Saltar al contingut principal

El tractament de les dades personals al sector públic

Nombre de lectures: 0

Unitat 4: Obligacions del tractament de les dades

4.1 Obligacions del responsable i de l’encarregat del tractament

Responsabilitat proactiva i demostrable

Tot i que aquest principi s'ha explicat àmpliament en la unitat 2, cal recordar-lo atès que és el principi que ha d'inspirar el compliment del conjunt d'obligacions regulades al RGPD.

Aquest principi canvia la perspectiva quant al compliment de les obligacions regulades. Ja no ens trobem davant un mer compliment d’una sèrie d’obligacions reglades, com succeïa amb l'antiga LOPD, sinó que el responsable i l’encarregat del tractament han d’adoptar una actitud proactiva respecte de la garantia del dret a la protecció de dades.

A més, aquest principi exigeix no només el compliment de les obligacions sinó, també, estar en disposició de provar-ho, ja que afecta a tot el procés de tractament de les dades personals, des del compliment dels principis de licitud del tractament, la garantia de la seguretat i la confidencialitat de la informació fins a l’elecció d’un encarregat del tractament que estigui en condicions de complir les exigències del RGPD.

Les entitats han d’assumir un compromís envers la garantia de la privacitat dels seus usuaris. La norma és més flexible, s’enfoca en el risc i, per tant, les obligacions es poden adaptar millor al context real de cada tractament, però a canvi el responsable del tractament ha de determinar, de manera proactiva i responsable, quina és la millor manera de protegir les dades de les persones.

A partir d'aquest principi, s'ha de desenvolupar el compliment de la resta d’obligacions regulades en el RGPD i en les normes que el complementen i el desenvolupen, com és el cas de la nova LOPDGDD. En aquest sentit, l'article 28 de la LOPDGDD disposa que els responsables i els encarregats del tractament han de tenir en compte els elements als quals es refereixen els articles 24 i 25 del RGPD -la naturalesa, l'àmbit, el context i les finalitats del tractament de dades, els riscos de probabilitat i gravetat diversa per als drets i les llibertats de les persones- i, a partir d'aquí, determinar les mesures tècniques i organitzatives apropiades -tenint en compte també l'estat de la tècnica i el cost de l'aplicació- a fi de garantir i acreditar que el tractament és conforme al RGPD i a la resta de normes aplicables.

En particular, l'article 28 de la LOPDGDD els obliga a valorar si escau fer l’avaluació d’impacte en la protecció de dades que disposa l'article 35 del RGPD i la consulta prèvia a què es refereix l'article 36 del RGPD. A l'efecte de valorar l'adopció de les mesures que corresponguin, l'article 28.2 de la LOPDGDD alerta els responsables i els encarregats del tractament perquè tinguin en compte els riscos superiors que es poden produir en uns supòsits particulars, molt importants, que són els següents:

a) Quan el tractament pugui generar situacions de discriminació, usurpació d'identitat o frau, pèrdues financeres, dany per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, reversió no autoritzada de la pseudonimització o qualsevol altre perjudici econòmic, moral o social significatiu per a les persones afectades.

b) Quan el tractament pugui privar les persones afectades dels seus drets i llibertats o els pugui impedir l’exercici del control sobre les seves dades personals.

c) Quan es produeixi el tractament no merament incidental o accessori de les categories especials de dades a què es refereixen els articles 9 i 10 del RGPD i 9 i 10 de la LOPDGDD.

d) Quan el tractament impliqui una avaluació d’aspectes personals de les persones afectades amb la finalitat de crear o utilitzar perfils personals d’aquests, en particular mitjançant l’anàlisi o la predicció d’aspectes referits al rendiment a la feina, la situació econòmica, la salut, les preferències o interessos personals, la fiabilitat o el comportament, la solvència financera, la localització o els moviments.

e) Quan es dugui a terme el tractament de dades de grups de persones afectades en una situació d’especial vulnerabilitat i, en particular, de menors d’edat i persones amb discapacitat.

f) Quan es produeixi un tractament massiu que impliqui un gran nombre de persones afectades o comporti la recollida d’una gran quantitat de dades personals.

g) Quan les dades personals hagin de ser objecte d’una transferència, amb caràcter habitual, a estats tercers o organitzacions internacionals respecte dels quals no s’hagi declarat un nivell adequat de protecció.

h) Qualssevol altres que segons el parer del responsable o de l’encarregat puguin tenir rellevància, i en particular els que disposin codis de conducta i estàndards definits per esquemes de certificació.

Protecció de dades des del disseny i per defecte

L'article 25 del RGPD regula conjuntament la protecció de dades des del disseny i per defecte, però cal tenir present que són dues obligacions diferenciades.

De fet podríem dir que la protecció de dades des del disseny és l'obligació a partir del qual la resta d'obligacions regulades s'ha de desenvolupar.

En concret, l'article 25.1 del RGPD estableix que el responsable, tant en el moment de determinar els mitjans de tractament com en el moment del tractament mateix, ha d’implantar les mesures tècniques i organitzatives adequades per aplicar de manera efectiva els principis de protecció de dades, i integrar les garanties necessàries en el tractament, per protegir els drets de les persones interessades. I, a més, ho ha de fer atenent a l'estat de la tècnica, el cost de l'aplicació, la naturalesa, l’àmbit, el context i les finalitats del tractament, així com als riscos que comporta el tractament per als drets i les llibertats de les persones.

La protecció de dades des del disseny comporta que les entitats, des del primer moment en què comencen a definir una acció, actuació o activitat que comporti el tractament de dades, han de tenir en compte l’impacte que els tractaments de dades personals tindran sobre els drets de les persones, i no només en el dret a la protecció de dades, sinó en el conjunt dels drets i les llibertats fonamentals de les persones.

Amb aquesta orientació, trobem en el mateix article 25 del RGPD, apartat segon, la protecció de dades per defecte, que obliga el responsable del tractament a aplicar les mesures tècniques i organitzatives adequades per garantir que, per defecte, únicament es tracten les dades personals necessàries per a cadascuna de les finalitats específiques del tractament (consideració que és extensible a tots els principis que s'han d’aplicar al tractament: minimització de dades, finalitat, conservació i seguretat, etc.).

Avaluació d’impacte relativa a la protecció de dades

L’avaluació d'impacte sobre la protecció de dades (en endavant, AIPD) és un procés sistemàtic que exigeix en el moment de descriure el tractament:

  • Avaluar la necessitat i la proporcionalitat del tractament.
  • Ajudar a gestionar els riscos derivats del tractament.
  • Determinar les mesures per minimitzar-los o eliminar-los.
Com a eina de protecció de dades des del disseny, té un marcat caràcter preventiu, ja que és un procés d’avaluació que cal fer abans de començar el tractament de les dades.

A més, una avaluació d’impacte també ha d’analitzar les diverses formes mitjançant les quals es pot eliminar, o minimitzar, l'impacte. Cada organització ha de triar una metodologia que li permeti arribar als resultats que demana el RGPD.

L’abril del 2017, el llavors denominat Grup de l’article 29 -ara Comitè Europeu de Protecció de Dades- va publicar una guia en relació amb les avaluacions d’impacte sobre la protecció de dades, que l’APDCAT ha tingut en compte per elaborar una metodologia pròpia sobre com fer una AIPD, que s'ha plasmat en la guia que podeu trobar en aquest enllaç.

En tot cas, el primer que s’ha de plantejar una institució és si li cal, o no, fer l’avaluació d’impacte per a un nou tractament. En aquest sentit, l’article 35 del RGPD descriu de manera genèrica situacions que poden donar lloc a riscos elevats. Cal tenir en compte que no estem davant d’una llista exhaustiva, i que les autoritats de protecció de dades han d’elaborar una llista dels tractaments que, a priori, exigiran fer una AIPD (potser també dels tractaments en què no cal fer-la).

En tot cas, cal documentar l’anàlisi feta, encara que tingui com a resultat la no necessitat de fer una AIPD.

D’altra banda, cal tenir present que no cal fer una AIPD si el tractament té una base legal (art. 6.1.c, obligació legal, i 6.1.d, missió d’interès públic o exercici de potestats públiques). Però, en aquest cas, cal que la norma reguli l’operació específica de tractament i que en el moment de fer la norma s’hagi realitzat una AIPD com a part d’una avaluació d’impacte general en fer la norma. En tot cas, tinguem en compte que pot ser necessari revisar-la perquè la base adoptada sigui diferent de la proposta sobre la qual es va fer l’AIPD.

Una altra qüestió a tenir en compte és si cal, o no, fer una AIPD respecte dels tractaments iniciats abans del 25 de maig de 2018. En aquest sentit, el Grup de l’article 29 -ara Comitè Europeu de Protecció de Dades- ha recomanat que es faci per als tractaments que van més enllà del 25 de maig de 2018 i respecte dels quals es fa una anàlisi de risc que indica que tenen un alt risc, i per assegurar-se que tres anys després d'aquesta data o abans, depenent del context, els riscos per als drets i les llibertats s'estan mitigant.

L’article 35 estableix que cal fer una AIPD quan sigui probable que un tractament representi un alt risc per als drets i les llibertats. Afegeix que per valorar-ho en analitzar la naturalesa, l'abast i el context o les finalitats. També es fa menció especial al cas que s’utilitzin noves tecnologies.

A banda d’aquesta referència genèrica a l’alt risc, l’apartat 3 del mateix article estableix que cal fer una AIPD:

  1. Quan la finalitat és l'avaluació "sistemàtica i exhaustiva" d’aspectes de la persona feta de manera automatitzada (p. ex., perfils) que serveixi per prendre decisions amb efectes jurídics o que poden afectar significativament les persones.
  2. Quan es tracten categories especials de dades a gran escala.
  3. Quan es fa una observació sistemàtica a gran escala d’una zona d’accés públic (pot ser videovigilància, però inclouria qualsevol tractament que impliqui la monitorització de persones).

Aquestes circumstàncies s'han de complementar amb el que ha afegit la LOPDGDD en l'article 28.2, en el qual es disposa que per valorar si és procedent una AIPD cal tenir en compte la relació de supòsits que s'enumera i que s'ha transcrit en l'apartat precedent, en els quals es considera que poden concórrer uns "riscos superiors".

D'altra banda, el RGPD també ens indica quin ha de ser el contingut mínim d’una AIPD:

  1. Una descripció sistemàtica de les operacions de tractament previstes i de les finalitats del tractament. En particular cal fer referència a l’interès legítim perseguit si aquesta és la base jurídica utilitzada.
  2. Una avaluació de la necessitat i la proporcionalitat de les operacions de tractament, pel que fa a la finalitat.
  3. Una avaluació dels riscos per als drets i les llibertats.
  4. Les mesures previstes per afrontar els riscos i per demostrar la conformitat amb el RGPD.

Les avaluacions d’impacte són una eina imprescindible per complir el principi de responsabilitat proactiva.

Si els riscos detectats no poden ser prou reduïts, cal consultar l’autoritat de control abans d’iniciar el tractament. És el que s’anomena consulta prèvia, i és regulada en l’article 36 del RGPD.

Consulta prèvia

La consulta prèvia és regulada en l'article 36 del RGPD, que estableix en quins casos s'ha de dur a terme i quin procediment s'ha de seguir.

De manera general, la consulta prèvia (tal com s'ha comentat anteriorment) és una consulta que els responsables de tractament han de fer a l'autoritat de control corresponent abans d'iniciar un tractament si, com a resultat d'una AIPD, s'obté que el tractament comporta un alt risc i el responsable no ha identificat o no pot mitigar suficientment el risc (no pot prendre mesures suficients ja sigui per qüestions tecnològiques, econòmiques, de recursos o de qualsevol altra mena).

Tot i això, també es pot donar el fet que el responsable es vegi obligat a plantejar aquesta consulta prèvia, recollida en l'article 36.5 del RGPD, en els casos en què el dret dels estats membres obligui els responsables del tractament a consultar l'autoritat de control i a obtenir-ne l’autorització prèvia en relació amb el tractament efectuat per un responsable en l'exercici d'una missió realitzada en interès públic, en particular el tractament en relació amb la protecció social i la salut pública.

En el cas que el responsable del tractament es vegi obligat a fer consulta prèvia davant l'autoritat de control competent, l'article 36.3 del RGPD determina la informació mínima que el responsable del tractament ha d'aportar a l'autoritat de control perquè aquesta pugui determinar si es pot dur a terme, o no, el tractament en les circumstàncies en què es troba en el moment de la consulta.

La informació a facilitar a l'autoritat de control és la següent:

a) Si escau, les responsabilitats respectives del responsable, dels corresponsables i dels encarregats implicats en el tractament, especialment en cas de tractament dins d'un grup empresarial.

b) Les finalitats i els mitjans del tractament previst.

c) Les mesures i les garanties establertes per protegir els drets i les llibertats de les persones interessades, de conformitat amb el RGPD.

d) Si escau, les dades de contacte del delegat de protecció de dades.

e) L'avaluació d'impacte relativa a la protecció de dades que estableix l'article 3.

f) Qualsevol altra informació que sol·liciti l'autoritat de control.

Per la seva part, segons estableix l'article 36.2 del RGPD, l'autoritat de control disposa d'un termini de vuit setmanes a partir de la recepció de la consulta per assessorar per escrit el responsable i, si s'escau, l'encarregat respecte de la identificació o la mitigació dels riscos associats al tractament.

Aquest termini es pot interrompre, en el cas que l'autoritat de control reclami informació addicional al responsable, fins que el responsable aporti la informació reclamada, moment en el qual es reprèn el termini.

També existeix, atesa la complexitat del tractament objecte de consulta, la possibilitat de prorrogar el termini sis setmanes més, però només en el cas que l'autoritat de control hagi informat de la pròrroga i del motiu d'aquesta, durant les primeres quatre setmanes a comptar des de la data de recepció de la consulta, el responsable i, si s'escau, l'encarregat del tractament.

Delegat de protecció de dades

Una altra de les grans novetats és la relativa a l’obligació de nomenar un delegat de protecció de dades (DPD), regulada en l'article 37 del RGPD. Per a les administracions públiques és obligatori, però no per a les empreses, que només l’han de nomenar en determinats casos, com ara, quan els tractaments que efectuïn comportin una observació habitual i sistemàtica de persones interessades a gran escala, o quan les activitats principals consisteixen en el tractament a gran escala de categories especials de dades personals.

Veiem que són dues situacions molts similars a les que s’establien per fer obligatòriament una AIPD. Nomenar una persona encarregada de coordinar el compliment de la normativa de protecció de dades, és una bona eina per demostrar la diligència en la garantia del dret a la protecció de dades.

El Grup de l’article 29 -ara Comitè Europeu de Protecció de Dades- en la guia sobre la figura del DPD indica que cal fer i documentar l’anàlisi respecte de si estem o no subjectes a l’obligació de nomenar un DPD.

Així mateix, en els casos en què no sigui obligatori però que es vulgui nomenar un DPD, si es vol anomenar així, cal que es compleixin els requisits exigits pel RGPD quant a la designació i les qualificacions, per evitar que es generin dubtes sobre les seves funcions i responsabilitats.

El responsable o l'encarregat ha de publicar les dades de contacte del DPD i les ha de comunicar a l'autoritat de control. Aquesta obligació és important si tenim en compte que les persones interessades tenen el dret de posar-se en contacte amb el DPD amb relació a totes les qüestions relacionades amb el tractament de les seves dades personals i per exercir els seus drets (art. 38.4).

No cal que es nomeni un DPD per a cada entitat, sinó que el RGPD ja indica que:

  • un grup empresarial pot nomenar un únic delegat de protecció de dades, sempre que sigui fàcilment accessible des de cada establiment (art. 37.2).
  • quan el responsable o l'encarregat del tractament és una autoritat o un organisme públic, es pot designar un únic delegat de protecció de dades per a diverses autoritats o organismes, tenint en compte l'estructura organitzativa i la dimensió (art. 37.3).

A més, el DPD pot formar part de la plantilla del responsable o de l'encarregat, però també pot exercir les seves funcions en el marc d'un contracte de prestació de serveis.

El RGPD estableix que els estats i la UE determinin altres supòsits en què cal nomenar un DPD (art. 37.4).

En aquest sentit, la nova LOPDGDD, a banda d'especificar en l'article 77.1 les entitats que formen part del sector públic i que per tant estan obligades a designar DPD, en l'article 34.1 enumera també un seguit de supòsits en els quals el DPD resulta preceptiu, en concret:

  1. Col·legis professionals i els seus consells generals.
  2. Centres docents i universitats.
  3. Entitats que exploten xarxes i presten serveis de comunicacions electròniques (operadors de telefonia) quan tractin habitualment i sistemàticament dades personals a gran escala.
  4. Prestadors de serveis de la societat de la informació (proveïdors de xarxes socials en línia) quan elaborin a gran escala perfils dels usuaris del servei.
  5. Entitats com els bancs, les caixes d'estalvis o les cooperatives de crèdit.
  6. Establiments financers de crèdit.
  7. Asseguradores i reasseguradores.
  8. Empreses de serveis d’inversió.
  9. Empreses de distribució i comercialització d’energia elèctrica i gas natural.
  10. Empreses titulars de fitxers comuns de solvència patrimonial i crèdit i per prevenció del frau, blanqueig de capitals i finançament del terrorisme.
  11. Entitats dedicades a la publicitat i la prospecció comercial respecte dels tractaments basats en preferències i per a l’elaboració de perfils.
  12. Centres sanitaris.
  13. Entitats dedicades a l’emissió d’informes comercials.
  14. Operadors d'activitats de joc en línia.
  15. Empreses de seguretat privada.
  16. Federacions esportives quan tractin dades de menors d'edat.

L'article 34.3 de la LOPDGDD indica que els responsables que hagin designat un DPD, ja sigui de manera obligatòria (art. 34.1 citat abans) o voluntària (facultat reconeguda en l'art. 34.2), han de comunicar en un termini de 10 dies a l'autoritat de control corresponent els nomenaments, les designacions i els cessaments dels DPD.

Finalment, l'article 34.4 de la LOPDGDD determina que les autoritats de control corresponents han de mantenir una llista actualitzada de DPD i que aquestes llistes han de ser accessibles per mitjans electrònics.

Respecte de les característiques i les qualificacions que ha de reunir el DPD, el RGPD disposa que s’ha de designar atenent a les seves qualitats professionals i, especialment, als coneixements especialitzats del dret, a la pràctica en matèria de protecció de dades i a la capacitat per exercir les funcions encomanades per la normativa. En aquest cas, l'article 35 de la LOPDGDD afegeix com a qualificació del DPD els mecanismes voluntaris de certificació.

Amb relació a la posició que ha d’assumir el DPD dins de l’organització, cal que estigui en un cert nivell jeràrquic (i amb garanties d'autonomia) dins de l’organització, per poder desenvolupar correctament la seva funció.

El responsable i l'encarregat han de prendre totes les mesures necessàries per garantir el següent:

  • No es vegi compel·lit a acceptar instruccions sobre l’exercici de les seves tasques.
  • Només ha de donar comptes al més alt nivell jeràrquic de l’organització.
  • Pot participar de manera adequada i en el moment oportú en totes les qüestions relatives a la protecció de dades personals.
  • Té tot el suport necessari per complir amb les seves funcions.
  • Disposi de tots els recursos necessaris per complir aquestes tasques i per accedir a les dades personals i a les operacions de tractament, i per mantenir el seu coneixement expert.

No és imprescindible que estigui dedicat, en exclusiva, a l’execució de les funcions que té com a DPD, però sí que cal, i així ho indica el RGPD, que el responsable i l'encarregat garanteixin que aquestes altres tasques i funcions no donen lloc a conflicte d'interessos.

A més, no se’l pot destituir ni sancionar per exercir les seves funcions, excepte en casos de negligència greu en l'exercici de les seves funcions. En aquest sentit, l'article 70.2 de la LOPDGDD disposa que el règim sancionador establert per al cas de vulneracions de la legislació de protecció de dades, no és aplicable al DPD.

Quant a les funcions del DPD, l’article 39 del RGPD indica que, com a mínim, té les funcions següents:

a) Informar i assessorar de les seves obligacions el responsable o l'encarregat i els empleats que s'ocupen del tractament.

b) Supervisar el compliment del que disposa la normativa de protecció de dades i de les polítiques del responsable i de l'encarregat en matèria de protecció de dades, incloent-hi l'assignació de responsabilitats, la conscienciació i la formació del personal que participa en les operacions de tractament i les auditories corresponents.

c) Oferir l'assessorament que se li sol·licita sobre l'avaluació d'impacte relativa a la protecció de dades i supervisar-ne l’aplicació.

d) Cooperar amb l'autoritat de control.

e) Actuar com a punt de contacte de l'autoritat de control.

L'article 37 de la LOPDGDD ha atribuït al DPD una altra funció, relativa a la possible intervenció en reclamacions davant les autoritats de protecció de dades, que es pot donar en dos casos diferenciats:

a) D'una banda, s'estableix que davant d'un eventual incompliment, abans de reclamar a l'autoritat de control corresponent, la persona interessada pugui dirigir-se al DPD, qui haurà de comunicar a l'afectat la decisió adoptada en un termini màxim de dos mesos.

b) D'altra banda, s'estableix també que si la persona interessada reclama directament a l'autoritat de control, aquesta pot remetre la reclamació al DPD a fi que aquest respongui en el termini d'un mes. Si en aquest termini el DPD no ha comunicat a l'autoritat la resposta donada, l'autoritat ha de tramitar el procediment corresponent, segons el que s'exposarà a la unitat 6.

Registre de les activitats de tractament

Una altra eina de la responsabilitat proactiva i demostrable és el manteniment d’un registre d’activitats de tractament.

Amb el RGPD desapareix l’obligació d'inscriure els fitxers en el Registre de Protecció de Dades, però, òbviament, i amb coherència amb el principi d’accountability, cal mantenir documentats els tractaments de dades que es realitzen. Cal mantenir un registre intern de les operacions de tractament que es porten a terme, en què s'indiqui:

a. El nom i les dades de contacte del responsable i del delegat de protecció de dades.

b. Les finalitats del tractament.

c. Les categories de persones interessades (pacients, estudiants, etc.).

d. Les categories de dades personals.

e. Les categories de destinataris (cessions, encarregats, etc.).

f. Les transferències de dades (amb la identificació del país o de l'organització internacional).

g. Si és possible, els terminis establerts per suprimir les diferents categories de dades.

h. Si és possible, una descripció general de les mesures tècniques i organitzatives de seguretat.

Aquest registre és una eina molt útil per mantenir el coneixement i el control sobre el conjunt de tractaments que s'efectuen dintre d’una organització. En aquest sentit, cal establir els procediments per mantenir-lo actualitzat.

L'article 31.2 de la LOPDGDD obliga els subjectes del sector públic que enumera l’article 77.1 a fer públic aquest registre o "inventari de les seves activitats de tractament", que ha de ser accessible per mitjans electrònics.

Seguretat del tractament

Una altra obligació, directament vinculada a complir el principi de responsabilitat proactiva, és la garantia de la seguretat de les dades personals, regulada en l’article 32 del RGPD.

Continuem amb l’enfocament al risc: les mesures a implantar dependran del risc existent. Aquesta obligació també representa un gran canvi respecte de la regulació actual, que es basa en un model predeterminat de seguretat, en el qual en funció del tipus de dades (o en alguns casos de la finalitat) s'estableix un conjunt mínim de mesures de seguretat, tècniques i organitzatives.

Seguint la idea d’aproximació basada en el risc, que inspira el RGPD, es varia el model actual de mesures de seguretat que s'estructura per nivells (bàsic, mitjà i alt) i que permet als responsables i encarregats del tractament conèixer, a priori, quines són les mesures concretes que se li exigiran respecte del tractament de dades que vol desenvolupar.

En aquest sentit, el RGPD exigeix al responsable i a l'encarregat del tractament avaluar quin és el nivell de risc que existeix per al tractament de dades que volen dur a terme i, a partir d'aquí, determinar les mesures de seguretat que s'han d'aplicar en cada cas. A aquest respecte, cal tenir en compte la relació de l'article 28.2 de la LOPDGDD sobre els supòsits en què poden concórrer uns "riscos superiors".

Els riscos s'han de concretar i cal decidir quines són les mesures més adequades, que s'han d'establir segons el tractament concret, cosa que proporcionarà més llibertat de decisió a responsables i encarregats. En tot cas, la gestió de riscos s'ha de fer de manera que permeti:

  • Determinar el context en el qual s'efectuen les activitats de tractament.
  • Identificar les situacions de risc.
  • Analitzar els riscos.
  • Avaluar-los.
  • Tractar-los (aplicant mesures per reduir la probabilitat i la gravetat derivades de les operacions de tractament).
  • Revisar els riscos (periòdicament o davant de canvis, però de manera objectiva i repetible).

Cal triar un conjunt o model de bones pràctiques en seguretat de la informació per concretar les mesures a implantar.

En aquest sentit, cada organització pot adoptar el model que respongui millor a les seves necessitats i característiques. En el cas del sector públic, la disposició addicional primera de la LOPDGDD estableix que "L'Esquema Nacional de Seguretat ha d'incloure les mesures que s'hagin d'implantar en el cas de tractament de dades personals per evitar-ne la pèrdua, l'alteració o l'accés no autoritzat, amb l'adaptació dels criteris de determinació del risc en el tractament de les dades al que estableix l'article 32 del Reglament (UE) 2016/679".

Notificació d’una violació de la seguretat de les dades personals a l’autoritat de control

Una altra novetat, introduïda pel RGPD, i vinculada directament als principis de seguretat i transparència, és l’obligació de notificar les violacions de seguretat a les autoritats de protecció de dades i, en determinats casos, a les persones interessades.

L’article 33.1 del RGPD estableix que cal notificar una violació de seguretat a l’autoritat sense dilació indeguda, i si és possible dins del termini màxim de 72 hores després que s’hagi tingut constància de la violació, tret que sigui improbable que aquesta violació de la seguretat constitueixi un risc per als drets i les llibertats de les persones. Si la notificació a l'autoritat és posterior a les 72 hores, cal indicar quins han estat els motius de la dilació.

La notificació a l’autoritat ha de contenir, com a mínim:

a) Descriure la naturalesa de la violació de la seguretat de les dades personals, incloent-hi, si és possible, les categories i el nombre aproximat de persones interessades afectades, i les categories i el nombre aproximat de registres de dades personals afectades.

b) Comunicar el nom i les dades de contacte del delegat de protecció de dades o d'un altre punt de contacte on es pot obtenir més informació.

c) Descriure les possibles conseqüències de la violació de la seguretat de les dades personals.

d) Descriure les mesures adoptades o proposades pel responsable del tractament per fer front a la violació de la seguretat de les dades personals, incloent-hi, si escau, les mesures adoptades per mitigar-ne els possibles efectes negatius.

Si tota aquesta informació preceptiva no es pot facilitar simultàniament amb la notificació de la violació a l'autoritat, s’ha de facilitar de manera gradual amb l'obligació que sigui sense dilació indeguda.

En tot cas, tant si s’ha notificat la violació a l'autoritat com si no, el responsable del tractament ha de documentar internament totes les violacions de la seguretat de les dades personals (els fets que hi estan relacionats, els seus efectes i les mesures correctores que s’han adoptat). Això permetrà a l'autoritat verificar tot allò que afecta la violació, per exemple, en cas que no s’hagi notificat si la valoració ha estat correctament realitzada.

D’altra banda, l'article 34 del RGPD també estableix la comunicació de la violació de seguretat a la persona interessada, en el cas que pugui comportar un alt risc per als seus drets i llibertats. Tal comunicació no és necessària si es compleix alguna de les circumstàncies següents:

  1. El responsable del tractament ha adoptat les mesures de protecció tècniques i organitzatives adequades i les ha aplicades a les dades personals afectades per la violació de la seguretat, en especial les que facin inintel·ligibles les dades personals per a qualsevol persona que no estigui autoritzada a accedir-hi, com el xifratge.
  2. El responsable del tractament ha pres mesures posteriors que garanteixen que ja no existeix la possibilitat que es materialitzi l'alt risc per als drets i les llibertats de les persones interessades.
  3. Comporta un esforç desproporcionat. Però, en aquest cas, cal fer una comunicació pública o adoptar una mesura semblant, que informi les persones interessades de manera igualment efectiva.

El RGPD indica que si és procedent la comunicació a les persones interessades, el responsable l'ha d'efectuar sense dilació indeguda. A més, exigeix que la comunicació descrigui la naturalesa de la violació de la seguretat en un llenguatge clar i senzill, en aplicació del principi de transparència, que constitueix un element clau. També disposa el RGPD que la comunicació ha de contenir, com a mínim:

  • El nom i les dades de contacte del delegat de protecció de dades o d'un altre punt de contacte on es pot obtenir més informació.
  • Descriure les possibles conseqüències de la violació de la seguretat de les dades personals.
  • Descriure les mesures adoptades o proposades pel responsable del tractament per fer front a la violació de la seguretat de les dades personals, incloent-hi, si escau, les mesures adoptades per mitigar-ne els possibles efectes negatius.

Finalment, també cal tenir en compte que l’autoritat de control pot exigir al responsable que efectuï la comunicació a les persones interessades si creu que la violació comporta un alt risc. Ara bé, també pot considerar l'autoritat que es compleix alguna de les condicions que l'eximeix de l’obligació de comunicació.

Codis de conducta i certificació

Els codis de conducta i les certificacions en protecció de dades que ajuden a complir de manera més efectiva les obligacions regulades en el RGPD i a demostrar-ne el compliment (art. 24.2 del RGPD), estan molt vinculats al principi de responsabilitat proactiva i demostrable i a la protecció de dades des del disseny. Aquests instruments poden proporcionar directrius als responsables i als encarregats del tractament, tant respecte de la identificació i la mitigació dels riscos, com respecte del compliment del deure de transparència.

Codis de conducta

Els codis de conducta permeten complir les obligacions de manera més efectiva, ja que es poden centrar en les circumstàncies i les característiques específiques del tractament realitzat. Aquests codis de conducta permeten detallar les obligacions dels responsables i encarregats, atenent al risc probable per als drets i les llibertats de les persones que es deriva del tractament.

S'han de tenir en compte, per exemple, en avaluar les repercussions de les operacions de tractament efectuades per aquests responsables o encarregats, en particular a l'efecte de l'avaluació d'impacte relativa a la protecció de dades (art. 35.8 del RGPD).

L’adhesió a codis de conducta també es té en compte en el moment de determinar l'aplicació d’una infracció del RGPD per agreujar o alleujar la sanció.

El RGPD estableix l’obligació dels estats membres, les autoritats de control, el Comitè i la Comissió Europea de promoure l'elaboració de codis de conducta per contribuir a la correcta aplicació d’aquest reglament, tenint en compte les característiques específiques dels diferents sectors de tractament i les necessitats específiques de les microempreses i les petites i mitjanes empreses (art. 40.1 del RGPD).

Així mateix, el RGPD indica que les associacions i els altres organismes que representen categories de responsables, o d’encarregats del tractament, poden elaborar codis de conducta, modificar-los o ampliar-los. L'article 38.2 de la LOPDGDD afegeix també els supòsits d'empreses o grups d'empreses, així com els responsables o encarregats del sector públic enumerats en l’article 77.1 de la LOPDGDD.

Els codis han de servir per concretar l'aplicació del RGPD pel que fa, per exemple, a:

a) El tractament lleial i transparent.

b) Els interessos legítims perseguits pels responsables del tractament en contextos específics.

c) La recollida de dades personals.

d) La pseudonimització de dades personals.

e) La informació proporcionada al públic i a les persones interessades.

f) L'exercici dels drets de les persones interessades.

g) La informació que es proporciona als nens i la protecció d’aquests, així com la manera d’obtenir el consentiment dels titulars de la pàtria potestat o de la tutela sobre el nen.

h) Les mesures i els procediments relatius a la responsabilitat, a la protecció de dades des del disseny i per defecte, i les mesures de seguretat que cal aplicar.

i) La notificació de violacions de la seguretat de les dades personals a les autoritats de control i la comunicació d'aquestes violacions a les persones interessades.

j) La transferència de dades personals a països tercers o a organitzacions internacionals.

k) Els procediments extrajudicials i altres procediments de resolució de conflictes per resoldre les controvèrsies entre els responsables del tractament i les persones interessades respecte del tractament, sens perjudici dels drets de les persones interessades de conformitat amb els articles 77 i 79.

Per aprovar, modificar o ampliar un codi ja existent cal que es presenti el projecte de codi, la modificació o ampliació, a l'autoritat de control competent. L'autoritat de control ha de dictaminar si el projecte de codi o la modificació o ampliació és conforme al RGPD i l’ha d’aprovar si considera que les garanties que ofereix són suficients. Un cop aprovat, l'autoritat de control ha de registrar i publicar el codi.

Certificació

De la mateixa manera que en el cas dels codis de conducta, en l'article 42 del RGPD, el legislador europeu requereix als estats membres, les autoritats de control, el Comitè i la Comissió Europea que promoguin la creació de mecanismes de certificació, segells i marques de protecció de dades que demostrin que les operacions de tractament dels responsables i dels encarregats compleixen les obligacions establertes en el RGPD.

La certificació és voluntària i ha d’estar disponible a través d'un procés transparent, i en cap cas limita la responsabilitat del responsable o de l’encarregat del tractament respecte del compliment de les seves obligacions.

La certificació s’expedeix per un període màxim de tres anys i es pot renovar en les mateixes condicions, sempre que es continuïn complint els requisits pertinents.

La certificació la pot expedir l’autoritat de control o un organisme de certificació acreditat. Les entitats que se sotmeten al mecanisme de certificació han de donar a l'organisme de certificació, o a l'autoritat de control competent, la informació i l’accés a les activitats de tractament que calguin per al procediment de certificació.

En l’article 43 del RGPD es regulen els organismes de certificació i els requisits mínims a complir per poder ser acreditat. Els criteris d’acreditació han de ser aprovats per les autoritats de control o pel Comitè Europeu de Protecció de Dades.

↑ Índex de la unitat

4.2 Regulació de la relació del responsable amb l’encarregat del tractament

L’encarregat del tractament no és una figura nova en la regulació de protecció de dades sinó que ja la recollia l’actual LOPD i era àmpliament desenvolupada en el RLOPD. Aquesta figura s’aplica de manera molt habitual, a la pràctica, ja que permet regular la relació amb els tercers que presten serveis per compte d’un altre i que, per fer-ho, han de tenir accés a dades personals.

El RGPD defineix l’encarregat en l’article 4.8 com:

la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que tracta dades personals per compte del responsable del tractament.

Per tant, com que la defineix en termes idèntics a com ho feia l'antiga LOPD, la delimitació d’aquesta figura s’ha de seguir fent en el mateix sentit que es feia. Hem de tenir present que les persones vinculades laboralment al responsable del tractament no s'han de considerar encarregades del tractament.

Alguns exemples de possibles encarregats del tractament:

  • Una gestoria que fa les nòmines d’un ajuntament.
  • Una diputació que gestiona el padró per compte d’un ajuntament.
  • Una empresa pública que té delegada la prestació d’un determinat servei públic.
  • Un departament que té encomanada la prestació d’un determinat servei per compte d’un altre.

En tot cas, cal tenir present que no necessàriament totes les situacions enumerades suposaran la configuració d’un encarregat del tractament, sinó que estarà determinat per la configuració que es doni a la relació jurídica que s’estableixi entre ambdues entitats.

Els tipus d'encarregat del tractament són molt variats i depenen del tipus de servei que prestin.

Sobre la relació entre el responsable i l'encarregat, l'article 33.1 de la LOPDGDD precisa que l’accés per part d’un encarregat de tractament a les dades personals que siguin necessàries per a la prestació d’un servei al responsable, no es considera una comunicació de dades sempre que es compleixi el que estableixen el RGPD, la LOPDGDD i la resta de normes aplicables.

Així mateix té la consideració de responsable del tractament qui figuri com a encarregat i utilitzi les dades per a les seves pròpies finalitats.

Per delimitar quan una entitat assumeix la funció d’encarregat del tractament, cal tenir en compte la definició de responsable del tractament que, segons indica l’article 4.7 del RGPD, és la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que, sol o juntament amb d’altres, determina les finalitats i els mitjans del tractament.

A més, si és aplicable la Llei de contractes del sector públic, cal tenir en compte que aquesta llei estableix, en la disposició addicional 25, que si la contractació implica l'accés del contractista a dades personals del tractament de les quals n’és responsable l'entitat contractant, el contractista té la consideració d'encarregat del tractament.

Per la seva banda, l'article 33.2 de la LOPDGDD atribueix la consideració de responsable del tractament i no la d’encarregat, a qui en el seu nom propi i sense que consti que actua per compte d’altri estableix relacions amb les persones afectades encara que hi hagi un contracte o un acte jurídic amb el contingut que fixa l’article 28.3 del RGPD. Però l'article 33.2 de la LOPDGDD afegeix, en l'incís final, que aquesta determinació no és aplicable als encàrrecs de tractament efectuats en el marc de la legislació de contractació del sector públic.

En el web de l'Autoritat Catalana de Protecció de Dades trobareu una guia sobre l’encarregat del tractament en el RGPD, i un annex amb un exemple de clàusules contractuals per a supòsits en què l'encarregat del tractament tracta les dades als seus locals i exclusivament amb els seus sistemes.

L’encarregat del tractament assumeix, amb el RGPD, una posició reforçada quant a l’establiment d’obligacions específiques de col·laboració amb el responsable per donar-li suport en el compliment de les seves obligacions, sempre dins del marc dels serveis que tingui encarregats.

A més, el RGPD regula una sèrie d’obligacions que l’encarregat ha de complir, en concret:

1. Implantar mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc del tractament, tenint en compte l'estat de la tècnica, els costos d'aplicació i la naturalesa, l'abast, el context i les finalitats del tractament, així com els riscos de probabilitat i gravetat variables per als drets i les llibertats de les persones físiques (art. 32.1 del RGPD).

2. Portar un registre de totes les categories d'activitats de tractament efectuades. Aquest registre, que ha d’estar a disposició de l’autoritat de control, ha de contenir com a mínim la informació següent:

a) El nom i les dades de contacte de l'encarregat o dels encarregats i de cada responsable per compte del qual actua l'encarregat i, si escau, del representant del responsable o de l'encarregat i del delegat de protecció de dades.

b) Les categories de tractaments efectuats per compte de cada responsable.

c) Si escau, les transferències de dades personals a un país tercer o a una organització internacional, incloent-hi la identificació d’aquest país tercer o organització internacional, i si pertoca la documentació de garanties adequades.

d) Si és possible, una descripció general de les mesures tècniques i organitzatives de seguretat aplicades.

3. Nomenar un delegat de protecció de dades en els casos indicats en l’article 37.1 del RGPD:

4. L'encarregat del tractament ha de designar un delegat de protecció de dades, en concret quan:

a) El tractament l’efectua una autoritat o un organisme públic, tret dels tribunals que actuen en l’exercici de la seva funció judicial.

b) Les activitats principals del responsable o de l'encarregat consisteixen en operacions de tractament que, per raó de la seva naturalesa, del seu abast o de les seves finalitats, requereixen una observació habitual i sistemàtica de persones interessades a gran escala.

c) Les activitats principals del responsable o de l'encarregat consisteixen en el tractament a gran escala de categories especials de dades personals, conformement a l’article 9, i de les dades relatives a condemnes i infraccions penals.

Si l'encarregat del tractament és una autoritat o un organisme públic, es pot designar un únic delegat de protecció de dades per a diverses d'aquestes autoritats o organismes, tenint en compte l’estructura organitzativa i la dimensió que tenen.

5. Notificar les violacions de seguretat al responsable del tractament. Segons estableix l’article 33.2 del RGPD, l'encarregat del tractament ha de notificar al responsable del tractament, sense dilació indeguda, les violacions de la seguretat de les dades personals de les quals té coneixement.

En l’elecció de l’encarregat i en la regulació de la seva relació, el responsable del tractament també té una sèrie d’obligacions específiques. Així, el RGPD en reforça la responsabilitat en el moment de la seva elecció, quan indica que s'ha d’escollir únicament un encarregat que ofereixi garanties suficients per aplicar les mesures tècniques i organitzatives adequades, de manera que el tractament sigui conforme als requisits del RGPD i garanteixi la protecció dels drets de la persona interessada (art. 28.1 del RGPD).

El considerant 81 del RGPD ajuda a delimitar aquesta responsabilitat quan indica que l'encarregat del tractament ha d'oferir garanties suficients pel que fa a coneixements especialitzats, fiabilitat i recursos, amb vista a l'aplicació de mesures tècniques i organitzatives que compleixin els requisits del RGPD, incloent-hi la seguretat del tractament.

Altrament, l’encarregat no pot subcontractar nous encarregats sense coneixement del responsable, aspecte directament vinculat a l’anterior, ja que s'hi ha de poder oposar si considera que no reuneix els requisits necessaris. En concret, l’article 28.2 del RGPD assenyala que l'encarregat del tractament no ha de recórrer a un altre encarregat sense l'autorització prèvia per escrit, específica o general, del responsable. En aquest últim cas, l'encarregat ha d’informar el responsable de qualsevol canvi previst en la incorporació o la substitució d'altres encarregats i, d’aquesta manera, donar al responsable l'oportunitat d'oposar-se a aquests canvis.

Com ja passava amb l'antiga LOPD, la relació entre el responsable i l’encarregat del tractament ha d'estar regulada per un contracte o per un altre acte jurídic conforme al dret de la UE o dels estats membres. En tot cas, el contracte o l'acte jurídic ha de vincular l'encarregat respecte del responsable i ha d’establir, com a mínim: l'objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals, les categories de persones interessades i les obligacions i els drets del responsable.

El contingut mínim d’aquest contracte és establert en l’article 28.3 del RGPD, i ha d'incloure que l’encarregat:

  • Tracta les dades personals únicament seguint instruccions documentades del responsable.
  • Garanteix que les persones autoritzades per tractar dades personals s'han compromès a respectar-ne la confidencialitat.
  • Pren totes les mesures de seguretat necessàries.
  • Respecta les condicions per recórrer a un altre encarregat.
  • Assisteix el responsable sempre que sigui possible, d’acord amb la naturalesa del tractament i mitjançant les mesures tècniques i organitzatives adequades.
  • Ajuda el responsable a garantir el compliment de les obligacions de seguretat, violacions de seguretat, avaluacions d’impacte sobre la protecció de dades i consulta prèvia, tenint en compte la naturalesa del tractament i la informació de què disposa.
  • A elecció del responsable, suprimeix o retorna les dades personals.
  • Posa a disposició del responsable la informació necessària per demostrar que compleix les seves obligacions i ha de permetre i contribuir a la realització d’auditories.

El RGPD reforça la posició de l'encarregat quant a la seva obligació de vetllar pel tractament correcte de les dades personals ja que estableix que, si l'encarregat considera que una instrucció infringeix la normativa de protecció de dades, n’ha d’informar immediatament el responsable.

El RGPD també regula en quines condicions es pot subcontractar un nou encarregat i indica que la subcontractació s’ha de fer en termes similars a les de l’encarregat principal. En especial, remarca que s’han de donar garanties suficients d'aplicació de mesures tècniques i organitzatives adequades per al tractament realitzat. En tot cas, si incompleix les obligacions de protecció de dades, l’encarregat principal continua sent plenament responsable davant del responsable pel que fa al compliment de les obligacions de l'altre encarregat.

L'article 33 de la LOPDGDD ha afegit algunes qüestions més sobre l'encarregat del tractament, que cal tenir en compte. Així, obliga el responsable a determinar si, quan finalitzi la prestació dels serveis de l’encarregat, les dades personals s’han de destruir, s’han de tornar al responsable o s’han de lliurar, si s’escau, a un nou encarregat. A aquest respecte, afegeix que no escau la destrucció de les dades quan hi hagi una determinació legal que obligui a conservar-les, i en aquest cas s’han de tornar al responsable, que n’ha de garantir la conservació mentre aquesta obligació persisteixi. També afegeix l'article 33 de la LOPDGDD que l'encarregat pot conservar les dades, degudament bloquejades, mentre es puguin derivar responsabilitats de la seva relació amb el responsable del tractament.

En l'àmbit del sector públic, l'article 33.5 de la LOPDGDD disposa que es poden atribuir les competències pròpies d’un encarregat del tractament a un determinat òrgan de l’Administració general de l’Estat, l’administració de les comunitats autònomes, les entitats que integren l’Administració local o els organismes vinculats o que en depenguin mitjançant l’adopció d’una norma reguladora d’aquestes competències, que ha d’incorporar el contingut que exigeix l’article 28.3 del RGPD.

Per últim, la disposició transitòria cinquena de la LOPDGDD estableix que els contractes d'encarregat subscrits abans del 25 de maig de 2018 a l'empara de l'article 12 de l'anterior LOPD, poden mantenir la vigència fins a la data de venciment establerta en el contracte i, en cas que sigui indefinit, fins al 25 de maig de 2022. Per tant, mentre no arribi aquesta data no seria exigible adequar el contracte al RGPD i la LOPDGDD, si bé qualsevol de les parts podria exigir tal modificació.

L'APDCAT ha publicat una guia per donar suport en l'elaboració d'aquests contractes, que es pot trobar en aquest enllaç.

Quant a la responsabilitat assumida per l’encarregat si infringeix el RGPD, l’article 28.10 ens recorda que, si en el moment de determinar les finalitats i els mitjans del tractament, un encarregat infringeix el RGPD, se l’ha de considerar responsable pel que fa a aquest tractament.

↑ Índex de la unitat

4.3 Transferències de dades personals a països tercers o a organitzacions internacionals

Les transferències internacionals a països tercers (fora de la UE) i a organitzacions internacionals només es poden fer quan, a més de complir les obligacions del RGPD, la transferència es basi en una decisió d’adequació o es faci mitjançant garanties adequades.

Transferències basades en una decisió d’adequació

Aquest tipus de transferències són regulades en l’article 45 del RGPD, que indica que la decisió d’adequació la pot emetre la Comissió, mitjançant un acte d’execució, per a un país tercer, un territori o diversos sectors específics d'aquest país tercer o de l'organització internacional de què es tracti quan garanteixen un nivell de protecció adequat. En aquests casos no cal cap autorització específica.

L'acte d'execució ha d’establir un mecanisme de revisió periòdica, almenys cada quatre anys.

Els elements a tenir en compte per avaluar l'adequació del nivell de protecció, en particular, són els següents:

a) L'estat de dret, el respecte dels drets humans i les llibertats fonamentals, la legislació pertinent, tant general com sectorial, incloent-hi la relativa a la seguretat pública, la defensa, la seguretat nacional i la legislació penal; l'accés de les autoritats públiques a les dades personals, així com l'aplicació d'aquesta legislació, les normes de protecció de dades, les normes professionals i les mesures de seguretat, incloent-hi les normes sobre transferències posteriors de dades personals a un altre país tercer o organització internacional que es compleixen en aquest país o organització internacional, la jurisprudència i el reconeixement a les persones interessades de les quals es transfereixen les dades personals, de drets efectius i exigibles i de recursos administratius i accions judicials que siguin efectius.

b) L'existència i el funcionament efectiu d'una o diverses autoritats de control independents al país tercer o a les quals està subjecta una organització internacional, amb la responsabilitat de garantir i fer complir les normes en matèria de protecció de dades, incloent-hi els poders d'execució adequats, d'assistir i assessorar les persones interessades en l'exercici dels seus drets i de cooperar amb les autoritats de control de la UE i dels estats membres.

c) Els compromisos internacionals assumits pel país tercer o organització internacional de què es tracti, o altres obligacions derivades d'acords o instruments jurídicament vinculants, així com de la seva participació en sistemes multilaterals o regionals, en especial en relació amb la protecció de les dades personals.

La CE ha de supervisar de manera continuada els esdeveniments en països tercers i en organitzacions internacionals que poden afectar l’aplicació efectiva de les decisions adoptades.

En tot cas, si de la informació disponible es desprèn que ja no garanteix un nivell de protecció adequat, la CE ha de derogar, modificar o suspendre, en la mesura necessària i sense efecte retroactiu, la decisió d’adequació. Si es donen situacions imperioses d'urgència degudament justificades, la CE pot adoptar actes d'execució immediatament aplicables.

La CE ha de publicar en el Diari Oficial de la Unió Europea i en el seu web una llista de països tercers, territoris i sectors específics en un país tercer i d’organitzacions internacionals respecte dels quals ha decidit que es garanteix, o que ja no es garanteix, un nivell de protecció adequat.

Transferències mitjançant garanties adequades

Si no hi ha una decisió d’adequació, el responsable o l'encarregat del tractament només poden fer una transferència internacional si el destinatari ofereix garanties adequades i les persones interessades compten amb drets exigibles i accions legals efectives. El règim jurídic de les garanties adequades és regulat en l’article 46 del RGPD.

Aquestes garanties adequades es poden aportar, sense que calgui l’autorització expressa d'una autoritat de control, mitjançant:

a) Un instrument jurídicament vinculant i exigible entre les autoritats o els organismes públics.

b) Normes corporatives vinculants (art. 47 del RGPD).

c) Clàusules tipus de protecció de dades adoptades per la CE.

d) Clàusules tipus de protecció de dades adoptades per una autoritat de control i aprovades per la CE.

e) Un codi de conducta aprovat de conformitat, juntament amb compromisos vinculants i exigibles del responsable o de l'encarregat del tractament que al país tercer s’apliquen les garanties adequades, incloent-hi les relatives als drets de les persones interessades.

f) Un mecanisme de certificació, juntament amb compromisos vinculants i exigibles del responsable o de l'encarregat del tractament que al país tercer s’apliquen les garanties adequades, incloent-hi les relatives als drets de les persones interessades.

Respecte de les garanties adequades consistents en clàusules contractuals tipus o normes corporatives vinculants per a la pràctica de transferències internacionals, l'article 41 de la LOPDGDD disposa que l'AEPD o les autoritats de control autonòmiques poden adoptar-les, i que s’han de sotmetre prèviament al dictamen del Comitè Europeu de Protecció de Dades. El procediment d'aprovació d'aquestes clàusules o normes s’ha d’iniciar a instància d’una entitat situada a Espanya i té una durada màxima de nou mesos, sens perjudici de la suspensió del còmput del termini com a conseqüència de la remissió de l’expedient al Comitè Europeu de Protecció de Dades perquè emeti el dictamen corresponent.

En el cas que es disposi de l’autorització de l'autoritat de control competent, les garanties adequades també es poden aportar mitjançant:

a) Clàusules contractuals entre el responsable o l'encarregat i el responsable, l’encarregat o el destinatari de les dades personals al país tercer o organització internacional.

b) Disposicions incorporades en acords administratius entre les autoritats o els organismes públics, que incloguin drets efectius i exigibles per a les persones interessades.

Per a aquests casos de transferències internacionals basades en l'autorització de l'autoritat de control, cal acudir a l'article 42 de la LOPDGDD, en el qual es disposa la possibilitat que l'autoritat (estatal o autonòmica) l'atorgui en els supòsits següents:

a) Quan la transferència es pretengui fonamentar en l’aportació de garanties adequades amb fonament en clàusules contractuals que no corresponguin a les clàusules tipus adoptades per la Comissió o per una autoritat de control.

b) Quan la transferència la dugui a terme algun dels responsables o encarregats del sector públic (llista de l'article 77.1 de la LOPDGDD) i es fonamenti en disposicions incorporades a acords internacionals no normatius amb altres autoritats o organismes públics d'estats tercers, que incorporin drets efectius i exigibles per a les persones afectades, incloent-hi els memoràndums d’entesa.

El procediment per atorgar aquesta autorització té una durada màxima de sis mesos, i l'autorització queda sotmesa a l’emissió per part del Comitè Europeu de Protecció de Dades del dictamen corresponent.

En l’article 49 del RGPD es regulen una sèrie de situacions en què es pot portar a terme una transferència internacional tot i que no hi hagi una decisió d’adequació ni de garanties adequades. Es pot efectuar si es dona alguna de les condicions següents relacionades en l'article 49.1:

a) La persona interessada ha donat explícitament el seu consentiment a la transferència proposada, després d’haver estat informada dels riscos d'aquestes transferències a causa de l'absència d'una decisió d'adequació i de garanties adequades.

b) La transferència és necessària per executar un contracte entre la persona interessada i el responsable del tractament o per executar mesures precontractuals adoptades a sol·licitud de la persona interessada.

c) La transferència és necessària per formalitzar o executar un contracte entre el responsable del tractament i una altra persona física o jurídica, en interès de la persona interessada.

d) La transferència és necessària per raons importants d'interès públic que ha d’estar reconegut pel dret de la UE o dels estats membres que s’aplica al responsable del tractament.

e) La transferència és necessària per formular, exercir o defensar reclamacions.

f) La transferència és necessària per protegir drets vitals de la persona interessada o d'altres persones, quan la persona interessada està físicament o jurídicament incapacitada per donar-ne el consentiment.

g) La transferència s’efectua des d'un registre públic que, de conformitat amb el dret de la UE o dels estats membres, té per objecte facilitar informació al públic i és obert a la consulta del públic en general o de qualsevol persona que hi acrediti un interès legítim, però només si es compleixen, en cada cas particular, les condicions que estableix el dret de la UE o dels estats membres per fer la consulta. En aquest cas, no ha d’abastar la totalitat de les dades personals ni categories senceres de dades personals que conté el registre.

Afegeix el paràgraf segon de l'article 49.1 del RGPD que si no es dona cap de les condicions anteriors, només es pot fer si:

  • no és repetitiva;
  • només afecta un nombre limitat de persones interessades;
  • és necessària per a les finalitats d'interessos legítims imperiosos perseguits pel responsable del tractament, i
  • el responsable del tractament ha avaluat totes les circumstàncies concurrents en la transferència de dades i, basant-se en aquesta avaluació, ha ofert garanties adequades respecte de la protecció de dades personals.

L'article 49.3 del RGPD disposa que en l'apartat 1, paràgraf primer, els supòsits indicats en les lletres a, b i c, i el paràgraf segon, no s’apliquen a les activitats desenvolupades per les autoritats públiques en l'exercici dels seus poders públics.

En tots aquests casos, el responsable ha d’informar l'autoritat de control de la transferència, i també ha d'informar les persones interessades de la transferència i dels interessos legítims imperiosos perseguits, a banda d'informar de la resta d'extrems regulats en l’article 13 i 14 del RGPD. A aquesta obligació es refereix també l'article 43 de la LOPDGDD, en el qual es precisa que aquesta informació s'ha de facilitar amb caràcter previ a la transferència.

Portada | ↑ Índex de la unitat | Unitat 5

Torna a munt
× Tanqueu els crèdits
Autoria i llicència
  • Els continguts d'aquest curs han estat elaborats per Joana Marí, Eulàlia Màrquez i Carles San José.
  • Actualitzacions i revisions a càrrec de Santi Farré, Joana Marí, Jordi Sòria i Xavier Puig.
  • Coordinació tècnica i pedagògica: Servei de Formació per a la Generalitat.

La imatge de portada és de domini públic i s'ha obtingut de la pàgina web needpix.com.

L'Escola d'Administració Pública de Catalunya, amb la voluntat de contribuir a la lliure difusió del coneixement i seguint el que estableix la Recomanació de la Comissió Europea sobre gestió de la propietat intel·lectual, difon aquests materials sota una llicència creative commons by-nc-sa, cosa que n'autoritza l'ús:

  • citant-ne font i autoria;
  • amb finalitats no comercials;
  • per fer-ne obres derivades que compleixin les condicions anteriors i es difonguin amb el mateix tipus de llicència

Llicència de Creative Commons
Aquesta obra està subjecta a una llicència de Reconeixement-NoComercial-CompartirIgual 4.0 Internacional de Creative Commons