El nou Reglament de Protecció de Dades (RGDP) presenta novetats interessants respecte dels principis del tractament de dades personals, que constitueixen el nucli central de les obligacions del responsable del fitxer.
El 25 de maig de 2016 va entrar en vigor el Reglament (UE) 2016/679 del Parlament europeu de 27 d’abril de 2016 que estableix les normes relatives a la protecció de les persones físiques pel que fa als seus drets i llibertats fonamentals pel que fa al tractament de les dades personals i les normes relatives a la lliure circulació d’aquestes dades.

El Reglament s’aplica al tractament de dades personals continguts o de dades destinades a ser incloses en un fitxer ja siguin total o parcialment automatitzats o no.
Aquest reglament no començarà a aplicar-se fins el 25 de maig de 2018, dos anys després de la seva aprovació, i substituirà l’actual normativa. S’ha deixat el període de 2 anys perquè tots els estats, institucions i empreses que tracten dades puguin adaptar-se a la nova normativa de forma progressiva i contínua.

Com és recomanable que les empreses vagin coneixent els principis i procediments del nou reglament, en aquest post exposem algunes de les novetats introduïdes pel mateix i en especial els principis relatius al tractament que constitueixen un conjunt de regles que indiquen com s’han de recollir, tractar i cedir les dades de caràcter personal per garantir la intimitat i altres drets fonamentals dels ciutadans.

Principis relatius al tractament:

En l’article 5 el RGPD es conté la llista de principis que s’hauran de tenir en compte en el tractament de dades personals, Aquests principis constitueixen el nucli central de les obligacions del responsable del fitxer, qui ha de ser especialment diligent a l’hora aplicar-los, ja que el seu incompliment pot donar lloc a importants sancions econòmiques. Estableix dit article, en el seu apartat 1, que les dades personals han de ser:

• Tractats de manera licita, lleial i transparent i recollits amb uns fins determinats, explícits i legítims i no poden ser tractats posteriorment de manera incompatible amb aquestes finalitats.
• A més, les dades recollides han de ser adequades, pertinents i limitats al que és necessari en relació amb els fins que són tractats. Aquests han de ser exactes i actualitzades (les dades inexactes per als seus fins han de ser eliminats sense dilació).
• Les dades personals obtingudes han de ser mantinguts de manera que es permeti la seva identificació durant no més temps del necessari (es poden conservar durant més temps sempre que es tractin exclusivament amb fins d’arxiu d’interès públic; investigació científica o històrica o fins estadístiques)
• Finalment, les dades han de ser tractats de manera que es garanteixi la seva seguretat, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de mesures tècniques o organitzatives apropiades.

Es consagren, doncs, els principis de transparència pel qual desapareix l’obligació de notificar i registrar els fitxers que contenen les dades personals davant l’autoritat de control, a Espanya l’Agència Espanyola de Protecció de Dades (AEPD), així com els principis de limitació de la finalitat, i el de la minimització de dades.

Tanmateix, aquest article estableix, en el seu apartat 2, la responsabilitat proactiva, per la qual el responsable del tractament serà responsable del compliment del que disposa l’apartat 1 i capaç de demostrar.

Licitud del tractament

L’article 6 del Reglament estableix que les empreses que tractin dades personals hauran fer-ho de forma legal, el que, segons el RGPD implica que tot tractament ha d’estar basat en un cap legítim dels sis que enumera el propi Reglament:

•  L’interessat ha donat el seu consentiment.
• És necessari per executar un contracte o per aplicar, a petició, de mesures precontractuals.
• És necessari per al compliment d’una obligació legal aplicable al responsable del tractament.
• És necessari per protegir els interessos vitals d’una persona física.
• És necessari per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics.
• És necessari per a la satisfacció d’interessos legítims perseguits pel responsable del tractament o per un tercer, sempre que sobre aquests interessos no prevalguin els interessos o els drets i llibertats fonamentals de l’interessat que requereixin la protecció de dades personals, en particular quan el interessat sigui un nen.

Condicions per al consentiment

L’article 7 estableix que no n’hi ha prou doncs un consentiment tàcit, sinó que el consentiment ha de ser demostrable:

• Ha de ser demostrable el consentiment del tractament de dades de l’interessat.
• Quan el consentiment estigui en una declaració al costat d’altres assumptes, s’ha de presentar de manera que pugui distingir clarament. En cas contrari, no serà vinculant.
• El consentiment podrà ser retirat en qualsevol moment de la mateixa manera que va ser donat. Abans de donar el consentiment, l’interessat ha de ser informat d’això.
• En avaluar si hi ha hagut llibertat de consentiment, es tindrà en compte si l’execució d’un contracte se supedita al consentiment de tractament de dades no necessaris.

Respecte a les condicions aplicables al consentiment del nen (Article 8):

El mínim d’edat perquè el tractament de dades d’un nen es consideri lícit és 16 anys. Si és menor de 16 anys, el consentiment haurà de ser donat pel titular de la pàtria potestat o tutela sobre el nen, i només en la mesura que s’hagi donat o autoritzat.

El responsable del tractament ha d’esforçar raonablement per verificar que el consentiment va ser donat pel titular de la pàtria potestat o tutela sobre el nen, tenint en compte la tecnologia disponible.

Tractament de categories especials de dades personals

L’article 9, estableix que queden prohibits els tractaments de dades personals que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o la afiliació sindical, i el tractament de dades genètiques, dades biomètriques dirigits a identificar de manera unívoca a una persona física, dades relatives a la salut o dades relatives a la vida sexual o les orientació sexuals d’una persona física.

Aquesta prohibició no és aplicable quan concorri una de les circumstàncies següents:

• L’interessat doni el seu consentiment explícit.
• El tractament sigui necessari per al compliment d’obligacions i l’exercici de drets específics del responsable del tractament o de l’interessat en l’àmbit del Dret laboral i de la seguretat i protecció social.
• El tractament sigui necessari per a protegir interessos vitals de l’interessat o d’una altra persona física, en el cas que l’interessat no estigui capacitat, física o jurídicament, per donar el seu consentiment.
• El tractament s’efectuï, en l’àmbit de les seves activitats legítimes, per una fundació, una associació o qualsevol altre organisme sense ànim de lucre, amb finalitat política, filosòfica, religiosa o sindical, sempre que el tractament es refereixi exclusivament als membres actuals o antics d’aquests organismes o persones que mantinguin contactes regulars amb ells en relació amb els seus fins i sempre que les dades personals no es comuniquin fora d’ells sense el consentiment dels interessats.
• El tractament es refereixi a dades personals que l’interessat hagi fet manifestament públics.
• El tractament sigui necessari per a la formulació, l’exercici o la defensa de reclamacions o quan els tribunals actuïn en exercici de la seva funció judicial.
• El tractament sigui necessari per raons d’un interès públic essencial
• El tractament sigui necessari per a fins de medicina preventiva o laboral, avaluació de la capacitat laboral del treballador, diagnòstic mèdic, prestació d’assistència o tractament de tipus sanitari o social, o gestió dels sistemes i serveis d’assistència sanitària i social.
• El tractament sigui necessari per raons d’interès públic en l’àmbit de la salut pública, com la protecció davant amenaces transfrontereres greus per a la salut, o per garantir elevats nivells de qualitat i de seguretat de l’assistència sanitària i dels medicaments o productes sanitaris.
• Quan el seu tractament sigui realitzat per un professional subjecte a l’obligació de secret professional, o sota la seva responsabilitat.

Respecte al tractament de dades personals relatives a condemnes i infraccions penals (Article 10):

El tractament d’aquest tipus de dades només es pot dur a terme sota la supervisió de les autoritats públiques o quan ho autoritzi el Dret de la Unió o dels estats membres que estableixi garanties adequades per als drets i llibertats dels interessats.

Pel que fa al tractament que no requereix identificació (Article 11):

Si els fins per als quals un responsable tracta dades personals no requereixen la identificació d’un interessat, el responsable no estarà obligat a mantenir, obtenir o tractar informació addicional amb vista a identificar a l’interessat amb l’única finalitat de complir el present Reglament.

Aquestes són només algunes de les novetats del nou Reglament de Protecció de Dades. En altres post anirem comentant què significa la materialització de la nova legislació de protecció de dades.

Campos Catafal porta assessorant i representant a emprenedors, autònoms i empreses des de 1983. Recordeu que el present article és informatiu i no substitueix l’assessorament legal d’un advocat. Si vol el nostre assessorament professional sobre aquest tema, contacti amb nosaltres.