El tractament de les dades personals al sector públic

• 4.1 Obligacions del responsable i de l’encarregat del tractament
  
• 4.2 Regulació de la relació del responsable amb l’encarregat del tractament
  
• 4.3 Transferències de dades personals a països tercers o a organitzacions internacionals
  

Tot i que aquest principi s'ha explicat àmpliament en la unitat 2, cal recordar-lo atès que és el principi que ha d'inspirar el compliment del conjunt d'obligacions regulades al RGPD.

Aquest principi canvia la perspectiva quant al compliment de les obligacions regulades. Ja no ens trobem davant un mer compliment d’una sèrie d’obligacions reglades, com succeïa amb l'antiga LOPD, sinó que el responsable i l’encarregat del tractament han d’adoptar una actitud proactiva respecte de la garantia del dret a la protecció de dades.

A més, aquest principi exigeix no només el compliment de les obligacions sinó, també, estar en disposició de provar-ho, ja que afecta a tot el procés de tractament de les dades personals, des del compliment dels principis de licitud del tractament, la garantia de la seguretat i la confidencialitat de la informació fins a l’elecció d’un encarregat del tractament que estigui en condicions de complir les exigències del RGPD.

A partir d'aquest principi, s'ha de desenvolupar el compliment de la resta d’obligacions regulades en el RGPD i en les normes que el complementen i el desenvolupen, com és el cas de la nova LOPDGDD. En aquest sentit, l'article 28 de la LOPDGDD disposa que els responsables i els encarregats del tractament han de tenir en compte els elements als quals es refereixen els articles 24 i 25 del RGPD -la naturalesa, l'àmbit, el context i les finalitats del tractament de dades, els riscos de probabilitat i gravetat diversa per als drets i les llibertats de les persones- i, a partir d'aquí, determinar les mesures tècniques i organitzatives apropiades -tenint en compte també l'estat de la tècnica i el cost de l'aplicació- a fi de garantir i acreditar que el tractament és conforme al RGPD i a la resta de normes aplicables.

En particular, l'article 28 de la LOPDGDD els obliga a valorar si escau fer l’avaluació d’impacte en la protecció de dades que disposa l'article 35 del RGPD i la consulta prèvia a què es refereix l'article 36 del RGPD. A l'efecte de valorar l'adopció de les mesures que corresponguin, l'article 28.2 de la LOPDGDD alerta els responsables i els encarregats del tractament perquè tinguin en compte els riscos superiors que es poden produir en uns supòsits particulars, molt importants, que són els següents:

L'article 25 del RGPD regula conjuntament la protecció de dades des del disseny i per defecte, però cal tenir present que són dues obligacions diferenciades.

De fet podríem dir que la protecció de dades des del disseny és l'obligació a partir del qual la resta d'obligacions regulades s'ha de desenvolupar.

En concret, l'article 25.1 del RGPD estableix que el responsable, tant en el moment de determinar els mitjans de tractament com en el moment del tractament mateix, ha d’implantar les mesures tècniques i organitzatives adequades per aplicar de manera efectiva els principis de protecció de dades, i integrar les garanties necessàries en el tractament, per protegir els drets de les persones interessades. I, a més, ho ha de fer atenent a l'estat de la tècnica, el cost de l'aplicació, la naturalesa, l’àmbit, el context i les finalitats del tractament, així com als riscos que comporta el tractament per als drets i les llibertats de les persones.

La protecció de dades des del disseny comporta que les entitats, des del primer moment en què comencen a definir una acció, actuació o activitat que comporti el tractament de dades, han de tenir en compte l’impacte que els tractaments de dades personals tindran sobre els drets de les persones, i no només en el dret a la protecció de dades, sinó en el conjunt dels drets i les llibertats fonamentals de les persones.

L’avaluació d'impacte sobre la protecció de dades (en endavant, AIPD) és un procés sistemàtic que exigeix en el moment de descriure el tractament:

• Avaluar la necessitat i la proporcionalitat del tractament.
• Ajudar a gestionar els riscos derivats del tractament.
• Determinar les mesures per minimitzar-los o eliminar-los.

A més, una avaluació d’impacte també ha d’analitzar les diverses formes mitjançant les quals es pot eliminar, o minimitzar, l'impacte. Cada organització ha de triar una metodologia que li permeti arribar als resultats que demana el RGPD.

L’abril del 2017, el llavors denominat Grup de l’article 29 -ara Comitè Europeu de Protecció de Dades- va publicar una guia en relació amb les avaluacions d’impacte sobre la protecció de dades, que l’APDCAT ha tingut en compte per elaborar una metodologia pròpia sobre com fer una AIPD, que s'ha plasmat en la guia que podeu trobar en aquest enllaç.

En tot cas, el primer que s’ha de plantejar una institució és si li cal, o no, fer l’avaluació d’impacte per a un nou tractament. En aquest sentit, l’article 35 del RGPD descriu de manera genèrica situacions que poden donar lloc a riscos elevats. Cal tenir en compte que no estem davant d’una llista exhaustiva, i que les autoritats de protecció de dades han d’elaborar una llista dels tractaments que, a priori, exigiran fer una AIPD (potser també dels tractaments en què no cal fer-la).

En tot cas, cal documentar l’anàlisi feta, encara que tingui com a resultat la no necessitat de fer una AIPD.

D’altra banda, cal tenir present que no cal fer una AIPD si el tractament té una base legal (art. 6.1.c, obligació legal, i 6.1.d, missió d’interès públic o exercici de potestats públiques). Però, en aquest cas, cal que la norma reguli l’operació específica de tractament i que en el moment de fer la norma s’hagi realitzat una AIPD com a part d’una avaluació d’impacte general en fer la norma. En tot cas, tinguem en compte que pot ser necessari revisar-la perquè la base adoptada sigui diferent de la proposta sobre la qual es va fer l’AIPD.

Una altra qüestió a tenir en compte és si cal, o no, fer una AIPD respecte dels tractaments iniciats abans del 25 de maig de 2018. En aquest sentit, el Grup de l’article 29 -ara Comitè Europeu de Protecció de Dades- ha recomanat que es faci per als tractaments que van més enllà del 25 de maig de 2018 i respecte dels quals es fa una anàlisi de risc que indica que tenen un alt risc, i per assegurar-se que tres anys després d'aquesta data o abans, depenent del context, els riscos per als drets i les llibertats s'estan mitigant.

L’article 35 estableix que cal fer una AIPD quan sigui probable que un tractament representi un alt risc per als drets i les llibertats. Afegeix que per valorar-ho en analitzar la naturalesa, l'abast i el context o les finalitats. També es fa menció especial al cas que s’utilitzin noves tecnologies.

A banda d’aquesta referència genèrica a l’alt risc, l’apartat 3 del mateix article estableix que cal fer una AIPD:

1. Quan la finalitat és l'avaluació "sistemàtica i exhaustiva" d’aspectes de la persona feta de manera automatitzada (p. ex., perfils) que serveixi per prendre decisions amb efectes jurídics o que poden afectar significativament les persones.
2. Quan es tracten categories especials de dades a gran escala.
3. Quan es fa una observació sistemàtica a gran escala d’una zona d’accés públic (pot ser videovigilància, però inclouria qualsevol tractament que impliqui la monitorització de persones).

Aquestes circumstàncies s'han de complementar amb el que ha afegit la LOPDGDD en l'article 28.2, en el qual es disposa que per valorar si és procedent una AIPD cal tenir en compte la relació de supòsits que s'enumera i que s'ha transcrit en l'apartat precedent, en els quals es considera que poden concórrer uns "riscos superiors".

D'altra banda, el RGPD també ens indica quin ha de ser el contingut mínim d’una AIPD:

1. Una descripció sistemàtica de les operacions de tractament previstes i de les finalitats del tractament. En particular cal fer referència a l’interès legítim perseguit si aquesta és la base jurídica utilitzada.
2. Una avaluació de la necessitat i la proporcionalitat de les operacions de tractament, pel que fa a la finalitat.
3. Una avaluació dels riscos per als drets i les llibertats.
4. Les mesures previstes per afrontar els riscos i per demostrar la conformitat amb el RGPD.

Les avaluacions d’impacte són una eina imprescindible per complir el principi de responsabilitat proactiva.

Si els riscos detectats no poden ser prou reduïts, cal consultar l’autoritat de control abans d’iniciar el tractament. És el que s’anomena consulta prèvia, i és regulada en l’article 36 del RGPD.

De manera general, la consulta prèvia (tal com s'ha comentat anteriorment) és una consulta que els responsables de tractament han de fer a l'autoritat de control corresponent abans d'iniciar un tractament si, com a resultat d'una AIPD, s'obté que el tractament comporta un alt risc i el responsable no ha identificat o no pot mitigar suficientment el risc (no pot prendre mesures suficients ja sigui per qüestions tecnològiques, econòmiques, de recursos o de qualsevol altra mena).

Tot i això, també es pot donar el fet que el responsable es vegi obligat a plantejar aquesta consulta prèvia, recollida en l'article 36.5 del RGPD, en els casos en què el dret dels estats membres obligui els responsables del tractament a consultar l'autoritat de control i a obtenir-ne l’autorització prèvia en relació amb el tractament efectuat per un responsable en l'exercici d'una missió realitzada en interès públic, en particular el tractament en relació amb la protecció social i la salut pública.

En el cas que el responsable del tractament es vegi obligat a fer consulta prèvia davant l'autoritat de control competent, l'article 36.3 del RGPD determina la informació mínima que el responsable del tractament ha d'aportar a l'autoritat de control perquè aquesta pugui determinar si es pot dur a terme, o no, el tractament en les circumstàncies en què es troba en el moment de la consulta.

La informació a facilitar a l'autoritat de control és la següent:

Per la seva part, segons estableix l'article 36.2 del RGPD, l'autoritat de control disposa d'un termini de vuit setmanes a partir de la recepció de la consulta per assessorar per escrit el responsable i, si s'escau, l'encarregat respecte de la identificació o la mitigació dels riscos associats al tractament.

Aquest termini es pot interrompre, en el cas que l'autoritat de control reclami informació addicional al responsable, fins que el responsable aporti la informació reclamada, moment en el qual es reprèn el termini.

També existeix, atesa la complexitat del tractament objecte de consulta, la possibilitat de prorrogar el termini sis setmanes més, però només en el cas que l'autoritat de control hagi informat de la pròrroga i del motiu d'aquesta, durant les primeres quatre setmanes a comptar des de la data de recepció de la consulta, el responsable i, si s'escau, l'encarregat del tractament.

Veiem que són dues situacions molts similars a les que s’establien per fer obligatòriament una AIPD. Nomenar una persona encarregada de coordinar el compliment de la normativa de protecció de dades, és una bona eina per demostrar la diligència en la garantia del dret a la protecció de dades.

El Grup de l’article 29 -ara Comitè Europeu de Protecció de Dades- en la guia sobre la figura del DPD indica que cal fer i documentar l’anàlisi respecte de si estem o no subjectes a l’obligació de nomenar un DPD.

Així mateix, en els casos en què no sigui obligatori però que es vulgui nomenar un DPD, si es vol anomenar així, cal que es compleixin els requisits exigits pel RGPD quant a la designació i les qualificacions, per evitar que es generin dubtes sobre les seves funcions i responsabilitats.

El responsable o l'encarregat ha de publicar les dades de contacte del DPD i les ha de comunicar a l'autoritat de control. Aquesta obligació és important si tenim en compte que les persones interessades tenen el dret de posar-se en contacte amb el DPD amb relació a totes les qüestions relacionades amb el tractament de les seves dades personals i per exercir els seus drets (art. 38.4).

No cal que es nomeni un DPD per a cada entitat, sinó que el RGPD ja indica que:

• un grup empresarial pot nomenar un únic delegat de protecció de dades, sempre que sigui fàcilment accessible des de cada establiment (art. 37.2).
• quan el responsable o l'encarregat del tractament és una autoritat o un organisme públic, es pot designar un únic delegat de protecció de dades per a diverses autoritats o organismes, tenint en compte l'estructura organitzativa i la dimensió (art. 37.3).

A més, el DPD pot formar part de la plantilla del responsable o de l'encarregat, però també pot exercir les seves funcions en el marc d'un contracte de prestació de serveis.

El RGPD estableix que els estats i la UE determinin altres supòsits en què cal nomenar un DPD (art. 37.4).

En aquest sentit, la nova LOPDGDD, a banda d'especificar en l'article 77.1 les entitats que formen part del sector públic i que per tant estan obligades a designar DPD, en l'article 34.1 enumera també un seguit de supòsits en els quals el DPD resulta preceptiu, en concret:

1. Col·legis professionals i els seus consells generals.
2. Centres docents i universitats.
3. Entitats que exploten xarxes i presten serveis de comunicacions electròniques (operadors de telefonia) quan tractin habitualment i sistemàticament dades personals a gran escala.
4. Prestadors de serveis de la societat de la informació (proveïdors de xarxes socials en línia) quan elaborin a gran escala perfils dels usuaris del servei.
5. Entitats com els bancs, les caixes d'estalvis o les cooperatives de crèdit.
6. Establiments financers de crèdit.
7. Asseguradores i reasseguradores.
8. Empreses de serveis d’inversió.
9. Empreses de distribució i comercialització d’energia elèctrica i gas natural.
10. Empreses titulars de fitxers comuns de solvència patrimonial i crèdit i per prevenció del frau, blanqueig de capitals i finançament del terrorisme.
11. Entitats dedicades a la publicitat i la prospecció comercial respecte dels tractaments basats en preferències i per a l’elaboració de perfils.
12. Centres sanitaris.
13. Entitats dedicades a l’emissió d’informes comercials.
14. Operadors d'activitats de joc en línia.
15. Empreses de seguretat privada.
16. Federacions esportives quan tractin dades de menors d'edat.

L'article 34.3 de la LOPDGDD indica que els responsables que hagin designat un DPD, ja sigui de manera obligatòria (art. 34.1 citat abans) o voluntària (facultat reconeguda en l'art. 34.2), han de comunicar en un termini de 10 dies a l'autoritat de control corresponent els nomenaments, les designacions i els cessaments dels DPD.

Finalment, l'article 34.4 de la LOPDGDD determina que les autoritats de control corresponents han de mantenir una llista actualitzada de DPD i que aquestes llistes han de ser accessibles per mitjans electrònics.

Respecte de les característiques i les qualificacions que ha de reunir el DPD, el RGPD disposa que s’ha de designar atenent a les seves qualitats professionals i, especialment, als coneixements especialitzats del dret, a la pràctica en matèria de protecció de dades i a la capacitat per exercir les funcions encomanades per la normativa. En aquest cas, l'article 35 de la LOPDGDD afegeix com a qualificació del DPD els mecanismes voluntaris de certificació.

Amb relació a la posició que ha d’assumir el DPD dins de l’organització, cal que estigui en un cert nivell jeràrquic (i amb garanties d'autonomia) dins de l’organització, per poder desenvolupar correctament la seva funció.

El responsable i l'encarregat han de prendre totes les mesures necessàries per garantir el següent:

• No es vegi compel·lit a acceptar instruccions sobre l’exercici de les seves tasques.
• Només ha de donar comptes al més alt nivell jeràrquic de l’organització.
• Pot participar de manera adequada i en el moment oportú en totes les qüestions relatives a la protecció de dades personals.
• Té tot el suport necessari per complir amb les seves funcions.
• Disposi de tots els recursos necessaris per complir aquestes tasques i per accedir a les dades personals i a les operacions de tractament, i per mantenir el seu coneixement expert.

No és imprescindible que estigui dedicat, en exclusiva, a l’execució de les funcions que té com a DPD, però sí que cal, i així ho indica el RGPD, que el responsable i l'encarregat garanteixin que aquestes altres tasques i funcions no donen lloc a conflicte d'interessos.

A més, no se’l pot destituir ni sancionar per exercir les seves funcions, excepte en casos de negligència greu en l'exercici de les seves funcions. En aquest sentit, l'article 70.2 de la LOPDGDD disposa que el règim sancionador establert per al cas de vulneracions de la legislació de protecció de dades, no és aplicable al DPD.

Quant a les funcions del DPD, l’article 39 del RGPD indica que, com a mínim, té les funcions següents:

L'article 37 de la LOPDGDD ha atribuït al DPD una altra funció, relativa a la possible intervenció en reclamacions davant les autoritats de protecció de dades, que es pot donar en dos casos diferenciats:

a) D'una banda, s'estableix que davant d'un eventual incompliment, abans de reclamar a l'autoritat de control corresponent, la persona interessada pugui dirigir-se al DPD, qui haurà de comunicar a l'afectat la decisió adoptada en un termini màxim de dos mesos.

b) D'altra banda, s'estableix també que si la persona interessada reclama directament a l'autoritat de control, aquesta pot remetre la reclamació al DPD a fi que aquest respongui en el termini d'un mes. Si en aquest termini el DPD no ha comunicat a l'autoritat la resposta donada, l'autoritat ha de tramitar el procediment corresponent, segons el que s'exposarà a la unitat 6.

Una altra eina de la responsabilitat proactiva i demostrable és el manteniment d’un registre d’activitats de tractament.

Amb el RGPD desapareix l’obligació d'inscriure els fitxers en el Registre de Protecció de Dades, però, òbviament, i amb coherència amb el principi d’accountability, cal mantenir documentats els tractaments de dades que es realitzen. Cal mantenir un registre intern de les operacions de tractament que es porten a terme, en què s'indiqui:

Aquest registre és una eina molt útil per mantenir el coneixement i el control sobre el conjunt de tractaments que s'efectuen dintre d’una organització. En aquest sentit, cal establir els procediments per mantenir-lo actualitzat.

L'article 31.2 de la LOPDGDD obliga els subjectes del sector públic que enumera l’article 77.1 a fer públic aquest registre o "inventari de les seves activitats de tractament", que ha de ser accessible per mitjans electrònics.

Una altra obligació, directament vinculada a complir el principi de responsabilitat proactiva, és la garantia de la seguretat de les dades personals, regulada en l’article 32 del RGPD.

Continuem amb l’enfocament al risc: les mesures a implantar dependran del risc existent. Aquesta obligació també representa un gran canvi respecte de la regulació actual, que es basa en un model predeterminat de seguretat, en el qual en funció del tipus de dades (o en alguns casos de la finalitat) s'estableix un conjunt mínim de mesures de seguretat, tècniques i organitzatives.

Seguint la idea d’aproximació basada en el risc, que inspira el RGPD, es varia el model actual de mesures de seguretat que s'estructura per nivells (bàsic, mitjà i alt) i que permet als responsables i encarregats del tractament conèixer, a priori, quines són les mesures concretes que se li exigiran respecte del tractament de dades que vol desenvolupar.

En aquest sentit, el RGPD exigeix al responsable i a l'encarregat del tractament avaluar quin és el nivell de risc que existeix per al tractament de dades que volen dur a terme i, a partir d'aquí, determinar les mesures de seguretat que s'han d'aplicar en cada cas. A aquest respecte, cal tenir en compte la relació de l'article 28.2 de la LOPDGDD sobre els supòsits en què poden concórrer uns "riscos superiors".

Els riscos s'han de concretar i cal decidir quines són les mesures més adequades, que s'han d'establir segons el tractament concret, cosa que proporcionarà més llibertat de decisió a responsables i encarregats. En tot cas, la gestió de riscos s'ha de fer de manera que permeti:

• Determinar el context en el qual s'efectuen les activitats de tractament.
• Identificar les situacions de risc.
• Analitzar els riscos.
• Avaluar-los.
• Tractar-los (aplicant mesures per reduir la probabilitat i la gravetat derivades de les operacions de tractament).
• Revisar els riscos (periòdicament o davant de canvis, però de manera objectiva i repetible).

Cal triar un conjunt o model de bones pràctiques en seguretat de la informació per concretar les mesures a implantar.

En aquest sentit, cada organització pot adoptar el model que respongui millor a les seves necessitats i característiques. En el cas del sector públic, la disposició addicional primera de la LOPDGDD estableix que "L'Esquema Nacional de Seguretat ha d'incloure les mesures que s'hagin d'implantar en el cas de tractament de dades personals per evitar-ne la pèrdua, l'alteració o l'accés no autoritzat, amb l'adaptació dels criteris de determinació del risc en el tractament de les dades al que estableix l'article 32 del Reglament (UE) 2016/679".

Una altra novetat, introduïda pel RGPD, i vinculada directament als principis de seguretat i transparència, és l’obligació de notificar les violacions de seguretat a les autoritats de protecció de dades i, en determinats casos, a les persones interessades.

L’article 33.1 del RGPD estableix que cal notificar una violació de seguretat a l’autoritat sense dilació indeguda, i si és possible dins del termini màxim de 72 hores després que s’hagi tingut constància de la violació, tret que sigui improbable que aquesta violació de la seguretat constitueixi un risc per als drets i les llibertats de les persones. Si la notificació a l'autoritat és posterior a les 72 hores, cal indicar quins han estat els motius de la dilació.

La notificació a l’autoritat ha de contenir, com a mínim:

Si tota aquesta informació preceptiva no es pot facilitar simultàniament amb la notificació de la violació a l'autoritat, s’ha de facilitar de manera gradual amb l'obligació que sigui sense dilació indeguda.

En tot cas, tant si s’ha notificat la violació a l'autoritat com si no, el responsable del tractament ha de documentar internament totes les violacions de la seguretat de les dades personals (els fets que hi estan relacionats, els seus efectes i les mesures correctores que s’han adoptat). Això permetrà a l'autoritat verificar tot allò que afecta la violació, per exemple, en cas que no s’hagi notificat si la valoració ha estat correctament realitzada.

D’altra banda, l'article 34 del RGPD també estableix la comunicació de la violació de seguretat a la persona interessada, en el cas que pugui comportar un alt risc per als seus drets i llibertats. Tal comunicació no és necessària si es compleix alguna de les circumstàncies següents:

1. El responsable del tractament ha adoptat les mesures de protecció tècniques i organitzatives adequades i les ha aplicades a les dades personals afectades per la violació de la seguretat, en especial les que facin inintel·ligibles les dades personals per a qualsevol persona que no estigui autoritzada a accedir-hi, com el xifratge.
2. El responsable del tractament ha pres mesures posteriors que garanteixen que ja no existeix la possibilitat que es materialitzi l'alt risc per als drets i les llibertats de les persones interessades.
3. Comporta un esforç desproporcionat. Però, en aquest cas, cal fer una comunicació pública o adoptar una mesura semblant, que informi les persones interessades de manera igualment efectiva.

El RGPD indica que si és procedent la comunicació a les persones interessades, el responsable l'ha d'efectuar sense dilació indeguda. A més, exigeix que la comunicació descrigui la naturalesa de la violació de la seguretat en un llenguatge clar i senzill, en aplicació del principi de transparència, que constitueix un element clau. També disposa el RGPD que la comunicació ha de contenir, com a mínim:

• El nom i les dades de contacte del delegat de protecció de dades o d'un altre punt de contacte on es pot obtenir més informació.
• Descriure les possibles conseqüències de la violació de la seguretat de les dades personals.
• Descriure les mesures adoptades o proposades pel responsable del tractament per fer front a la violació de la seguretat de les dades personals, incloent-hi, si escau, les mesures adoptades per mitigar-ne els possibles efectes negatius.

Finalment, també cal tenir en compte que l’autoritat de control pot exigir al responsable que efectuï la comunicació a les persones interessades si creu que la violació comporta un alt risc. Ara bé, també pot considerar l'autoritat que es compleix alguna de les condicions que l'eximeix de l’obligació de comunicació.

Els codis de conducta i les certificacions en protecció de dades que ajuden a complir de manera més efectiva les obligacions regulades en el RGPD i a demostrar-ne el compliment (art. 24.2 del RGPD), estan molt vinculats al principi de responsabilitat proactiva i demostrable i a la protecció de dades des del disseny. Aquests instruments poden proporcionar directrius als responsables i als encarregats del tractament, tant respecte de la identificació i la mitigació dels riscos, com respecte del compliment del deure de transparència.

Codis de conducta

Els codis de conducta permeten complir les obligacions de manera més efectiva, ja que es poden centrar en les circumstàncies i les característiques específiques del tractament realitzat. Aquests codis de conducta permeten detallar les obligacions dels responsables i encarregats, atenent al risc probable per als drets i les llibertats de les persones que es deriva del tractament.

S'han de tenir en compte, per exemple, en avaluar les repercussions de les operacions de tractament efectuades per aquests responsables o encarregats, en particular a l'efecte de l'avaluació d'impacte relativa a la protecció de dades (art. 35.8 del RGPD).

L’adhesió a codis de conducta també es té en compte en el moment de determinar l'aplicació d’una infracció del RGPD per agreujar o alleujar la sanció.

El RGPD estableix l’obligació dels estats membres, les autoritats de control, el Comitè i la Comissió Europea de promoure l'elaboració de codis de conducta per contribuir a la correcta aplicació d’aquest reglament, tenint en compte les característiques específiques dels diferents sectors de tractament i les necessitats específiques de les microempreses i les petites i mitjanes empreses (art. 40.1 del RGPD).

Així mateix, el RGPD indica que les associacions i els altres organismes que representen categories de responsables, o d’encarregats del tractament, poden elaborar codis de conducta, modificar-los o ampliar-los. L'article 38.2 de la LOPDGDD afegeix també els supòsits d'empreses o grups d'empreses, així com els responsables o encarregats del sector públic enumerats en l’article 77.1 de la LOPDGDD.

Els codis han de servir per concretar l'aplicació del RGPD pel que fa, per exemple, a:

Per aprovar, modificar o ampliar un codi ja existent cal que es presenti el projecte de codi, la modificació o ampliació, a l'autoritat de control competent. L'autoritat de control ha de dictaminar si el projecte de codi o la modificació o ampliació és conforme al RGPD i l’ha d’aprovar si considera que les garanties que ofereix són suficients. Un cop aprovat, l'autoritat de control ha de registrar i publicar el codi.

Certificació

De la mateixa manera que en el cas dels codis de conducta, en l'article 42 del RGPD, el legislador europeu requereix als estats membres, les autoritats de control, el Comitè i la Comissió Europea que promoguin la creació de mecanismes de certificació, segells i marques de protecció de dades que demostrin que les operacions de tractament dels responsables i dels encarregats compleixen les obligacions establertes en el RGPD.

La certificació és voluntària i ha d’estar disponible a través d'un procés transparent, i en cap cas limita la responsabilitat del responsable o de l’encarregat del tractament respecte del compliment de les seves obligacions.

La certificació s’expedeix per un període màxim de tres anys i es pot renovar en les mateixes condicions, sempre que es continuïn complint els requisits pertinents.

La certificació la pot expedir l’autoritat de control o un organisme de certificació acreditat. Les entitats que se sotmeten al mecanisme de certificació han de donar a l'organisme de certificació, o a l'autoritat de control competent, la informació i l’accés a les activitats de tractament que calguin per al procediment de certificació.

En l’article 43 del RGPD es regulen els organismes de certificació i els requisits mínims a complir per poder ser acreditat. Els criteris d’acreditació han de ser aprovats per les autoritats de control o pel Comitè Europeu de Protecció de Dades.

↑ Índex de la unitat

L’encarregat del tractament no és una figura nova en la regulació de protecció de dades sinó que ja la recollia l’actual LOPD i era àmpliament desenvolupada en el RLOPD. Aquesta figura s’aplica de manera molt habitual, a la pràctica, ja que permet regular la relació amb els tercers que presten serveis per compte d’un altre i que, per fer-ho, han de tenir accés a dades personals.

El RGPD defineix l’encarregat en l’article 4.8 com:

Per tant, com que la defineix en termes idèntics a com ho feia l'antiga LOPD, la delimitació d’aquesta figura s’ha de seguir fent en el mateix sentit que es feia. Hem de tenir present que les persones vinculades laboralment al responsable del tractament no s'han de considerar encarregades del tractament.

Alguns exemples de possibles encarregats del tractament:

• Una gestoria que fa les nòmines d’un ajuntament.
• Una diputació que gestiona el padró per compte d’un ajuntament.
• Una empresa pública que té delegada la prestació d’un determinat servei públic.
• Un departament que té encomanada la prestació d’un determinat servei per compte d’un altre.

En tot cas, cal tenir present que no necessàriament totes les situacions enumerades suposaran la configuració d’un encarregat del tractament, sinó que estarà determinat per la configuració que es doni a la relació jurídica que s’estableixi entre ambdues entitats.

Els tipus d'encarregat del tractament són molt variats i depenen del tipus de servei que prestin.

Sobre la relació entre el responsable i l'encarregat, l'article 33.1 de la LOPDGDD precisa que l’accés per part d’un encarregat de tractament a les dades personals que siguin necessàries per a la prestació d’un servei al responsable, no es considera una comunicació de dades sempre que es compleixi el que estableixen el RGPD, la LOPDGDD i la resta de normes aplicables.

Així mateix té la consideració de responsable del tractament qui figuri com a encarregat i utilitzi les dades per a les seves pròpies finalitats.

Per delimitar quan una entitat assumeix la funció d’encarregat del tractament, cal tenir en compte la definició de responsable del tractament que, segons indica l’article 4.7 del RGPD, és la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que, sol o juntament amb d’altres, determina les finalitats i els mitjans del tractament.

A més, si és aplicable la Llei de contractes del sector públic, cal tenir en compte que aquesta llei estableix, en la disposició addicional 25, que si la contractació implica l'accés del contractista a dades personals del tractament de les quals n’és responsable l'entitat contractant, el contractista té la consideració d'encarregat del tractament.

Per la seva banda, l'article 33.2 de la LOPDGDD atribueix la consideració de responsable del tractament i no la d’encarregat, a qui en el seu nom propi i sense que consti que actua per compte d’altri estableix relacions amb les persones afectades encara que hi hagi un contracte o un acte jurídic amb el contingut que fixa l’article 28.3 del RGPD. Però l'article 33.2 de la LOPDGDD afegeix, en l'incís final, que aquesta determinació no és aplicable als encàrrecs de tractament efectuats en el marc de la legislació de contractació del sector públic.

En el web de l'Autoritat Catalana de Protecció de Dades trobareu una guia sobre l’encarregat del tractament en el RGPD, i un annex amb un exemple de clàusules contractuals per a supòsits en què l'encarregat del tractament tracta les dades als seus locals i exclusivament amb els seus sistemes.

L’encarregat del tractament assumeix, amb el RGPD, una posició reforçada quant a l’establiment d’obligacions específiques de col·laboració amb el responsable per donar-li suport en el compliment de les seves obligacions, sempre dins del marc dels serveis que tingui encarregats.

A més, el RGPD regula una sèrie d’obligacions que l’encarregat ha de complir, en concret:

1. Implantar mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc del tractament, tenint en compte l'estat de la tècnica, els costos d'aplicació i la naturalesa, l'abast, el context i les finalitats del tractament, així com els riscos de probabilitat i gravetat variables per als drets i les llibertats de les persones físiques (art. 32.1 del RGPD).

2. Portar un registre de totes les categories d'activitats de tractament efectuades. Aquest registre, que ha d’estar a disposició de l’autoritat de control, ha de contenir com a mínim la informació següent:

3. Nomenar un delegat de protecció de dades en els casos indicats en l’article 37.1 del RGPD:

4. L'encarregat del tractament ha de designar un delegat de protecció de dades, en concret quan:

5. Notificar les violacions de seguretat al responsable del tractament. Segons estableix l’article 33.2 del RGPD, l'encarregat del tractament ha de notificar al responsable del tractament, sense dilació indeguda, les violacions de la seguretat de les dades personals de les quals té coneixement.

En l’elecció de l’encarregat i en la regulació de la seva relació, el responsable del tractament també té una sèrie d’obligacions específiques. Així, el RGPD en reforça la responsabilitat en el moment de la seva elecció, quan indica que s'ha d’escollir únicament un encarregat que ofereixi garanties suficients per aplicar les mesures tècniques i organitzatives adequades, de manera que el tractament sigui conforme als requisits del RGPD i garanteixi la protecció dels drets de la persona interessada (art. 28.1 del RGPD).

El considerant 81 del RGPD ajuda a delimitar aquesta responsabilitat quan indica que l'encarregat del tractament ha d'oferir garanties suficients pel que fa a coneixements especialitzats, fiabilitat i recursos, amb vista a l'aplicació de mesures tècniques i organitzatives que compleixin els requisits del RGPD, incloent-hi la seguretat del tractament.

Altrament, l’encarregat no pot subcontractar nous encarregats sense coneixement del responsable, aspecte directament vinculat a l’anterior, ja que s'hi ha de poder oposar si considera que no reuneix els requisits necessaris. En concret, l’article 28.2 del RGPD assenyala que l'encarregat del tractament no ha de recórrer a un altre encarregat sense l'autorització prèvia per escrit, específica o general, del responsable. En aquest últim cas, l'encarregat ha d’informar el responsable de qualsevol canvi previst en la incorporació o la substitució d'altres encarregats i, d’aquesta manera, donar al responsable l'oportunitat d'oposar-se a aquests canvis.

Com ja passava amb l'antiga LOPD, la relació entre el responsable i l’encarregat del tractament ha d'estar regulada per un contracte o per un altre acte jurídic conforme al dret de la UE o dels estats membres. En tot cas, el contracte o l'acte jurídic ha de vincular l'encarregat respecte del responsable i ha d’establir, com a mínim: l'objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals, les categories de persones interessades i les obligacions i els drets del responsable.

El contingut mínim d’aquest contracte és establert en l’article 28.3 del RGPD, i ha d'incloure que l’encarregat:

• Tracta les dades personals únicament seguint instruccions documentades del responsable.
• Garanteix que les persones autoritzades per tractar dades personals s'han compromès a respectar-ne la confidencialitat.
• Pren totes les mesures de seguretat necessàries.
• Respecta les condicions per recórrer a un altre encarregat.
• Assisteix el responsable sempre que sigui possible, d’acord amb la naturalesa del tractament i mitjançant les mesures tècniques i organitzatives adequades.
• Ajuda el responsable a garantir el compliment de les obligacions de seguretat, violacions de seguretat, avaluacions d’impacte sobre la protecció de dades i consulta prèvia, tenint en compte la naturalesa del tractament i la informació de què disposa.
• A elecció del responsable, suprimeix o retorna les dades personals.
• Posa a disposició del responsable la informació necessària per demostrar que compleix les seves obligacions i ha de permetre i contribuir a la realització d’auditories.

El RGPD reforça la posició de l'encarregat quant a la seva obligació de vetllar pel tractament correcte de les dades personals ja que estableix que, si l'encarregat considera que una instrucció infringeix la normativa de protecció de dades, n’ha d’informar immediatament el responsable.

El RGPD també regula en quines condicions es pot subcontractar un nou encarregat i indica que la subcontractació s’ha de fer en termes similars a les de l’encarregat principal. En especial, remarca que s’han de donar garanties suficients d'aplicació de mesures tècniques i organitzatives adequades per al tractament realitzat. En tot cas, si incompleix les obligacions de protecció de dades, l’encarregat principal continua sent plenament responsable davant del responsable pel que fa al compliment de les obligacions de l'altre encarregat.

L'article 33 de la LOPDGDD ha afegit algunes qüestions més sobre l'encarregat del tractament, que cal tenir en compte. Així, obliga el responsable a determinar si, quan finalitzi la prestació dels serveis de l’encarregat, les dades personals s’han de destruir, s’han de tornar al responsable o s’han de lliurar, si s’escau, a un nou encarregat. A aquest respecte, afegeix que no escau la destrucció de les dades quan hi hagi una determinació legal que obligui a conservar-les, i en aquest cas s’han de tornar al responsable, que n’ha de garantir la conservació mentre aquesta obligació persisteixi. També afegeix l'article 33 de la LOPDGDD que l'encarregat pot conservar les dades, degudament bloquejades, mentre es puguin derivar responsabilitats de la seva relació amb el responsable del tractament.

En l'àmbit del sector públic, l'article 33.5 de la LOPDGDD disposa que es poden atribuir les competències pròpies d’un encarregat del tractament a un determinat òrgan de l’Administració general de l’Estat, l’administració de les comunitats autònomes, les entitats que integren l’Administració local o els organismes vinculats o que en depenguin mitjançant l’adopció d’una norma reguladora d’aquestes competències, que ha d’incorporar el contingut que exigeix l’article 28.3 del RGPD.

Per últim, la disposició transitòria cinquena de la LOPDGDD estableix que els contractes d'encarregat subscrits abans del 25 de maig de 2018 a l'empara de l'article 12 de l'anterior LOPD, poden mantenir la vigència fins a la data de venciment establerta en el contracte i, en cas que sigui indefinit, fins al 25 de maig de 2022. Per tant, mentre no arribi aquesta data no seria exigible adequar el contracte al RGPD i la LOPDGDD, si bé qualsevol de les parts podria exigir tal modificació.

L'APDCAT ha publicat una guia per donar suport en l'elaboració d'aquests contractes, que es pot trobar en aquest enllaç.

Quant a la responsabilitat assumida per l’encarregat si infringeix el RGPD, l’article 28.10 ens recorda que, si en el moment de determinar les finalitats i els mitjans del tractament, un encarregat infringeix el RGPD, se l’ha de considerar responsable pel que fa a aquest tractament.

↑ Índex de la unitat

Les transferències internacionals a països tercers (fora de la UE) i a organitzacions internacionals només es poden fer quan, a més de complir les obligacions del RGPD, la transferència es basi en una decisió d’adequació o es faci mitjançant garanties adequades.

Aquest tipus de transferències són regulades en l’article 45 del RGPD, que indica que la decisió d’adequació la pot emetre la Comissió, mitjançant un acte d’execució, per a un país tercer, un territori o diversos sectors específics d'aquest país tercer o de l'organització internacional de què es tracti quan garanteixen un nivell de protecció adequat. En aquests casos no cal cap autorització específica.

L'acte d'execució ha d’establir un mecanisme de revisió periòdica, almenys cada quatre anys.

Els elements a tenir en compte per avaluar l'adequació del nivell de protecció, en particular, són els següents:

La CE ha de supervisar de manera continuada els esdeveniments en països tercers i en organitzacions internacionals que poden afectar l’aplicació efectiva de les decisions adoptades.

En tot cas, si de la informació disponible es desprèn que ja no garanteix un nivell de protecció adequat, la CE ha de derogar, modificar o suspendre, en la mesura necessària i sense efecte retroactiu, la decisió d’adequació. Si es donen situacions imperioses d'urgència degudament justificades, la CE pot adoptar actes d'execució immediatament aplicables.

La CE ha de publicar en el Diari Oficial de la Unió Europea i en el seu web una llista de països tercers, territoris i sectors específics en un país tercer i d’organitzacions internacionals respecte dels quals ha decidit que es garanteix, o que ja no es garanteix, un nivell de protecció adequat.

Si no hi ha una decisió d’adequació, el responsable o l'encarregat del tractament només poden fer una transferència internacional si el destinatari ofereix garanties adequades i les persones interessades compten amb drets exigibles i accions legals efectives. El règim jurídic de les garanties adequades és regulat en l’article 46 del RGPD.

Aquestes garanties adequades es poden aportar, sense que calgui l’autorització expressa d'una autoritat de control, mitjançant:

Respecte de les garanties adequades consistents en clàusules contractuals tipus o normes corporatives vinculants per a la pràctica de transferències internacionals, l'article 41 de la LOPDGDD disposa que l'AEPD o les autoritats de control autonòmiques poden adoptar-les, i que s’han de sotmetre prèviament al dictamen del Comitè Europeu de Protecció de Dades. El procediment d'aprovació d'aquestes clàusules o normes s’ha d’iniciar a instància d’una entitat situada a Espanya i té una durada màxima de nou mesos, sens perjudici de la suspensió del còmput del termini com a conseqüència de la remissió de l’expedient al Comitè Europeu de Protecció de Dades perquè emeti el dictamen corresponent.

En el cas que es disposi de l’autorització de l'autoritat de control competent, les garanties adequades també es poden aportar mitjançant:

Per a aquests casos de transferències internacionals basades en l'autorització de l'autoritat de control, cal acudir a l'article 42 de la LOPDGDD, en el qual es disposa la possibilitat que l'autoritat (estatal o autonòmica) l'atorgui en els supòsits següents:

El procediment per atorgar aquesta autorització té una durada màxima de sis mesos, i l'autorització queda sotmesa a l’emissió per part del Comitè Europeu de Protecció de Dades del dictamen corresponent.

En l’article 49 del RGPD es regulen una sèrie de situacions en què es pot portar a terme una transferència internacional tot i que no hi hagi una decisió d’adequació ni de garanties adequades. Es pot efectuar si es dona alguna de les condicions següents relacionades en l'article 49.1:

Afegeix el paràgraf segon de l'article 49.1 del RGPD que si no es dona cap de les condicions anteriors, només es pot fer si:

• no és repetitiva;
• només afecta un nombre limitat de persones interessades;
• és necessària per a les finalitats d'interessos legítims imperiosos perseguits pel responsable del tractament, i
• el responsable del tractament ha avaluat totes les circumstàncies concurrents en la transferència de dades i, basant-se en aquesta avaluació, ha ofert garanties adequades respecte de la protecció de dades personals.

L'article 49.3 del RGPD disposa que en l'apartat 1, paràgraf primer, els supòsits indicats en les lletres a, b i c, i el paràgraf segon, no s’apliquen a les activitats desenvolupades per les autoritats públiques en l'exercici dels seus poders públics.

En tots aquests casos, el responsable ha d’informar l'autoritat de control de la transferència, i també ha d'informar les persones interessades de la transferència i dels interessos legítims imperiosos perseguits, a banda d'informar de la resta d'extrems regulats en l’article 13 i 14 del RGPD. A aquesta obligació es refereix també l'article 43 de la LOPDGDD, en el qual es precisa que aquesta informació s'ha de facilitar amb caràcter previ a la transferència.

Portada | ↑ Índex de la unitat | Unitat 5