Nou Reglament europeu de protecció de dades (RGPD)

El Reglament justifica la seva raó de ser en la necessitat de garantir un nivell uniforme i més elevat de protecció de les persones físiques, donat que no s’havia assolit entre els estats membres de la Unió Europea un nivell adequat d’homogeneïtat en les normes de protecció de dades. Així doncs, arribat el dia en que els responsables i encarregats del tractament de dades personals de ciutadans europeus han de complir obligatòriament el RGPD, fem uns breus apunts dels principals canvis d’aquesta nova regulació i de les seves implicacions.

A partir d’ara, al realitzar el tractament de dades personals les administracions públiques han de respectar els nous principis del RGPD, com el principi de licitud, lleialtat i transparència, sobre com han de ser tractades les dades personals amb l’interessat; el principi de limitació de la finalitat, sobre quins fins han de ser recollides les dades personals i el principi de minimització de les dades i retenció. Abans de tractar les dades personals, les persones han de ser informades sobre el seu tractament (finalitats, dades recollides, destinataris i drets en matèria de protecció de dades). Entre els canvis més significatius destaquen també el concepte de “pseudonimització”, el qual no s’ha de confondre amb el de “dada dissociada”; el fi dels consentiments tàcits, l’únic tipus de consentiment que podrà ser admès serà l’exprés, doncs en aquest sentit, el Reglament exigeix que aquest sigui inequívoc o amb una acció afirmativa clara; la inclusió de noves categories especials de dades: genètiques i biomètriques; la unificació del règim sancionador amb multes de fins a 20 milions d’euros; la regulació del tractament de les dades de menors; i moltes altres qüestions.

Convert GDPR. www.Convert.com/GDPR/

La innovació més gran per als responsables la constitueix el principi de responsabilitat proactiva i l’enfocament de risc. A partir d’ara neix la necessitat que el responsable del tractament apliqui les mesures necessàries per tal de garantir la conformitat amb el Reglament. Per tant, queda anul·lada l’obligació formal de crear i notificar fitxers al registre de protecció de dades de les autoritats de control, doncs cada organisme haurà de disposar d’un registre d’activitats de tractament. Cal destacar també l’obligació que tindran les administracions públiques, de designar un delegat de protecció de dades (DPD), una figura que haurà d’informar i assessorar el responsable /encarregat i els treballadors sobre les obligacions que imposa la normativa, supervisar que aquesta es compleixi i assessorar respecte l’avaluació d’impacte relativa a la protecció de dades.

Tot i les noves implicacions, i després d’un marge de dos anys per adequar la seva activitat a la nova regulació, les entitats que actualment compleixen la LOPD ja disposen d’una bona base a través de la qual adaptar-se a la nova normativa.