Avenços de el nou reglament Europeu

La preocupació per la privacitat no caduca. Encara més, els ciutadans i alhora consumidors van prenent consciència i exigeixen tant a les autoritats com a sector empresarial garanties en l’ús i tractament que es realitza de les seves dades. Des d’Europa s’ha fet una revisió de la llei prèviament existent, generant un nou reglament europeu de protecció de dades.

Aquest reglament va obtenir el vistiplau definitiu el passat 14 abril 2016 pel Parlament Europeu. La reforma pretén tornar als ciutadans el control de les seves dades personals i garantir a tota la UE uns estàndards de protecció elevats i adaptats a l’entorn digital.

A continuació es llisten els principals canvis que introdueix:

Ampliació de l’àmbit d’aplicació

• S’amplia a responsables o encarregats de tractament de dades no establerts a la UE sempre que realitzin tractaments derivats d’una oferta de béns o serveis destinats a ciutadans de la UE o com a conseqüència d’un monitoratge i seguiment del seu comportament.
• Garantia addicional per als ciutadans europeus adaptada a la realitat de el món d’Internet.

Nous drets per als ciutadans

• Reconeixement de l’ dret a l’oblit, Com a conseqüència de el dret que tenen els ciutadans a sol·licitar, i obtenir dels responsables, que les dades personals siguin suprimits quan, entre altres casos, aquests ja no siguin necessaris per a la finalitat amb la qual van ser recollides, quan s’hagi retirat el consentiment o quan aquests s’hagin recollit de forma il·lícita. Així mateix, segons la sentència de Tribunal de Justícia de la Unió Europea de 13 de maig de 2014, que va reconèixer per primera vegada el dret a l’oblit recollit ara en el Reglament europeu, suposa que l’interessat pot sol·licitar que es bloquegin en les llistes de resultats dels cercadors els vincles que condueixin a informacions que l’afectin que resultin obsoletes, incompletes, falses o irrellevants i no siguin d’interès públic, entre d’altres motius.
• Reconeixement de l’ dret a la portabilitat implica que l’interessat que hagi proporcionat les seves dades a un responsable que els estigui tractant de manera automatitzat podrà sol·licitar recuperar aquestes dades en un format que li permeti el seu trasllat a un altre responsable. Quan això sigui tècnicament possible, el responsable haurà transferir les dades directament a el nou responsable designat per l’interessat.
• Dret a ser informat si les dades han estat piratejats.

El reglament estableix facilitats per als usuaris

• Informació proporcionada amb un llenguatge clar i concís . Per exemple, caldrà explicar la base legal per al tractament de les dades, els períodes de retenció dels mateixos i que els interessats pot dirigir les seves reclamacions a les autoritats de protecció de dades, si creuen que hi ha un problema amb la forma en què estan manejant les seves dades.
• necessitat de consentiment clar i afirmatiu de la persona afectada a el tractament de les seves dades personals. Per poder considerar que el consentiment és “inequívoc”, es requerirà que hi hagi una declaració dels interessats o una acció positiva que indiqui l’acord de l’interessat. El consentiment no pot deduir-se de el silenci o de la inacció dels ciutadans. Les empreses haurien de revisar la forma en què s’obtenen i registren el consentiment. Pràctiques que s’enquadren en l’anomenat consentiment tàcit i que són acceptades sota l’actual normativa deixaran de ser-ho quan el Reglament sigui d’aplicació.

Canvi de paradigma: d’un enfocament sancionador a un enfocament preventiu

• responsabilitat activa ( accountability ). Les empreses han d’adoptar mesures que assegurin raonablement que estan en condicions de complir amb els principis, drets i garanties que el Reglament estableix. El Reglament entén que actuar només quan ja s’ha produït una infracció és insuficient com a estratègia, atès que aquesta infracció pot causar danys als interessats que poden ser molt difícils de compensar o reparar.
• Valoració de el risc a través de la avaluació de l’impacte sobre la protecció de dades (DPIA – Data Privacy Impact Assesments) per determinar la necessitat i la proporcionalitat de el tractament.
• Privacitat des del disseny i per defecte ( “Privacy by Design” i “Privacy by Default”) en lloc d’adequació.
• La creació de la figura de l’ Delegat de Protecció de Dades (DPO – Data Protection Officer) i previsió de la creació de mecanismes de certificació (al menys, en l’àmbit públic).
• Promoció dels codis de conducta i esquemes de certificació.

Control, supervisió i règim sancionador

• Mecanismes de notificació de bretxes de seguretat en empreses de sectors crítics que proveeixin serveis essencials.
• responsabilitat solidària entre el Responsable i els encarregats respecte a l’incompliment en matèria de protecció de dades.
• autorització prèvia de l’autoritat de control per a determinats tipus de tractament i, en particular, quan el resultat de l’avaluació de l’impacte sobre la protecció de dades (EIPD) determini un risc alt.
• Aplicació del concepte “ finestreta Única “(One-stop-shop), perquè els ciutadans interessats puguin efectuar tràmits, tot i que aquests afectin autoritats en la matèria d’altres estats membres.
• Increment de la quantia de les sancions : Multes de fins a 20 milions d ‘€ o 4% de l’volum de facturació.

Entrada en vigor i data d’aplicació de el nou reglament europeu de protecció de dades:

Tal com s’havia avançat a el donar-se a conèixer l’esborrany, l’ aplicació de el nou text no serà efectiva fins el 25 de maig de 2018 . Els països comunitaris disposen d’un termini de dos anys per traslladar els canvis de la directiva a la legislació nacional.

En dor Team, estem molt preocupats amb les repercussions que suposen aquestes modificacions per a les empreses. Per això, el nostre servei d’assessoria aquesta a l’tant d’aquestes modificacions i proporciona assessorament amb les accions necessàries perquè els nostres clients no s’hagin de preocupar a l’respecte.