NOVETATS EN L’ÀMBIT DE LA PROTECCIÓ DE DADES

21 abr 2017
Jurídic

El nou Reglament General de Protecció de Dades (en endavant RGPD), que va entrar en vigor el passat 25 de Maig de 2.016 i serà directament aplicable a partir del 25 de Maig de 2.018, introdueix diverses novetats que tindran efectes a les legislacions nacionals dels Estats Membres.

En aquest moment, a Espanya ja s’està treballant en un avantprojecte de llei que modificaria la vigent L.O.P.D. amb l’objectiu d’adaptar-se a aquest nou reglament europeu i facilitar-ne l’aplicació.

Enumerem les principals novetats introduïdes pel RGPD:

Extensió de l’àmbit d’aplicació territorial

L’article 3 del RGPD estableix que aquest s’aplica al tractament de dades personals realitzades per un Responsable o Encarregat amb establiment a la UE i també a tractaments per part d’un Responsable o Encarregat no establert al territori de la UE, quan les activitats estiguin relacionades amb la oferta de bens i serveis a interessats que resideixin a la UE. Es a dir, el RGPD es aplicable a tercers països on es tractin dades de ciutadans europeus.

Eliminació de l’obligació de notificar fitxers a la AEPD.

Fins aquest moment era obligatòria la inscripció de fitxers per part dels Responsables i Encarregats del tractament. Amb el RGPD els responsables hauran de portar un registre intern d’activitats de tractament de dades; però desapareix l’obligació de notificar els fitxers a la Agencia Espanyola de Protecció de Dades. Es a dir, l’obligació persistirà únicament fins al 25 de maig de 2.018, moment en que el reglament serà directament aplicable.

Obligació de notificar els defectes de seguretat.

L’article 33 del RGPD obliga a informar en un termini de 72 hores respecte a qualsevol fissura o defecte en la protecció de dades. L’empresa haurà de notificar a l’Autoritat de Control competent dintre de l’esmentat termini, i si no s’ha realitzat la notificació dins del mateix s’haurà de justificar degudament la dilació. També s’estableix l’obligació de notificar als interessats (art. 44 RGPD) respecte a qualsevol violació de seguretat.

Mesures de seguretat

El RGPD, a diferència de la LOPD, no introdueix un llistat de mesures de seguretat; es limita a indicar que les mesures que es prenguin han de ser apropiades pel compliment de les obligacions de protecció de dades. Així doncs, hi haurà una major llibertat per part de les empreses per establir les seves pròpies mesures de seguretat, sempre que aquestes siguin objectivament eficients per complir satisfactòriament les obligacions.

Augment de les sancions.

En aplicació de la LOPD, la màxima sanció possible era de 600.000 euros, però el nou RGPD estableix un màxim de 20 milions d’ euros o un 4% del volum total del negoci.

Dret a l’oblit.

Regulat per l’article 17 del nou RGPD, permet a l’interessat obtenir sense cap dilació indeguda l’eliminació de les seves dades personals. Aquest dret no deixa de ser una manifestació dels tradicionals drets d’oposició i cancel·lació; però reforçat i garantit també a l’entorn d’internet. S’estableix així el dret reconegut pel Tribunal de Justícia de la Unió Europea a l’assumpte c- 131/12 (Mario Costeja contra Google) en el que es va condemnar al buscador a desindexar dades personals que havien perdut rellevància informativa.

Com es pot constatar, el nou RGPD comporta modificacions significatives que hauran de considerar les empreses. Alguns dels canvis suposen una major llibertat i una disminució d’obligacions respecte a les autoritats de control; però la responsabilitat i la quantia de les sancions augmenta, circumstància que cal tenir en compte.

                            Pol Almaraz

                            ICAB 38.066