Nou reglament de protecció de dades
El nou reglament que regula la protecció de dades es va aprovar el passat 4 de maig de 2014 al Diari Oficial de la Unió Europea. Es tracta d’una norma d’aplicació directa a tots els estats membres que entra en vigor el 25 de maig del 2016 però que no tindrà aplicació efectiva fins al 25 de maig d’enguany. Substituirà la Directiva de 1995 i modificarà en molts aspectes la regulació vigent d’aquesta matèria.
Però quins impactes tindrà l’aplicació d’aquest nou reglament? En primer lloc, caldrà que consti per escrit tota la informació que s’hagi de compartir amb els interessats en els documents que estableixen la relació entre el client i l’entitat. L’entitat tindrà cura de les seves dades i les podrà demanar per poder prestar el servei que se li requereix. Caldrà informar del tractament que es durà a terme amb les dades proporcionades. També caldrà informar de forma clara i transparent dels drets del propietari d’aquestes dades. S’haurà d’incloure informació sobre termini de conservació de les dades i referències de les autoritats de control. També caldrà informar de la persona responsable de les dades obtingudes per l’entitat.
Es reformulen i s’amplien els drets dels propietaris de les dades. Els interessats tindran dret a la informació en el moment de proporcionar dades. Fins ara es reconeixien quatre drets (accés, rectificació, supressió i oposició), però amb el nou reglament s’hi afegeix el dret a limitar el tractament per a determinades finalitats i el dret a la portabilitat de dades.
A més, el consentiment per a la sessió de dades personals haurà de ser explícit. Fins ara es considerava que un consentiment tàcit era suficient per poder emmagatzemar les dades. En canvi, amb el reglament europeu, les entitats hauran de demanar de forma clara i explícita als propietaris de les dades si donen el seu permís i especificar per a què les donen. Caldrà, doncs, especificar per a quines finalitats, serveis o fins i tot productes donem el consentiment de la utilització de les dades personals. Queda per establir, fins ara, fins a quin grau de granularitat caldrà arribar per part de les entitats que tinguin la custòdia de les dades, però caldrà una major exigència en l’obtenció del consentiment. La informació que s’ha de proporcionar ha de ser precisa, específica i intel·ligible.
Els menors d’edat.
També es posa l’èmfasi en la pseudonomitació (ús de referències com a alternativa a ús de dades directament identificatives), en les avaluacions internes i en la consideració de la seguretat de les dades, a priori, des de la concepció dels sistemes destinats al tractament. Quan una incidència pugui afectar els drets i les llibertats de les persones caldrà notificar-la a les autoritats de control i a l’interessat en un termini màxim de 72 hores.
S’afegeix també una nova figura: el delegat de protecció de dades. Tindrà funcions d’assessorament, impuls, supervisió interna i interlocució amb les autoritats de control i serà obligatori per a determinades entitats. El delegat podrà ser personal propi o un servei externalitzat.
Les mesures s’endureixen i també ho fan les sancions que es poden aplicar per l’incompliment del reglament, les quals poden arribar fins al 4% del total de la facturació consolidada del grup i fins a un màxim de 20 milions d’euros. A més, caldrà fer una anàlisi de riscs de possibles incompliments o incidències que es puguin produir en el tractament i emmagatzematge de les dades. Caldrà establir controls per a la seva detecció i plans de mitigació pels riscs detectats. L’anàlisi de riscos es basarà en impacte i probabilitat.
Tots aquests impactes tenen dos objectius principals: un és l’homogeneïtzació de les regles de joc a l’hora de tractar les dades personals de les persones i l’altre, el més important, augmentar el grau de protecció de les dades de les persones, augmentant la seva garantia de privacitat.
La nova regulació, doncs, incrementa el fet de poder tenir la seguretat que som els propietaris de les dades els qui decidim qui pot fer què amb elles.