[LEGAL] NOU REGLAMENT GENERAL DE PROTECCIÓ DE DADES (RGPD)

El nou Reglament General de Protecció de Dades (RGPD) va entrar en vigor al maig de 2016 i serà aplicable en tots els països de la UE a partir del 25 de maig de 2018.

A Espanya, el Consell de Ministres va aprovar la remissió a les Corts d’un Projecte de Llei Orgànica de Protecció de Dades (LOPD) per adaptar la legislació espanyola a aquest RGPD, que encara es troba en fase de tramitació.

A dia d’avui, la nova Llei Orgànica de Protecció de Dades (LOPD) no estarà aprovada pel 25 de maig, data en la qual entra en vigor el RGPD Europeu.

El nou RGPD neix amb l’objectiu de facilitar l’adaptació de la protecció de dades a la ràpida evolució tecnològica i els fenòmens derivats de la globalització i el desenvolupament de la societat de la informació. A aquest efecte, introdueix canvis significatius que totes les empreses hauran de tenir en consideració a l’hora de recollir i tractar les dades dels seus clients, proveïdors i col·laboradors. Les clíniques dentals també hauran de tenir-les en compte i aplicar-les.

En el cas concret d’Espanya, on la protecció de dades és un dret fonamental protegit per l’article 18.4 de la Constitució, el nou RGPD recull novetats tant en el règim de consentiment com en el dels tractaments i sorgeixen noves figures i procediments. Entre les novetats es destaca:

  • Es pren en compte el tractament de les dades corresponents a persones mortes sobre la base de la sol·licitud dels seus hereus.
  • S’incorpora el principi de transparència en quant al dret dels afectats a ser informats sobre el tractament de les seves dades i es contemplen de forma expressa els drets d’accés, rectificació, supressió i oposició. S’afegeixen els drets a la limitació del tractament, així com a la portabilitat.
  • Es manté la prohibició d’emmagatzemar dades d’especial protecció, com ideologia, afiliació sindical, religió, orientació sexual, origen racial o ètnic i creences.
  • Es potencia la figura del delegat de protecció de dades, persona física o jurídica la designació de la qual ha de ser comunicada a l’autoritat competent i que mantindrà relació amb l’Agència Espanyola de Protecció de Dades (AEPD). Es promou l’existència de mecanismes d’autoregulació, i s’introdueix l’obligació de bloqueig que garanteix que les dades quedin a la disposició d’un tribunal, el Ministeri Fiscal o altres autoritats competents, com l’AEPD, per a l’exigència de possibles responsabilitats derivades del seu tractament, evitant així que es puguin esborrar.
  • El RGPD suposa un major compromís de les organitzacions amb la protecció de dades. En molts casos serà només una forma de gestionar la protecció de dades diferent de la qual es ve emprant fins ara.
  • Es preveu que l’obligació d’aquestes mesures dependrà de factors tals com el tipus de tractament, els costos d’implantació de les mesures o el risc que el tractament presenta per als drets i llibertats dels titulars de les dades.
  • És necessari que tothom que tracti dades realitzi una anàlisi de risc dels seus tractaments per poder determinar quines mesures ha d’aplicar i com.

NOVETATS DEL NOU RGPD

  1. NOUS PRINCIPIS

L’art. 5 del RGPD conté la llista de principis a tenir en compte en el tractament de dades personals.

Alguns d’ells ja estaven previstos en la LOPD, però se n’afegeixen altres de nous.

Principi de Transparència

Les dades personals seran tractades de manera lícita, lleial i transparent en relació amb l’interessat. Cal facilitar les relacions entre el responsable de les dades i l’interessat, així com entre el responsable de les dades i les autoritats de control.

La seva materialització comporta que desapareix l’obligació de notificar i registrar els fitxers que contenen dades personals davant l’autoritat de control. A Espanya, aquesta autoritat és l’Agència Espanyola de Protecció de Dades (AEPD).

En el nou RGPD s’ha definit un “Registre d’activitats de tractament”. Aquest registre es durà a terme de forma interna i contindrà, entre d’altres, les següents dades:

  • Nom i dades de contacte del responsable del tractament
  • Nom i dades del Delegat de Protecció de Dades
  • Finalitat del tractament
  • Descripció de categories de l’interessat
  • Descripció de categories de dades tractades
  • Les transferències internacionals de dades

A Espanya, aquest nou registre pot integrar-se de moment en el Document de Seguretat, fins que l’AEPD faciliti instruccions concretes sobre el seu format i gestió.

Principi de limitació de la finalitat

Les dades personals seran recollides amb finalitats determinades, explícites i legítimes, i no seran tractades ulteriorment de manera incompatible amb aquestes finalitats. Aquestes finalitats explícites i legítimes hauran de determinar-se en el moment de la recollida de les dades.

Minimització de les dades

Les dades personals seran adequades, pertinents i no excessives en relació amb les finalitats per les quals són tractades.

Aquest principi obliga a aplicar les mesures tècniques i organitzatives apropiades per garantir que solament siguin objecte de tractament les dades personals que siguin necessàries per a cadascun de les finalitats específiques del tractament (Article 25.2).

  1. NOUS DRETS DELS CIUTADANS

La LOPD establia 4 drets per als interessats: Accés, Rectificació, Cancel·lació i Oposició (drets ARCO).

Amb el nou RGPD Europeu de Protecció de Dades, aquesta llista s’amplia. A més dels drets ARCO, es contemplen també els següents drets:

  • Dret de supressió (dret a l’oblit)
  • Dret de limitació
  • Dret de portabilitat

Per la seva conseqüència pràctica veurem més detalladament el dret a l’oblit i el dret a la portabilitat:

Dret a l’oblit  

El nou RGPD estableix que qualsevol persona tindrà dret al fet que la seva informació personal sigui eliminada dels proveïdors de serveis d’Internet quan ho desitgi, sempre que qui posseeixi aquestes dades no tingui raons legítimes per retenir-los.

A més, obliga als responsables de les dades que han difós la informació a tercers a comunicar-los l’obligació de suprimir qualsevol enllaç a les dades publicades, així com a eliminar qualsevol còpia o rèplica d’aquestes dades.

El seu objectiu és aconseguir eliminar de la xarxa i dels cercadors qualsevol rastre que hi hagi de les dades de la persona que vol ser “oblidada” de manera definitiva.

L’RGPD incorpora el dret a l’oblit com un dret vinculat al dret de supressió, al dret a la limitació del tractament i al dret a la portabilitat.

Els interessats tenen dret a obtenir la supressió de les dades (“dret a l’oblit”), quan:

Dret a la portabilitat

En el nou RGPD es preveu la possibilitat de transmetre les dades d’un responsable a un altre, de manera que l’interessat tindrà dret al fet que les dades personals es transmetin directament quan sigui tècnicament possible.

Implica que l’interessat que hagi proporcionat les seves dades a un responsable que les estigui tractant podrà sol·licitar recuperar-les en un format que li permeti el seu trasllat a un altre responsable.

A més d’incorporar aquests nous drets, el RGPD també exigeix que hi hagi procediments visibles, accessibles i amb un llenguatge senzill per facilitar a l’interessat l’exercici dels seus drets i a través de mitjans electrònics.

  1. AMPLIACIÓ DEL DEURE D’INFORMACIÓ

La nostra legislació actual estableix que a l’hora de recollir el consentiment dels interessats se’ls ha d’informar de la persona responsable del fitxer, de l’existència dels fitxers inscrits en el Registre General de Protecció de Dades, de la finalitat de la recollida de les dades i de la possibilitat d’exercitar els drets ARCO.

Amb el RGPD hi ha l’obligació d’informar sobre nous aspectes:

  • s’ha d’explicar la base legal per al tractament de les dades
  • s’ha d’informar sobre el període de conservació
  • s’ha d’informar sobre la possibilitat de fer reclamacions davant l’AEPD
  • s’ha d’informar dels altres drets que incorpora el nou RGPD
  • s’ha d’informar, en el seu cas, de l’existència i de les dades de contacte del Delegat de Protecció de Dades de l’entitat

És convenient revisar les clàusules informatives que s’hagin incorporat en els processos de recollida de dades per incloure els nous apartats i complir amb el RGPD.

  1. OBTENCIÓ DEL CONSENTIMENT PER AL TRACTAMENT DE DADES

L’actual LOPD exigeix el consentiment inequívoc dels interessats per al tractament de les seves dades. El RGPD manté els principis del consentiment, que ha de ser lliure, informat, específic i inequívoc.

El nou RGPD indica que per poder considerar que el consentiment és inequívoc, ha d’existir una declaració de l’interessat o una acció positiva declarant la seva conformitat.

El silenci, les caselles ja marcades o la inacció no constituiran prova de consentiment.

Canvia la forma en la qual cal obtenir el consentiment?

Una de les bases fonamentals per tractar dades personals és el consentiment. El RGPD demana que el consentiment, amb caràcter general, sigui lliure, informat, específic i inequívoc. Per poder considerar que el consentiment és inequívoc, el RGPD requereix que hi hagi una declaració dels interessats o una acció positiva que indiqui l’acord de l’interessat. El consentiment no pot deduir-se del silenci o de la inacció dels ciutadans.

Cal obtenir el consentiment explícit dels pacients ja existents segons el nou RGPD?

Sobre la regulació dels consentiments de pacients obtinguts amb anterioritat a l’entrada en vigor del nou RGPD, si el consentiment no es trobava clarament identificat o es va basar en formes tàcites, haurà de tornar a sol·licitar-se. El tractament de dades sense el consentiment dels pacients es considera una infracció molt greu al nou RGPD.

Les clíniques dentals han de revisar els seus avisos de privacitat i la forma en la qual obtenen i registren el consentiment?

Amb caràcter general, sí. El RGPD preveu que s’incloguin en la informació als interessats una sèrie de qüestions que abans no eren necessàriament obligatòries. Per exemple, caldrà explicar la base legal per al tractament de les dades, els períodes de retenció dels mateixos i que els interessats poden dirigir les seves reclamacions a les Autoritats de protecció de dades. El RGPD exigeix de forma expressa que la informació que es proporcioni sigui fàcil d’entendre i presentar-se en un llenguatge clar i concís.

El RGPD preveu que el consentiment hagi de ser explícit en alguns casos, com pot ser per autoritzar el tractament de dades sensibles. Es tracta d’un requisit més estricte, ja que el consentiment no podrà entendre’s com concedit implícitament mitjançant algun tipus d’acció positiva. Així, caldrà que la declaració o acció es refereixin explícitament al consentiment i al tractament en qüestió.

Cal tenir en compte que el consentiment ha de ser verificable i que els qui recopilin dades personals han de ser capaços de demostrar que l’afectat els va atorgar el seu consentiment. Per això, és important revisar els sistemes de registre del consentiment per què sigui possible verificar-ho davant d’una auditoria.

  1. ESTABLIR ACCIONS I MESURES DE SEGURETAT

Actualment la normativa estableix l’obligació d’aplicar diferents mesures en funció del nivell de seguretat – bàsic, mitjà o alt – de les dades tractades.

El nou RGPD no distingeix entre els nivells dels fitxers, sinó que especifica que s’apliquin mesures de seguretat tenint en compte l’estat de la tècnica, els costos d’aplicació, i la naturalesa, l’abast, el context i les finalitats del tractament, així com els riscos per als drets i llibertats de les persones físiques.

El nou RGPD parla de “mesures tècniques i organitzatives apropiades” per garantir un nivell de seguretat adequat al risc, però no concreta quin tipus de mesures.

El RGPD, sota el principi de responsabilitat proactiva, exigeix al responsable del tractament que apliqui les mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament és conforme. S’exigeix que les clíniques dentals tinguin una actitud conscient, diligent i proactiva del tractament de les dades, podent demostrar, si arribés el cas, les mesures de seguretat aplicades.

El RGPD proposa com a mecanismes efectius de verificació del compliment l’adhesió a codis de conducta o a mecanismes de certificació.

  1. AVALUACIÓ DE L’IMPACTE DEL TRACTAMENT DE DADES DE CARÀCTER PERSONAL 

Una altra nova obligació és la realització d’una avaluació d’impacte per a les organitzacions que realitzin tractaments de dades que puguin implicar un alt risc per als drets i llibertats de les persones físiques. S’ha d’avaluar l’origen, la naturalesa, la particularitat i la gravetat d’aquest risc.

  1. COMUNICACIÓ DE LES BRETXES DE SEGURETAT A L’AUTORITAT DE PROTECCIÓ DE DADES

Una nova obligació per al responsable del tractament és la de notificar les violacions de seguretat de les dades.

És a dir, el responsable del tractament de les dades haurà de notificar a l’autoritat l’AEPD qualsevol bretxa de seguretat que s’hagi produït en el termini de 72 hores des de que aquesta ocorri. Si la bretxa implica un risc per als interessats, també se’ls haurà de notificar a ells.

  1. LA FIGURA DEL DELEGAT DE PROTECCIÓ DE DADES

El RGPD crea aquesta nova figura: el Delegat de Protecció de Dades.

Aquesta persona és l’assessor de protecció de dades de la empresa, i assumeix competències en matèria de coordinació i control del compliment de la normativa en matèria de protecció de dades.

Segons el RGPD aquesta figura no és obligatòria per a totes les organitzacions: solament hauran de comptar amb un delegat les empreses públiques, les que tinguin un tractament a gran escala o les que recullin dades especialment sensibles o relatius a condemnes o infraccions penals.

Segons el RGPD en principi no serà obligatori per a les clíniques dentals, però segons el projecte de Llei Espanyola que es troba actualment en fase parlamentària, si s’aprova definitivament amb el redactat actual,

Entre les funcions que li seran encomanades a un delegat de protecció de dades es troben, entre unes altres, les següents:

  1. Supervisar la implementació i aplicació de les polítiques internes
  2. Realitzar formació al personal
  3. Organitzar i coordinar les auditories
  4. Gestionar la informació dels interessats i les sol·licituds d’exercici dels seus drets
  5. Vetllar per la conservació de la documentació
  6. Supervisar la realització de l’avaluació d’impacte
  7. Actuar com a punt de contacte per a l’autoritat de control
  8. El Delegat de Protecció de Dades haurà de ser designat amb qualitats professionals i amb coneixement expert de la legislació i pràctiques de protecció de dades i la capacitat de complir amb les tasques imposades pel RGPD.
  9. SANCIONS MÉS ALTES

Si fins a maig de 2018 les sancions poden anar des de 900 euros fins a 600.000, a partir de llavors no s’estableixen quanties mínimes i les màximes poden assolir els 20 milions d’euros o fins al 4% del volum de negoci de l’infractor.

  1. ELS MENORS

A quina edat poden els menors prestar el seu consentiment per al tractament de les seves dades personals? Els menors poden prestar per si mateixos el seu consentiment per al tractament de les seves dades personals des dels 16 anys. No obstant això, permet rebaixar aquesta edat i que cada Estat membre estableixi la seva pròpia, establint un límit inferior de 13 anys. En el cas d’Espanya, aquest límit passarà dels 14 anys actuals als 13 anys. Per sota d’aquesta edat, és necessari el consentiment de pares o tutors.

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedIn