Experts adaptant el RGPD a la seva Empresa

El nou Reglament General de Protecció de Dades (RGPD) va ser aprovat el 27 d’abril de 2016 per la Unió Europea, i va entrar en vigor el passat 25 de maig de 2018.

El  24 de novembre de 2017 es va presentar el projecte de llei Orgànica de Protecció de Dades de Caràcter Personal al congrés dels Diputats, a dia d’avui, encara no s’ha publicat la nova llei, per tant, seguirem parlant de LOPD, la nova normativa té com a principal objectiu la protecció de les persones físiques davant el tractament i la lliure circulació de qualsevol tipus de dades personals.

La principal diferència que presenta el règim de bases jurídiques del RGPD respecte de l’establert en la normativa espanyola de protecció de dades és que passem d’un sistema en el qual el consentiment és la base jurídica principal del tractament, configurant-se la resta de bases jurídiques com a excepcions al consentiment (article 6 LOPD), a un sistema en el qual existeixen diferents bases jurídiques, totes elles del mateix valor, entre les quals el consentiment és una base jurídica més, igual de rellevant que la resta.

Una altra diferència és que la normativa espanyola regula de forma separada les bases jurídiques que justifiquen la cessió de dades, establint novament el consentiment com a base jurídica general i complementant-ho amb excepcions (article 11 LOPD). En canvi, el RGPD no distingeix les comunicacions de de dades d’altres tipus de tractament.

Finalment, hem de tenir en compte la importància de determinar correctament la base jurídica del tractament que pretén realitzar-se, ja que, sense la concurrència de base jurídica, no cap el tractament de dades i, per tant, el tractament que es realitzi serà il·lícit.

La base jurídica del tractament és una dada del que s’haurà d’informar als interessats al moment de recollir les seves dades personals, la qual cosa obligarà als responsables del tractament a analitzar aquest punt amb especial cura i, en tot cas, amb caràcter previ a l’inici del tractament.

Principis del tractament RGPD 2018:

El tractament de les dades solament serà licito en els següents suposats:

Consentiment de l’interessat
Relació contractual
Interessos vitals de l’interessat o d’unes altres persones
Obligació legal per al responsable
Interès publico o exercici de poders públics
Per a la satisfacció d’interessos legítims prevalentes del responsable o de tercers

L’article 5 del Reglament General de Protecció de Dades (*RGPD) resumeix els principis a tenir en compte en l’ús, tractament i emmagatzematge de dades de caràcter personal a partir del proper 25 de maig de 2018.

Aquests són els següents:

– Principi de legitimació
– Principi de transparència
– Principi de limitació de la finalitat
– Principi de minimització de dades
– Principi d’exactitud i qualitat de les dades
– Principi de conservació limitada
– Principi d’integritat i confidencialitat

Nous drets Reglament General Protecció de Dades:

Als ja existents drets ARC (accés, rectificació, cancel·lació i oposició) s’afegeixen els següents:

– Dret d’accés
– Dret de rectificació
– Dret de cancel·lació
– Dret d’oposició
– Dret a la transparència de la informació
– Dret de supressió (dret a l’oblit)
– Dret a la limitació del tractament
– Dret a la portabilitat de les dades
– Dret a no ser objecte de decisions individualitzades

Altres consideracions a tenir en compte:

A més del compliment dels anteriors drets i principis, s’han de tenir en compte les següents mesures contemplades en el nou reglament.

– Delegat de Protecció de Dades (DPO)
– Avaluació de l’Impacto
– Bretxes de Seguretat
– Sancionis