Os retos do Regulamento Xeral de Protección de Datos para as AAPP (Revista Concellos Galegos, Outono 2017)

Data: 

14/09/2017

O pasado 25 de maio de 2016 entrou en vigor o Regulamento Xeral de Protección de Datos (RGPD), aprobado polo Parlamento Europeo e o Consello coa intención de unificar os réximes dos Estados Membros sobre esta materia. O seu cumprimento será obrigatorio a partir do próximo 25 de maio de 2018, deixando así un período para que Estados, Institucións, empresas e organizacións que tratan datos, poidan adaptarse aos cambios que introduce.

A diferenza do que ocorre coas directivas, como a 95/46/CE da que emana a actual LOPD, este regulamento aplicarase de forma directa sobre todos os suxeitos obrigados privados e públicos. Con todo, non derroga as normas existentes en materia de protección de datos, como a LOPD ou o regulamento que a desenvolve (RD 1720/2007), coas que convivirá en canto non contraveñan o establecido no RGPD.

O regulamento supón unha garantía adicional para os cidadáns, xa que é aplicable a empresas que, ata o momento, podían estar a manexar datos de persoas físicas de países europeos e rexerse por normativas que non ofrecían o mesmo nivel de protección que a europea. Deste xeito, os suxeitos obrigados a cumprir o regulamento son, entre outros, os seguintes: as sociedades, os autónomos, as comunidades, as asociacións e a Administración Pública en todos os Estados membros da Unión Europea; e, se estivesen fora da Unión, os encargados do tratamento para suxeitos obrigados e aqueles, sexan encargados ou responsables, que dirixan os seus servizos cara a residentes na Unión.

Novidades

Son varias as novidades e esixencias que introduce o RGPD, buscando un maior compromiso coa protección de datos. Así, por exemplo, debe levar a cabo unha análise de risco, mediante a auditoría do estado en que se atopa a protección de datos a fin de establecer as políticas, protocolos e medidas a aplicar. As solucións para implantar han de ser tendo en conta o estado da técnica, o que implica que estas medidas, tanto técnicas como organizativas, sexan actuais, desprazando deste xeito ás empresas a responsabilidade na decisión para garantir un nivel de seguridade adecuado ao risco.

En canto ao consentimento para a obtención de datos de carácter persoal, ha de ser libre, informado, específico e inequívoco. Para entender esta nova situación, requírese que haxa unha acción positiva e que ademais sexa “verificable”, de forma que se poida probar que o afectado concedeu devandito consentimento. Deste xeito, o actual consentimento tácito deixará de ser válido. Isto tradúcese ademais nunha aplicación dos coñecidos dereitos ARCO da LOPD aos seguintes: acceso, rectificación, supresión, limitación, portabilidade e oposición. De entre estes, dous destacan especialmente. Por unha banda, o dereito ao esquecemento, que é aquel que teñen os cidadáns para solicitar que os datos sexan suprimidos cando xa non son necesarios para o fin para o que foron reunidos, revogouse o consentimento ou cando se obtiveron de forma ilegal. Por outra, o dereito á portabilidade, que permite ao interesado requirir recobrar os seus datos electrónicos nun formato que permita o seu traslado a outro responsable.

En canto aos contratos de Encargados do Tratamento, terán que ser actualizados para constar por escrito, detallando, entre outros, as instrucións do responsable ao encargado no relativo ás medidas de seguridade, a confidencialidade ou o destino dos datos unha vez finalizada a prestación do servizo.

Outra das novidades é a obrigatoriedade da comunicación dos fallos de seguridade á Axencia Española de Protección de Datos nun prazo de 72 horas. O responsable do tratamento debe contar cun sistema efectivo para esta comunicación ou para notificalo aos afectados se existe algún risco para os seus dereitos. Introdúcese unha figura esencial, a do delegado de Protección de Datos (DPD), que asume novas e cualificadas competencias en materia de coordinación e control do cumprimento da normativa de protección de datos, como son a identificación de riscos e a procura de solucións para liquidalos. As empresas deberán contar con este delegado, interno ou externo, outorgarlle total independencia e achegarlle as ferramentas que necesite cando as solicite.

O DPD será designado “atendendo ás súas calidades profesionais e, en particular, aos seus coñecementos especializados do Dereito e a práctica en materia de protección de datos e á súa capacidade para desempeñar as funcións” indicadas no RGPD.

Avánzase un paso máis para reforzar a responsabilidade proactiva no cumprimento normativo, o que se coñece como accountability. Para iso, establécese a privacidade tanto desde o deseño como por defecto, co fin de que se garanta o cumprimento con carácter previo ao tratamento de datos e durante o devandito tratamento. Do mesmo xeito proponse como mecanismos efectivos de verificación do cumprimento, a adhesión a códigos de conduta ou a mecanismos de certificación.

Por último, o RGPD establece multas administrativas que poden chegar aos 20 millóns de euros ou o 4 % da facturación global anual, optándose pola de maior contía.

AAPP

En canto ás Administracións Públicas, estas actúan como responsables e encargadas de tratamentos de datos persoais no desenvolvemento de moitas das súas actividades. Consecuentemente, vanse ver afectadas polas previsións do novo Regulamento. En moitos casos, os efectos serán os mesmos que para calquera outro responsable ou encargado. Nalgunhas áreas, con todo, existen especificidades para o sector público.

O RGPD prevé que todas as “autoridades ou organismos públicos” nomearán un DPD. Tamén establece cales haberán de ser os criterios para a súa designación, a súa posición na organización e as súas funcións. Prevé, igualmente, que no caso das autoridades ou organismos públicos poidan nomearse un único DPD para varios deles, tendo en conta o seu tamaño e estrutura organizativa. En consecuencia, como medida previa deben identificarse as unidades en que se integrar o DPD dentro de cada órgano ou organismo, a súa posición na estrutura administrativa e os mecanismos para asegurar que os DPD designados reúnen os requisitos de cualificación e competencia establecidos polo RGPD. A designación do DPD debe comunicarse ás autoridades de protección de datos. Así mesmo, deben establecerse mecanismos para que os interesados poidan contactar co DPD.

O portal web da Axencia (http://www.agpd.es) publica unha serie de documentos analizando o imvvpacto para as administracións públicas baixo o apartado "Regulamento Europeo de Protección de Datos".

Conclusión

A nova normativa de protección de datos busca, en definitiva, unha maior garantía e seguridade para os cidadáns europeos, especialmente nas súas relacións electrónicas dentro e fóra da Unión. Este avance supón un reto para empresas, organizacións e administracións públicas, xa que han de adaptar os seus procedementos e estruturas para dar cumprimento á nova lexislación. Exemplo claro é a introdución da figura do delegado de Protección de Datos e a necesidade do desempeño de tarefas con total independencia e ausencia de conflito de intereses.

Pero máis aló, o regulamento supoñerá un cambio cultural a todos os niveis no relativo á protección de datos, con conceptos tan importantes como a privacidade desde o deseño ou a privacidade por defecto. Isto, supón tamén un cambio importante no desenvolvemento de todas as aplicacións que xestionan datos de carácter persoal, que non deixan de ser sistemas informáticos.

Desde o CPEIG, confiamos en que isto supoña tamén un punto de inflexión para a concienciación da necesidade de regulación profesional, xa que é obvio que asuntos críticos como a seguridade xurídica e física das persoas debe ser garantidos por profesionais coas competencias e coñecementos acordes á responsabilidade que levan.

Fernando Suárez Lorenzo

Presidente do Colexio Profesional de Enxeñaría en Informática de Galicia (CPEIG)