Notes sobre les implicacions pràctiques del GDPR durant el període de transició

L'AEPD, en la seva nota de premsa "Implicacions pràctiques del Reglament General de Protecció de Dades per a entitats en el període de transició", recomana a les empreses que vagin adaptant els seus processos al nou Reglament de protecció de dades (GDPR) per afrontar el moment en el qual el Reglament sigui aplicable:
 

1. Consentiment explícit

El nou Reglament només permet el consentiment explícit de l'interessat per realitzar un tractament, excloent el fins ara permès consentiment tàcit, de manera que, segons l'AEPD els consentiments tàcits "només seguiran sent vàlids com a base de tractament si es van obtenir respectant els criteris fixats pel propi Reglament ", o sigui que no en complirà cap.

L'AEPD aconsella començar ja a revisar els tractaments que es basin en aquest tipus de consentiment per adequar-los al Reglament, ja que a partir de l'aplicació definitiva del GDPR, el 25 de maig de 2018, "només tenen legitimació suficient els tractaments basats en el consentiment inequívoc, amb independència de quan s'hagi obtingut aquest consentiment ".

Recordar que els tractaments efectuats per una obligació legal del Responsable del tractament (per exemple l'emissió d'una factura) no necessiten consentiment explícit.

Per a més informació sobre el consentiment, consultar l'article d'aquest mateix web: El consentiment explícit en el GDPR
 

2. Informació del tractament a l'interessat

L'AEPD aconsella a les empreses que "adaptin les seves polítiques informatives al que disposa el Reglament incorporant sense dilació les qüestions addicionals que actualment no són requerides per la normativa espanyola a les informacions que es proporcionen als interessats".

En aquest sentit, el Reglament disposa que s'ha d'informar:

• La identitat i les dades de contacte del responsable del tractament i, si n'hi ha, els del Representant i DPO.
• Els fins del tractament a què es destinen les dades personals.
• La base jurídica del tractament.
• El termini de conservació o els criteris que ho determinin.
• Els destinataris o categories de destinataris de les dades.
• Les transferències internacionals i les garanties adequades de protecció de dades.
• El dret d'accés, rectificació i supressió de les dades i el de limitació o oposició al tractament.
• El dret a la portabilitat de les dades.
• El dret a presentar una reclamació davant l'Autoritat de control (AEPD).
• El dret a retirar el consentiment en qualsevol moment quan l'interessat hagi donat el seu consentiment explícit.

Per a més informació, consultar l'article d'aquest mateix web: La informació del tractament en el GDPR
 

3. Avaluacions d'impacte sobre la protecció de dades

Les avaluacions d'impacte s'han de fer quan sigui probable que hi hagi un alt risc per als drets i llibertats de les persones interessades amb l'objectiu de minimitzar aquests riscos. L'AEPD "considera que no hauria d'esperar a la data en què la realització de les avaluacions resulti obligatòria per començar a utilitzar aquesta eina, ja que requereix de preparació, elecció de la metodologia adequada, identificació dels equips de treball i una altra sèrie de condicions que no poden improvisar-se ".

Tot i que l'AEPD podrà establir una llista dels tipus de tractament que requereixen una avaluació d'impacte, mentre això no passi, les empreses que realitzin tractaments que tractin una quantitat considerable de dades personals que afectin un gran nombre de ciutadans (a gran escala) o que prevegin un alt risc, ja haurien de procedir a analitzar aquests riscos i procedir a realitzar una avaluació d'impacte.

Una avaluació d'impacte ha d'analitzar la necessitat i proporcionalitat del tractament pel que fa a la seva finalitat, els riscos per als drets i llibertats dels interessats, els mecanismes destinats a garantir la protecció de dades i les mesures de seguretat previstes per afrontar els riscos del tractament des del disseny i per defecte en qualsevol fase del tractament.

Per a més informació, consultar l'article d'aquest mateix web: L'avaluació d'impacte al GDPR
 

4. Certificació

Encara que a l'article de l'AEPD es parla que "el Reglament concedeix una atenció especial a la implantació d'esquemes de certificació", la veritat és que per ara aquests mecanismes de certificació no existeixen i només es podran sol·licitar fins que les autoritats competents en protecció de dades els s'hagin establert.

L'obtenció d'un Certificat, Segell o Marcat de Protecció de Dades per part del Responsable o Encarregat del tractament podrà garantir el compliment del Reglament durant un període màxim de 3 anys i podrà ser renovat si se segueixen complint els requisits exigits per l'organisme acreditat que el subministri.

Per a més informació, consultar l'article d'aquest mateix web: Garanties de compliment al GDPR

 

5. Delegats de Protecció de Dades. Certificació

L'AEPD "considera que no és oportú establir un sistema de certificació de Delegats de Protecció de Dades que operi com a requisit per a l'accés a la professió" i està en fase de valorar la possibilitat de promoure l'acreditació d'entitats de certificació de DPO.

A part d'aquesta acreditació, que si s'estableix serà molt útil per al sector, destaquem que el Responsable o Encarregat del tractament només tindran l'obligació de designar un DPO quan la seva activitat principal contempli tractaments a gran escala d'observació habitual i sistemàtica d'interessats, categories especials de dades o dades relatives a condemnes i infraccions penals.

Per a més informació sobre DPO, consultar l'article d'aquest mateix web: Obligació de designar un DPO
 

6. Relació entre Responsables i Encarregats

L'AEPD recomana que s'haurien de revisar "els contractes ja existents i que facin referència a encàrrecs amb vocació de prolongar-se en el temps, de manera que al maig de 2018 siguin compatibles amb les disposicions del Reglament" i "incloure en les noves clàusules contractuals tots els elements que el Reglament considera necessaris".

En aquest sentit, serà imprescindible dissenyar un nou tipus de contracte que contempli les disposicions que el GDPR obliga a detallar al mateix:

• L'objecte, durada, naturalesa i finalitat del tractament.
• El tipus de dades personals i categories d'interessats.
• Les obligacions i drets del Responsable del tractament.
• Que es seguiran les instruccions documentades del Responsable del tractament, incloent les transferències internacionals.
• Que el personal autoritzat per realitzar el tractament hagi subscrit un acord de confidencialitat.
• Que s'implementaran les mesures de seguretat que estableix el Reglament.
• Que no es podrà subcontractar el servei a un altre Encarregat del tractament sense l'autorització prèvia i per escrit del Responsable.
• Que es crearan les condicions tècniques i organitzatives necessàries per cursar les sol·licituds dels drets dels interessats.
• Que cooperarà amb el Responsable per garantir el compliment del Reglament.
• Que al terme del contracte es suprimiran o tornaran les dades i s'eliminaran les còpies existents.
• Que es posarà a disposició del Responsable dels recursos necessaris per demostrar el compliment del contracte.
• Que si l'Encarregat del tractament determina pel seu compte els fins i els mitjans del tractament, serà considerat Responsable.

 
Per a més informació sobre l'encarregat del tractament, consultar l'article d'aquest mateix web: L'Encarregat del tractament al GDPR
 

7. Eines per a pimes i eines sectorials

Bona tasca la de l'AEPD que està treballant "en la preparació d'eines que ajudin a Responsables i Encarregats a l'enteniment i compliment del Reglament".

Per a més informació sobre eines per a l'enteniment i compliment del Reglament, consultar l'article d'aquest mateix web: Llibre - Guia del nou Reglament Europeu de Protecció de Dades (GDPR)
 

Conclusions

Tot i que l'AEPD va realitzant escrits de tant en tant sobre com adaptar-nos al nou Reglament, es troba a faltar més concreció sobre cada assumpte tractat.

En aquest blog de l'Ateneu Privacy Consulting s'aniran tractant les disposicions del GDRP en tota la seva extensió i complexitat per a un bon raonament d'aplicació del nou Reglament.

 

Informació relacionada

 

• Implicaciones prácticas del Reglamento General de Protección de Datos para entidades en el periodo de transición
• El Reglamento de protección de datos en 12 preguntas
• Publicació oficial del Reglament Europeu de Protecció de Dades