#381
ARA ÉS EL MOMENT DE PRENDRE MESURES AMB EL NOU REGLAMENT GENERAL DE PROTECCIÓ DE DADES DE LA UE
El Reglament general de protecció de dades de la Unió Europea ha entrat en vigor el 25 de maig de 2016 però no començarà a aplicar-se fins dos anys després, el 25 de maig de 2018. Entre les novetats destaca el dret a l’oblit i el dret a la portabilitat o el dret a traslladar les dades a un altre proveïdor de serveis. A més, es demana que el consentiment, amb caràcter general, sigui lliure, informat, específic i inequívoc. És important que la seva empresa comenci a revisar els seus avisos de privadesa i altres modificacions que introdueix la norma.
S’ha publicat en el Diari Oficial de la Unió Europea DOUE de 4 de maig de 2016 el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE, i on s’estableix les normes relatives a la protecció de les persones físiques pel que fa al tractament de les dades personals i les normes relatives a la lliure circulació d’aquestes dades.
El Reglament ha entrat en vigor el 25 de maig de 2016 però no començarà a aplicar-se fins dos anys després, el 25 de maig de 2018.
Això significa que solament serà aplicable a partir del 25 de maig de 2018. Fins llavors, tant la Directiva 95/46 com les normes nacionals que la traslladen, entre elles l’espanyola (LOPD), segueixen sent plenament vàlides i aplicables.
No obstant això, és important que les empreses es vagin adaptant a la nova normativa, revisin els seus avisos de privadesa i que no esperin fins a última hora.
Quines són les principals novetats que recull el nou Reglament de protecció de dades?
Entre altres disposicions, les noves regles que ens trobem en la reforma inclouen:
a) L’anomenat “dret a l’oblit”, que permetrà la rectificació o la supressió de dades personals i informació.
El dret a l’oblit es presenta com la conseqüència del dret que tenen els ciutadans a sol·licitar, i obtenir dels responsables, que les dades personals siguin suprimides quan, entre altres casos, ja no siguin necessàries per a la finalitat amb la qual van ser recollides, quan s’hagi retirat el consentiment o quan s’hagin recollit de forma il·lícita. Així mateix, segons la sentència del Tribunal de Justícia de la Unió Europea de 13 de maig de 2014, que va reconèixer per primera vegada el dret a l’oblit recollit ara en el Reglament europeu, suposa que l’interessat pot sol·licitar que es bloquegin en les llistes de resultats dels cercadors els vincles que condueixin a informacions que l’afectin que resultin obsoletes, incompletes, falses o irrellevants i no siguin d’interès públic, entre altres motius.
b) El tractament de dades personals haurà de comptar amb un deure informació i consentiment reforçat, clar i afirmatiu.
c) Es fixen restriccions als menors de 13 anys en l’accés a les xarxes socials, si bé cada estat podrà augmentar-lo fins als 16, amb la necessitat de l’autorització dels seus pares per al tractament de les seves dades.
El Reglament estableix que l’edat en la qual els menors poden prestar per si mateixos el seu consentiment per al tractament de les seves dades personals en l’àmbit dels serveis de la societat de la informació (per exemple, xarxes socials) és de 16 anys. No obstant això, permet rebaixar aquesta edat i que cada estat membre estableixi la seva pròpia, establint un límit inferior de 13 anys. En el cas d’Espanya, aquest límit continua en 14 anys. Per sota d’aquesta edat, és necessari el consentiment de pares o tutors.
Atenció. En el cas de les empreses que recopilin dades personals, és important recordar que el consentiment ha de ser verificable i que l’avís de privadesa ha d’estar escrit en un llenguatge que els nens puguin entendre.
d) El reconeixement de nous drets com el de la “portabilitat”, que implica que l’interessat que hagi proporcionat les seves dades a un responsable que els estigui tractant de manera automatitzada podrà sol·licitar recuperar aquestes dades en un format que li permeti el seu trasllat a un altre responsable. Quan això sigui tècnicament possible, el responsable haurà de transferir les dades directament al nou responsable designat per l’interessat.
e) Informacions respecte a les bretxes de seguretat i el dret a ser informat en aquests casos quan es posi en perill la privadesa.
f) Nous principis, entre d’altres, la figura del delegat de protecció de dades obligatòria per a algunes empreses, la rendició de comptes “accountability” o la privadesa per disseny i per defecte.
g) S’imposa la utilització d’un llenguatge clar i comprensible en les clàusules de privadesa.
Atenció. Les empreses han de revisar els seus avisos de privadesa. El Reglament preveu que s’incloguin en la informació que es proporciona als interessats una sèrie de qüestions que amb la Directiva i moltes lleis nacionals de transposició no eren necessàriament obligatòries. Per exemple, caldrà explicar la base legal per al tractament de les dades, els seus períodes de retenció i que els interessats poden dirigir les seves reclamacions a les autoritats de protecció de dades. Si creuen que hi ha un problema amb la forma en què estan manejant les seves dades. És important recordar que el Reglament exigeix de forma expressa que la informació que es proporcioni sigui fàcil d’entendre i que s’ha de presentar en un llenguatge clar i concís.
h) Serà aplicable a totes les empreses que processin dades de ciutadans de la UE, amb independència de si la seva seu està fora de la UE.
i) Canvis en el règim sancionador amb multes que poden arribar fins al 4% de la facturació global de l’empresa infractora.
Atenció. Les infraccions més greus poden ser sancionades amb multes de fins a 20.000.000 d’euros i, si l’infractor és una empresa, la multa pot arribar a una quantia equivalent al 4% de la seva xifra de negocis.
Canvia la forma en la qual cal obtenir el consentiment?
Una de les bases fonamentals per tractar dades personals és el consentiment. El Reglament demana que el consentiment, amb caràcter general, sigui lliure, informat, específic i inequívoc. Per poder considerar que el consentiment és “inequívoc”, el Reglament requereix que hi hagi una declaració dels interessats o una acció positiva que indiqui l’acord de l’interessat. El consentiment no es pot deduir del silenci o de la inacció dels ciutadans.
Les empreses haurien de revisar la forma en la qual obtenen i registren el consentiment. Pràctiques que s’enquadren en l’anomenat consentiment tàcit i que són acceptades sota l’actual normativa deixaran de ser-ho quan el Reglament sigui aplicable.
A més, el Reglament preveu que el consentiment hagi de ser “explícit” en alguns casos, com pot ser per autoritzar el tractament de dades sensibles. Es tracta d’un requisit més estricte, ja que el consentiment no es podrà entendre com concedit implícitament mitjançant algun tipus d’acció positiva. Així, caldrà que la declaració o acció es refereixin explícitament al consentiment i al tractament en qüestió.
Cal tenir en compte que el consentiment ha de ser verificable i que els qui recopilin dades personals han de ser capaços de demostrar que l’afectat els va atorgar el seu consentiment. Per això, és important revisar els sistemes de registre del consentiment perquè sigui possible verificar-ho davant una auditoria.
Les empreses ja han de començar a aplicar les mesures contemplades en el Reglament?
Encara que el Reglament està en vigor no serà aplicable fins a 2018. No obstant això, pot ser útil per a les empreses que tracten dades que comencin a valorar la implantació d’algunes de les mesures previstes, sempre que aquestes mesures no siguin contradictòries amb les disposicions de la LOPD, que segueix sent la norma per la qual s’han de regir els tractaments de dades a Espanya.
Per exemple, les empreses han de tenir en compte que a partir de maig de 2018 hauran de realitzar anàlisi de risc dels seus tractaments i que pot ser útil per a elles començar des d’ara a identificar el tipus de tractaments que realitzen, el grau de complexitat de l’anàlisi que hauran de dur a terme, etc. En aquesta tasca podrien utilitzar les eines i recursos que gradualment vagin desenvolupant les autoritats de protecció de dades.
Igualment, no hi ha res que impedeixi que les empreses comencin a planificar o a establir el registre de tractaments de dades o a implantar les avaluacions d’impacte o qualsevol altra de les mesures previstes.
De la mateixa manera, podrien començar a dissenyar i implantar els procediments per notificar adequadament a les autoritats de protecció de dades o als interessats els errors de seguretat que es poguessin produir.
En general, les empreses que tracten dades personals haurien de començar a preparar l’aplicació d’aquestes mesures, així com d’altres modificacions pràctiques derivades del Reglament. Per exemple, el Reglament exigeix que els responsables de tractament facilitin als interessats l’exercici dels seus drets. Encara que la interpretació de “facilitar” pugui variar depenent dels casos, inclou en tots ells algun tipus d’actuació positiva per part dels responsables per fer més accessibles i senzilles les vies per a l’exercici de drets.
L’avantatge d’una ràpida aplicació és que permetrà detectar dificultats, insuficiències o errors en una etapa en què aquestes mesures no són obligatòries i, en conseqüència, la seva correcció o eficàcia no estarien sotmeses a supervisió. Això permetria corregir errors per quan el Reglament ja sigui aplicable.
Es poden posar en contacte amb aquest despatx professional per qualsevol dubte o aclariment que pugui tenir sobre aquest tema.