Amb data 27 d’abril del 2016, el Parlament Europeu i el Consell de la Unió Europea va aprovar el Reglament (UE) 2016/679 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals ia la lliure circulació d’aquestes dades (des d’ara RGPD – Reglament General de Protecció de dades) i pel qual es derogava la Directiva 95/46 / CE.
En ell s’establia un nou marc jurídic per al tractament i circulació de dades personals d’aplicació per a tots els països de la Unió Europea, amb l’objectiu de garantir una aplicació uniforme en tots els Estats membres i elevar el nivell de protecció de dades de les persones físiques.
Si bé va entrar en vigor el 25 de maig de 2016, el seu inici d’aplicació es va establir per al 25 de maig del 2018, és a dir, donant-se dos anys perquè els Estats de la Unió Europea, les seves institucions i organitzacions, responsables i encarregats de tractaments de dades de caràcter personal puguin preparar-se i adaptar-se al nou marc legal. Això vol dir que des del dia 25 de maig de l’2018 tots hauran d’estar donant correcte compliment a l’RGPD.
Aquest Reglament és d’aplicació directa, per la qual cosa no ha estat necessari transposició de la norma, la qual cosa significa que a Espanya, a la data d’entrada en aplicació del RGPD, hauran de quedar derogades les actualment vigents Llei Orgànica 15/1999 de Protecció de dades i el seu Reial Decret 1720/2007 de desenvolupament de la Llei.
El nou reglament incorpora el principi de la responsabilitat proactiva, per la qual cosa les empreses han d’aplicar tots els mitjans i mesures de Seguretat d’acord amb els riscos identificats i estar en tot moment en condicions de poder acreditar que el tractament és conforme amb la normativa .
L’incompliment del RGPD contempla sancions i multes que poden arribar quanties de fins a 20 milions d’euros o el 4% del volum de negoci de l’exercici anterior.
Quins són els canvis rellevants que et poden afectar?
- El Reglament obliga els que realitzin certs tractaments, a nomenar un DPO, que podrà ser extern o intern. Un DPO haurà de ser una persona experta en Protecció de Dades i en mètodes i tècniques de Seguretat de la informació i pot ser tant una persona física com jurídica. La designació del DPO s’ha de comunicar a l’AEPD. Els que no estiguin obligats, poden designar un DPO de manera voluntària.
- S’amplien les categories especials de dades com a dades biomètriques, genètics, opinions polítiques i orientació sexual.
- Portar un Registre d’activitats de tractament tant com Responsables com en aquells casos en què actuem com Encarregats de tractament i ha d’estar disponible tant per autoritats de protecció de dades com per als interessats.
- S’introdueix el Principi de protecció de dades des del disseny i per defecte, és a dir, ja des de les fases inicials en el desenvolupament d’un servei, aplicació, etc.
- Realització d’una anàlisi de riscos amb l’objectiu d’identificar els riscos als quals estan sotmesos les dades tractades.
- S’amplia la llista de drets, passant dels coneguts com a drets ARCO als drets POLIARSO (Portabilitat, Oposició, Limitació del tractament, Informació, Accés, Rectificació, Supressió / dret a l’oblit i Oposició a ser objecte de decisions individuals automatitzades)
- El RGPD no estableix diferenciació entre dades personals i dades ‘professionals’ (dades de contacte de persones físiques que presten els seus serveis en una persona jurídica i empresaris individuals) com va establir el vigent Reglament, cosa que obligarà a les empreses a haver de realitzar accions informatives a aquesta categoria de dades.
- S’amplia el contingut mínim en els contractes d’accés a dades per part de tercers, pel que hauran d’establir-se de nou els contractes amb els encarregats de tractament, atès que els actuals no compleixen amb el RGPD.
- S’amplien les obligacions d’informació als afectats, cosa que obligarà posar-los al dia en aquesta informació als ja existents.
- S’elimina el consentiment tàcit (per silenci), la qual cosa obligarà a les empreses a demanar un nou consentiment per poder mantenir totes aquelles dades que en el passat es van obtenir tàcitament o buscar una altra cobertura legal.
- Violacions de la seguretat de les dades personals. Obligatorietat de comunicar-les en un termini de 72 hores a l’Agència Espanyola de Protecció de Dades, i en casos greus, als propis afectats.
- Exigència de la realització d’una avaluació d’impacte relativa a la protecció de dades per a certs tractaments. L’AEPD publicarà una llista dels tipus d’operacions de tractament als quals els serà exigible.
Per a qui?
Per a empreses, organismes públics i privats que tractin dades de caràcter personal.