El nou Reglament Europeu de Protecció de Dades, que entrarà en vigor d’aquí a un any (el maig del 2018), incorpora canvis molt significatius en el tractament de les dades personals, tant pel que fa als drets de les persones com a les obligacions de les organitzacions i entitats.
Avui en dia, ja no cal insistir gaire en la importància que té una bona i responsable gestió i seguretat de les dades d’una organització, es dediqui al que es dediqui. El tractament de les dades, tant si es generen com si s’obtenen, són sens dubte el petroli del segle XXI.
Així doncs, aquelles organitzacions que encara no s’han adonat de les necessitats d’incorporar la gestió i el tractament de les bases de dades al seu pla estratègic, tenen un any per començar a assumir la conveniència d’adequar-s’hi. Aquestes noves mesures i criteris de gestió, que inclou el nou Reglament Europeu, s’hauran d’incorporar, sí o sí, al tractament que fan les organitzacions de les dades personals.
De les novetats introduïdes al nou Reglament (UE) 2016/679, del Parlament i del Consell, de 27 d’abril de 2016 (RGPD); en destacar les següents:
1. Principi de responsabilitat proactiva;
2. L’enfocament del risc;
3. Noves categories especials de dades (Dades genètiques i Dades biomètriques);
4. El consentiment s’haurà de prestar mitjançant una declaració inequívoca o una acció afirmativa clara i, en determinades situacions, aquest també haurà de ser explícit;
5. El Dret d’informació es configura com un dret de les persones afectades i amplia les qüestions sobre les quals cal informar;
6. S’incorpora i es regula el Dret a l’oblit com un dret vinculat al dret de supressió, al dret a la limitació del tractament i al dret a la portabilitat;
7. Es suprimeix la necessitat de crear formalment els fitxers i notificar-los al registre de protecció de dades de l’autoritat de control;
8. S’amplia el contingut mínim del contracte de tractament;
9. En els casos en que el tractament de dades suposi un risc alt per als drets i llibertats de les persones físiques; abans d’iniciar el tractament, el responsable ha de fer una avaluació de l’impacte de les operacions de tractament en protecció de dades personals;
10. S’incorporen els conceptes de privacitat des del disseny i privacitat per defecte;
11. Promoure la creació de codis de conducta;
12. Es promouen els mecanismes de certificació, segells o marques per a acreditar el compliment del RGPD.
13. Neix la figura del “Delegat de protecció de dades” de les organitzacions.
14. El responsable i l’encarregat del tractament hauran d’aplicar les mesures tècniques i organitzatives adequades al risc que comporta el tractament; desapareixen les tipologies de dades;
15. En cas de violació de la seguretat, el responsable l’ha de notificar a l’autoritat de control, en el termini màxim de 72 hores.
16. Es crea la finestreta única amb la voluntat que els estats membres tingui una única autoritat de protecció de dades com a interlocutora.
En properes publicacions, anirem ampliant l’anàlisi i estudi de cadascuna d’aquestes novetats.
…les Dades al poder!!
Jordi Cugat
Consultor legal
MITJANS ADVOCATS
Barcelona, 23 de maig de 2017