat mitjançant una manifestació de l’interessat o mitjançant una clara acció afirmativa. No s’admeten formes de consentiment tàcit o per omissió, ja que es basen en la inacció.
El Reglament preveu que el consentiment, a més d’inequívoc ha de ser explícit en alguns casos, com per al tractament de dades sensibles, adopció de decisions automatitzades i transferències internacionals.
Quan el tractament es basi en un consentiment atorgat amb anterioritat a l’aplicació del Reglament (UE) 2016/679, no serà necessari demanar novament aquest consentiment si la forma en què es va atorgar s’ajusta a les condicions del nou reglament.
El RGPD atorga especial importància a la transparència i informació als interessats. La informació als interessats, tant pel que fa a les condicions dels tractaments que els afectin com en les respostes als exercicis dels seus drets, s’ha de proporcionar de forma concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill.
El RGPD estableix algunes novetats en les relacions responsable-encarregat:
- Els responsables i encarregats tenen l’obligació de mantenir un registre d’activitats de tractament en el que contingui la informació que estableix el RGPD. Estan exemptes les organitzacions que ocupen menys de 250 treballadors, llevat que el tractament que realitzen pugui comportar un risc per als drets i llibertats dels interessats, no sigui ocasional o inclogui categories especials de dades personals o dades relatives a condemnes i infraccions penals.
- Les relacions entre el responsable i l’encarregat s’han de formalitzar en un contracte o en un acte jurídic que vinculi l’encarregat respecte al responsable. El RGPD regula el contingut mínim.
El RGPD estableix un catàleg de mesures de responsabilitat activa:
- protecció de dades des del disseny i per defecte.
- mesures de seguretat.
- realització d’avaluacions d’impactes sobre la protecció de dades.
- notificació de violacions de la seguretat de les dades.
- promoció de codis de conducta i esquemes de certificació.
- nomenament d’un delegat de protecció de dades.
- manteniment del registre d’activitats de tractament.
Els responsables de tractament hauran de realitzar una avaluació d’impacte sobre la Protecció de Dades, amb caràcter previ a la posada en marxa d’aquells tractaments que sigui probable que comportin un alt risc per als drets i llibertats dels interessats.
El RGPD estableix la nova figura del delegat de protecció de dades (DPD), que serà obligatori a:
- Autoritats i organismes públics.
- Responsables o encarregats que tinguin entre les seves activitats principals operacions de tractament que requereixin una observació habitual i sistemàtica d’interessats a gran escala.
- Responsables o encarregats que tinguin entre les seves activitats principals el tractament a gran escala de dades sensibles.
El DPD ha de ser nomenat atenent les seves qualitats professionals, i en particular, als seus coneixements especialitzats del Dret i la pràctica de la protecció de dades, tot i que no ha de tenir una titulació específica.
El nou RGPD preveu sancions a l’ incompliment que poden arribar fins als 20 milions d’euros o fins al 4% del volum de negoci de l’infractor.