Per Laura Davara Fernández de Marcos
Doctora en Dret i sòcia de Davara & Davara Asesores Jurídicos (www.davara.com)
Article traduït per Andreu Monfà
En parlar del Reglament europeu de protecció de dades[1] —d’ara endavant, també, el Reglament—, cal partir de dues idees clau. D’un costat, el gran canvi que suposa respecte a la Directiva 95/46/CE[2], a conseqüència del qual la Unió Europea ha debatut el text durant quatre anys, i, d’un altre, l’aplicabilitat directa del mateix sobre tots els estats membres de la Unió Europea, sense la necessitat que hi hagi una norma nacional que la traslladi.
No hi ha cap dubte que el Reglament ha vingut a donar resposta a l’enorme impacte que han suposat, i continuen suposant, les tecnologies de la informació i les comunicacions en la vida política, social, econòmica i de lleure a nivell mundial i a realitats com les xarxes socials, el cloud computing o el big data, que el 1995, quan es va dictar la Directiva, eren inimaginables.
És per això que el Reglament deixa clar que serà d’aplicació als tractaments de dades —totalment o parcialment automatitzats— que es produeixin dins o fora de la Unió Europea sempre que els interessats siguin residents en la Unió. Aquesta és una de les principals novetats per tal com, a dia d’avui, empreses que tracten de manera massiva dades de caràcter personal de milions d’usuaris —europeus i no europeus— (com poden ser Facebook, Twitter, el mateix Google, etc.) s’escuden, per no complir la normativa europea, en el fet que la seva residència és als Estats Units i, per tant, el dret europeu no se’ls pot aplicar. A partir d’ara, en concret del 25 de maig de 2018, que serà quan resulti aplicable (dos anys després d’entrar en vigor, el 25 de maig de 2016), això no serà així, per tal com el Reglament posa al centre els interessats i, per tant, l’important serà on resideixen els interessats del tractament de dades.
Més enllà de l’àmbit territorial, el Reglament aborda una sèrie de qüestions que és necessari remarcar, com ara les definicions previstes a l’article 4, d’entre les quals destaquen “limitació en el tractament”, “dades biomètriques” o “elaboració de perfils”, entre d’altres, que resulten innovadores respecte de les que ja recollia la Directiva del 95.
En un segon moment s’abordaran els anomenats “principis”, és a dir, les obligacions que han de complir els responsables i encarregats del tractament. En aquest sentit, el capítol II del Reglament aborda, entre d’altres, la licitud del tractament, els requisits per al consentiment —recalcant especialment el tema dels menors d’edat— i el tractament de les categories especials de dades.
Una vegada coneguts i fixats els principis, el capítol III està destinat als drets de l’interessat, els més nous dels quals són el tan controvertit “dret a l’oblit” i el “dret a la portabilitat de les dades”, sense obviar els ja previstos a la normativa vigent d’accés, de rectificació, de cancel·lació i d’oposició.
En un altre ordre de coses, si bé el Reglament suprimeix l’obligació de notificar la inscripció de fitxers a l’organisme de control competent, introdueix com a noves obligacions el deure de notificar la violació de dades tant a l’interessat com a l’autoritat de control, així com el deure de realitzar una avaluació d’impacte quan es compleixen una sèrie de condicions.
Així mateix, tenen un paper fonamental al Reglament l’anomenada “privacitat des del disseny” i la “privacitat per defecte”, unes exigències que faran que, des de la mateixa creació d’un programa o d’una aplicació informàtica, la privacitat jugui un paper fonamental.
Com no podia ser de cap altra manera, el Reglament preveu també un règim de responsabilitats i sancions en cas d’incomplir el que s’hi disposa. Amb la intenció que a cap entitat no “li surti rendible” violar el dret fonamental a la protecció de dades, preveu sancions elevades —que poden arribar a ser de fins a 20 milions d’euros o, tractant-se d’una empresa, d’una quantia equivalent al 4 % del volum de negoci total anual global de l’exercici financer anterior.
A més a més, convé posar atenció sobre la figura del “delegat en protecció de dades” —conegut també com a DPO, per les seves sigles en anglès— i que serà obligatori per a totes les entitats que compleixin els requisits plantejats en el Reglament. Tant les seves característiques com les seves tasques i funcions estan descrites en el Reglament.
Per acabar, cal remarcar la necessitat que totes les entitats canviïn el seu modus operandi quant al tractament de dades de caràcter personal i la importància de formar-se en totes les novetats que suposa aquest nou reglament, que, sens dubte, posa l’interessat al centre de la seva protecció, advocant, en tot moment, per la informació i la transparència com a base de tot tractament de dades de caràcter personal.
[1] Reglament (UE) 2016/679 del Parlament Europeu i del Consell, del 27 d’abril de 2016, relatiu a la protecció de les persones físiques respecte al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades). Publicat al DOUE, sèrie L, núm. 119, del 4 de maig de 2016.
[2] Directiva 95/46/CE del Parlament Europeu i del Consell, del 24 d’octubre de 1995, relativa a la protecció de les persones físiques respecte al tractament de dades personals i a la lliure circulació d’aquestes dades. Publicat al DOUE, sèrie L, núm. 281, del 23 de novembre de 1995.