(Degut a l'aparició d'informació i documentació de rellevància, l'entrada que llegiràs a continuació, és una revisió i actualització de la del passat 23/05/2018, NOU RGPD). Trobareu els canvis en color blau.
Ja fa uns dies que segurament esteu rebent mails o correus postals, sol.licitant-vos la renovació del vostre consentiment per a l'ús per part de tercers de les vostres dades personals, això és degut a l'entrada en vigor del nou Reglament General de Protecció de Dades, que des del passat 25 de maig és d'obligat compliment; així doncs com hem anat anunciant per les diverses Xarxes Socials, des del passat 1 de juliol del 2018, ens estem posant en contacte amb tots els clients per a revisar que s'estigui respectant aquesta nova normativa, a fi d'evitar sancions innecessàries.
Principals novetats del RGPD
Àmbit d’aplicació
El Reglament amplia l'àmbit d'aplicació territorial als responsables i als encarregats del tractament no establerts en la UE, quan les activitats de tractament estan relacionades amb l'oferta de béns o serveis o amb el control del comportament de les persones, si tenen lloc en la UE.
Principis
No obstant això, l’RGPD modifica alguns aspectes del règim actual i conté noves obligacions que cada organització ha d’analitzar i aplicar tenint en compte les seves pròpies circumstàncies.
La innovació més gran de l’RGPD per als responsables la constitueixen dos elements de caràcter general:
El principi de “responsabilitat proactiva”
L’RGPD descriu aquest principi com la necessitat que el responsable del tractament apliqui mesures tècniques i organitzatives apropiades, a fi de garantir i poder demostrar que el tractament és conforme al Reglament.
En síntesi, aquest principi exigeix que les organitzacions tinguin una actitud conscient, diligent i proactiva davant de tots els tractaments de dades personals que duguin a terme.
“L’enfocament de risc”
L’RGPD assenyala que les mesures adreçades a garantir-ne el compliment han de tenir en compte la naturalesa, l'àmbit, el context i les finalitats del tractament, així com el risc per als drets i les llibertats de les persones.
Per tant, l'aplicació de les mesures previstes per l’RGPD s’ha d'adaptar a les característiques de les organitzacions.
Noves categories especials de dades
El Reglament inclou dues noves categories especials de dades:
Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d'una persona física, obtingudes en particular de l'anàlisi d'una mostra biològica.
Dades biomètriques: dades personals obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física, que permeten o confirmen la identificació única d'aquesta persona (imatges facials, dades dactiloscòpiques, etc.).
Consentiment
L’RGPD requereix que l'interessat presti el consentiment mitjançant una declaració inequívoca o una acció afirmativa clara. Als efectes del nou Reglament, les caselles ja marcades, el consentiment tàcit o la inacció no constitueixen un consentiment vàlid.
Què succeeix amb els tractaments que s’efectuen sobre la base del consentiment per omissió?
Aquestes formes de consentiment no són compatibles amb l’RGPD, ja que es basen en la inacció de la persona interessada. L’RGPD també assenyala que els tractaments basats en el consentiment iniciats abans de l’aplicació del Reglament continuaran sent legítims, sempre que aquest consentiment s'hagués prestat de la manera que preveu el mateix RGPD, és a dir mitjançant una manifestació o acció afirmativa.
En quines situacions cal que el consentiment sigui explícit?
L’RGPD preveu algunes situacions en què el consentiment ha de ser explícit. Aquesta garantia addicional afecta els casos següents:
Tractament de categories especials de dades
Adopció de decisions automatitzades
Transferències internacionals
Consentiment dels menors
En l'àmbit dels serveis de la societat de la informació, el consentiment dels menors només és vàlid si tenen més de 16 anys. No obstant això, els estats membres de la UE poden rebaixar l'edat fins als 13 anys.
A més, el llenguatge utilitzat per informar-los els ha de ser comprensible.
Quines altres referències als menors conté l’RGPD?
L’RGPD es refereix en diversos llocs als tractaments de les dades dels menors. Per exemple, en els casos següents:
En assenyalar que, quan els interessats són nens, la informació que s'ofereix en relació amb el tractament o amb l'exercici de drets ha de ser especialment concisa, transparent, intel·ligible i proporcionada amb llenguatge clar i senzill.
En el context del dret a l’esborrat de les dades personals.
Dret d’informació
El nou Reglament configura la informació com un dret de les persones afectades i amplia les qüestions sobre les quals cal informar-les, amb els aspectes següents: les dades de contacte del delegat de protecció de dades; la base jurídica del tractament; els interessos legítims perseguits en què es fonamenta el tractament, si escau; la intenció de transferir les dades a un tercer país o a una organització internacional i la base per fer-ho, si escau; el termini durant el qual es conservaran les dades; el dret a sol·licitar la portabilitat; el dret a retirar en qualsevol moment el consentiment que s'hagi prestat; si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte; el dret a presentar una reclamació davant una autoritat de control; l'existència de decisions automatitzades, inclosa la lògica aplicada i les seves conseqüències.
Com s’ha de proporcionar la informació a les persones interessades?
L’RGPD disposa que la informació als interessats, tant respecte de les condicions dels tractaments que els afecten com en les respostes als exercicis de drets, s’ha de proporcionar de forma concisa, transparent, intel·ligible i de fàcil accés, en un llenguatge clar i senzill.
Drets de les persones interessades
L’RGPD incorpora el dret a l'oblit com un dret vinculat al dret de supressió, al dret a la limitació del tractament i al dret a la portabilitat:
Els interessats tenen dret a obtenir la supressió de les dades ("dret a l'oblit"), quan:
Les dades ja no són necessàries per a la finalitat per a la qual es van recollir.
Es revoca el consentiment en el qual es basava el tractament.
L'interessat s'oposa al tractament.
Les dades s'han tractat il·lícitament.
Les dades s'han de suprimir per complir una obligació legal.
Les dades s'han obtingut en relació amb l'oferta de serveis de la societat de la informació adreçada a menors.
La limitació de tractament suposa que, a petició de la persona interessada, no s'aplicaran a les seves dades personals les operacions de tractament que en cada cas correspondrien. La limitació es pot sol·licitar quan:
La persona interessada ha exercit els drets de rectificació o oposició i mentre el responsable determina si escau atendre la sol·licitud.
El tractament és il·lícit, cosa que determinaria l'esborrat de les dades, però l'interessat s'hi oposa.
Les dades ja no són necessàries per al tractament, la qual cosa novament en determinaria l’esborrat, però l'interessat sol·licita la limitació perquè els necessita per formular, exercir o defensar reclamacions.
Dret a la portabilitat:
El dret a la portabilitat de les dades és una forma avançada del dret d'accés, per la qual la persona interessada té dret a rebre les dades personals que l’afecten i que ha facilitat a un responsable del tractament en un format estructurat, d'ús comú i de lectura mecànica, i transmetre-les a un altre responsable.
Inscripció i notificació de fitxers
L’RGPD suprimeix, a partir del 25 de maig de 2018, la necessitat de crear formalment els fitxers i notificar-los al registre de protecció de dades de les autoritats de control.
Mecanismes de certificació
El Reglament també promou els mecanismes de certificació, com certificats, segells o marques, per demostrar que es compleix l’RGPD.
Delegat de protecció de dades (DPD)
El Reglament introdueix la figura del delegat de protecció de dades, que pot formar part de la plantilla del responsable o encarregat o bé actuar en el marc d'un contracte de serveis.
Mesures de seguretat
Cal fer una avaluació dels riscos associats a cada tractament, per determinar les mesures de seguretat que cal implementar.
Notificació de violacions de seguretat
Si es produeix una violació de la seguretat, el responsable l’ha de notificar a l'autoritat de control en un termini màxim de 72 hores, tret que sigui improbable que constitueixi un risc per als drets i les llibertats de les persones.
A més, quan sigui probable que la violació comporti un alt risc per als drets de les persones interessades, el responsable l'ha de comunicar a les persones afectades sense dilacions indegudes i en un llenguatge clar i senzill, tret que:
El responsable hagi adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles per a persones no autoritzades.
El responsable hagi aplicat mesures posteriors que garanteixen que ja no hi ha la probabilitat que es concreti l'alt risc.
Suposi un esforç desproporcionat.
L'Agència Espanyola de Protecció de Dades (AEPD) ha presentat la Guia per a la gestió i notificació de bretxes de seguretat amb l'objectiu d'oferir a les organitzacions tant recomanacions preventives com un pla d'actuació, de manera que coneguin com evitar-les i com procedir en cas que es produeixin. Us facilitem l'enllaç a la guia complerta.
Finestreta única
Aquest sistema permet que els ciutadans i també els responsables establerts en diferents estats membres o que facin tractaments que afecten diferents estats membres tinguin una única autoritat de protecció de dades com a interlocutora.
En cas que volgueu ampliar informació, podeu trucar al 93 574 58 60, on atendrem tots els vostres dubtes i requeriments.
Gràcies per seguir-nos.
