Carles San José ha abordat els aspectes clau del nou Reglament europeu de protecció de dades (RGPD), sobretot pel que fa a les seves novetats més significatives. Comenta que el RGPD és d'aplicació plena des del 25 de maig de 2018, data a partir de la qual la LOPD i el RLOPD han quedat desplaçats, de manera que resulta imprescindible conèixer els canvis que implica aquesta norma europea.

Afegeix que el RGPD substitueix les normes internes que cada estat de la Unió Europea havia aprovat a partir de la Directiva 95/46/CE , que ja no podia fer front als nous reptes que la ràpida evolució tecnològica i la globalització ha plantejat per a la protecció de dades. El RGPD també es refereix a la necessitat de garantir un nivell uniforme i elevat de protecció de les persones físiques , davant la situació prèvia de divergència entre les regulacions dels diferents estats, que no havien aconseguit un nivell adequat de coherència i homogeneïtat en l'aplicació de les normes de protecció de dades.

Així mateix fa una aproximació a la protecció de dades. En aquest sentit defineix pròpiament el dret a la protecció de dades, explica quin és el seu marc normatiu, dóna una sèrie de definicions derivades del nou reglament, tals com " dada personal", "tractament", "responsable del tractament (RT)", "encarregat del tractament (ET)", "destinatari", "tercer", "elaboració de perfils", "seudonimització" .

Parla també de la responsabilitat proactiva (accountability) i de l'enfocament del risc. En aquest punt diu que es produeix un canvi de paradigma, ja que el RGPD exigeix a les organitzacions una actitud conscient, diligent i proactiva, per tal que cadascuna analitzi les dades personals que tracta i amb quines finalitats, quin context i quins són els riscos per als drets i les llibertats de les persones físiques. A partir d'aquí, el responsable i l'encarregat han d'aplicar les mesures tècniques i organitzatives apropiades i, a més, han d'estar en condicions d'acreditar davant de l'autoritat de control i dels interessats que el tractament efectuat s'ajusta a les exigències del RGPD.

Una altra qüestió és la desaparició de l'obligació de notificar fitxers. En aquest sentit desapareix el deure formal de notificar els fitxers a les autoritats de control. Ara bé, en consonància amb el principi de responsabilitat proactiva, les entitats del sector públic estan obligades a disposar d'un registre de les activitats de tractament (RAT) efectuades sota la seva responsabilitat.

També fa referència als principis i els deures. D'entre els principis del tractament, hi figuren els de:

- Licitud, lleialtat i transparència

- Limitació de la finalitat

- Minimització de les dades

- Exactitud

- Limitació del termini de conservació

- Integritat i confidencialitat

- Responsabilitat proactiva (accountability)

D'altra banda, diu que una de les novetats més destacades del RGPD és la figura del delegat/ada de protecció de dades. Comenta que aquesta figura és obligatòria per a les entitats que formen part del sector públic, i ha de tenir uns coneixements especialitzats del dret, pràctica en la protecció de dades i les capacitats i habilitats necessàries per exercir adequadament les seves funcions. També explica quina és la seva intervenció en cas de reclamació.

Respecte el consentiment, fa esment a la fi del consentiment tàcit. Ja no és possible mantenir la idea conforme s'entenia consentit un tractament si no s'indicava expressament el contrari. Ara s'exigeix que el consentiment sigui inequívoc i estigui basat en una declaració o acció clarament afirmativa. També explica el consentiment de menors.

Notificació de violacions de seguretat. Qualsevol violació de seguretat s'ha de notificar a l'autoritat de control en 72 hores, tret que sigui improbable que aquesta violació constitueixi un risc per als drets i les llibertats de les persones. Si aquest risc s'ha de qualificar com a "alt", cal notificar la violació als afectats.

Cita també les categories especials de protecció de dades i el seu tractament , així com al tractament de dades personals relatives a condemnes i a infraccions penals.

Pel que fa a les comunicacions de dades, diu que ja no es regula de manera específica com abans, sinó que el nou reglament ho preveu com qualsevol altre tractament que haurà de ser lícit (consentiment, etc).

Així mateix fa referència a altres aspectes rellevants de la norma, com el registre d'activitats de tractament, les transferències internacionals i l'encarregat del tractament .

Comenta també en que consisteixen les figures del'encarregat del tractament (ET) i del responsable del tractament (RT).

A continuació explica els nous drets dels interessats. Fins ara teníem els drets d'accés, rectificació, cancel·lació i oposició (ARCO). Amb el nou RGPD, el dret de cancel·lació es converteix en dret de supressió (o dret a l'oblit), i s'afegeixen nous drets habeas data (limitació del tractament i portabilitat) . Per acabar, esmenta les garanties dels drets (reclamar a l'Autoritat, poders de l'Autoritat, reclamació judicial i la indemnització).

A grans trets, aquestes són les novetats més rellevants que ens ha portat l'RGPD, i que s'han analitzat a la jornada, sobretot des d'una perspectiva pràctica.

La segona part s'ha centrat en el nou reglament de protecció de dades. Aspectes pràctics i implementació . En aquesta segona part ha intervingut la senyora Gemma Calvet i Barot, ja que la ponència del senyor San José s'ha concentrat en la primera part.

Gemma Calvet i Barot, directora de l'Agència de Transparència de l'AMB, exposa el paper de l'Agència de Transparència en la relació amb els organismes vinculats i les prestadores de serveis de l'Àrea Metropolitana de Barcelona, pel que fa a les exigències derivades de la Llei de transparència i el seu encaix, la publicitat activa, al dret a la informació, com també a la protecció de dades.

Respecte el dret d'accés, fa referència al paper de l'Agència de garantir els aspectes formals del dret d'accés a la informació, davant de peticions que es facin a l'AMB i cita la Circular de 2 de març de 2016 del procediment d'exercici del dret d'accés a la informació pública a l'AMB .

Explica els límits al dret d'accés a la informació pública i la ponderació que caldrà dur a terme entre les dades personals i dret d'accés a la informació. Aquesta situació es produiria quan s'hi incloguin dades personals especialment protegides. En aquest cas caldrà el consentiment de la persona afectada.

També explica el paper de la publicitat activa d'informacions que contenen dades personals , dels alts càrrecs i personal directiu, d'empleats públics i les directius de concessionàries o de beneficiaris de subvencions.

Menciona la necessitat de l'anonimització o dissociació de dades personals . Comenta que sempre que les dades personals no siguin l'objecte concret de la petició d'informació es recomana l'anonimització o dissociació preventiva per evitar possibles col·lisions de drets.

Seguidament fa esment a la publicitat activa d'informacions que cal anonimitzar (actes del Consell Metropolità, extracte dels acord de la Junta de Govern, incompatibilitats dels empleats públics, personal adscrit per adjudicataris de contractes signats amb l'Administració, etc).

Una altra qüestió que s'ha abordat és la identitat de la persona sol·licitant. En aquest sentit diu que la Llei de Transparència no protegeix explícitament la identitat de les persones sol·licitants. No obstant això, la Circular del procediment d'exercici del dret d'accés a la informació pública a l'AMB (02/03/2016) estableix la confidencialitat (els agents i operadors intervinents en el procediment regulat en aquesta Circular guardaran confidencialitat obre la identitat dels sol·licitants d'accés a la informació pública).

Cita també la Recomanació AGT 6/2016 de reforç del procediment de l'exercici del dret d'accés regulat per la Circular de 02/03/2016, per la qual la tramesa de la petició als enllaços de transparència es fa per tal que disposin de les dades per al lliurament de la informació demanada; en cap cas per ser divulgada. També es disposa la més estricta i rigorosa preservació de la identitat de les persones que exerceixen aquest dret durant tot el procés de tramitació.

Seguidament fa esment a diverses peticions que hi ha hagut relatives a l'accés a noms i retribucions d'empreses prestadores, com també a l'accés dels grups metropolitans a retribucions del personal, i una altra sobre l'accés a noms i càrrecs de tot el personal de l'AMB.

Un altre punt que s'ha tractat ha estat l'organització de seguretat de l'AMB. Comenta que a partir del 25 de maig de 2018 ha canviat l'enfocament i la forma de tractar les dades personals. Entre d'altres qüestions, explica la nova figura del delegat de protecció de dades; les funcions dels directius i dels responsables de cada àrea; la necessitat d'adaptar els textos legals (instàncies, política de privacitat, cartells de vídeo vigilància, etc); de fer un registre d'activitats de tractament; d'adaptar la confidencialitat de proveïdors; d'actualitzar el document de seguretat (política de seguretat de dades personals, procediment de gestió de fitxers, procediment de gestió de drets de l'interessat, procediment de gestió d'incidències,...); d'elaborar el procediment d'avaluació d'impacte i de formar al personal.

Per acabar diu que cal encaixar bé el puzle normatiu en el que ens movem, derivat en bona part de la normativa de la Unió Europea, que té que a veure amb la contractació pública, la transparència i la protecció de dades. Tot això en l'àmbit del big data. Amb la qual cosa cal harmonitzar bé la regulació i protegir determinada informació . El big data s'ha de ressituar en la racionalitat jurídica i la honestedat democràtica.