A partir del 25 de maig del 2018 comença a aplicar-se el nou Reglament de Protecció de Dades (RGPD). Quin és l’objectiu d'aquesta normativa?

L’objectiu bàsic del nou Reglament és unificar la legislació de protecció de dades dels diversos estats membres de la Unió Europea. Fins ara, cada país tenia la seva pròpia regulació i, en alguns casos, eren molt diferents entre elles.

A més, en un món tan global i amb una forta presència de les noves tecnologies, ha canviat molt la forma d’emmagatzemar les dades i de treballar amb aquestes. Per aquest motiu, un altre dels principals objectius és adequar la normativa als avenços tecnològics i dotar la ciutadania d’un major control sobre el tractament que es fa de les seves dades personals.

Quines són les principals novetats que planteja el nou reglament?

S’estableixen diferents mesures com, per exemple, facilitar més informació a les persones quan es recullen les seves dades i explicar-los el tractament que se’n farà. També es dona una importància cabdal al consentiment, que cal que sigui exprés i inequívoc.
A més, s’introdueixen nous mecanismes de control i previsió com els registres d’activitat de tractament i les avaluacions d’impacte, així com la notificació de les fallades de seguretat a l’Agència espanyola de protecció de dades (AEPD).
Una altra qüestió a tenir en compte és la incorporació de la figura del delegat o delegada de protecció de dades, que haurà d’estar present en moltes organitzacions a fi de vetllar pel compliment de la legislació.

Quines passes ha de seguir una entitat a l'hora de complir la nova normativa?

En primer lloc, ha de ser conscient del tipus de dades que té, així com fer una anàlisi del tractament que en fa i avaluar les possibles escletxes de seguretat que es podrien produir, a fi d’implementar les mesures adients per a una correcta protecció de les mateixes.
També haurà d’adaptar tots els documents de recollida de dades als requeriments que estableix el nou reglament i assegurar-se que sempre disposa del consentiment corresponent per poder tractar les dades de les persones interessades.

Un altra qüestió a tenir en compte és que l’entitat haurà de dur un registre d’activitat del tractament de les dades que disposa i valorar, d’acord a la normativa, si cal que disposi d’un delegat de protecció de dades a la seva organització.
Una recomanació és consultar les diferents guies publicades per l’Agència espanyola de protecció de dades o altres recursos als quals tingui accés, així com assessorar-se per professionals per assegurar-se que tots els procediments implementats en matèria de protecció de dades són correctes.

Amb l’antiga llei, cada dos anys era obligatori realitzar auditories de protecció de dades. S’han de continuar portant a terme?

La legislació actual no contempla la necessitat de realitzar les auditories bianuals, ja que el reglament es basa en el principi d’autoregulació o responsabilitat proactiva de les pròpies entitats. Això comporta que aquestes han d’estar sempre al dia respecte a la protecció de dades i en relació a les mesures que estan implementat en aquesta matèria. Una entitat és lliure de realitzar o no una auditoria si ho creu convenient, però no existeix l’exigència en el text normatiu.

Abans també calia inscriure els fitxers a l’Agència Espanyola de Protecció de dades. Segueix existint aquesta obligació?

Actualment la llei no recull aquesta obligació i, de fet, des del 14 de maig la pròpia AEPD ha deshabilitat l’opció de realitzar la inscripció dels fitxers. Ara, aquesta obligació queda substituïda pel registre d’activitat que haurà de gestionar cada entitat sota la seva responsabilitat i sobre la qual no caldrà que informi a l’autoritat de control.

Amb la nova llei, les entitats de més de 250 treballadors tindran l’obligació de comptar amb un delegat de protecció de dades Quina serà la seva tasca? La podrà realitzar un membre de l’entitat o caldrà externalitzar-la?

Aquesta figura la pot exercir un membre de l’entitat o bé una persona externa contractada. En tots dos casos, ha de tractar-se d’algú expert en protecció de dades i amb coneixements de dret, ja que la seva principal funció és vetllar pel compliment de la protecció de dades de l’organització.

Entre les seves tasques hi ha les d’informar i assessorar el responsable del tractament, supervisar tota la documentació de recollida de dades i tots els processos de tractament, així com comunicar sobre les fallades de seguretat a l’organisme de control.

Si s’incompleix el nou reglament, quines poden ser les conseqüències?

La nova legislació estableix sancions més elevades que l’antiga llei de protecció de dades, que poden arribar als 20 milions d’euros o al 4% del volum total de negoci de l'organització que ha incomplert la normativa.