NOU REGLAMENT GENERAL DE PROTECCIÓ DE DADES DE LA UE

9 mai 2018
General - Jurídic

Fem arribar aquesta circular als nostres clients amb la finalitat de informar sobre els canvis que suposarà l’entrada en vigor, el proper 25 de maig de 2.018, del nou Reglament (UE) 2016/679 del Parlament Europeu (RGPD – Reglamento General de Protecció de Dades), finalitzant el termini de dos anys concedit per a l’adequació d’ aquesta nova regulació. Amb això, a l’esmentada data, quedaran derogats la Llei i el Reglament espanyols (Llei 15/1999 de Protecció de Dades i Reial Decret 1720/2007 de desenvolupament).

Totes les empreses hauran d’adaptar-se al nou Reglament, i no fer-ho pot implicar importants sancions. Per aquesta raó, informem de les principals novetats que implicarà aquesta nova regulació.

Destaquem algunes de les novetats del nou Reglament General de Protecció de Dades de la UE (RGPD), Reglament (UE) 2016/679, que és d’aplicació directa a partir del 25 de maig de 2018.

El RGPD amplia el seu àmbit d’aplicació a aquelles empreses no establertes a la Unió Europea que realitzin tractaments derivats d’una oferta de béns o serveis destinats a ciutadans de la UE o com a conseqüència d’un monitoratge i seguiment del seu comportament.

El RGPD inclou la regulació de dos nous drets: el dret a l’oblit i el dret a la portabilitat. A més, estableix condicions concretes sobre el procediment a seguir per atendre a les persones interessades en l’exercici dels seus drets:

  • El dret a l’oblit és la conseqüència de l’aplicació del dret a l’esborrat de les dades personals. És una manifestació dels drets de cancel·lació o d’oposició en l’entorn online.
  • El dret a la portabilitat de les dades és una forma avançada del dret d’accés pel qual la còpia que es proporciona a l’interessat ha d’oferir en un format estructurat, d’ús comú i lectura mecànica que permeti el seu trasllat a un altre responsable.

El RGPD estableix un tractament de dades basat en el consentiment “inequívoc” de l’afectat. El consentiment inequívoc és aquell que s’ha prestat mitjançant una manifestació de l’interessat o mitjançant una clara acció afirmativa. No s’admeten formes de consentiment tàcit o per omissió, ja que es basen en la inacció.

El Reglament preveu que el consentiment, a més d’inequívoc ha de ser explícit en alguns casos, com per al tractament de dades sensibles, adopció de decisions automatitzades i transferències internacionals.

Quan el tractament es basi en un consentiment atorgat amb anterioritat a l’aplicació del Reglament (UE) 2016/679, no serà necessari demanar novament aquest consentiment si la forma en què es va atorgar s’ajusta a les condicions del nou reglament
El RGPD atorga especial importància a la transparència i informació als interessats. La informació als interessats, tant pel que fa a les condicions dels tractaments que els afectin com en les respostes als exercicis dels seus drets, s’ha de proporcionar de forma concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill.

D’altra banda, el principi de transparencia del RGPD, a diferenci d’anteriors regulacions, obliga a informar respecte a terminis de conservació de les dades i respecte a la base jurídica del tractament )es a dir, respecte a les condicions que determinen la sol·licitud) en virtut de l’article 6 del Reglament.

El RGPD estableix algunes novetats en les relacions responsable-encarregat:

  • Els responsables i encarregats tenen l’obligació de mantenir un registre d’activitats de tractament en el que contingui la informació que estableix el RGPD (amb un contingut mínim equivalent al actual Document de Seguretat).. Estan exemptes les organitzacions que ocupen menys de 250 treballadors, llevat que el tractament que realitzen pugui comportar un risc per als drets i llibertats dels interessats, no sigui ocasional o inclogui categories especials de dades personals o dades relatives a condemnes i infraccions penals .
  • Les relacions entre el responsable i l’encarregat s’han de formalitzar en un contracte o en un acte jurídic que vinculi l’encarregat respecte al responsable. El RGPD regula el contingut mínim. Aquest contracte haurà d’incloure una descripció detallada dels serveis prestats, així com la naturalesa o finalitat del tractament, les mesures aplicades, la duració, el tipus de dades personals i categories d’interessats; també haurà d’incloure les obligacions i drets del responsable, citar les possibles transferències internacionals de dades i les subcontractacions previstes. En darrer lloc, haurà d’indicar que passa quan es finalitza el tractament.

Amb l’entrada en vigor del RGPD, desapareix l’actual obligació d’inscripció de fitxers a l’Agència Espanyola de Protecció de Dades (AEPD), substituida per l’esmentada obligació de portar un “registre d’activitats de tractament”

El RGPD estableix un catàleg de mesures de responsabilitat activa: – protecció de dades des del disseny i per defecte- mesures de seguretat – realització d’avaluacions d’impactes sobre la protecció de dades- notificació de violacions de la seguretat de les dades- promoció de codis de conducta i esquemes de certificació- nomenament d’un delegat de protecció de dades- manteniment del registre d’activitats de tractament.

Els responsables de tractament hauran de realitzar una avaluació d’impacte sobre la Protecció de Dades, amb caràcter previ a la posada en marxa d’aquells tractaments que sigui probable que comportin un alt risc per als drets i llibertats dels interessats

El RGPD estableix la nova figura del delegat de protecció de dades (DPD), que serà obligatori a:

  • Autoritats i organismes públics
  • Responsables o encarregats que tinguin entre les seves activitats principals operacions de tractament que requereixin una observació habitual i sistemàtica d’interessats a gran escala.
  • Responsables o encarregats que tinguin entre les seves activitats principals el tractament a gran escala de dades sensibles.

El DPD ha de ser nomenat atenent les seves qualitats professionals, i en particular, als seus coneixements especialitzats del Dret i la pràctica de la protecció de dades, tot i que no ha de tenir una titulació específica

El nou RGPD preveu sancions a l’ incompliment que poden arribar fins als 20 milions d’euros o fins al 4% del volum de negoci de l’infractor.
Actualment, es troba en tràmit parlamentari, el projecte de Llei Orgànica de Protecció de dades de caràcter personal que adaptarà la legislació espanyola al nou RGPD, i que substituirà l’actual Llei Orgànica