El proper 25 de maig de 2018 serà aplicable el nou Reglament Europeu de Protecció de Dades (RGPD) 2016/679. Fins aquell moment segueix vigent la normativa actual.

El principi de responsabilitat proactiva i l’enfoc a riscos en són les dues principals novetats. Així doncs cada responsable haurà d’analitzar les dades (1) que tracta, identificar amb quines finalitats i quines operacions de tractament hi fa. Cal aplicar-hi les mesures tècniques i organitzatives adients per a garantir i poder demostrar que el tractament és correcte d’acord al RGPD. Aquestes mesures tindran en compte la naturalesa, l’àmbit, el context i les finalitats del tractament així com el risc pels drets i llibertats de les persones.

En l’anàlisi de les dades cal tenir en compte entre altres:

  • Documentar i identificar la base legal de tots els tractaments de dades

  • Assegurar que el consentiment és inequívoc (2)

El registre d’activitats (3) que inclou entre altres la descripció de les mesures tècniques i organitzatives aplicades així com els terminis de supressió de les dades, és necessari tant pel responsable com per l’encarregat de tractament.

L’anàlisi de risc és necessari per a tots els responsables de dades, sent de menor complexitat en el cas de que no es tractin dades especials, o gran quantitat de dades, o l’elaboració de perfils o la utilització de tecnologies invasives a la privacitat com la geolocalització.

Quan hi hagi probabilitat d’alt risc (4) en el tractament de les dades caldrà realitzar una avaluació d’impacte, que inclogui entre altres les mesures previstes per afrontar els riscos i que permetin demostrar el compliment del RGPD.

Les mesures de seguretat a adoptar seran conseqüència d’aquests anàlisis de risc i avaluacions d’impacte, les quals s’han d’aplicar des d’abans de l’inici del tractament de les dades i mentre s’estiguin utilitzant . (5)

L’elecció d’un encarregat de tractament que compleixi amb el RGPD també és una de les mesures a adoptar, conseqüentment caldrà adaptar tots els contractes d’Encarregat de tractament actuals.

El RGPD estableix la figura del Delegat de Protecció de dades (DPP o DPO) (6) que serà l’encarregat d’informar i assessorar de les obligacions, supervisar-ne el compliment, i oferir assessorament al responsable de les dades. També té la funció de cooperar amb l’autoritat de control.

El termini de comunicació de les violacions de seguretat s’estableix en 72h. Seran comunicades a l’autoritat de control sempre que hi hagi un risc pels drets i llibertats dels afectats. Als mateixos interessats els seran comunicades només en cas que aquest risc sigui alt.

S’amplien els drets per a les persones amb algunes peculiaritats:

  • Dret a l’oblit o dret de supressió. Com a responsable caldrà disposar de mesures tècniques per informar a tots els altres responsables a qui hagi traspassat aquestes dades; per exemple quan s’hagin fet públiques les dades. (7)

  • Dret a la limitació del tractament. Es podrà exercir per part de l’interessat tot i que ja sigui el moment de l’esborrat de les mateixes.

  • Dret a la portabilitat. És una ampliació del dret d’accés en què es dóna a l’interessat (8) una còpia de les dades en format estructurat i de lectura mecànica.

El dret d’oposició també aplicarà a la utilització de les dades per l’elaboració de perfils i al màrqueting directe.

El model de transferències internacionals dissenyat pel RGPD segueix els mateixos criteris.

L’edat mínima per a realitzar el consentiment és de 16 anys segons el RGPD, tot i que cada estat membre podrà establir una edat inferior que no sigui menor de 13 anys.

Resum dels principals canvis

  • Realitzar un registre de totes les activitats

  • Eliminar les dades quan ja no siguin necessàries o no en tinguem consentiment

  • Demanar el consentiment i demostrar que s’ha obtingut

  • Actualitzar la clàusula de recollida de dades (deure d’informar)

  • Realitzar un anàlisi de riscos de tots els tractaments de dades

  • Realitzar una avaluació d’impacte quan sigui necessària

  • Establir mesures de seguretat per garantir la confidencialitat, integritat i disponibilitat

  • Establir un procés de verificació i avaluació de les mesures tècniques i organitzatives

  • Actualitzar els contractes d’encarregat de tractament

  • Elaborar procediments per donar resposta tots els drets dels interessats (accés, rectificació, oblit, limitació de tractament, portabilitat, oposició); així com les notificacions de violacions de seguretat

  • Decidir la voluntat o necessitat de disposar d’un Delegat de Protecció de Dades

A data d’avui aquest és el resum de les novetats en l’aplicació del RGPD, mentre estem a l’ espera de l’aprovació de la llei orgànica espanyola.

(1) Les dades especialment protegides (nivell alt) passen a anomenar-se “categories especials de dades”. S’hi afegeixen a aquest grup les dades genètiques i dades biomètriques relatives a característiques físiques, fisiològiques o conductuals d’una persona física.


(2) El consentiment a part d’inequívoc també ha de ser explícit en el tractament de dades especials, en la utilització de decisions automatitzades i en les transferències internacionals.


(3) Segons l’article 30 del RGPD no és necessari per empreses ni organitzacions amb menys de 250 treballadors, excepte que hi hagi un risc per als drets i llibertats, o es tractin dades de categories especials o condemnes i infraccions penals.


(4) Es considera alt risc, entre altres, quan:

  • s’elaboren perfils i es preguin decisions que els puguin afectar,
  • tractament a gran escala de dades especials
  • l’observació sistemàtica a gran escala d’una zona d’accés públic


(5) Cal aplicar la protecció des del Disseny, és a dir quan es dissenya un tractament, un producte o servei que impliqui dades personals.


(6) El DPO serà obligatori per autoritats i organismes públics, o quan l’activitat principal sigui l’observació habitual i sistemàtica de dades a gran escala o pel tractament a gran escala de dades especials.


(7) El dret a l’oblit no s’aplicarà en casos de llibertat d’expressió, obligació legal, interès de salut pública o arxiu d’interès públic.


(8) S’enviarà directament a un altre responsable quan sigui tècnicament possible. No es podran remetre si les dades han estat proporcionades per tercers responsables.