LOPD versus GDPR: de la inscripció de fitxers a l'anàlisi de riscos


Josep Aragonés Salvat     21/03/2017


 

Anàlisi de riscos versus Registre d'activitats


L'AEPD ha publicat un nou article al seu bloc, "De la inscripció de fitxers al registre d'activitats", on la notícia més rellevant és que "El 25 maig 2018 començarà a aplicar-se el Reglament General de Protecció de Dades i, en conseqüència, desapareix la primera de les obligacions del responsable que tracta dades de caràcter personal: la notificació gratuïta de fitxers davant el Registre General de Protecció de dades de l'AEPD".

En gairebé tot l'article es descriu la utilitat que fins al moment se li confereix a aquesta inscripció, amb l'objectiu que el responsable del tractament estigui conscienciat de la protecció de dades i el ciutadà pugui conèixer de la forma més exacta possible què s'està realitzant amb les seves dades de caràcter personal.

Encara que l'objectiu final que es pretenia amb aquest registre de fitxers no s'ha aconseguit, el que sí s'ha aconseguit és que la majoria d'empreses s'hagin assabentat que hi ha una legislació de protecció de dades que han de complir i que, de no fer-ho, els pugui afectar amb fortes sancions econòmiques.

Vist això, l'AEPD sentència ja en el títol de la notícia, que "L'obligatorietat actual d'inscriure els fitxers ... serà substituïda per la de comptar amb un registre d'activitats".

No puc més que mostrar la meva perplexitat quan l'AEPD publica una notícia, que al meu modest parer, no es correspon amb el que disposa el Reglament. I m'explico:

El Reglament reconeix en el considerand 89 que aquesta mesura (la inscripció de fitxers) no ha contribuït a millorar la protecció de dades personals i la substitueix per l'obligació de realitzar una avaluació d'impacte quan sigui probable que el tractament comporti un alt risc per als drets i llibertats dels interessats. O sigui, que la substitució va més relacionada amb l'anàlisi de riscos per determinar si existeix un alt risc que no en portar un registre de les activitats del tractament.

I més encara. Quan l'AEPD determina que "L'article 30 estipula que cada responsable i, si escau, el seu representant han de portar un registre d'activitats de tractament efectuades sota la seva responsabilitat", no esmenta que la gestió d'aquest registre només obliga els responsables del tractament que compleixin alguna de les següents condicions (apartat 5 de l'article 30):
 
  • Tinguin un mínim de 250 treballadors.
  • El tractament pugui suposar un risc per als drets i llibertats de l'interessat i no tingui un caràcter ocasional.
  • Es tracten categories especials de dades.
  • Es tracten dades relatives a condemnes i delictes penals.

Per tot l'esmentat anteriorment i seguint la doctrina del GDPR, haurem de substituir l'obligació d'inscriure fitxers per l'obligació de realitzar un anàlisi de riscos per avaluar l'impacte relatiu a la protecció de dades que pugui comportar el tractament sobre els drets i llibertats dels ciutadans.


 

Que diu el GDPR


Considerant 89

La Directiva 95/46 / CE va establir l'obligació general de notificar el tractament de dades personals a les autoritats de control. Malgrat implicar càrregues administratives i financeres, aquesta obligació, però, no va contribuir en tots els casos a millorar la protecció de les dades personals. Per tant, aquestes obligacions generals de notificació indiscriminada han d'eliminar-se i substituir-se per procediments i mecanismes eficaços que se centrin, al seu lloc, en els tipus d'operacions de tractament que, per la seva naturalesa, abast, context i fins, comportin probablement un alt risc per als drets i llibertats de les persones físiques. Aquests tipus d'operacions de tractament poden ser, en particular, les que impliquen l'ús de noves tecnologies, o són d'una nova classe i el responsable del tractament no ha realitzat prèviament una avaluació d'impacte relativa a la protecció de dades, o si resulten necessàries vist el temps transcorregut des del tractament inicial.



Article 30. Registre de les activitats de tractament

1. Cada responsable i, si escau, el seu representant han de portar un registre de les activitats de tractament efectuades sota la seva responsabilitat. Aquest registre ha de contenir tota la informació indicada a continuació:
  a) el nom i les dades de contacte del responsable i, si escau, del corresponsable, del representant del responsable, i del delegat de protecció de dades;
  b) les finalitats del tractament;
  c) una descripció de les categories d'interessats i de les categories de dades personals;
  d) les categories de destinataris als que es van comunicar o es comunican les dades personals, inclosos els destinataris en tercers països o organitzacions internacionals;
  e) si és el cas, les transferències de dades personals a un tercer país o una organització internacional, inclosa la identificació d'aquest tercer país o organització internacional i, en el cas de les transferències indicades en l'article 49, apartat 1, paràgraf segon, la documentació de garanties adequades;
  f) quan sigui possible, els terminis previstos per a la supressió de les diferents categories de dades;
  g) quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat a què es refereix l'article 32, apartat 1.

2. Cada encarregat i, si escau, el representant de l'encarregat, portarà un registre de totes les categories d'activitats de tractament efectuades per compte d'un responsable que contingui:
  a) el nom i les dades de contacte de l'encarregat o encarregats i de cada responsable per compte del qual actuï l'encarregat, i, si escau, del representant del responsable o l'encarregat, i del delegat de protecció de dades;
  b) les categories de tractaments efectuats per compte de cada responsable;
  c) si s'escau, les transferències de dades personals a un tercer país o organització internacional, inclosa la identificació d'aquest tercer país o organització internacional i, en el cas de les transferències indicades en l'article 49, apartat 1, paràgraf segon, la documentació de garanties adequades;
  d) quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat a què es refereix l'article 30, apartat 1.

3. Els registres a què es refereixen els apartats 1 i 2 han de constar per escrit, inclusivament en format electrònic.

4. El responsable o l'encarregat del tractament i, si escau, el representant del responsable o de l'encarregat ha de posar el registre a disposició de l'autoritat de control que ho sol·liciti.

5. Les obligacions indicades en els apartats 1 i 2 no s'aplicaran a cap empresa ni organització que ocupe menys de 250 persones, llevat que el tractament que realitzi pugui comportar un risc per als drets i llibertats dels interessats, no sigui ocasional , o inclogui categories especials de dades personals indicades a l'article 9, apartat 1, o dades personals relatives a condemnes i infraccions penals a què es refereix l'article 10.



 

Informació relacionada