Per Albert Noguer
El 25 de maig de 2018 començarà l’aplicació del Reglament General de Protecció de Dades (RGPD, d’ara endavant) i, al seu torn, entrarà en vigor –previsiblement- la nova Llei Orgànica de Protecció de dades (actualment aquesta proposició de llei es troba en període d’esmenes de la Comissió de Justícia, amb un dictamen molt sever –contrari- del Consell d’Estat).
El RGPD no solament suposa un canvi de perspectiva de protecció de dades que busca actualitzar la vigent normativa, sinó la revisió de les bases legals; establint canvis radicals en l’enfocament; com la responsabilitat activa, la privacitat per defecte i per disseny de les que parlarem en altres articles.
Per començar, hem de comentar que fins avui, tota la normativa comunitària de protecció de dades pivotava sobre directives. Per contra, ara s’ha optat per un Reglament que, en virtut de l’article 288 del Tractat de Funcionament de la Unió Europea –i a diferència de les Directives-, té “abast general” i “serà obligatori en tots els seus elements i directament aplicable en cada Estat membre”.
El RGPD –com l’actual LOPD- té un àmbit d’aplicació universal (article 3.1 RGPD): això és, si el responsable radica en un Estat Membre, es veurà obligat a complir el RGPD com a norma general encara que transmeti les dades a un tercer país, mitjançant la figura legal de la “transferència internacional de dades”, a la qual també ens referirem en propers articles.
Amb caràcter previ a l’anàlisi més exhaustiva de les novetats del RGPD hem de definir clarament el concepte de “dades personals”. Tant l’actual LOPD com el futur Reglament comunitari defineixen el concepte com “tota informació sobre una persona física identificada o identificable”.
Com veiem, en tots dos textos es refereix a persones físiques. Hem de doncs excloure de la protecció de dades a les persones jurídiques? Rotundament sí. El primer aspecte que hem de tenir en compte és que la protecció de dades NO és un règim protector de persones jurídiques. Així ho determinen tant l’Informe 20/2009 de l’Agència Espanyola de Protecció de dades (AEPD) com en la Sentència de l’Audiència Nacional de 19 de març de 2014, entre d’altres, quan determina que: “Ens trobem davant un dret fonamental, la protecció de dades de caràcter personal, que difereix dels garantits en l’article 18.1 CE i del que solament són titulars les persones físiques, és a dir, els éssers humans, tal com reconeix tant la LOPD com la Directiva; així com els Convenis internacionals subscrits per Espanya (…)”.
Això no implica que, si s’ha produït un dany, l’empresa no pugui reclamar judicialment pel ja conegut 1.902 CC el rescabalament dels danys soferts.
Una vegada assentat que la protecció de dades afecta tant a aquelles dades que identifiquen o poden identificar a persones físiques, podem avançar.
Un aspecte que hem de valorar; i que suposa un estricte canvi de paradigma, és la relació entre els responsables i els encarregats.
El responsable és –i sempre ha estat- el titular de les dades; això és, qui determina tant les finalitats com els mitjans del tractament (art 4.6 RGPD). No obstant això, pot succeir –i succeeix en multitud d’ocasions- que el responsable decideix contractar un encarregat (segons el art4.7 RGPD: “persona física, jurídica, autoritat pública, servei o organisme que tracti les dades per compte del responsable del tractament”). Pensem en un Call Center externalitzat, per exemple, per a finalitats comercials i que sigui aliè a l’empresa. Això és un encarregat. En altres paraules: rep un encàrrec que exigeix tractar i processar dades personals. Ja no solament tractarà dades personals, sinó que el responsable li transmet dades personals dels seus clients (ex. Nom, cognoms amb número de telèfon).
Com es regula?
La relació entre responsable i encarregat ha de partir de dues premisses fonamentals: La primera d’elles és que solament s’han de transmetre aquelles dades necessàries per a la realització de l’encàrrec, segons els articles 5.1c) i 25.2 RGPD; principi de minimització de dades. En cas que es transmetin totes les dades, amb indiferència de l’encàrrec a realitzar, suposaria una clara vulneració de la protecció de dades. La segona premissa és que aquest encàrrec ha de substanciar-se en un contracte escrit (articles 28.3 i 28.9 RGPD) en el qual han de constar, necessàriament (contingut obligatori):
- Objecte, durada, finalitat i naturalesa del contracte.
- Tipus de dades personals que es tracten.
- Deure confidencialitat de les dades.
- Establir les mesures de seguretat, segons el risc.
- Obligació de l’encarregat de tractar les dades conforme a les ordres del responsable.
- Condicions perquè el responsable pugui donar la seva autorització prèvia a les subcontractacions.
- Assistència al responsable, en tot allò que calgui (ex. Drets dels interessats).
- Destinació de les dades en finalitzar la prestació (supressió o devolució de les dades a l’encarregat).
A més, una altra novetat destacable és que l’actual Reglament de Desenvolupament de la LOPD estableix la necessitat de “diligència deguda” en l’elecció d’encarregats; pel contari, el RGPD incorpora mesures de responsabilitat activa, com la que els responsables solament han d’escollir aquells encarregats que ofereixin garanties suficients per aplicar mesures tècniques i organitzatives apropiades, de manera que el tractament sigui conforme amb el Reglament (article 28.1 RGPD).
Una de les majors novetats –en comparació de l’actual LOPD- és que el RGPD preveu obligacions específiques per a l’encarregat al marge de la relació contractual que l’uneix amb el responsable i que estan subjectes a infracció i sanció.
Alguna de les novetats més important és que ha de mantenir un registre d’activitats que comportin afectació a dades personals i ha de designar, si compleix els supòsits legalment previstos, a un Delegat de Protecció de Dades (figura legal que opera d’enllaç entre les autoritats i l’organització, que té independència i que guia a l’organització cap al compliment del RGPD i normativa interna de protecció de dades).
Aquestes són, en definitiva, algunes de les modificacions més substancials en la relació entre responsable i encarregat. No obstant això, hem de tenir en compte que aquesta informació s’ha de desenvolupar amb altres aspectes de caràcter general dels quals parlarem més endavant: com el paper del DPO (per les seves sigles en anglès, “Delegat de Protecció de Dades”), el duríssim règim d’infraccions i sancions o el consentiment de l’interessat.
En els propers articles comentarem aquestes novetats més detalladament, per oferir una visió global i amb llenguatge senzill d’aquest nou marc jurídic aplicable a partir del 25 de maig de 2018.
1 comment