{"id":6840,"date":"2018-06-10T20:57:01","date_gmt":"2018-06-10T19:57:01","guid":{"rendered":"https:\/\/revistaconsell.com\/?p=6840"},"modified":"2020-10-02T20:57:56","modified_gmt":"2020-10-02T19:57:56","slug":"que-suposa-el-nou-reglament-de-proteccio-de-dades","status":"publish","type":"post","link":"https:\/\/revistaconsell.com\/es\/que-suposa-el-nou-reglament-de-proteccio-de-dades\/","title":{"rendered":"Qu\u00e8 suposa el nou Reglament de Protecci\u00f3 de Dades?"},"content":{"rendered":"\n\n\n\t
\n\n\t\t<\/i><\/span> PDF<\/a>\n\n\t<\/div>\n\n\n\n\n\n\n

El passat 25 de maig va entra en vigor, de forma definitiva, el nou Reglament de Protecci\u00f3 de Dades personals, que substitueix l\u2019actual LOPD. Molt s\u2019ha parlat d\u2019aquesta modificaci\u00f3 de les normes que regulen el tractament de les dades de car\u00e0cter personal que les empreses recullen i utilitzen dels usuaris als quals, d\u2019una forma o altra, dirigeixen les seves activitats o que en formen part, per\u00f2 la realitat \u00e9s que, a hores d\u2019ara, encara queden for\u00e7a q\u00fcestions per definir i aclarir pel que fa a la seva aplicaci\u00f3.<\/p>\n\n\n\n

Tot i que el nou Reglament de protecci\u00f3 de dades (RGPD) es va aprovar ja fa dos anys, la seva entrada en vigor no ha estat efectiva fins al 25 de maig de 2018. Amb aquest marge de dos anys es cercava que els pa\u00efsos membres de la Uni\u00f3 Europea poguessin transposar la normativa i adaptar la que ja existia a les noves exig\u00e8ncies que el Reglament incorpora, que dimanen d\u2019un major respecte pels drets dels propietaris de les dades, \u00e9s a dir, els ciutadans.<\/p>\n\n\n\n

Una de les principals novetats que incorpora el Reglament \u00e9s l\u2019obligatorietat de disposar de la figura del Delegat de Protecci\u00f3 de Dades, si b\u00e9 nom\u00e9s \u00e9s obligat\u00f2ria en determinades tipologies de tractament de dades i en tota aquella empresa que disposi de m\u00e9s de 250 treballadors.<\/p>\n\n\n\n

D\u2019altres novetats s\u00f3n el dret a l\u2019oblit, la portabilitat de les dades, l\u2019edat a qu\u00e8 els menors poden consentir la cessi\u00f3 de les seves dades personals, la responsabilitat activa, etc. Aix\u00f2, \u00e9s clar, suposa una major implicaci\u00f3 de les empreses en la protecci\u00f3 de les dades de car\u00e0cter personal, i en aquest \u00e0mbit ens afecta als Administradors de Finques, donat que treballem amb informaci\u00f3 personal i fins i tot delicada dels nostres clients.<\/p>\n\n\n\n

Desglossarem breument cadasc\u00fa d\u2019aquests punts:<\/p>\n\n\n\n

  • El dret a l\u2019oblit<\/strong> es presenta com a conseq\u00fc\u00e8ncia del dret que tenen els ciutadans a sol\u00b7licitar que les dades personals siguin suprimides quan, entre altres casos, aquestes no siguin necess\u00e0ries per a la finalitat amb qu\u00e8 van ser recollides, quan es va retirar el consentiment o quan aquestes dades s\u2019hagin recollit de forma il\u00b7l\u00edcita.<\/li>
  • La portabilita<\/strong>t ha de permetre la transmissi\u00f3 de les dades d\u2019un depositari a un altre sense que aix\u00f2 pugui suposar el manteniment de les dades per part de l\u2019empresa que les cedeix.<\/li>
  • L\u2019edat m\u00ednima<\/strong> per la cessi\u00f3 de dades per part de menors se situa de forma gen\u00e8rica en els 16 anys, tot i que cada Estat membre pot, dins de la seva normativa espec\u00edfica, establir un llindar diferent, que en el cas de l\u2019Estat espanyol s\u2019estableix en els 14 anys, com fins ara.<\/li><\/ul>\n\n\n\n

    El registre d\u2019activitats de tractament s\u2019ha de desar a l\u2019empresa. Sempre ha d\u2019estar actualitzat i a disposici\u00f3 de l\u2019autoritat de control<\/p><\/blockquote>\n\n\n\n

    Responsabilitat activa <\/strong><\/h2>\n\n\n\n

    No obstant aix\u00f2, les principals novetats v\u00e9nen marcades pels criteris de responsabilitat activa, el que ve a significar que el nou RGPD persegueix la major implicaci\u00f3 de les empreses envers la seguretat, confian\u00e7a, disponibilitat i certesa de les dades personals en qu\u00e8 treballen, de forma que aquestes han de prendre totes les mesures i controls raonablement necessaris per a mantenir la confidencialitat establida per Reglament.<\/p>\n\n\n\n

    Al mateix temps, incorpora una s\u00e8rie de condicionants respecte a l\u2019atenci\u00f3 dels coneguts drets ARCO que van m\u00e9s enll\u00e0 de la possibilitat d\u2019accedir, rectificar i\/o cancel\u00b7lar les dades incorporades als sistemes de les empreses, at\u00e8s que estableix condicions molt m\u00e9s fermes a l\u2019hora de donar el consentiment per a la seva recopilaci\u00f3 i tractament. Aquests consentiments hauran de gaudir de l\u2019acceptaci\u00f3 inequ\u00edvoca per part dels usuaris afectats, sense que es pugui establir, com fins ara, texts gen\u00e8rics o acceptacions per omissi\u00f3.<\/p>\n\n\n\n

    Per tant, \u00e9s important revisar les cl\u00e0usules aplicades fins ara en la recollida de dades personals per tal d\u2019adaptar-les convenientment a all\u00f2 que estableix el nou Reglament.<\/p>\n\n\n\n

    Per\u00f2 la cosa no acaba aqu\u00ed. Si b\u00e9 el nou RGPD elimina la necessitat d\u2019inscriure fitxers a l\u2019AGPD (Ag\u00e8ncia de Protecci\u00f3 de Dades), s\u00ed que obliga a poder demostrar, en qualsevol moment en qu\u00e8 es requereixi, a que s\u2019apliquin totes les mesures de seguretat necess\u00e0ries per mantenir la integritat de les dades i protegir-les de l\u2019acc\u00e9s o tractament no autoritzat. I \u00e9s aqu\u00ed on entren en joc els criteris i mesures de responsabilitat activa.<\/p>\n\n\n\n

    \u00c9s cert que amb el nou Reglament desapareix l\u2019obligatorietat del document de seguretat tal com era concebut per la LOPD, per\u00f2 la necessitat de tenir perfectament documentats tots els procediments de tractament de les dades no simplifica els procediments, tot i que els fa -o permet que aix\u00ed sigui- m\u00e9s conseq\u00fcents i l\u00f2gics.<\/p>\n\n\n\n

    El nou RGPD estableix condicions molt m\u00e9s fermes per tal de donar el consentiment per a la recopilaci\u00f3 i tractament de les dades personals <\/p><\/blockquote>\n\n\n\n

    Remarquem que un dels aspectes essencials d\u2019aquest nou conjunt de regles \u00e9s que es basa en la prevenci\u00f3 per part de les organitzacions que tracten dades. Aix\u00f2 \u00e9s, com hem dit, la responsabilitat activa. Les empreses han d\u2019adoptar mesures que assegurin raonablement el fet que estan en condicions de complir amb els principis, drets i garanties que s\u2019hi estableixen. I el nou RGPD ent\u00e9n que actuar nom\u00e9s quan ja s\u2019ha produ\u00eft una infracci\u00f3 \u00e9s insuficient com a estrat\u00e8gia, ja que aquesta infracci\u00f3 pot causar danys als interessats, danys que poden ser molt dif\u00edcils de compensar o reparar. Per aix\u00f2, es preveu tota una bateria de mesures:<\/p>\n\n\n\n

    1. Protecci\u00f3 de dades des del disseny<\/strong><\/p>\n\n\n\n

    Tenint en compte l\u2019estat de la t\u00e8cnica, el cost de l\u2019aplicaci\u00f3 i la naturalesa, \u00e0mbit, context i finalitats del tractament, aix\u00ed com els riscos de diversa probabilitat i gravetat que implica el tractament per als drets i llibertats de les persones f\u00edsiques, el responsable del tractament aplicar\u00e0 -tant en el moment de determinar els mitjans de tractament com en el mateix moment del tractament- mesures t\u00e8cniques i organitzacions apropiades, com per exemple la seudonimitzaci\u00f3, concebudes per aplicar de forma efectiva els principis de protecci\u00f3 de dades (com la minimitzaci\u00f3) i integrar les garanties necess\u00e0ries en el tractament, a fi de complir els requisits del present Reglament i protegir els drets dels interessats.<\/p>\n\n\n\n

    2. Protecci\u00f3 de dades per defecte<\/strong><\/p>\n\n\n\n

    El responsable del tractament aplicar\u00e0 les mesures t\u00e8cniques i organitzatives adequades per tal de garantir que, per defecte, nom\u00e9s es tractin les dades personals que siguin necess\u00e0ries per a cada un dels tractaments espec\u00edfics. Aquesta obligaci\u00f3 s\u2019aplicar\u00e0 a la quantitat de dades personals recollides, a l\u2019extensi\u00f3 de la seva tramitaci\u00f3, a la seva vig\u00e8ncia i a la seva accessibilitat. <\/p>\n\n\n\n

    3. Mesures de seguretat<\/strong><\/p>\n\n\n\n

    Les mesures de seguretat que es proposen al RGPD no s\u00f3n limitadores, per\u00f2 s\u00ed que estableixen uns m\u00ednims que permetin gaudir de la seguretat necess\u00e0ria i\/o l\u00f2gicament aplicable. Aquestes s\u00f3n les seg\u00fcents:<\/p>\n\n\n\n

    \u2022 Manteniment d\u2019un registre de tractaments<\/strong><\/p>\n\n\n\n

    El RGPD estableix uns requisits:<\/p>\n\n\n\n

    Si aquest registre es realitza pel responsable del fitxer, ha de contenir:<\/p>\n\n\n\n

    • Identificaci\u00f3 i dades de contacte del responsable, corresponsable, representant i Delegat de Protecci\u00f3 de Dades.<\/li>
    • Multes del tractament.<\/li>
    • Descripci\u00f3 de categories d\u2019interessats i dades.<\/li>
    • Categories de destinataris existents o previstos (inclosos en tercers pa\u00efsos o organitzacions internacionals).<\/li>
    • Transfer\u00e8ncies internacionals de dades i documentaci\u00f3 de garanties per a transfer\u00e8ncies de dades internacionals, excepte sobre bases d\u2019interessos leg\u00edtims imperiosos.<\/li><\/ul>\n\n\n\n

      Quan sigui possible:<\/p>\n\n\n\n

      • Terminis previstos per supressi\u00f3 de dades.
        <\/li>
      • Descripci\u00f3 general de mesures de seguretat:<\/li>
      • Seudonimitzaci\u00f3 i codificaci\u00f3 de dades personals.<\/li>
      • Capacitat de garantir la confidencialitat, integritat, disponibilitat i resili\u00e8ncia permanent dels sistemes i serveis de tractament.<\/li>
      • Restaurar la disponibilitat i l\u2019acc\u00e9s a les dades personals de forma r\u00e0pida en cas d\u2019incid\u00e8ncia f\u00edsica o t\u00e8cnica.<\/li>
      • Proc\u00e9s de verificaci\u00f3, avaluaci\u00f3 i valoraci\u00f3 regular de l\u2019efic\u00e0cia de les mesures t\u00e8cniques i organitzatives per garantir la seguretat del tractament.<\/li><\/ul>\n\n\n\n

        S\u2019haur\u00e0 de disposar de Delegat de Protecci\u00f3 de dades quan:<\/p>\n\n\n\n

        • L\u2019empresa o organitzaci\u00f3 tingui m\u00e9s de 250 treballadors.<\/li>
        • Es facin tractaments que puguin implicar un risc per als drets i llibertats dels interessats, i quan aquests tractaments no siguin ocasionals o incloguin categories especials de dades personals.<\/li>
        • Es realitzi un tractament de dades personals relatives a condemnes i infraccions penals.<\/li><\/ul>\n\n\n\n

          \u00c9s obligatori cooperar amb l\u2019autoritat de control i posar a disposici\u00f3, pr\u00e8via sol\u00b7licitud, aquests registres de manera que puguin servir per supervisar les operacions de tractament.<\/p>\n\n\n\n

          Aquests registres han de constar sempre per escrit, encara que tamb\u00e9 es consideren v\u00e0lids en format electr\u00f2nic.<\/p>\n\n\n\n

          Una possibilitat d\u2019organitzar aquest registre d\u2019activitats de tractament \u00e9s partir dels fitxers que actualment han estat notificats pels responsables a l\u2019Ag\u00e8ncia de Protecci\u00f3 de Dades, detallant totes les operacions que es realitzen sobre cada estructura de dades.<\/p>\n\n\n\n

          No obstant aix\u00f2, el registre tamb\u00e9 podria organitzar-se en operacions de tractament concretes vinculades a una finalitat b\u00e0sica comuna (per exemple, \u201cgesti\u00f3 de clients\u201d, \u201cgesti\u00f3 comptable\u201d o \u201cgesti\u00f3 de recursos humans i n\u00f2mines\u201d), o altres criteris diferents.<\/p>\n\n\n\n

          El registre d\u2019activitats de tractament s\u2019ha de desar a l\u2019empresa i sempre ha d\u2019estar actualitzat i a disposici\u00f3 de l\u2019autoritat de control, en cas que ho sol\u00b7liciti.<\/p>\n\n\n\n

          Els Estats membres, les autoritats de control, el Comit\u00e8 i la Comissi\u00f3 promouran l\u2019elaboraci\u00f3 de codis de conducta destinats a contribuir a la correcta aplicaci\u00f3 d\u2019aquest Reglament, tenint en compte les caracter\u00edstiques espec\u00edfiques dels diferents sectors de tractament i les necessitats concretes de les microempreses i de les petites i mitjanes empreses<\/p><\/blockquote>\n\n\n\n

          Realitzaci\u00f3 d\u2019avaluacions d\u2019impacte<\/strong><\/h2>\n\n\n\n

          Quan sigui probable que un tipus de tractament -en particular si s\u2019utilitzen noves tecnologies-, per la seva naturalesa, abast o context, impliqui un alt risc per als drets i llibertats de les persones f\u00edsiques, el responsable del tractament realitzar\u00e0 abans una avaluaci\u00f3 de l\u2019impacte de les operacions de tractament en la protecci\u00f3 de dades personals. <\/p>\n\n\n\n

          Una \u00fanica avaluaci\u00f3 pot abordar una s\u00e8rie d\u2019operacions de tractament similars que impliquin riscos similars. El responsable de tractament rebr\u00e0 l\u2019assessorament del Delegat de Protecci\u00f3 de Dades, si ha estat anomenat, en realitzar l\u2019avaluaci\u00f3 d\u2019impacte relativa a la protecci\u00f3 de dades. Aquesta avaluaci\u00f3 es requerir\u00e0 en cas de: <\/p>\n\n\n\n

          • avaluaci\u00f3 sistem\u00e0tica i exhaustiva d\u2019aspectes personals de persones f\u00edsiques en qu\u00e8 es basa un tractament automatitzat, com l\u2019elaboraci\u00f3 de perfils, i sobre quina base es prenen decisions amb efectes jur\u00eddics per a les persones f\u00edsiques o que els afecten significativament de manera similar,<\/li>
          • tractament a gran escala de categories especials de dades o de les dades personals relatives a condemnes i infraccions penals,<\/li>
          • observaci\u00f3 sistem\u00e0tica a gran escala d\u2019una zona d\u2019acc\u00e9s p\u00fablic. <\/li><\/ul>\n\n\n\n

            L\u2019autoritat de control establir\u00e0 i publicar\u00e0 una llista dels tipus d\u2019operacions de tractament que requereixin una avaluaci\u00f3 d\u2019impacte relatiu a la protecci\u00f3 de dades. <\/p>\n\n\n\n

            L\u2019avaluaci\u00f3 haur\u00e0 d\u2019incloure, com a m\u00ednim: <\/p>\n\n\n\n

            • una descripci\u00f3 sistem\u00e0tica de les operacions de tractament previstes i dels fins del tractament, fins i tot, quan procedeixi, l\u2019inter\u00e8s leg\u00edtim perseguit pel responsable del tractament; <\/li>
            • una avaluaci\u00f3 de la necessitat i la proporcionalitat de les operacions de tractament respecte a la seva finalitat;<\/li>
            • una avaluaci\u00f3 dels riscos per als drets i llibertats dels interessats a qu\u00e8 es refereix el par\u00e0graf 1; <\/li>
            • les mesures previstes per afrontar els riscos, incloses garanties, mesures de seguretat i mecanismes que garanteixen la protecci\u00f3 de dades personals.<\/li><\/ul>\n\n\n\n

              Un grup empresarial podr\u00e0 nomenar un \u00fanic Delegat de Protecci\u00f3 de Dades, sempre que sigui f\u00e0cilment accessible des de cada establiment<\/p><\/blockquote>\n\n\n\n

              Nomenament d\u2019un Delegat de Protecci\u00f3 de Dades<\/strong><\/h2>\n\n\n\n

              El responsable i l\u2019encarregat del tractament designaran un Delegat de Protecci\u00f3 de Dades sempre que: <\/p>\n\n\n\n

              • el tractament el realitzi una autoritat o organisme p\u00fablic, excepte els tribunals, que actuen en exercici de la seva funci\u00f3 judicial; <\/li>
              • les activitats principals del responsable o de l\u2019encarregat consisteixin en operacions de tractament que, per ra\u00f3 de la seva naturalesa, abast i\/o multes, requereixin una observaci\u00f3 habitual i sistem\u00e0tica d\u2019interessats a gran escala, <\/li>
              • les activitats principals del responsable o de l\u2019encarregat consisteixin en el tractament d\u2019una gran escala de categories especials de dades personals i de dades relatives a condemnes i infraccions penals. <\/li>
              • Un grup empresarial podr\u00e0 nomenar un \u00fanic Delegat de Protecci\u00f3 de Dades, sempre que sigui f\u00e0cilment accessible des de cada establiment. <\/li>
              • El Delegat de Protecci\u00f3 de Dades ser\u00e0 designat atenent a les seves qualitats professionals i, en particular, a la seva especialitzaci\u00f3 en Dret, a la pr\u00e0ctica que tingui en mat\u00e8ria de protecci\u00f3 de dades i a la seva capacitat per exercir les funcions indicades.<\/li>
              • El Delegat de Protecci\u00f3 de Dades podr\u00e0 formar part de la plantilla del responsable o l\u2019encarregat del tractament o exercir les seves funcions en el marc d\u2019un contracte de serveis.<\/li>
              • El responsable o l\u2019encarregat de la gesti\u00f3 publicar\u00e0 les dades de contacte del Delegat de Protecci\u00f3 de Dades i les comunicar\u00e0 a l\u2019autoritat de control.<\/li><\/ul>\n\n\n\n

                Notificaci\u00f3 d\u2019infraccions de la seguretat de la informaci\u00f3<\/strong><\/h2>\n\n\n\n

                En cas de violaci\u00f3 de la seguretat de les dades personals, el responsable del tractament ho notificar\u00e0 a l\u2019autoritat de control competent sense dilaci\u00f3 improcedent i, a ser possible, abans de 72 hores des que hagi tingut const\u00e0ncia d\u2019ella, a no ser que sigui improbable que dita violaci\u00f3 de la seguretat constitueixi un risc per als drets i les llibertats de les persones f\u00edsiques. <\/p>\n\n\n\n

                Si la notificaci\u00f3 a l\u2019autoritat de control no t\u00e9 lloc en el termini de 72 hores, aquesta haur\u00e0 d\u2019anar acompanyada d\u2019indicaci\u00f3 dels motius de la dilaci\u00f3. 
                Com a m\u00ednim, la notificaci\u00f3 haur\u00e0 de: <\/p>\n\n\n\n

                • descriure la naturalesa de la violaci\u00f3 de la seguretat de les dades personals, incloses, quan sigui possible, les categories i la quantitat aproximada d\u2019interessats afectats, aix\u00ed com les categories i el nombre aproximat de registres de dades personals afectats; <\/li>
                • comunicar el nom i les dades de contacte del Delegat de Protecci\u00f3 de Dades o d\u2019un altre punt de contacte en qu\u00e8 es pugui obtenir m\u00e9s informaci\u00f3; <\/li>
                • descriure les possibles conseq\u00fc\u00e8ncies de la violaci\u00f3 de la seguretat de les dades personals;<\/li>
                • descriure les mesures adoptades o proposades pel responsable del tractament per posar remei a la violaci\u00f3 de la seguretat de les dades personals, incloses, si s\u2019escau, les mesures adoptades per mitigar els possibles efectes negatius.<\/li><\/ul>\n\n\n\n

                  Necessitats espec\u00edfiques<\/strong><\/h2>\n\n\n\n

                  Els Estats membres, les autoritats de control, el Comit\u00e8 i la Comissi\u00f3 promouran l\u2019elaboraci\u00f3 de codis de conducta destinats a contribuir a la correcta aplicaci\u00f3 d\u2019aquest Reglament, tenint en compte les caracter\u00edstiques espec\u00edfiques dels diferents sectors de tractament i les necessitats concretes de les microempreses i de les petites i mitjanes empreses. <\/p>\n\n\n\n

                  D\u2019altra banda, les associacions i altres organismes representatius de categories de responsables o encarregats del tractament podran elaborar codis de conducta o modificar o ampliar aquests codis amb l\u2019objecte d\u2019especificar l\u2019aplicaci\u00f3 del Reglament.   <\/p>\n","protected":false},"excerpt":{"rendered":"

                  PDF El passat 25 de maig va entra en vigor, de forma definitiva, el nou Reglament de Protecci\u00f3 de Dades personals, que substitueix l\u2019actual LOPD. Molt s\u2019ha parlat d\u2019aquesta modificaci\u00f3 de les normes que regulen el tractament de les dades de car\u00e0cter personal que les empreses recullen i utilitzen dels usuaris als quals, d\u2019una forma […]<\/p>\n","protected":false},"author":12,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"advgb_blocks_editor_width":"","advgb_blocks_columns_visual_guide":"","_editorskit_title_hidden":false,"_editorskit_reading_time":0},"categories":[106],"tags":[],"author_meta":{"display_name":"Redaccio Consell","author_link":"https:\/\/revistaconsell.com\/es\/author\/redaccioconsell\/"},"featured_img":null,"_links":{"self":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/6840\/"}],"collection":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/"}],"about":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/types\/post\/"}],"author":[{"embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/users\/12\/"}],"replies":[{"embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/comments\/?post=6840"}],"version-history":[{"count":1,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/6840\/revisions\/"}],"predecessor-version":[{"id":6841,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/6840\/revisions\/6841\/"}],"wp:attachment":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/media\/?parent=6840"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/categories\/?post=6840"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/tags\/?post=6840"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}