COMPROMÍS EDUCATIU I SOCIAL

El RGPD és una norma directament aplicable, que no requereix de normes internes de transposició ni tampoc, en la majoria dels casos, de normes de desenvolupament o aplicació. Per això, els responsables hauran de saber  que la norma de referència és el RGPD.

Les organitzacions que en l'actualitat compleixen adequadament amb la LOPD espanyola tenen una bona base de partida per evolucionar cap a una correcta aplicació del nou Reglament. No obstant això, el RGPD modifica alguns aspectes del règim actual i conté noves obligacions que han de ser analitzades i aplicades per cada organització tenint en compte les seves pròpies circumstàncies.

Dos elements de caràcter general constitueixen la major innovació del RGPD per als responsables i es projecten sobre totes les obligacions de les organitzacions: 

El principi de responsabilitat proactiva, que implica que el responsable del tractament apliqui mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament és conforme amb el Reglament. En síntesi, aquest principi exigeix una actitud conscient, diligent i proactiva per part de les organitzacions enfront de tots els tractaments de dades personals que duguin a terme.

La avaluació del risc: l'aplicació de les mesures previstes pel RGPD ha d'adaptar-se a les característiques de les organitzacions. El que pot ser adequat per a una organització que treballa amb dades de milions d'interessats en tractaments complexos que involucren informació personal sensible o volums importants de dades sobre cada afectat , no ho serà  per a una petita entitat que duu a terme un volum limitat de tractaments de dades no sensibles.
Per complir amb aquests conceptes el Reglament estableix les següents novetats:

Noves categories especials de dades. A part de les dades especialment protegides que ja preveia la LOPD, que ara passen a denominar-se "categories especials de dades", el Reglament inclou dues noves categories especials de dades:

• Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d'una persona física que proporcionen una informació única sobre la fisiologia o la salut d'aquesta persona, obtinguts en particular de l'anàlisi d'una mostra biològica.
• Dades biomètriques: dades personals obtingudes a partir d'un tractament tècnic específic, relatius a les característiques físiques, fisiològiques o conductuals d'una persona física que permetin o confirmin la identificació única d'aquesta persona (imatges facials, dades dactiloscòpiques, etc.).

Consentiment. Aquest ha de ser inequívoc. A més, haurà de ser expressat en aquells supòsits en els quals es tractin dades sensibles, siguin decisions automatitzades o es produeixi transferència internacional de les dades.  Podrà ser implícit quan el titular de les dades s'interessi i interactuï amb l'entitat (ex. navegar per la seva pàgina web i acceptar les "cookies").

Fitxers. Desapareix la obligació d'inscripció a l'Agència de Protecció de dades (vigent fins ara) i se substitueix per l'elaboració d'un registre de "activitats de tractament", que contindrà necessàriament:

• Nom i dades del responsable (i del delegat de protecció de dades si fos necessari nomenar-ho);
• Finalitats del tractament;
• Descripció de categories d'interessats i de dades tractades;
• Transferències internacionals de dades.

Excepte les entitats de menys de 250 empleats que no estan obligades a portar aquest registre.

Encarregat i responsable del tractament. Encara que el responsable del tractament segueix assumint la responsabilitat del mateix, els encarregats adquireixen obligacions específiques. Per això, els responsables hauran de triar a encarregats del tractament que garanteixin el compliment de les normes recollides en el RGDP.

Mesures de seguretat. El RGPD no estableix una llistat de mesures com si recollia la normativa nacional fins ara, sinó que haurà d'adaptar-se a cada situació concreta en funció del risc.

En cas d'identificar una bretxa de seguretat, és obligatori comunicar-ho a l'Agència Espanyola de Protecció de Dades. En alguns supòsits, també caldrà comunicar-la als interessats.

Anàlisi de risc i avaluació de l’ impacte. Per valorar el risc haurà d'atendre's als següents criteris: (i) tipus de tractament; (ii) naturalesa de les dades; (iii) nombre d'interessats afectats; (iv) quantitat i varietat de tractaments. En avaluar-se l'impacte caldrà identificar si el tractament de les dades té un alt risc per als drets i llibertats dels interessats.

Delegat de protecció de dades (DPO). Es configura com el punt d'unió entre els interessats i el tractament de les seves dades. Serà obligatori en els següents supòsits:

• Autoritats i organismes públics;
• Quan, entre les activitats principals del responsable o de l'encarregat, es trobin les operacions de tractament que requereixin una observació habitual i sistemàtica d'interessats a gran escala;
• Quan, entre les activitats principals del responsable o de l'encarregat, es trobi el tractament a gran escala de dades sensibles.

El DPO, que podrà ser o no part de l'estructura interna de l'organització, haurà de tenir la qualificació i autonomia suficients per poder desenvolupar les seves funcions. Així mateix, l'encarregat o responsable està obligat a facilitar-li tots els recursos necessaris per al compliment de les seves obligacions en l'exercici del seu càrrec.

Així doncs si la seva entitat treballa amb dades personals, deurà obligatòriament integrar en el seu flux de treball, en desenvolupar les seves rutines laborals amb dades personals, els mandats recollits en el RGPD . En cas contrari s'estaria infringint el dret europeu.

Es por este motivo que desde la Fundación Pere Tarrés desarrollaremos diferentes ediciones del curso de Protección de Datos: la nueva normativa europea, tanto en modalidad presencial como online.