FLASH MERCANTIL – Entrada en vigor del nou Reglament Europeu de Protecció de Dades: Estem realment preparats?

ENTRADA EN VIGOR DEL NOU REGLAMENT EUROPEU DE PROTECCIÓ DE DADES: ESTEM REALMENT PREPARATS?

Porta temps anunciant-se i estem a les portes, després del transcurs dels dos anys disposats perquè les empreses i ens públics s’adaptessin a la norma: a partir del dia 25 de maig de 2018 serà aplicable el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (“RGPD” o “Reglament”).

L’entrada en vigor del Reglament suposa un clar canvi de paradigma: des del divendres que ve s’unificarà la regulació de la protecció de dades a nivell europeu. A partir de llavors el sistema passarà a basar-se en la responsabilitat activa, sistema que trasllada als responsables i encarregats del tractament l’obligació de valorar les mesures que resulten oportunes per tal de garantir davant qualsevol tractament de dades els drets que el Reglament atorga als titulars d’aquestes dades. El canvi és substancial, ja que suposa la conscienciació de tota la població de que les dades personals són propietat del seu titular i que, per tant, aquestes no poden recollir-se sense informar i recaptar el seu consentiment per a la realització de totes les accions que vulguin realitzar-se amb aquests, incentivant als titulars a exercitar els seus drets en el cas que sofreixin qualsevol vulneració.

Les properes passes per a la completa adaptació normativa els hi correspon als Parlaments dels Estats Membres, els quals han d’acordar les modificacions oportunes sobre la normativa vigent per tal d’evitar possibles confrontacions amb les previsions del RGPD. Amb aquesta finalitat, el Parlament espanyol es troba actualment desenvolupant el Projecte de Llei Orgànica de Protecció de Dades de Caràcter Personal (“Projecte”), normativa mitjançant la qual es derogarà la LOPD i el seu reglament complementari i introduirà un nou marc pel desenvolupament de les mesures de protecció de dades de conformitat amb el que s’estableix en el RGPD

Ara mateix sembla que l’Agència Espanyola de Protecció de Dades (“AEPD”) continuarà sent l’organisme de referència supervisor del compliment de la nova normativa a Espanya, sent també l’encarregada de dur a terme les tasques de conscienciació de la població. Per a això, l’AEPD està publicant a través de la seva pàgina web una sèrie de guies i eines per a l’aplicació d’aquesta normativa i així facilitar a empresaris i autònoms la identificació de les mesures a adoptar per acomplir a aquesta nova regulació.

Descrivim a continuació els canvis més significatius:

• – El canvi al sistema de responsabilitat activa dels responsables i encarregats del tractament, convertint així a tots els destinataris de la norma en col·laboradors implicats. Com s’ha indicat abans, això implica l’anàlisi previ de qualsevol tractament i la consegüent adopció de les mesures que es considerin adequats per tal de garantir el compliment de tots els requisits establerts pel marc regulador, responsabilitzant a l’empresa fins i tot de la selecció dels tercers proveïdors. La realització d’aquest exercici haurà de dur-se a terme des de la perspectiva de l’interès del titular de les dades i no des de la perspectiva de l’interès de la companyia.
• L’obligació de recaptar el consentiment específic, informat i inequívoc pel tractament de qualsevol dada de caràcter personal, indicant-se prèviament com a mínim: les finalitats del tractament, els destinataris de la informació (identificació del responsable i de l’encarregat en cas de cessió o transferències internacionals de dades), el termini o els criteris de conservació de les dades, si escau, la indicació de si existeixen decisions automatitzades o elaboracions de perfils i l’eventual existència d’un Delegat de Protecció de Dades, el caràcter obligatori i facultatiu de les respostes a les preguntes plantejades i les implicacions, la possibilitat d’exercir els drets del titular i el dret a presentar una reclamació davant l’AEPD.
• Als drets dels titulars popularment coneguts com a ARCO, que són els d’accés, rectificació, cancel·lació (a partir d’ara també conegut com a dret a l’oblit) i oposició, s’afegeixen els de limitació, referent a la impossibilitat de fer ús de les dades per a finalitats de les quals no s’hagi informat, i el de portabilitat de les dades que es refereix al fet que l’interessat té dret a obtenir una còpia de les dades que hagi facilitat.
• Les Administracions Públiques i les empreses del sector privat que realitzin tractaments que requereixin d’una observació habitual o sistemàtica de les persones, o bé tractin dades especialment protegides (ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual), hauran de nomenar un Delegat de Protecció de Dades (conegut com a DPO). Aquesta figura podrà estar representada per una persona interna o externa a l’empresa, resultant precís que la persona encarregada d’aquesta funció tingui coneixements jurídics i pràctics en matèria de protecció de dades i no es trobi en cap conflicte d’interès.
• Estaran obligades a mantenir un registre d’activitats de tractament que indiqui l’origen de les dades, les categories de les dades (empleats, clients, proveïdors, imatges…), els fitxers o suports en els quals es contenen, la identificació de les comunicacions de les dades, el temps de conservació i la manera de destrucció d’aquests, aquelles empreses que comptin amb més de 250 treballadors o bé, malgrat emprar un nombre menor d’ells, realitzin un tractament de les dades que pugui comportar un risc pels drets i llibertats dels interessats o incloguin les categories de dades especialment protegides.
• S’introdueix un nou règim per a les sancions monetàries, on es classifiquen en dues tipologies diferents en funció de la gravetat: les menys greus es sancionaran amb fins a 10 milions d’euros o el 2% del volum de la facturació anual de l’empresa (aplicant la més alta de les dues) mentre que les més greus se sancionessin amb multes que poden aconseguir fins als 20 milions d’euros o el 4% del volum de la facturació anual de l’empresa (aplicant també, el nombre més alt dels dos).
• El RGPD també preveu la possibilitat que en alguns casos la sanció econòmica pugui ser substituïda per la prevenció: això implicarà l’obligatorietat de l’empresa d’adoptar les mesures correctores que s’indiquin per part de l’organisme de referència de cada país.
• Així mateix, cal tenir en compte que el RGPD preveu la possibilitat que l’afectat per la divulgació de les seves dades pugui interposar la corresponent reclamació judicial en reclamació dels danys i perjudicis.

Podem concloure que els grans canvis que hi ha en relació amb la normativa vigent fins al moment són (i) el canvi en la responsabilitat, limitada fins al moment en el compliment de quant s’indicava en la LOPD; (ii) la no obligació d’inscriure els fitxers de protecció de dades en l’AEPD; (iii) la impossibilitat de recaptar el consentiment per al tractament de les dades de manera tàcita i (iii) el fet que deixa de ser obligatori, encara que segueix sent recomanable la seva tinença i actualització, la tinença d’un document de seguretat.

Com hem indicat anteriorment, els canvis que marca el Reglament constitueixen només el principi del canvi normatiu que conclourà amb l’entrada en vigor del nou Projecte. De moment, tot allò que tenim són les directrius d’aplicació i caldrà veure l’abast final de cadascuna de les obligacions.

Si està interessat a llegir l’article complet, pot descarregar-se l’arxiu PDF des d’aquí.

Autora: Ana Martínez Bonet.