El 25 de maig de 2016 va entrar en vigor el Reglament General de Protecció de dades (RGPD). Encara que no començarà ha aplicar-se fins dos anys després, és important que les organitzacions vagin adaptant els seus processos, perquè la nova normativa suposa una gestió diferent de la que s’estava fent.
- Consentiment
El RGPD requereix que les persones amb dades que es tracten amb el seu consentiment mitjançant una manifestació inequívoca o una clara acció afirmativa. Això exclou la utilització de l’anomenat consentiment tàctic, que actualment permet la normativa espanyola. Els consentiments obtinguts amb anterioritat a la data de l’aplicació de la RGPD només continuaran sent vàlids com a base de tractament si es van obtenir respectant els criteris fixats pel propi reglament.
- Informació
En matèria d’informació, el RGPD inclou qüestions addicionals que actualment no són requerides per la normativa espanyola. Cal replantejar-se, per tant, què passarà amb totes les clàusules informatives utilitzades amb anterioritat a maig de 2018 un cop que el Reglament sigui aplicat.
- Avaluacions d’impacte sobre la protecció de dades
La realització d’Avaluacions d’Impacte sobre la protecció de dades- aplicables de forma obligatòria en alguns tractaments- te caràcter previ a la posada en marxa dels mateixos i els objectiu principal és minimitzar els riscos que un tractament de dades planteja pels ciutadans. No hauria d’esperar-se a la data en la que la realització de les avaluacions resulti obligatòria per a començar a utilitzar aquesta eina, ja que requereix preparació, elecció d’una metodologia adequada, identificació dels equips de treball i altres condicions que no poden improvisar-se.
- Certificació
El Reglament concedeix una especial atenció a la implantació d’esquemes de certificació i obre diverses possibilitats per la seva gestió. Les certificacions poden ser atorgades per les Autoritats de protecció de dades, tant individuals com col·lectivament des del Comitè Europeu, o per entitats ben acreditades. L’AEPD entén que, entre totes les possibilitats, la millor és encomanar les certificacions a entitats especialitzades ben acreditades i deixar que s’ocupin de l’acreditació d’aquestes a l’Entitat Nacional d’Acreditació (ENAC), contant amb la participació de l’Agencia.
- Delegats de protecció de dades. Certificació
El Reglament requereix que els Delegats de Protecció de Dades (DPD, O DPO, Data Protection Officer) siguin anomenats en funció de les qualificacions professionals, en especial el seu coneixement en matèria de protecció de dades, i la seva capacitat per desenvolupar les seves funcions. La AEPD considera que no és oportú establir un sistema de certificació de Delegats de Protecció de Dades que operi com ha requisit per l’accés a la professió, però si estàs valorant la possibilitat de promoure l’aplicació de l’acreditació d’entitats de certificació de professionals amb arreglo a estàndards ja establerts.
- Relació entre responsable i encarregats
El Reglament descriu un contingut mínim dels contractes d’encàrrec de tractament que excedeix les previsions contemplades en la Directiva. En el cas espanyol, la LOPD ja contempla la inclusió d’alguns d’aquells continguts en els contractes, encara que hi ha diferencies entre aquesta i amb RGPD en relació als requisits fixats.
El contracte es el document que determina les obligacions de les parts enfront la prestació del servei d’encàrrec que s’acorda. Per això ha de respectar en tot moment el contingut fixat per el Reglament ja que, en el cas contrari, no s’estarien traslladant als encarregats les obligacions que el Reglament específicament preveu.
Aquest moment de transició entre l’entrada en vigor i l’aplicació del RGPD hauria d’aprofitar-se per realitzar dues accions paral·leles:
- Abordar la revisió dels contractes ja existents i que es refereixin a encàrrecs amb vocació de prolongar-se en el temps, de manera que al maig de 2018 siguin compatibles amb les disposicions.
- Començar a incloure, en les noves clàusules contractuals, tots els elements que el Reglament consideri necessaris.
- Eines per pymes i eines sectorials
L’Agencia està treballant en la preparació d’eines que ajudin a responsables i encarregats a entendre i complir el Reglament. Està previst que aquest recurs és complementi amb altres més avançats, orientats a les pymes que desenvolupen tractaments que comporten un nivell de risc quelcom més gran com a conseqüència d’alguna circumstancia concreta- com potser la manipulació de dades sensibles- i que inclourà un apartat dedicat a les mesures de seguretat que deuen implantar-se.
