Circular d'aplicació del reglament general de protecció de dades

Circular d'aplicació del reglament general de protecció de dades 29/05/2018

El pròxim 25 de maig del 2018 serà de plena aplicació el Reglament General de Protecció de Dades (UE 2016/679. El RGPD és una norma directament aplicable que no requereix normes internes de transposició pels estats, i per tant, els responsables i encarregats de tractament de dades de caràcter personal han de complir amb el seu contingut a partir de la data esmentada.

El RGPD es basa en dos nous principis, el principi de responsabilitat proactiva, que exigeix que les entitats que tracten dades hauran d’analitzar quines dades tracten i quin tipus d’operacions de tractament realitzen, i l’enfoc del risc, en el sentit que es té present si existeix o no un alt risc pels drets i llibertats en el tractament de dades realitzat.

Pel que fa a les principals novetats del RGPD, es podria dir que les més importants són les següents:

1) Modificació en la manera en què es considera vàlid el consentiment prestat per al tractament de les dades de caràcter personal: es requereix que el consentiment sigui inequívoc, deixant-se d’admetre els consentiments tàcits o per omissió, el que implica que els tractaments iniciats abans del 25 de maig del 2018 en els que el consentiment no hagi estat prestat conforme al RGPD no seran legítims, i s’hauria de recollir de nou el consentiment.

2) Exigeix més informació en el moment de recollir dades personals: citar la base jurídica que legitima el tractament, període de conservació de les dades, possibilitat de fer reclamacions.

3) Obligació per a determinats responsables i encarregats de tractament de portar un registre d’operacions de tractament.(més de 250 treballadors)

4) Ampliació dels drets dels titulars de dades (ARCO). Nous drets: dret de supressió (dret a l’oblit), dret de limitació i dret a la portabilitat.

5) Nova regulació de les mesures de seguretat:  no diferencia per nivells, especifica que s’han d’aplicar mesures de seguretat “tècniques i organitzatives apropiades”, però no les concreta.

6) Obligació de realitzar una anàlisi del risc de tractament, i per a aquelles organitzacions que realitzin tractaments de dades que puguin implicar un alt risc per als drets i llibertats de les persones físiques, obligació de realitzar una avaluació prèvia d’impacte del tractament de dades personals (ex. elaboració de perfils, tractaments a gran escala...).

7) Obligació de notificar les violacions de seguretat de dades a l’autoritat competent (AEPD).

8) Creació de la figura del Delegat de Protecció de Dades: figura obligatòria per a les autoritats i organismes públics, i per a les empreses i entitats que facin tractament a gran escala o les que tractin dades especialment sensibles també a gran escala

9) Establiment d’obligacions pels encarregats de tractament que abans no existien.

10) Fixació de sancions més altes (poden arribar als 20 milions d’euros o fins al 4% del volum de negoci).

 

De forma concreta els centres han de:  

  • Revisar el procediment de recollida de dades dels socis per deixar constància del seu consentiment. Indicar el temps de conservació de les dades.
  • Els formularis de les webs: informar del tractament de les dades quan es sol·liciten.
  • Redactar els contractes necessaris amb els prestadors de serveis amb les noves exigències.
  • Sempre que es vagi a enviar informació sobre les activitats del centre es deu sol·licitar el consentiment. Est pot obtenir-se mitjançant la signatura d'un document o mitjançant un formulari a la web i la casella d'acceptació.
  • Revisar les mesures organitzatives i tècniques implementades al centre.
  • Revisar el tipus de dades tractades i determinar els riscos per als drets dels ciutadans.

 


No hi ha comentaris
Nom de l'autor del comentari L'adreça electrònica no es farà pública en cap moment.