El passat 25 de maig de 2016 va entrar en vigor el Reglament General de Protecció de Dades, i, com tota novetat, genera preguntes.
12 de les quals les ha plantejat la pròpia Agència Espanyola de Protecció de dades, proporcionant a la vegada les respostes, per facilitar la comprensió del nou marc normatiu als ciutadans i ajudar a les organitzacions a adaptar-se als canvis que incorpora i complir així amb les seves obligacions.
1. L’entrada en vigor del Reglament, suposa que ja no s’aplica la Llei Orgànica de Protecció de Dades espanyola?
No. El Reglament va entrar en vigor el 25 de maig de 2016, però no començarà a aplicar-se fins dos anys després, 25 de maig de 2018. Fins aleshores, les normes nacionals i la Directiva 95/46 que la transposen, segueixen essent plenament vàlides i aplicables.
2. Quin és, llavors, el significat de què el Reglament hagi entrat en vigor?
El període de dos anys fins a la seva aplicació té com a objectiu permetre que els Estats de la Unió Europea, les Institucions Europees i també les organitzacions que tracten dades puguin preparar-se i adaptar-se pel moment en què el Reglament sigui aplicable.
Els Estats membres poden adoptar o iniciar l’elaboració de determinades normes per l’aplicació del Reglament, les quals no poden ser contràries a les disposicions de la vigent Directiva, ni tampoc anar més enllà dels poders d’actuació normativa que el mateix Reglament preveu.
3. A quines empreses o organitzacions s’aplica?
El Reglament s’aplicarà com fins ara a responsables o encarregats del tractament de dades establerts en la Unió Europea, i s’amplia a responsables i encarregats no establerts en la UE sempre que realitzin tractaments derivats d’una oferta de béns o serveis destinats a ciutadans de la Unió o com a conseqüència d’una monitorització i seguiment del seu comportament.
Aquestes organitzacions hauran d’anomenar un representant de la Unió Europea, que actuarà com a punt de contacte de les Autoritats de supervisió i els ciutadans i que, en cas de ser necessari, podrà ser destinatari de les accions de supervisió que desenvolupen aquestes autoritats.
4. Què implica pels ciutadans que el Reglament ampliï l’àmbit d’aplicació territorial?
Aquesta novetat suposa una garantia addicional als ciutadans europeus. Actualment, per tractar dades no és necessari mantenir presència física sobre el territori, pel que el Reglament pretén adaptar els criteris que determinen quines empreses han de complir a la realitat del món d’Internet. Això permet que el Reglament sigui aplicable a empreses que podien estar tractant dades de persones en la Unió i que es regirien per normatives d’altres regions o països amb nivells de protecció diferents de la normativa europea.
5. Quines noves eines de control de dades posseeixen els ciutadans?
S’introdueixen nous elements, com el dret a l’oblit i el dret a la portabilitat, que milloren la capacitat de decisió i control dels ciutadans sobre les seves dades personals.
El dret a l’oblit es presenta com la conseqüència del dret que tenen a sol·licitat de què totes les seves dades personals siguin suprimides quan aquestes no siguin necessàries per la finalitat amb la qual van ser recollides, quan s’hagi retirat el consentiment o quan aquestes s’hagin recollit de forma il·lícita.
Tanmateix, suposa que l’interessat pot sol·licitat que es bloquegin en les llistes de resultats de buscadors els vincles que condueixin a informacions que l’afectin que resultin obsoletes, incompletes, falses o irrellevants i no siguin d’interès públic, entre d’altres motius.
Per una altra part, el dret a la portabilitat implica que l’interessat que hagi proporcionat les seves dades a un responsable que les estigui tractant de manera automatitzada podrà sol·licitar recuperar aquestes dades en un format que li permeti el seu trasllat a un altre responsable.
6. A quina edat poden els menors donar consentiment pel tractament de les seves dades personals?
El Reglament estableix que l’edat amb la qual els menors poden donar per ells mateixos el consentiment pel tractament de les seves dades personals en l’àmbit dels serveis de la societat de la informació (per exemple, xarxes socials) és de 16 anys. Cal tenir en compte que, permet rebaixar aquesta edat i cada Estat membre pot establir la seva pròpia, establint el mínim als 13 anys. En el cas d’Espanya, aquest límit continua essent els 14. Per sota d’aquesta edat, és necessari el consentiment dels pares o tutors.
És important recordar que el consentiment ha de ser verificable i que l’avís de privacitat ha d’estar escrit en un llenguatge que els nens puguin entendre.
7. Què implica la responsabilitat activa recollida en el Reglament?
El Reglament es basa, entre altres aspectes essencials, en la prevenció per part de les organitzacions que tracten dades. El que es coneix com responsabilitat activa.
Les empreses han d’adoptar mesures que assegurin que estan en condicions de complir amb els principis, drets i garanties que el Reglament estableix. El Reglament entén que, actual només quan s’hagi produït una infracció és insuficient com estratègia, doncs aquesta infracció pot causar danys als interessats i poden ser molt difícil de compensar o reparar. El Reglament preveu una bateria de mesures:
- Protecció de dades des del disseny
- Protecció de dades per defecte
- Mesures de seguretat
- Manteniment d’un registre de tractaments
- Realització d’avaluacions d’impacte sobre la protecció de dades
- Nomenament d’un delegat de protecció de dades
- Notificació de violacions de la seguretat de les dades
- Promoció de codis de conducta i esquemes de certificació
8. Aleshores, suposa una major càrrega d’obligacions per les empreses?
El Reglament suposa un major compromís de les organitzacions amb la protecció de dades. Això no implica necessàriament ni en tots els casos una major càrrega. En molts casos serà només una forma de gestionar la protecció de dades diferent de l’emprada fins al moment.
El Reglament introdueix algunes mesures, algunes són una continuació i altres canvien a altres ja existents, com és el cas de les mesures de seguretat i, fins a cert punt, l’avaluació de l’impacte i la consulta a Autoritats de supervisió.
Altres constitueixen la formalització en una norma legal de pràctiques ja molt esteses en les que empreses o que, en tots els casos, formarien part d’una correcta posada en marxa del tractament de les dades.
En tots els casos, el Reglament preveu que l’obligació d’aquestes mesures, o el mètode en què s’apliquen, dependrà de factors tals com el tipus de tractament, els costos d’implementació de les mesures o el risc que el tractament presenta pels drets i llibertats dels titulars de les dades.
És necessari que totes les organitzacions que tracten amb dades realitzin un anàlisis de risc dels seus tractaments per poder determinar quines mesures s’han d’aplicar i com fer-ho.
9. Canvia la forma en què s’ha d’obtenir el consentiment?
El Reglament demana que el consentiment sigui lliure, informat, específic i inequívoc. Per considerar que el consentiment és “inequívoc”, el Reglament requereix que hi hagi una declaració dels interessats o una acció positiva que indiqui l’acord de l’interessat. El consentiment no podrà deduir-se del silenci o de la inacció dels ciutadans.
Les empreses haurien de revisar la forma en la que obtenen i registren el consentiment.
Pràctiques que s’enquadren en l’anomenat consentiment tàcit i que són acceptades sota la normativa actual, deixaran de ser-ho quan el Reglament sigui d’aplicació.
A més a més, aquest consentiment ha de ser “explícit” en alguns casos, com autoritzar el tractament de dades sensibles. Un requisit més estricte i serà necessari que la declaració i acció es defereixin explícitament al consentiment i al tractament en qüestió.
10. Han de revisar els seus avisos de privacitat les empreses?
Amb caràcter general, si. El Reglament preveu que s’incloguin en la informació que es proporciona als interessats una sèrie de qüestions que amb la Directiva i moltes lleis nacionals de transposició no eren necessàriament obligatòries.
Per exemple, haurà d’explicar la base legal pel tractament de les dades, els períodes de retenció i que els interessats poden dirigir les seves recomanacions a les Autoritats de protecció de dades si creuen que hi ha un problema amb la forma en que s’estan gestionant les seves dades.
11. En què consisteix el sistema de “finestra única”?
Aquest sistema està pensat perquè els responsables establerts en diversos Estats membres o que, estant en un únic Estat membre, tractin dades que afecten significativament a ciutadans en diversos Estats de la UE tinguin una única Autoritat de protecció de dades com interlocutora.
A més a més implica que cada Autoritat de protecció de dades europea valorarà si el supòsit té caràcter transfronterer, en aquest cas, s’haurà d’obrir un procediment de cooperació entre totes les Autoritats afectades, buscant una solució acceptable per elles.
Aquest nou sistema no suposa que els ciutadans hagin de relacionar-se amb diverses Autoritats o amb Autoritats diferents de l’Estat on resideixen. La finestra única, en tot cas, no afectarà a empreses que només estan en un Estat membre i que realitzin tractament que afectin només a interessats en aquest Estat.
12. Han de començar les empreses a aplicar ja les mesures contemplades en el Reglament?
No. El Reglament està en vigor, però no serà aplicable fins el 2018.
En canvi, pot ser útil començar ja a valorar la implementació d’algunes mesures previstes, sempre que aquestes no siguin contradictòries amb la LOPD.
Res impedeix que les organitzacions comencin a planificar o a establir el registre del tractament de dades o a implementar avaluacions d’impacte o qualsevol de les altres mesures previstes.
L’avantatge d’una ràpida aplicació és que permetrà detectar dificultats, insuficiències o errors en una etapa en què aquestes mesures no són obligatòries i, en conseqüència, la seva correcció o eficàcia no estaran sotmeses a supervisió.
