El 21 de juliol es va impartir a la seu de l’ICAB una sessió informativa sobre quina era la situació actual de la reforma europea de protecció de dades, que va iniciar la seva marxa en 2012.
Li detallem aquí alguns dels punts exposats:
-D’entrada, cal recordar que hi ha en escena tres actors: la Comissió Europea (COM), el Consell d’Europa (CE) i el Parlament Europeu (PE), cadascun d’ells fent les seves aportacions i valoracions.
-De tancar-se, segons el compromís adquirit entre les parts, al desembre 2015, l’àmbit d’aplicació serà en 2018.
-S’afegeixen als drets ARC, dos més: a la “portabilitat” i “a l’oblit”.
-Intenció clara de desaparició de càrregues administratives per a les empreses.
-No està encara clara la continuïtat de l’obligatorietat d’inscripció de fitxers.
-Es fa èmfasi en l’avaluació de riscos quant a mesures de seguretat.
-Reforçament de la col·laboració/cooperació entre Agències europees.
-Règim sancionador a nivell europeu.
-S’ha arribat ja a un acord en el tema de les transferències internacionals.
-Encara que es preveu difícil, Directiva i Reglament haurien d’aprovar-se alhora, segons PE i COM, no així per al CE.
-Es detecten en la Directiva moltes divergències.
-Se segueix debatent sobre “què és interès públic”.
-Se segueix debatent sobre “què és obligació legal”.
-S’estableixen especificacions per al sector públic.
-L’àmbit d’aplicació en institucions públiques provoca divergències entre CE i PE.
-Existeixen divergències entre els àmbits d’aplicació, Reglament i Directiva.
-Règim sancionador més lax, sense aparent justificació.
-Directiva per als Cossos i Forces de Seguretat de l’Estat.
-Determinar clarament els termes “basi legal”, “finalitat” i “interès legítim”.
-La base legal per a arxivística, científica i estadística és la seva finalitat, segons el CE, encara que ofereix dubtes (cas FB).
-Determinació de termes de consentiment: “explícit” i “inequívoc“; la inacció no val.
-Responsabilitat activa. Prevenció. La COM era més rígida, però el CE es decanta per “enfocament del risc”.
-Com es mesura el risc i com guiar als responsables.
-Quan s’estarà en “risc alt” (problemes per a les Pime)
-Temi documentació: el CE eximeix a les Pime… excepte excepcions per risc.
-Fallides de seguretat: notificar-les totes (complicat), excepte si s’han pres mesures ulteriors.
-Codis de conducta.
-DPO: la COM i PE advoquen per l’obligatorietat; el CE, per la voluntarietat, excepte llei nacional.
-Art. 43 bis: conflictes a resposta, o no, a tercers països.
-Finestreta única europea per a resolució de conflictes.
-Dret d’oposició incondicionat si es tracten les dades en “interès legítim”.
-Les excepcions a l’art. 21.
-Més que règim sancionador, es parla de “multes administratives”, però sense barems previs: així, pots ser sancionat a Zero € o fins al 5% de la facturació de la societat… però sense saber sobre la base de quina, perquè no hi ha tipificació d’infraccions, ni establiment d’aquestes en lleus, greus, molt greus (p.i.).
-Informació a interessats; en l’art. 9 s’indica que les dades sensibles NO poden ser tractats sense informar a l’interessat… excepte base legal. A més, quan les dades els ha fet “manifestament públics” el propi interessat (fins i tot dades sensibles), aquests es poden tractar sense informar.
-Canvi en les fonts accessibles al públic: SÍ ho és Internet i les Xarxes socials.
En definitiva, una densa -però molt amena per part de Rafael García- sessió informativa sobre aquest assumpte (en fase encara de projecte “a tres bandes”) al que li queda encara un molt llarg recorregut.