Cap a on anem amb el nou Reglament Europeu de Protecció de Dades en el món municipal (10 Apunts)

En primer lloc, recordar que ni la normativa vigent espanyola quedarà derogada al 100%, ni tota la normativa que regula totes les dades de caràcter personal estan al Reglament Europeu. Hi ha, i continua havent-hi, i es generarà, molta regulació especifica sectorial, com per exemple en les dades de salut, telecomunicacions, registres públics, o les judicials i policials. Sempre cal entendre el Reglament i la LOPD com una base amb requeriments de mínims, que anirà complementant-se, depenent del sector i les circumstàncies… i també de les sentències del TJUE.

Possiblement els majors conflictes que tindrem els propers anys serà amb l’excepció de la LOPD amb les empreses de telecomunicacions, i amb la de les dades judicials, que el Reglament europeu no les discrimina.

1. Pel que fa al consentiment

El nou Reglament requereix que les persones prestin el seu consentiment mitjançant una manifestació inequívoca o una clara acció afirmativa en les dades que es tractin. Això exclou utilitzar de l’anomenat consentiment tàcit, que actualment permet la normativa espanyola, (construcció filosòfica feta per pressió del les entitats bancàries, elèctriques, telefòniques i d’aigua per poder-nos enviar publicitat en els rebuts i re-vendre’s les nostres dades). Els consentiments obtinguts amb anterioritat a la data d’aplicació de l’RGPD (R. Decret 1720/2007, de 21 de diciembre, Publicat al BOE núm. 17 de 19 de Gener de 2008) només seguiran sent vàlids si compleixen els criteris fixats pel nou Reglament.

Aconsellem que els Ajuntaments que en aquests moments utilitzin l’anomenat consentiment tàcit com a base per als tractaments comencin a revisar els consentiments ja obtinguts per adequar-los al Reglament. A partir de maig de 2018, només tindran legitimació suficient els tractaments basats en el consentiment inequívoc, amb independència de quan s’hagi obtingut aquest consentiment.

2. Pel que fa al Dret d’informació

En matèria de Dret d’informació al RGPD inclou qüestions addicionals que actualment no són requerides per la normativa espanyola. Cal plantejar-se, per tant, què succeirà amb totes les clàusules informatives utilitzades amb anterioritat a maig de 2018 una vegada que el Reglament sigui d’aplicació.

Aquest període transitori ha de ser utilitzat pels Ajuntaments per fer una adaptació progressiva per diverses vies. D’una banda, molts Ajuntaments poden proporcionar aquesta informació addicional sense costos o esforços excessius utilitzant per a això les seves pàgines web o aprofitant els canals de comunicació regulars que puguin mantenir amb els ciutadans.

Alhora, és aconsellable que els Ajuntaments adaptin les seves polítiques informatives a allò que disposa el Reglament. Hi ha algunes qüestions on aquesta informació dependrà de l’adopció d’altres decisions, com pot ser el proporcionar les dades del Delegat de Protecció de Dades. Aquestes dades no es poden traslladar als interessats fins que aquest delegat no sigui nomenat en els casos en què el Reglament ho fa obligatori o quan els ajuntaments decideixin voluntàriament nomenar-lo.

3. Pel que fa a les avaluacions d’impacte sobre la protecció de dades, altrament dit Auditories-LOPD

La realització d’avaluacions d’impacte sobre la protecció de dades, aplicables de forma obligatòria en certs tractaments, ara caràcter previ a la posada en marxa dels mateixos i té com a objectiu minimitzar els riscos que un tractament de dades planteja per als ciutadans. Es a dir que les auditories-LOPD, a més de ser, al menys biennals, s’hauran de fer amb caràcter previ a la creació d’un fitxer

No s’hauria d’esperar a la data en què la realització de les auditories resulti obligatòria per començar a utilitzar aquesta eina, ja que requereix de preparació, elecció de la metodologia adequada, identificació dels equips de treball i una altra sèrie de condicions que no poden improvisar-se.

Començar a incorporar aquest sistema permetrà assegurar el compliment no ja del futur Reglament, sinó fins i tot de la actual normativa.

4. Pel que fa als processos de Certificació

El Reglament concedeix una atenció especial a la implantació d’esquemes de certificació i obre diverses possibilitats per a la seva gestió. Les certificacions poden ser atorgades per les autoritats de protecció de dades, tant individual com col·lectivament des del Comitè Europeu, o per entitats degudament acreditades. Alhora, en el cas d’optar per aquesta última alternativa, l’acreditació la poden dur a terme les pròpies autoritats o encarregar-ho a les entitats d’acreditació que preveu la normativa europea sobre normalització i certificació. En tot cas, en l’elaboració dels criteris tant per acreditar entitats com per certificar els Ajuntaments tenen diferents graus de participació les autoritats de supervisió i el Comitè Europeu.

Creiem que el sistema d’acreditació seguirà el camí de l’ENS (Esquema Nacional de Seguridad), que queda desballestat, en algunes de les seves parts per diverses sentències del TJUE i pel propi Reglament Europeu.

A darrera hora, L’Europarlament, la càmera co-legislativa de la Unió Europea formada pels diputats elegits directament en cada Estat membre, ha aprovat la nova Directiva sobre la seguretat de les xarxes i de la informació (NIS, per les sigles en anglès).
La nova norma neix amb l’objectiu de prevenir incidents severs en matèria de ciberseguretat, i en cas que tinguin lloc, proporcionar una resposta més eficient, davant problemàtica com ara com errors humans, fenòmens naturals, fallades tècniques o atacs maliciosos. En resum, construir “un ciberespai obert, protegit i segur”.
Per això, la Comissió Europea va presentar un projecte de
directiva al febrer de 2013, que ha fructificat en Directiva la nit del 8 de desembre de 2015, després d’un ple de cinc hores de durada, de la qual destaquem els següents aspectes:
-Es Acaba amb la fragmentació en matèria de regulació sobre seguretat cibernètica, de tal manera que la nova Directiva és aplicable en els 28 estats membres (EEMM) de forma harmonitzada.
-A Partir d’aquest moment, cada EEMM haurà d’identificar als “operadors de serveis essencials” en sectors vinculats a l’energia (electricitat, petroli i gas), transport (aeri, ferroviari, aigua i carretera), banca, mercats financers, de salut, infraestructura digital i d’abastament d’aigua, basant-se si el servei que presten és fonamental per a la societat i l’economia, i si un incident podria tenir efectes perjudicials o significatius sobre la seva disponibilitat, sobre la privacitat dels clients o sobre la seguretat pública.
-A Més, alguns proveïdors de serveis d’Internet (per exemple, eBay, Amazon, Cisco) o motors de cerca (per exemple, Google) i serveis de Cloud Computing (Dropbox), també hauran de garantir la seguretat de la seva infraestructura i informar sobre incidents greus. No obstant això, altres proveïdors de serveis, com ara els relacionats amb les xarxes socials (Facebook, Twitter), no estaran subjectes a aquesta norma.
-Les Autoritats nacionals de Regulació (a Espanya, i per aquest àmbit, seria la SETSI) tindran la potestat d’aplicar sancions en cas d’incompliment de la norma.
-Es Crearà una xarxa d’Equips de Resposta davant Incidents de Seguretat Informàtica (CSIRT), establerts en cada Estat membre, que vigilarà l’evolució dels incidents i identificar respostes coordinades entre les àrees implicades.

si

5. Pel que fa als Delegats de protecció de dades i la seva acreditació.

El Reglament requereix que els delegats de Protecció de Dades (DPD) siguin nomenats en funció de les seves qualificacions professionals, especialment el seu coneixement en matèria de protecció de dades, i la seva capacitat per al desenvolupament de les seves funcions. No obstant això, no estableix específicament quins han de ser aquestes qualificacions professionals ni tampoc la manera en què podran demostrar davant els Ajuntaments que hagin d’incorporar aquesta figura. Estem en un cas molt similar al de la figura de l’auditor LOPD recullida a Reglament. De fet, el Reglament indica en un dels seus considerants que la valoració d’aquestes aptituds i coneixements haurà de realitzar-se no tant en funció de criteris externs com de les necessitats dels tractaments concrets que cada Ajuntament dugui a terme. Entenem que Registres com el de «Auditors Jurídics d’entorns tecnològics» de l’Icab, poden ser garantia de la correcta formació.

En aquest moment, però, ja hi ha una oferta de certificacions i titulacions que donen suport coneixements, experiència o pràctica en l’àmbit de la protecció de dades. Aquestes titulacions estan cridades a jugar un paper rellevant en el desenvolupament de les professions relacionades amb la protecció de dades en la mesura que poden servir com un element més, encara que no sigui necessàriament únic, perquè l’institució que ha de designar un DPD pugui tenir constància de la formació o qualificacions dels possibles candidats.

Entenem també que la figura del DPD, es subsumible dins les funcions del anomenat «RESPONSABLE DE SEGURETAT», que agafaria una vessant més jurídica que tècnica.

6. Pel que fa a la relació entre responsables i encarregats

El Reglament descriu un contingut mínim dels contractes d’encàrrec de tractament que excedeix les previsions contemplades en la Directiva. En el cas espanyol, la LOPD (art. 12) ja contempla la inclusió d’alguns d’aquests continguts en els contractes, encara que hi ha diferències entre aquesta i en RGPD en relació als requisits determinats.

El contracte és el document que determina les obligacions de les parts davant la prestació del servei d’encàrrec que es recorda. Per això, ha de respectar en tot cas el contingut determinat pel Reglament ja que, en cas contrari, no s’estarien traslladant als encarregats les obligacions que el Reglament específicament preveu.

Es recomana aprofitar el temps d’adaptació per dur a terme dues accions paral·leles. En primer lloc, per abordar la revisió dels contractes ja existents i que facin referència a encàrrecs amb vocació de prolongar-se en el temps, de manera que al maig de 2018 siguin compatibles amb les disposicions del Reglament. En segon lloc, per començar a incloure en les noves clàusules contractuals tots els elements que el Reglament considera necessaris.

7. Pel que fa a la seva vigència:

El Reglament ha entrat en vigor el 25 maig 2016 però no començarà a aplicar-se fins a dos anys després, el 25 de maig de 2018. Fins llavors, tant la Directiva 95/46 com les normes nacionals que la transposen, entre elles l’espanyola, continuen sent plenament vàlides i aplicables.

El període de dos anys fins a l’aplicació del Reglament té com a objectiu permetre que els Estats de la Unió Europea, les Institucions Europees i també les organitzacions que tracten dades vagin preparant-se i adaptant-se per al moment en què el Reglament sigui plenament aplicable.

En aquests dos anys, per exemple, els Estats membres poden adoptar o iniciar l’elaboració de determinades normes que siguin necessàries per permetre o facilitar l’aplicació del Reglament. Aquestes normes no poden ser contràries a les disposicions de la vigent Directiva ni tampoc anar més enllà dels poders d’actuació normativa que el mateix Reglament preveu de manera explícita o implícita.

8. Pel que fa al marc d’aplicació.

El Reglament s’aplicarà com fins ara a responsables o encarregats de tractament de dades que estableix la Unió Europea, i s’amplia a responsables i encarregats no establerts a la UE sempre que realitzin tractaments derivats d’una oferta de béns o serveis destinats a ciutadans de la Unió o com a conseqüència d’un monitoratge i seguiment del seu comportament.

Perquè aquesta ampliació de l’àmbit d’aplicació es pugui fer efectiva, aquestes organitzacions han de nomenar un representant a la Unió Europea, que actuarà com a punt de contacte de les autoritats de supervisió i dels ciutadans i que, en cas necessari, pot ser destinatari de les accions de supervisió que desenvolupin aquestes autoritats. Les dades de contacte d’aquest representant a la Unió s’han de proporcionar als interessats entre la informació relativa als tractaments de les seves dades personals.

Aquesta novetat suposa una garantia addicional als ciutadans europeus. En l’actualitat, per tractar dades no és necessari mantenir una presència física sobre un territori, de manera que el Reglament pretén adaptar els criteris que determinen quines empreses han de adaptar-se a la realitat del món d’internet; amb això, es permet que el Reglament sigui aplicable a empreses e institucions que, fins ara, podien estar tractant dades de persones a la Unió i, en canvi, es regien per normatives d’altres regions o països que no sempre ofereixen el mateix nivell de protecció que la normativa europea.

9. Pel que fa a les novetats.

El Reglament introdueix nous elements, com el dret a l’oblit i el dret a la portabilitat, que milloren la capacitat de decisió i control dels ciutadans sobre les dades personals que confien a tercers.

El dret a l’oblit es presenta com la conseqüència del dret que tenen els ciutadans a sol·licitar, i obtenir dels responsables, que les dades personals siguin suprimits quan, entre altres casos, aquests ja no siguin necessaris per a la finalitat amb la qual van ser recollides, quan s’hagi retirat el consentiment o quan aquests s’hagin recollit de forma il·lícita. Així mateix, segons la sentència del Tribunal de Justícia de la Unió Europea de 13 de maig de 2014, que va reconèixer per primera vegada el dret a l’oblit recollit ara en el Reglament europeu, suposa que l’interessat pot sol·licitar que es bloquegin en les llistes de resultats dels cercadors dels vincles que condueixin a informacions que l’afectin que resultin obsoletes, incompletes, falses o irrellevants i no siguin d’interès públic, entre d’altres motius.

Per la seva banda, el dret a la portabilitat implica que l’interessat que hagi proporcionat les seves dades a un responsable que les estigui tractant de manera automatitzada podrà sol·licitar recuperar aquestes dades en un format que li permeti el seu trasllat a un altre responsable. Quan això sigui tècnicament impossible, el responsable haurà transferir les dades directament al nou responsable designat per l’interessat.

10. Pel que fa a l’exercici de Drets

El Reglament estableix que l’edat en què els menors poden prestar per si mateixos el seu consentiment per al tractament de les seves dades personals en l’àmbit dels serveis de la societat de la informació (per exemple, xarxes socials) és de 16 anys. No obstant això, permet rebaixar aquesta edat i que cada Estat membre estableixi la seva pròpia, establint un límit inferior de 13 anys. En el cas d’Espanya, aquest límit continua en 14 anys. Per sota d’aquesta edat, cal el consentiment de pares o tutors.

En el cas de les empreses que recopilin dades personals, és important recordar que el consentiment ha de ser verificable i que l’avís de privacitat ha d’estar escrit en un llenguatge que els nens puguin entendre.

Un dels aspectes essencials del Reglament és que es basa en la prevenció per part de les organitzacions que tracten dades. És el que es coneix com a responsabilitat activa. Els ajuntaments i les empreses han d’adoptar mesures que assegurin raonablement que estan en condicions de complir amb els principis, drets i garanties que el Reglament estableix. El Reglament entén que actuar només quan ja s’ha produït una infracció és insuficient com a estratègia, atès que aquesta infracció pot causar danys als interessats que poden ser molt difícils de compensar o reparar. Per a això, el Reglament preveu una bateria completa de mesures.

El Reglament suposa un major compromís de les organitzacions, públiques o privades, amb la protecció de dades. Però això no implica necessàriament ni en tots els casos una major càrrega. En molts casos serà només una forma de gestionar la protecció de dades diferent de la que es ve emprant fins ara.

En primer lloc, algunes de les mesures que introdueix el Reglament són una continuació o reemplacen a altres ja existents, com és el cas de les mesures de seguretat o de l’obligació de documentació i, fins a cert punt, l’avaluació d’impacte i la consulta a autoritats de supervisió. Altres, constitueixen la formalització en una norma legal de pràctiques ja molt esteses o que, en tot cas, formarien part d’una correcta posada en marxa d’un tractament de dades, com poden ser la introducció del concepte privadesa des del disseny del fitxer i per defecte, l’avaluació d’impacte sobre protecció de dades en certs casos o l’existència d’un delegat de protecció de dades.

En tots els casos, el Reglament preveu que l’obligació d’aquestes mesures, o la manera en què s’apliquin, dependrà de factors com ara el tipus de tractament, els costos d’implantació de les mesures o el risc que el tractament presenta per als drets i llibertats dels titulars de les dades.

Per això, cal que totes les organitzacions que tracten dades realitzin una anàlisi de risc de les seves dades i dels seus tractaments per poder determinar quines mesures s’han d’aplicar i com fer-ho. Aquestes anàlisis poden ser operacions molt simples en entitats que no duen a terme més que uns pocs tractaments senzills que no impliquin, per exemple, dades sensibles, o operacions més complexes en entitats que desenvolupin molts tractaments, que afecten gran quantitat d’interessats o que per les seves característiques requereixen d’una valoració acurada dels seus riscos.

Josep Jover

Related posts

Leave a Comment