El 25 de maig de 2018 va aterrar el nou Reglament general de protecció de dades (RGPD) en el nostre ordenament jurídic. Hem superat, doncs, els primers 100 dies d’aplicació plena i directa del RGPD, i la primera valoració que podem fer és positiva, encara que només sigui per constatar que la vida segueix, ja que, a mesura que s’aproximava el dia 25, semblava que s’havia d’acabar el món. En efecte, tots recordem encara l’allau d’avisos que ens arribaven per diversos canals sobre la nova regulació de protecció de dades, i sobre els canvis radicals que això implicaria en el tractament de les dades personals. Alguns vaticinaven moltes limitacions i restriccions en la gestió de les dades, i anunciaven per a les administracions públiques dificultats i problemes en la prestació dels seus serveis i activitats. Vaja, una mena de “que ve el llop!”.
Doncs bé, un cop passats aquests primers 100 dies, podem sostenir que no s’han consumat aquests mals auguris que alguns vinculaven a l’arribada del nou RGPD. En efecte, les organitzacions del sector públic segueixen tractant dades personals amb motiu de la seva activitat ordinària. Ara bé, podem dir que ho segueixen fent com sempre? Doncs no, perquè l’aterratge del RGPD ha comportat moltes novetats en la gestió de les dades personals, i en concret ha imposat noves obligacions als responsables i encarregats del tractament. No em correspon analitzar aquí tots els canvis que ens ha portat el RGPD, ja que, com indico al títol de l'apunt, l’objectiu és explicar les eines que des l’APDCAT hem posat a disposició de les entitats que gestionen dades personals.
En aquesta exposició no puc deixar de recordar que el RGPD parteix de dos eixos principals: a) el principi de responsabilitat proactiva (accountability), i b) l’enfocament en el risc. Segur que heu sentit a parlar del canvi de paradigma que comporta el RGPD en aquest punt. Així, en lloc d’imposar la implementació d’unes mesures de seguretat concretes, exigeix a les organitzacions l’anàlisi de les dades personals que tracten en cada cas (tipologia, finalitats, context), i dels possibles riscos per als drets i les llibertats de les persones. Sobre la base d'aquesta anàlisi, cada entitat ha de decidir quines són les mesures apropiades per a la seguretat de les dades personals, és a dir, per garantir-ne la confidencialitat, la integritat i la disponibilitat. Així doncs, tenim ara un sistema més obert en què cada organització ha de decidir, en funció de les seves circumstàncies, quina és la millor manera de complir les obligacions i garantir els drets de les persones.
Més enllà de l’accountability i l’enfocament del risc, el RGPD imposa un seguit de canvis concrets en la gestió de les dades personals. Tot aquest conjunt de canvis han obligat les organitzacions a revisar els seus processos i sistemes, i a implementar les modificacions corresponents, tot i que, encara que han disposat de dos anys per fer-ho, per a la majoria d’entitats aquest procés ha comportat un esforç formidable. Per això, aquests darrers dos anys, a l’APDCAT hem treballat molt en el disseny i la divulgació d’eines i materials.
També hem dedicat molts esforços a la preparació i l'execució d’activitats formatives, ja que és una peça clau per assegurar el compliment de la normativa de protecció de dades. A aquest respecte, fa uns mesos vam presentar el Pla de Formació de l’APDCAT per al període 2018-2020, que consta de tres línies d’actuació diferenciades: a) formació interna al personal de l’APDCAT; b) formació de caràcter sectorial, específicament al personal dels sectors sanitari, educatiu i de serveis socials, i c) formació estratègica, de la mà de l’EAPC, per al personal directiu, comandaments intermedis i personal amb responsabilitat directa en matèria de protecció de dades.
A banda de les activitats formatives a les quals m’acabo de referir, a continuació enumero totes les eines que hem preparat a l’APDCAT per facilitar l’adaptació al RGPD, que responen a una finalitat clarament preventiva:
1. Informació i documentació sobre el RGPD
En el web de l’APDCAT s’ha anat publicant molta informació sobre el nou RGPD. Així, en aquest enllaç podeu accedir a diversos apartats que recull informació d’utilitat per a les entitats que tracten dades, com ara la relativa a les novetats principals, preguntes freqüents, etc.
En un dels apartats s’explica com adaptar-se al RGPD, i inclou una llista de verificació, a través de la qual les entitats poden comprovar quin és el seu grau d’adequació al RGPD.
Així mateix, també hi podeu trobar l’apartat denominat “Altres documents i eines d’interès”, que recull les eines a les quals em refereixo seguidament.
2. Registre d’activitats del tractament
Amb el RGPD ha desaparegut l’obligació de notificar els fitxers de dades personals a l’autoritat de control, per inscriure'ls al registre corresponent. Aquesta novetat estalvia a les administracions públiques tota la feina que feien anteriorment, quan estaven obligades a tramitar i aprovar la disposició general de creació del fitxer, i a la notificació posterior per inscriure'ls al Registre de Protecció de Dades de Catalunya (RPDC), en el cas de les entitats compreses en l’àmbit de l’APDCAT. Aquesta tramitació s’ha substituït per l'obligació interna de documentació de les operacions de tractament. En efecte, l’article 30 del RGPD imposa als responsables i encarregats el deure de portar un registre de les activitats de tractament (RAT) que es duen a terme sota la seva responsabilitat. El RAT serveix per demostrar la conformitat amb el RGPD i acreditar-ne el compliment, que connecta amb el principi de responsabilitat proactiva o accountability. A aquest respecte, des de l’APDCAT hem desplegat les dues eines que es mencionen a continuació.
2.1 Extracció de dades del Registre
En aquest enllaç es pot obtenir una còpia del contingut dels fitxers inscrits al RPDC de l’APDCAT. La finalitat d’aquesta eina és que les entitats puguin utilitzar les dades extretes, com a base del RAT.
2.2 Aplicació per gestionar el RAT
Aquesta aplicació permet crear, mantenir i gestionar el RAT, i l’hem elaborat sobretot per ajudar les entitats petites, tot i que també pot servir a les entitats grans. Permet donar d’alta les diferents activitats de tractament, així com modificar-les i donar-les de baixa quan sigui necessari. També permet generar un document de les activitats de tractament que s’han inclòs al Registre, per poder-lo publicar, si escau. Val a dir que aquesta publicació del RAT s'ha establert com a deure de les administracions públiques en el projecte de la nova LOPD, actualment en tràmit al Congrés dels Diputats.
En l’aplicació s’ha previst la possibilitat de consignar en el RAT informació addicional a la que l’article 30.1 del RGPD estableix com a obligatòria. Aquesta aplicació es pot descarregar en aquest enllaç, en què consta també tota la informació.
3. Guies i altres documents
Hem elaborat una guia amb unes orientacions pràctiques per fer les avaluacions d’impacte que estableix el RGPD, que es van revisant de manera permanent. Així, en la darrera actualització hem incorporat la revisió de les directrius del grup de treball de l’article 29 (GT29), i la ISO 29134, que estableix una sèrie de directrius per a les avaluacions d’impacte sobre la privacitat.
A l’APDCAT també hem elaborat, en aquest cas conjuntament amb les agències de protecció de dades espanyola i basca, una guia sobre l’encarregat del tractament i una altra sobre el deure d’informar. Aquestes guies també les anem revisant periòdicament, per incorporar les interpretacions que venen de la Unió Europea.
Així mateix, hem recopilat un seguit de documents del Comitè Europeu de Protecció de Dades i del GT29, entre els quals hi ha els relatius al delegat de protecció de dades, al consentiment, o a les notificacions de violacions de seguretat, entre d’altres. Es pot accedir a totes aquestes guies i a la resta de documents, en aquest enllaç.
4. Tràmits electrònics
A l’últim, hem incorporat a la seu electrònica un seguit de tràmits electrònics, a disposició dels responsables i encarregats del tractament, que s’afegeixen als que ja existien anteriorment d’atenció a les entitats i servei de consultoria. Alguns d’aquests tràmits també es poden dur a terme a través de la plataforma EACAT (extranet de les administracions públiques), i progressivament s’hi afegiran la resta.
Aquests tràmits afegits a la seu electrònica amb motiu del RGPD són els següents: - comunicació dels delegats de protecció de dades (ja s’han rebut a l’APDCAT més de 800 comunicacions) - notificació de les violacions de seguretat - sol·licitud de consulta prèvia - sol·licitud d’autorització de transferències internacionals - comunicació de transferències internacionals de dades sobre la base d'interessos legítims imperiosos - sol·licitud d’aprovació de normes corporatives vinculants - sol·licitud d’aprovació de codis de conducta.
A l’APDCAT som conscients de les dificultats inherents a l’adequació al RGPD, i per això aquests darrers dos anys hem treballat molt en les eines i les activitats que acabo d’enumerar, amb la finalitat d’ajudar els responsables i encarregats perquè el RGPD tingués un aterratge suau. Sempre hem tingut molt clar que, amb aquesta ajuda a les entitats que tracten dades personals, contribuíem a la garantia del dret a la privacitat i ajudàvem a prevenir situacions d’incompliment, de manera que evitàvem que es generessin perjudicis a les persones afectades.