3 minute read
Espai jurídic
August González Ausín advocat de l’Institut Qualitas
Novetats en la normativa europea de protecció de dades personals
Advertisement
Si bé a l’Estat espanyol ja existeix una llei que regula la protecció de dades personals des de l’any 1999, des del passat 25 de maig resulta d’aplicació també un nou reglament europeu sobre aquesta matèria, directament aplicable als Estats membres de la UE, i que introdueix novetats substancials.
N’assenyalem a continuació els aspectes més destacables.
Nou règim aplicable al consentiment
El Reglament exigeix que el consentiment atorgat per les persones les dades de les quals són objecte de tractament sigui exprés, de manera que s’elimina la possibilitat del consentiment tàcit (fins el 25/05/2018 era admès en determinats casos).
Informació
S’estableix l’obligació d’informar als interessats (de forma expressa i amb un llenguatge clar i entenedor) sobre aspectes fins ara no previstos, com el fonament legal que permet el tractament de dades, el període de conservació de les dades i el dret dels interessats d’adreçar-se a les autoritats de protecció de dades si consideren que no s’estan gestionant bé les seves dades.
Avaluacions d’impacte sobre la protecció de dades
És una novetat. S’estableix l’obligació de realitzar aquesta avaluació quan el tractament de les dades pot comportar un alt risc per als drets i llibertats de les persones. Caldrà avaluar, abans d’iniciar el tractament d’aquestes dades, l’origen, la naturalesa, la particularitat i la gravetat del risc.
Drets
A banda dels tradicionals drets “ARCO” (accés, rectificació, cancel·lació i oposició), se n’afegeixen d’altres, com el “dret a l’oblit” (dret de cancel·lació i oposició aplicable a Internet), el dret de limitació (per tal d’aconseguir el bloqueig de les dades, amb possibilitat de tractar-les només en supòsits molt concrets) i el de portabilitat (recuperar les dades en un format que permeti el seu trasllat a un altre responsable).
Comunicació d’errors a l’autoritat de protecció de dades
Una altra novetat. S’estableix l’obligació de notificar a l’autoritat de control (Agencia Española de Protección de Datos o Autoritat Catalana de Protecció de Dades, segons correspongui) els errors de seguretat que s’hagin produït, en un termini de 72 hores. No caldrà fer-ho si es considera que és “ improbable que suposi un risc per als drets i llibertats de les persones”.
Delegat de Protecció de Dades (DPO)
És una nova figura creada pel Reglament, i que serà obligatòria quan el tractament de dades es realitzi per una autoritat o organisme públic (excepte tribunals de justícia), quan l’activitat principal de l’empresa consisteixi en operacions que requereixen una gestió habitual i sistemàtica de dades a gran escala, o quan l’activitat principal de l’empresa consisteixi en el tractament a gran escala de categories especials de dades personals (dades sensibles, com, per exemple, les dades sanitàries) i de dades relatives a condemnes o infraccions penals. El DPO ha de ser una persona amb coneixements jurídics i de la pràctica de la protecció de dades. Pot ser un assalariat intern de la plantilla de l’empresa o un assessor extern, i té funcions informatives, consultives, d’assessorament i d’interlocució davant de les autoritats de control.
Contingut mínim dels contractes entre responsables i encarregats del tractament de les dades
S’estableix un contingut mínim que han de preveure tots els contractes amb les empreses prestadores de serveis que tenen accés a les dades (per exemple, gestories, assessors, informàtics, etc.), amb la qual cosa cal adaptar els corresponents contractes a aquest contingut.
Registre de tractament de dades
Una altra novetat. Les organitzacions que realitzin habitualment tractament de dades de risc per a la privacitat o tractin dades especialment sensibles (per exemple, sanitàries) hauran d’establir un registre del tractament de les dades que es desenvolupi sota la seva responsabilitat.
En definitiva, es tracta de novetats molt importants, que suposen un canvi substancial en la gestió de la protecció de dades, de manera que les empreses i els professionals han d’esmerçar molts esforços i recursos per a l’adaptació a aquest nou marc normatiu.
