Actualitat - Pedrosa Busquets & AssociatsPedrosa Busquets & Associats

El Reglament de protecció de dades en 12 preguntes

El Reglament General de Protecció de Dades ha entrat en vigor el 25 de maig de 2016. L’AEPD ha elaborat aquest document simplificat, que segueix el format pregunta-resposta, per facilitar la comprensió del nou marc normatiu als ciutadans i ajudar a les organitzacions a adaptar-se als canvis que incorpora i complir així amb les seves obligacions.

1. L’entrada en vigor del Reglament, suposa que ja no s’aplica la Llei Orgànica de Protecció de Dades espanyola?

No. El Reglament ha entrat en vigor el 25 maig 2016 però no començarà a aplicar-se fins a dos anys després, el 25 de maig de 2018. Fins llavors, tant la Directiva 95/46 com les normes nacionals que la transposen, entre elles l’espanyola, continuen sent plenament vàlides i aplicables.

2. Quin és, llavors, el significat que el Reglament hagi entrat en vigor?

El període de dos anys fins a l’aplicació del Reglament té com a objectiu permetre que els Estats de la Unió Europea, les Institucions Europees i també les organitzacions que tracten dades vagin preparant-se i adaptant-se per al moment en què el Reglament sigui aplicable.

En aquests dos anys, per exemple, els Estats membres poden adoptar o iniciar l’elaboració de determinades normes que siguin necessàries per permetre o facilitar l’aplicació del Reglament. Aquestes normes no poden ser contràries a les disposicions de la vigent Directiva ni tampoc anar més enllà dels poders d’actuació normativa que el mateix Reglament preveu de manera explícita o implícita.

3. A quines empreses o organitzacions s’aplica?

El Reglament s’aplicarà com fins ara a responsables o encarregats de tractament de dades que estableix la Unió Europea, i s’amplia a responsables i encarregats no establerts a la UE sempre que realitzin tractaments derivats d’una oferta de béns o serveis destinats a ciutadans de la Unió o com a conseqüència d’un monitoratge i seguiment del seu comportament.

Perquè aquesta ampliació de l’àmbit d’aplicació es pugui fer efectiva, aquestes organitzacions han de nomenar un representant a la Unió Europea, que actuarà com a punt de contacte de les autoritats de supervisió i dels ciutadans i que, en cas necessari, pot ser destinatari de les accions de supervisió que desenvolupin aquestes autoritats. Les dades de contacte d’aquest representant a la Unió s’han de proporcionar als interessats entre la informació relativa als tractaments de les seves dades personals.

4. Què implica per als ciutadans que el Reglament ampliï l’àmbit d’aplicació territorial?

Aquesta novetat suposa una garantia addicional als ciutadans europeus. En l’actualitat, per tractar dades no és necessari mantenir una presència física sobre un territori, de manera que el Reglament pretén adaptar els criteris que determinen quines empreses han de complir-se a la realitat del món d’internet.

Això permet que el Reglament sigui aplicable a empreses que, fins ara, podien estar tractant dades de persones a la Unió i, en canvi, es regien per normatives d’altres regions o països que no sempre ofereixen el mateix nivell de protecció que la normativa europea .

5. Quines noves eines de control de les seves dades posseeixen els ciutadans?

El Reglament introdueix nous elements, com el dret a l’oblit i el dret a la portabilitat, que milloren la capacitat de decisió i control dels ciutadans sobre les dades personals que confien a tercers.

El dret a l’oblit es presenta com la conseqüència del dret que tenen els ciutadans a sol·licitar, i obtenir dels responsables, que les dades personals siguin suprimits quan, entre altres casos, aquests ja no siguin necessaris per a la finalitat amb la qual van ser recollides, quan s’hagi retirat el consentiment o quan aquests s’hagin recollit de forma il·lícita. Així mateix, segons la sentència del Tribunal de Justícia de la Unió Europea de 13 de maig de 2014, que va reconèixer per primera vegada el dret a l’oblit recollit ara en el Reglament europeu, suposa que l’interessat pot sol·licitar que es bloquegin en les llistes de resultats dels cercadors dels vincles que condueixin a informacions que l’afectin que resultin obsoletes, incompletes, falses o irrellevants i no siguin d’interès públic, entre d’altres motius.

Per la seva banda, el dret a la portabilitat implica que l’interessat que hagi proporcionat les seves dades a un responsable que els estigui tractant de manera automatitzat podrà sol·licitar recuperar aquestes dades en un format que li permeti el seu trasllat a un altre responsable. Quan això sigui tècnicament possible, el responsable haurà transferir les dades directament al nou responsable designat per l’interessat.

6. A quina edat poden els menors prestar el seu consentiment per al tractament de les seves dades personals?

El Reglament estableix que l’edat en què els menors poden prestar per si mateixos el seu consentiment per al tractament de les seves dades personals en l’àmbit dels serveis de la societat de la informació (per exemple, xarxes socials) és de 16 anys. No obstant això, permet rebaixar aquesta edat i que cada Estat membre estableixi la seva pròpia, establint un límit inferior de 13 anys. En el cas d’Espanya, aquest límit continua en 14 anys. Per sota d’aquesta edat, cal el consentiment de pares o tutors.

En el cas de les empreses que recopilin dades personals, és important recordar que el consentiment ha de ser verificable i que l’avís de privacitat ha d’estar escrit en un llenguatge que els nens puguin entendre.

7. Què implica la responsabilitat activa recollida en el Reglament?

Un dels aspectes essencials del Reglament és que es basa en la prevenció per part de les organitzacions que tracten dades. És el que es coneix com a responsabilitat activa. Les empreses han d’adoptar mesures que assegurin raonablement que estan en condicions de complir amb els principis, drets i garanties que el Reglament estableix. El Reglament entén que actuar només quan ja s’ha produït una infracció és insuficient com a estratègia, atès que aquesta infracció pot causar danys als interessats que poden ser molt difícils de compensar o reparar. Per a això, el Reglament preveu una bateria completa de mesures:

– Protecció de dades des del disseny

– Protecció de dades per defecte

– Mesures de seguretat

– Manteniment d’un registre de tractaments

– Realització d’avaluacions d’impacte sobre la protecció de dades

– Nomenament d’un delegat de protecció de dades

– Notificació de violacions de la seguretat de les dades

– Promoció de codis de conducta i esquemes de certificació.

8. Llavors, suposa una major càrrega d’obligacions per a les empreses?

El Reglament suposa un major compromís de les organitzacions, públiques o privades, amb la protecció de dades. Però això no implica necessàriament ni en tots els casos una major càrrega. En molts casos serà només una forma de gestionar la protecció de dades diferent de la que es ve emprant ara.

En primer lloc, algunes de les mesures que introdueix el Reglament són una continuació o reemplacen a altres ja existents, com és el cas de les mesures de seguretat o de l’obligació de documentació i, fins a cert punt, l’avaluació d’impacte i la consulta a autoritats de supervisió.

Altres constitueixen la formalització en una norma legal de pràctiques ja molt esteses a les empreses o que, en tot cas, formarien part d’una correcta posada en marxa d’un tractament de dades, com poden ser la privadesa des del disseny i per defecte, la avaluació d’impacte sobre protecció de dades en certs casos o l’existència d’un delegat de protecció de dades.

En tots els casos, el Reglament preveu que l’obligació d’aquestes mesures, o la manera en què s’apliquin, dependrà de factors com ara el tipus de tractament, els costos d’implantació de les mesures o el risc que el tractament presenta per als drets i llibertats dels titulars de les dades.

Per això, cal que totes les organitzacions que tracten dades realitzin una anàlisi de risc de les seves tractaments per poder determinar quines mesures s’han d’aplicar i com fer-ho. Aquestes anàlisis poden ser operacions molt simples en entitats que no duen a terme més que uns pocs tractaments senzills que no impliquin, per exemple, dades sensibles, o operacions més complexes en entitats que desenvolupin molts tractaments, que afecten gran quantitat d’interessats o que per les seves característiques requereixen d’una valoració acurada dels seus riscos.

Les autoritats de protecció de dades europees de forma col·lectiva, i l’Agència Espanyola individualment, estem ja treballant en el desenvolupament d’eines que facilitin la identificació i valoració de riscos i en recomanacions sobre l’aplicació de mesures, especialment en relació amb pimes que realitzen els tractaments de dades més habituals en la gestió empresarial.

9. Canvia la forma en què cal obtenir el consentiment?

Una de les bases fonamentals per tractar dades personals és el consentiment. El Reglament demana que el consentiment, amb caràcter general, sigui lliure, informat, específic i inequívoc. Per poder considerar que el consentiment és? Inequívoc ?, el Reglament requereix que hi hagi una declaració dels interessats o una acció positiva que indiqui l’acord de l’interessat. El consentiment no pot deduir-se del silenci o de la inacció dels ciutadans.

Les empreses haurien de revisar la forma en la qual obtenen i registren el consentiment. Pràctiques que s’enquadren en l’anomenat consentiment tàcit i que són acceptades sota l’actual normativa deixaran de ser-ho quan el Reglament sigui aplicable.

A més, el Reglament preveu que el consentiment hagi de ser? Explícit? en alguns casos, com pot ser per autoritzar el tractament de dades sensibles. Es tracta d’un requisit més estricte, ja que el consentiment no es pot entendre com concedit implícitament mitjançant algun tipus d’acció positiva. Així, cal que la declaració o acció es refereixin explícitament al consentiment i al tractament en qüestió.

Cal tenir en compte que el consentiment ha de ser verificable i que els que recopilin dades personals han de ser capaços de demostrar que l’afectat els va atorgar el seu consentiment. Per això, és important revisar els sistemes de registre del consentiment perquè sigui possible verificar-ho davant d’una auditoria.

10. Les empreses veure els teus avisos de privacitat?

Amb caràcter general, si. El Reglament preveu que s’incloguin en la informació que es proporciona als interessats un seguit de qüestions que amb la Directiva i moltes lleis nacionals de transposició no eren necessàriament obligatòries. Per exemple, caldrà explicar la base legal per al tractament de les dades, els períodes de retenció dels mateixos i que els interessats pot dirigir les seves reclamacions a les autoritats de protecció de dades. Si creuen que hi ha un problema amb la forma en què estan manejant les seves dades. És important recordar que el Reglament exigeix de forma expressa que la informació que es proporcioni sigui fàcil d’entendre i presentar-se en un llenguatge clar i concís.

11. En què consisteix el sistema de ‘finestreta única’?

Aquest sistema està pensat perquè els responsables establerts en diversos Estats membres o que, estant en un sol Estat membre, facin tractaments que afectin significativament a ciutadans en diversos Estats de la UE tinguin una única autoritat de protecció de dades com a interlocutora. També implica que cada autoritat de protecció de dades europea, en lloc d’analitzar una denúncia o autoritzar un tractament a nivell estrictament nacional, a partir de l’aplicació del Reglament de valorar si el supòsit té caràcter transfronterer, en aquest cas caldrà obrir un procediment de cooperació entre totes les autoritats afectades buscant una solució acceptable per a totes. Si hi ha discrepàncies insalvables, el cas pot elevar-se al Comitè Europeu de Protecció de Dades, un organisme de la Unió integrat pels directors de totes les autoritats de protecció de dades de la Unió. Aquest Comitè ha de resoldre la controvèrsia mitjançant decisions vinculants per a les autoritats implicades.

Aquest nou sistema no suposa que els ciutadans hagin de relacionar-se amb diverses autoritats o amb autoritats diferents de la de l’Estat on resideixin. Sempre poden plantejar les seves reclamacions o denúncies davant la seva pròpia autoritat nacional (en el cas espanyol, l’Agència Espanyola de Protecció de Dades). La gestió serà realitzada per aquesta Autoritat, que serà també responsable d’informar a l’interessat del resultat final de la seva reclamació o denúncia.

La finestreta única, en tot cas, no afectarà a empreses que només estiguin en un Estat membre i que realitzin tractaments que afectin només a interessats en aquest Estat.

12. Tenen les empreses de començar a aplicar ja les mesures previstes en el Reglament?

No. El Reglament està en vigor, però no serà aplicable fins 2018.

No obstant això, pot ser útil per a les organitzacions que tracten dades començar ja a valorar la implantació d’algunes de les mesures previstes, sempre que aquestes mesures no siguin contradictòries amb les disposicions de la LOPD, que segueix sent la norma per la qual han de regir-se els tractaments de dades a Espanya.

Per exemple, les organitzacions han de tenir en compte que a partir de maig de 2018 hauran de realitzar anàlisis de risc dels seus tractaments i que pot ser útil per a elles començar des d’ara a identificar el tipus de tractaments que realitzen, el grau de complexitat de l’anàlisi que de dur a terme, etc. En aquesta tasca podrien utilitzar les eines i recursos que de mica en mica vagin desenvolupant les autoritats de protecció de dades.

Igualment, res impedeix que les organitzacions comencin a planificar o a establir el registre de tractaments de dades o a implantar les avaluacions d’impacte o qualsevol altra de les mesures previstes.

De la mateixa manera, les organitzacions podrien començar a dissenyar i implantar els procediments per notificar adequadament a les autoritats de protecció de dades o als interessats les fallides de seguretat que es puguin produir.

En general, les organitzacions que tracten dades personals haurien de començar a preparar l’aplicació d’aquestes mesures, així com d’altres modificacions pràctiques derivades del Reglament. Per exemple, el Reglament exigeix que els responsables de tractament faciliten als interessats l’exercici dels seus drets. Tot i que la interpretació de? Facilitar? pugui variar depenent dels casos, inclou en tots ells algun tipus d’actuació positiva per part dels responsables per fer més accessibles i senzilles les vies per a l’exercici de drets.

L’avantatge d’una ràpida aplicació és que permetrà detectar dificultats, insuficiències o errors en una etapa en què aquestes mesures no són obligatòries i, en conseqüència, la seva correcció o eficàcia no estarien sotmeses a supervisió. Això permetria corregir errors per al moment en què el Reglament sigui d’aplicació.

Agencia Española de Protección de Datos

http://www.agpd.es

Pedrosa Busquets & Associats

www.pedrosabusquets.com

La LOPD i el vídeo, una estreta relació

Avui li toca el torn a la relació entre la LOPD i el vídeo

LOPD i el vídeo, un debat necessari.

Creus que la LOPD i el vídeo no tenen res a veure? Segueix llegint per favor.

La indissociable relació entre LOPD i vídeo

I encara que sembli mentida, encara hi ha empreses que no ho saben.

Jo porto tota la vida enganxat a la comunicació en vídeo i a la docència. He treballat en productores, televisions, universitats i acadèmies, on he vist de tot (però de tot-tot) pel que fa a la gestió dels drets de les persones que eren gravades o fotografiades.

Però anem a pams.

Quan algú treu una càmera davant teu, el següent que ha de posar sobre la taula és un contracte i un bolígraf. Hem de tenir clar que en el moment que aquesta persona et grava o fotografia, comença a comerciar amb alguna cosa que en realitat no li pertany: la teva imatge. Ha d’estar segur que nosaltres hem donat el nostre consentiment per a això, i això s’ha de fer en un contracte reglat.

Però vist el vist, sembla que no és important.

El món de la imatge i la seva apatia a la LOPD, històries per no dormir

Deixeu-me que us expliqui les coses que he vist (com diria el replicant, “he vist coses que vosaltres no creuríeu”).

Empreses que directament desconeixen el que és la LOPD. I no parlo d’empreses petites, sinó de grans empreses. Aquelles que et contracten per fer una campanya de vídeo màrqueting, i en cap moment et pregunten o es molesten pel fet que treballaràs amb la seva imatge.

Toca treure el tema forçadament, i sovint la resposta és un menyspreu cap a la llei orgànica, al ritme de “això de la LOPD és un treu quarts”.

Empreses molt llestes que s’apropien de la teva imatge. Això encara passa en una acadèmia en la qual he treballat diverses vegades. Com es troben sempre en contínua promoció, agraden de veure als seus alumnes i les alumnes en la seva web, els seus vídeos i els seus cartells. Això suposaria moltes autoritzacions, pel que directament inclouen una casella en les seves fulles d’admissió en els cursos que automàticament cedeix els drets d’imatge de l’alumne per promoció. Quan vaig preguntar què passava si un alumne o alumna no marcava la casella per cedir aquests drets, em van contestar: “llavors és molt senzill, no entra en el curs”.

Blocs que recullen les teves dades i fan el que volen amb ells

I això ho fan pràcticament tots, em temo. Parlo dels famosos blocs que a canvi de la teva mail et regalen un “llibre” (sol ser un pdf amb 10 pàgines), però no et diuen quins són els teus drets pel que fa a què dimonis es va a fer amb aquesta informació. A això caldria sumar tot el que recapten les galetes, però això és una altra història.

Tots ells es limiten a incloure un text, sovint copiat d’una altra web, en el qual donen una informació molt bonica però de poca utilitat, ja que no estan donats d’alta a l’AEPD, el que significa que aquesta informació és paper mullat.

Productores de vídeo que utilitzen la teva imatge però ni ells saben què vol dir això. Pel que jo he pogut veure, quan algú encarrega un vídeo promocional a una empresa, poc o gens es preocupa cap de les parts per allò que més els hauria de preocupar: el realitzar una bona gestió de la imatge del seu client.

Arriba el dia de la gravació, s’encenen els focus, es col·loquen els micros, i comença la màgia, però … i després què ?, a on va aquest vídeo ?, estem segurs ?, a qui correspon aquesta responsabilitat?

En fi, moltes coses, massa incerteses i un risc exageradament alt que caigui una sanció. En el meu cas sóc una mica tots els casos anteriors, ja que gravo als meus clients, imparteixo formació i més recullo informació al meu blog a canvi d’una subscripció.

És per això pel que em vaig posar en mans d’una professional com Marina. No és piloteig, però en aquest cas he de recórrer a la tan gastada frase que diu “no hi ha millor coixí que una consciència tranquil·la”, i és que no es pot tenir més raó.

El risc és massa alt, ja que amb que una persona, ja sigui un client o un subscriptor, o un vianant que passava per aquí quan vas treure el teu telèfon i vas començar a gravar, decideixi exercir els seus drets, pot destapar el mal que l’empresa tingui gestionat aquest assumpte.

Conclusió: Ets un professional de la Imatge? No t’oblidis de la LOPD

No us la jugueu, vídeo marketers, treure un paper i un boli i que tot estigui recolzat per un protocol complet en la gestió d’aquestes imatges, clàusules correctes per recollir el consentiment dels titulars d’aquestes imatges, contractes específics de sessió i d’encàrrec , mesures de seguretat per a gestionar aquesta informació, un fitxer donat d’alta com està manat i tots els elements necessaris per garantir els drets a totes les persones relacionades amb la nostra marca.

Dormireu més tranquils. Jo ho faig.

Tens més dubtes sobre la LOPD i el vídeo màrqueting? Han utilitzat la teva imatge sense el teu consentiment?

Escriu: Marina Brocca

www.marinabrocca.com

Publica:

Pedrosa Busquets & Associats