Adaptació RGPD - LOPDGDD

Marc legal i dret normatiu en protecció de dades

El Reglament General de Protecció de Dades (RGPD) comunitari UE- 2016/679, publicat el 4 de maig, és la norma de major rellevància que s'ha adoptat en els últims anys pel que fa a l'àmbit de la Protecció de Dades i la Privacitat.

El seu principal objectiu és l'aplicació uniforme i coherent del dret de protecció de dades en el territori de la Unió Europea (UE); i així unificar, en gran manera, el marc legal que actualment s'aplica en aquest àmbit.

Les empreses han disposat de dos anys de termini per tal d'adequar-se a aquesta nova normativa des de la seva publicació del Reglament. Definitivament, ha estat aplicable a partir del 25 de maig de 2018. És important doncs, familiaritzar-se quan abans amb aquest nou marc regulador i així assegurar una adequada transició i adaptació.

Entre les principals novetats que imposa la nova regulació, pel que fa a l’antiga LOPD que estableix la Llei orgànica 15/1999, de 13 de Desembre, de Protecció de Dades de Caràcter Personal; destaquen les següents:

  • Nou sistema de recollida de dades. Les clàusules informatives i polítiques de privacitat hauran de ser adaptades a un nou conjunt de drets informatius (incloent-hi nous paràmetres com, per exemple: les dades del Delegat de protecció de Dades, el termini de conservació de les dades obtingudes, els diferents drets per presentar reclamacions davant l'autoritat de control competent, les dades del responsable del tractament de dades,..etc)
  • Ampliació dels drets dels interessats. El nou Reglament RGPD, recull els tradicionals drets ARCO (Acceso, Rectificación, Cancelación, Oposición) inclòs el derecho de Olvido; i, a més a més, amb l'objectiu d'assegurar encara més una òptima protecció als interessats, incorpora nous drets, tals com el Dret a la Limitació del Tractament i el Dret a la Portabilitat de les dades.
  • Noves obligacions tècniques i organitzatives pels responsables. Totes les entitats que tractin dades personals de clients, proveïdors, empleats...etc; hauran que complir amb noves obligacions organitzatives i tècniques, entre les quals podem destacar:
  • Designació del Data Protection Officer (Delegado de Protección de Datos), el qual centralitzarà tota la gestió de la protecció de dades de l'empresa, assessorarà i garantirà el compliment normatiu del RGPD.
  • Registre d’Activitats de Tractament, que sistematitzarà les activitats vinculades al tractament de dades i  el qual estarà en tot moment a disposició de les Autoritats competents en cas de sol·licitar-ho.
  • Notificació de violacions de seguretat de dades, la qual s’haurà de realitzar davant la màxima Autoritat competent en la matèria (AEPD), “sin dilación indebida” o, en un termini màxim de 72h amb motivació; des del moment que es produeixi la contingència.
  • Transferència internacional de dades, entre altres suposicions, l’AEPD deixarà de ser necessària per transferir dades a tercers països sempre que s’utilitzin les clàusules contractuals tipus adoptades per la Comissió Europea o una Autoritat de Control, o normes corporatives vinculants.
  • Autoritats competents, l’Autoritat de control principal que resultarà competent serà la del lloc on el responsable del tractament tingui el seu establiment habitual o principal. En el cas de grups empresarials radicades a la UE, serà la que correspongui a la seva seu principal.
  • Nou règim sancionador, una de les principals novetats del Reglament és l'enduriment de les sancions en cas d'incompliment, podent imposar multes de fins a 20 milions d'euros o fins a un 4% del volum de negocis a escala mundial de l'infractor.