La 8ª sessió anual oberta de l’Agència Espanyola de Protecció de Dades, celebrada el passat 29 de juny de 2016, es va centrar especialment en el nou Reglament General de Protecció de Dades (RGPD). També van parlar de la LOPD i de les seves modificacions, de la LSSIce, del Privacy Shield, de les col·laboracions de l’AEPD amb d’altres administracions o associacions i del Big Data, entre d’altres temes.
Al principi l’AEPD va remarcar que actualitzarà el seu estatut, crearà nou material sobre el Reglament General de Protecció de Dades (RGPD) i estan treballant en les mesures a exigir als titulars. També van remarcar que l’AEPD ha introduït en totes las resolucions sancionadores el pagament fraccionat.
Un resum de la sessió dividit per temes:
Reglament General de Protecció de Dades (RGPD)
El Reglament General de Protecció de Dades (RGPD) es basa en quatre eixos:
- Harmonització: l’AEPD, l’Agència Basca i la Catalana interpretaran per igual el RGPD.
- Tots els ciutadans europeus tindran més control sobre les seves dades personals.
- Les empreses, institucions, associacions, administracions, etc. han de tenir un compromís actiu amb el nou reglament.
- Hi ha un sistema reforçat de supervisió.
Important: tots hem de complir i adapta’ns al RGPD, perquè el 25 de maig de 2018 ja haurem d’estar adaptats i complint el Reglament.
Haurà d’haver-hi un consentiment inequívoc per part de la persona que recavem dades personals: el consentiment s’ha de prestar mitjançant una declaració o una acció clara afirmativa; ja no servirà el consentiment tàcit (que suposem). En conseqüència, els consentiments sol·licitats anteriorment de forma tàcita s’han d’adaptar al RGPD. A més a més, si en el consentiment existeixen varies finalitats, s’han de consentir totes.
Si existeix una oposició al tractament de dades personals el Responsable del Fitxer haurà de demostrar un interès legítim superior o, pel contrari, estarà obligat a fer efectiva l’oposició.
Es redueix de tres a un mes el termini general per informar a l’interessat quan no s’han recavat les seves dades personals directament, excepte en la primera comunicació o/i abans de la cessió de les dades.
Si es tracten dades personals de ciutadans europeus o de residents a Europa i se’ls hi ofereix productes o serveis, s’ha d’aplicar el RGPD encara que la seu de l’empresa o administració no estigui dins de la Unió Europea.
L’AEPD considera que el Delegat de Protecció de Dades (DPO) haurà de ser una figura independent que tindrà una gran responsabilitat i haurà de tenir alts coneixements en protecció de dades, a més a més d’autonomia i alta capacitat per actuar. En administracions i quan es tractin dades a gran escala (encara no queda clar el concepte “a gran escala”) serà obligatori disposar d’un DPO; en altres casos es recomanable.
El Reglament especificarà un contingut mínim pels contractes entre l’Encarregat de Tractament i el Responsable del Fitxer. Hi haurà models orientatius. L’encarregat de Tractament haurà de ser capaç de complir amb les obligacions establertes al RGPD.
S’afegeix una nova dada especialment protegida: genètiques i biomètriques, perquè identifiquen inequívocament a una persona.
El dret a l’oblit és la manifestació, a internet, dels drets de cancel·lació i oposició. Primer s’haurà de demanar al responsable abans que al servei de cerques; si no es tramita en aquest ordre no serà admès.
Nous drets pels interessats: la limitació de tractament i el dret a la portabilitat.
Canvi total d’enfocament del RGPD davant la LOPD: els Responsables i Encarregat hauran de demostrar que estan complint el Reglament, no n’hi haurà prou amb “no incomplir”.
Sempre s’haurà de notificar a les Autoritats Europees les violacions de seguretat (excepte excepcions). Si les violacions de seguretat comporten un alt risc pels drets i llibertats dels afectats, també se’ls hi haurà de notificar a aquests.
L’anàlisi de riscos serà fonamental perquè no hi ha una llista tancada de mesures de seguretat.
Amb el RGPD la seguretat i confidencialitat no és només una obligació, també passa a ser un dret i principi essencial.
Llei Orgànica de Protecció de Dadetos de caràcter personal (LOPD)
La Llei Orgànica de Protecció de Dades de caràcter personal (LOPD) no es derogarà, serà modificada igual que l’estatut de l’AEPD, per adaptar-se al nou Reglament.
S’ha de seguir notificant fitxers a l’AEPD fins al 28 de maig de 2018; a partir d’aquesta data ja no serà obligatori notificar-los.
Videovigilància: si es col·loquen càmeres falses no es capten imatges: en conseqüència no hi ha tractament de dades i no entra dins l’àmbit de la LOPD.
Privacy Shield
Des del gener de 2016 existeix un principi d’acord per la transferència de dades de caràcter personal entre Europa i els Estats Units, per substituir el derogat Safe Harbor: la nova regulació s’anomena “Privacy Shield”. Però, arrel de l’anàlisi de l’Article 29, la Comissió Europea ha hagut de negociar modificacions amb els EEUU i s’han de millorar determinades carències abans de la seva aprovació i adopció.