El nou reglament de protecció de dades. Principals novetats i aspectes pràctics

El nou reglament de protecció de dades.

L'Agència de Transparència us convida a la 8a jornada de formació del programa Aula de Transparència

Dimecres, 20 de juny de 2018 | Sala d'Actes de l'AMB

La vuitena jornada de l'Aula de Transparència abordarà el nou reglament de protecció de dades, el qual va entrar en vigor el passat 25 de maig de 2018. A grans trets, la norma comporta canvis significatius en la protecció de dades de caràcter personal , des dels drets de les persones fins a les obligacions de les persones i entitats que tracten dades de caràcter personal.

Com que es tracta d'un reglament europeu, és directament aplicable, sense necessitat de les normes internes de transposició. Amb la qual cosa urgeix la necessitat de formar i informar els servidors públics i professionals de les diverses organitzacions sobre el seu contingut i abast, així com dels aspectes pràctics de la norma, amb el benentès que en alguns casos pot entrar en conflicte amb el dret d'accés a la informació pública, previst en la Llei 19/2014, de 29 de desembre, de transparència, accés a la informació i bon govern.

L'esmentat Reglament (UE) 2016/679 del Parlament i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades, que es va publicar el maig de 2016, va derogar la Directiva 95/46/CE (Reglament general de protecció de dades).

La jornada es desenvoluparà en dos blocs,un primer relatiu a les principals novetats de la norma i un segon bloc que versarà sobre els aspectes pràctics i la implementació del Reglament.

Entre altres novetats, cal destacar l'ampliació de l'àmbit d'aplicació territorial als responsables i als encarregats del tractament no establerts a la UE, quan les activitats de tractament estan relacionades amb l'oferta de béns o serveis o amb el control del comportament de les persones que es troben a la UE.

D'altra banda, s'introdueixen dos principis, el de «responsabilitat proactiva», amb el qual es requereix que les organitzacions tinguin una actitud conscient, diligent i proactiva davant de tots els tractaments de dades personals que duguin a terme, i el principi de «l'enfocament de risc», en el cas que hi hagi un alt risc per als drets i les llibertats de les persones.

Pel que fa al dret d'informació, el nou Reglament configura la informació com un dret de les persones afectades i n'amplia l'abast. La informació ha de ser concisa, transparent, intel·ligible i de fàcil accés, en un llenguatge clar i senzill. Quant als drets de les persones interessades, la norma introdueix el dret a l'oblit com un dret vinculat al dret de supressió, al dret a la limitació del tractament i al dret a la portabilitat.

Respecte a la inscripció i notificació de fitxers , el Reglament suprimeix la necessitat de crear formalment els fitxers i notificar-los al registre de protecció de dades de les autoritats de control.

Així mateix, es duen a terme canvis en les obligacions de documentació del tractament per als responsables o els encarregats del tractament . A més, es produeixen novetats respecte la documentació de les operacions de tractament (registre d'activitats de tractament, l'encàrrec del tractament).

Cal fer al·lusió també a la finestreta única, amb el benentès que els ciutadans i els responsables establerts en diferents estats membres o que facin tractaments que afecten diferents estats membres tinguin una única autoritat de protecció de dades com a interlocutora.

Una altra qüestió que cal destacar és que el Reglament preveu que les associacions i altres organismes representatius de categories de responsables del tractament o d'encarregats del tractament, puguin preveure codis de conducta per a la seva bona aplicació. En aquest sentit, cal recordar la regulació dels codis de conducta previstos en la Llei 19/2014, de 29 de desembre, de transparència, accés a la informació i bon govern.

En un altre ordre de coses, el Reglament disposa que es puguin dur a termeavaluacions d'impacte relatives a la protecció de dades . A banda d'aquests aspectes, s'introdueixen altres novetats pel que fa al consentiment, la privacitat, els mecanismes de certificació, les categories especials de dades, el delegat de protecció de dades, les transferències internacionals, les mesures de seguretat, la notificació de violacions de seguretat, etc.

Així doncs, atesa l'entrada en vigor del nou Reglament, creiem que en aquesta vuitena jornada és necessari informar als diversos responsables de l'àmbit públic i privat, de l'aplicació de la norma, de les principals novetats i aspectes pràctics, i veure com se n'articula l'aplicació en el marc de la legislació de transparència, accés a la informació i bon govern.

Díptic informatiu de la 8a Jornada de transparència

Programa de la jornada

9.00 h Inscripcions

9.15 h Benvinguda a càrrec de la Sra. Gemma Calvet i Barot, directora de l'Agència de Transparència de l'Àrea Metropolitana de Barcelona

9.30 h El nou reglament de protecció de dades. Principals novetats

Intervé:

Sr. Carles San José, formador en protecció de dades i transparència de l'Escola d'Administració Pública de Catalunya i d'ESAGED (UAB)

11.30 h Pausa cafè

11.50 h El nou reglament de protecció de dades. Aspectes pràctics i implementació.

Intervenen:

Sr. Carles San José, formador en protecció de dades i transparència de l'Escola d'Administració Pública de Catalunya i d'ESAGED (UAB)

Sra. Gemma Calvet i Barot, directora de l'Agència de Transparència de l'Àrea Metropolitana de Barcelona

13.30 h Cloenda

Inscripcions

Agència de Transparència AMB

Ompliu el formulari que trobareu a http://transparencia.amb.cat/web/l-agencia/inscripcio-aula

transparencia@amb.cat Tel. 93 112 49 41

Places limitades

Lloc: seu de l'Àrea Metropolitana de Barcelona (AMB)

C. 62, núm. 16-17. Edifici A, 7a planta (Auditori)

Zona Franca – 08040 Barcelona

  • Benvinguda

    Gemma Calvet i Barot , directora de l'Agència de Transparència de l'AMB, ha presentat la sessió de l'Aula de Transparència, relativa al nou Reglament de protecció de dades. Principals novetats i aspectes pràctics.

    Calvet ha donat la benvinguda a les persones assistents. Comenta la importància de dur a terme la jornada atesa la recent entrada en vigor del Reglament europeu de protecció de dades i la necessitat de conèixer les principals novetats. Diu que el Reglament ha plantejat novetats que han de ser inserides en la visió administrativa de les nostres tasques, especialment pel que fa als circuïts administratius, custòdia de documents, tractament organitzatiu intern de les administracions, etc. Afegeix que encara hi ha criteris tècnics i jurídics que s'hauran d'anar assentant.

    Calvet agraeix al Carles San José que hagi acceptat la invitació per participar en la jornada, atesa la seva dilatada experiència en la matèria i recorregut professional. Afegeix que el gruix d'aquesta jornada és precisament la seva intervenció com a expert en aquest àmbit.

    Sense més preàmbuls, passa la paraula al ponent.

  • El nou reglament de protecció de dades. Principals novetats

    Carles San José ha abordat els aspectes clau del nou Reglament europeu de protecció de dades (RGPD), sobretot pel que fa a les seves novetats més significatives. Comenta que el RGPD és d'aplicació plena des del 25 de maig de 2018, data a partir de la qual la LOPD i el RLOPD han quedat desplaçats, de manera que resulta imprescindible conèixer els canvis que implica aquesta norma europea.

    Afegeix que el RGPD substitueix les normes internes que cada estat de la Unió Europea havia aprovat a partir de la Directiva 95/46/CE , que ja no podia fer front als nous reptes que la ràpida evolució tecnològica i la globalització ha plantejat per a la protecció de dades. El RGPD també es refereix a la necessitat de garantir un nivell uniforme i elevat de protecció de les persones físiques , davant la situació prèvia de divergència entre les regulacions dels diferents estats, que no havien aconseguit un nivell adequat de coherència i homogeneïtat en l'aplicació de les normes de protecció de dades.

    Així mateix fa una aproximació a la protecció de dades. En aquest sentit defineix pròpiament el dret a la protecció de dades, explica quin és el seu marc normatiu, dóna una sèrie de definicions derivades del nou reglament, tals com " dada personal", "tractament", "responsable del tractament (RT)", "encarregat del tractament (ET)", "destinatari", "tercer", "elaboració de perfils", "seudonimització" .

    Parla també de la responsabilitat proactiva (accountability) i de l'enfocament del risc. En aquest punt diu que es produeix un canvi de paradigma, ja que el RGPD exigeix a les organitzacions una actitud conscient, diligent i proactiva, per tal que cadascuna analitzi les dades personals que tracta i amb quines finalitats, quin context i quins són els riscos per als drets i les llibertats de les persones físiques. A partir d'aquí, el responsable i l'encarregat han d'aplicar les mesures tècniques i organitzatives apropiades i, a més, han d'estar en condicions d'acreditar davant de l'autoritat de control i dels interessats que el tractament efectuat s'ajusta a les exigències del RGPD.

    Una altra qüestió és la desaparició de l'obligació de notificar fitxers. En aquest sentit desapareix el deure formal de notificar els fitxers a les autoritats de control. Ara bé, en consonància amb el principi de responsabilitat proactiva, les entitats del sector públic estan obligades a disposar d'un registre de les activitats de tractament (RAT) efectuades sota la seva responsabilitat.

    També fa referència als principis i els deures. D'entre els principis del tractament, hi figuren els de:

    - Licitud, lleialtat i transparència

    - Limitació de la finalitat

    - Minimització de les dades

    - Exactitud

    - Limitació del termini de conservació

    - Integritat i confidencialitat

    - Responsabilitat proactiva (accountability)

    D'altra banda, diu que una de les novetats més destacades del RGPD és la figura del delegat/ada de protecció de dades. Comenta que aquesta figura és obligatòria per a les entitats que formen part del sector públic, i ha de tenir uns coneixements especialitzats del dret, pràctica en la protecció de dades i les capacitats i habilitats necessàries per exercir adequadament les seves funcions. També explica quina és la seva intervenció en cas de reclamació.

    Respecte el consentiment, fa esment a la fi del consentiment tàcit. Ja no és possible mantenir la idea conforme s'entenia consentit un tractament si no s'indicava expressament el contrari. Ara s'exigeix que el consentiment sigui inequívoc i estigui basat en una declaració o acció clarament afirmativa. També explica el consentiment de menors.

    Notificació de violacions de seguretat. Qualsevol violació de seguretat s'ha de notificar a l'autoritat de control en 72 hores, tret que sigui improbable que aquesta violació constitueixi un risc per als drets i les llibertats de les persones. Si aquest risc s'ha de qualificar com a "alt", cal notificar la violació als afectats.

    Cita també les categories especials de protecció de dades i el seu tractament , així com al tractament de dades personals relatives a condemnes i a infraccions penals.

    Pel que fa a les comunicacions de dades, diu que ja no es regula de manera específica com abans, sinó que el nou reglament ho preveu com qualsevol altre tractament que haurà de ser lícit (consentiment, etc).

    Així mateix fa referència a altres aspectes rellevants de la norma, com el registre d'activitats de tractament, les transferències internacionals i l'encarregat del tractament .

    Comenta també en que consisteixen les figures del'encarregat del tractament (ET) i del responsable del tractament (RT).

    A continuació explica els nous drets dels interessats. Fins ara teníem els drets d'accés, rectificació, cancel·lació i oposició (ARCO). Amb el nou RGPD, el dret de cancel·lació es converteix en dret de supressió (o dret a l'oblit), i s'afegeixen nous drets habeas data (limitació del tractament i portabilitat) . Per acabar, esmenta les garanties dels drets (reclamar a l'Autoritat, poders de l'Autoritat, reclamació judicial i la indemnització).

    A grans trets, aquestes són les novetats més rellevants que ens ha portat l'RGPD, i que s'han analitzat a la jornada, sobretot des d'una perspectiva pràctica.

    Materials de les ponències

    Presentació de Carles San José

  • El nou reglament de protecció de dades. Aspectes pràctics i implementació

    La segona part s'ha centrat en el nou reglament de protecció de dades. Aspectes pràctics i implementació . En aquesta segona part ha intervingut la senyora Gemma Calvet i Barot, ja que la ponència del senyor San José s'ha concentrat en la primera part.

    Gemma Calvet i Barot, directora de l'Agència de Transparència de l'AMB, exposa el paper de l'Agència de Transparència en la relació amb els organismes vinculats i les prestadores de serveis de l'Àrea Metropolitana de Barcelona, pel que fa a les exigències derivades de la Llei de transparència i el seu encaix, la publicitat activa, al dret a la informació, com també a la protecció de dades.

    Respecte el dret d'accés, fa referència al paper de l'Agència de garantir els aspectes formals del dret d'accés a la informació, davant de peticions que es facin a l'AMB i cita la Circular de 2 de març de 2016 del procediment d'exercici del dret d'accés a la informació pública a l'AMB .

    Explica els límits al dret d'accés a la informació pública i la ponderació que caldrà dur a terme entre les dades personals i dret d'accés a la informació. Aquesta situació es produiria quan s'hi incloguin dades personals especialment protegides. En aquest cas caldrà el consentiment de la persona afectada.

    També explica el paper de la publicitat activa d'informacions que contenen dades personals , dels alts càrrecs i personal directiu, d'empleats públics i les directius de concessionàries o de beneficiaris de subvencions.

    Menciona la necessitat de l'anonimització o dissociació de dades personals . Comenta que sempre que les dades personals no siguin l'objecte concret de la petició d'informació es recomana l'anonimització o dissociació preventiva per evitar possibles col·lisions de drets.

    Seguidament fa esment a la publicitat activa d'informacions que cal anonimitzar (actes del Consell Metropolità, extracte dels acord de la Junta de Govern, incompatibilitats dels empleats públics, personal adscrit per adjudicataris de contractes signats amb l'Administració, etc).

    Una altra qüestió que s'ha abordat és la identitat de la persona sol·licitant. En aquest sentit diu que la Llei de Transparència no protegeix explícitament la identitat de les persones sol·licitants. No obstant això, la Circular del procediment d'exercici del dret d'accés a la informació pública a l'AMB (02/03/2016) estableix la confidencialitat (els agents i operadors intervinents en el procediment regulat en aquesta Circular guardaran confidencialitat obre la identitat dels sol·licitants d'accés a la informació pública).

    Cita també la Recomanació AGT 6/2016 de reforç del procediment de l'exercici del dret d'accés regulat per la Circular de 02/03/2016, per la qual la tramesa de la petició als enllaços de transparència es fa per tal que disposin de les dades per al lliurament de la informació demanada; en cap cas per ser divulgada. També es disposa la més estricta i rigorosa preservació de la identitat de les persones que exerceixen aquest dret durant tot el procés de tramitació.

    Seguidament fa esment a diverses peticions que hi ha hagut relatives a l'accés a noms i retribucions d'empreses prestadores, com també a l'accés dels grups metropolitans a retribucions del personal, i una altra sobre l'accés a noms i càrrecs de tot el personal de l'AMB.

    Un altre punt que s'ha tractat ha estat l'organització de seguretat de l'AMB. Comenta que a partir del 25 de maig de 2018 ha canviat l'enfocament i la forma de tractar les dades personals. Entre d'altres qüestions, explica la nova figura del delegat de protecció de dades; les funcions dels directius i dels responsables de cada àrea; la necessitat d'adaptar els textos legals (instàncies, política de privacitat, cartells de vídeo vigilància, etc); de fer un registre d'activitats de tractament; d'adaptar la confidencialitat de proveïdors; d'actualitzar el document de seguretat (política de seguretat de dades personals, procediment de gestió de fitxers, procediment de gestió de drets de l'interessat, procediment de gestió d'incidències,...); d'elaborar el procediment d'avaluació d'impacte i de formar al personal.

    Per acabar diu que cal encaixar bé el puzle normatiu en el que ens movem, derivat en bona part de la normativa de la Unió Europea, que té que a veure amb la contractació pública, la transparència i la protecció de dades. Tot això en l'àmbit del big data. Amb la qual cosa cal harmonitzar bé la regulació i protegir determinada informació . El big data s'ha de ressituar en la racionalitat jurídica i la honestedat democràtica.

    Materials de les ponènciess

    Presentació de Gemma Calvet