seguint els nostres anteriors articles, El proper 25 de Maig és aplicable el Reglament General Europeu sobre la Llei orgànica de Protecció de Dades.

A Espanya ja es troba en tramitació l'Avantprojecte de reforma de la llei orgànica de protecció de dades vigent, per adaptar les seves disposicions al nou marc europeu.

En aquest context, és important saber quins passos o quines modificacions hauran de realitzar les societats que tracten amb dades de caràcter personal, amb la finalitat de complir amb la llei orgànica de protecció de dades:

El consentiment i deure d'informar:

Desapareix el fins ara consentiment tàcit de l'interessat per al tractament de les seves dades de caràcter personal, pel que serà necessària una declaració o acció expressa, explícita i específica de la persona les dades s'han de tractar. Així mateix, les empreses hauran de verificar si els consentiments de les dades ja obtingudes compleixen aquest requisit i, en cas contrari, s'ha de sol·licitar el consentiment exprés. Això comportarà una necessària modificació dels formularis o mètodes utilitzats per obtenir la informació de forma inequívoca.

Pel que fa al deure d'informar, segons la llei orgànica de protecció de dades, s'amplia la informació a l'interessat del qual s'han recaptat dades personals. Si fins ara se li informava dels seus drets, de la finalitat per la qual se sol·licitaven les dades i del fitxer en què s'incorporaven, ara haurà de informar del termini i els criteris de conservació de les seves dades i la base legal que el legitima, entre d'altres.

Desaparició de l'obligació d'inscripció de fitxers davant l'Agència Espanyola de Protecció de Dades i de la distinció de nivells de seguretat:

El Reglament europeu, així mateix, tampoc fa esment a la, fins ara, obligació, segons la normativa espanyola, d'inscripció dels fitxers amb dades de caràcter personal (clients, contactes, proveïdors ...) ni a la distinció dels nivells de seguretat ( baix, mitjà i alt) que corresponien a cada un d'ells, davant el registre públic de l'Agència Espanyola de Protecció de Dades. Per tant, desapareix l'obligatorietat d'inscripció, així com de la classificació de nivells de seguretat dels fitxers. Les mesures de seguretat han de, per tant, ser les que l'empresa consideri oportunes, sense distinció de nivells predeterminats.

Anàlisi de Riscos:

El Reglament no fa referència al Document de Seguretat ni a l'Auditoria de Protecció de Dades de la fins ara vigent Llei espanyola en la matèria, per mitjà dels quals quedaven especificats i, si s'escau, auditats, els protocols d'actuació de les empreses en matèria de protecció de dades de caràcter personal. Amb el Reglament europeu les empreses estaran obligades a analitzar els riscos ia avaluar l'impacte i, per a això han d'establir uns protocols, procediments i mesures d'actuació que podran documentar-se, per exemple, amb un Document de Seguretat.

Informe d'Avaluacions d'Impacte:

Quan el tractament de les dades de caràcter personal suposi un alt risc per als drets i llibertats dels interessats, l'empresa haurà d'acreditar, mitjançant informe, el tractament que es realitza i les mesures adoptades per minimitzar el risc.

Registre d'Activitats del Tractament de les dades de caràcter personal:

Les empreses han de portar un registre en el qual quedaran identificats els tractaments i fluxos de dades, informació que haurà de presentar-se a requeriment de l'Agència Espanyola de Protecció de Dades.

Bretxes de seguretat:

Quan es d'un supòsit de problemes en la seguretat de la protecció de dades, l'empresa està obligada a comunicar-ho en el termini de 72 hores a l'Agència Espanyola de Protecció de Dades i, en els casos en què sigui procedent per la gravetat del fet, als propis interessats. Fins ara les empreses només portaven un registre d'incidències, de manera que per adaptar-se a aquesta nova dinàmica, hauran d'establir uns protocols d'actuació a aquest efecte.

La nova figura del delegat de protecció de Dades:

Segons la normativa vigent les empreses havien de tenir responsables i encarregats del tractament. El Reglament europeu estableix una nova figura, la del delegat de Protecció de Dades, obligatòria (encara que pot nomenar-se encara que no s'estigui obligat) per:

  • Autoritats i organismes públics
  • Responsables o encarregats que tinguin entre les seves activitats principals les operacions de tractament que requereixin una observació habitual i sistemàtica d'interessats a gran escala.
  • Responsables o encarregats que tinguin entre les seves activitats principals el tractament a gran escala de dades sensibles.

Els dos últims supòsits, l'Avantprojecte de la llei orgànica de protecció de dades els circumscriu a:

  • Els col·legis professionals i els seus consells generals.
  • Els centres docents i les universitats públiques i privades.
  • Les entitats que explotin xarxes i prestin serveis de comunicacions electròniques.
  • Els prestadors de serveis de la societat de la informació quan elaborin a gran escala perfils dels usuaris del servei.
  • Les entitats d'ordenació, supervisió i solvència d'entitats de crèdit.
  • Els establiments financers de crèdit.
  • Les entitats asseguradores i reasseguradores i de serveis d'inversió.
  • Els distribuïdors i comercialitzadors d'energia elèctrica i de gas natural.
  • Les entitats responsables de fitxers comuns per a l'avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau.
  • Les entitats que desenvolupin activitats de publicitat i prospecció comercial, incloent les d'investigació comercial i de mercats.
  • Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients.
  • Les entitats que tinguin com un dels seus objectes l'emissió d'informes comercials que puguin referir-se a persones físiques.
  • Els operadors que desenvolupin l'activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius.
  • Qui ocupin activitats de seguretat privada.

El Delegat de Protecció de dades podrà ser una persona física o jurídica, interna o externa a l'empresa, que realitzarà tasques d'informació, anàlisi, assessorament, supervisió i cooperació amb les autoritats en la matèria, que haurà de complir els requisits legals de qualificació per a l'exercici d'aquesta funció i inscriure davant l'Agència Espanyola de Protecció de Dades.


Sobre l'autor:

Maria Amparo Lleó

DiG Advocats

Linkedin