El 25 de maig serà obligació complir el nou Reglament general de protecció de dades (RGPD), una normativa impulsada per la Unió Europea per establir un criteri únic per a tractar les dades personals. El Reglament té com a pilar fonamental la protecció dels usuaris i preveu multes milionàries per a empreses i institucions si no compleixen el que estableix. Concretament, l’RGPD preveu sancions de fins a 20 milions d’euros o fins al 4% de la facturació anual de l’infractor.

D’aquesta manera, es mirarà de posar fi a situacions esteses com rebre missatges electrònics amb propaganda pel simple fet d’haver entrat en una pàgina web per comprar algun producte o rebre missatges via WhatsApp d’un ajuntament sense haver consentit a rebre aquestes comunicacions. Són nombrosos els canvis que preveu l’RGPD, dels quals es destaquen els següents.

Consentiment inequívoc : fins ara el que era habitual era el consentiment tàcit, és a dir, que les empreses «entenien» que els usuaris donaven permís per a fer servir les dades personals si no ho refusaven explícitament. Amb la normativa nova, es capgira aquest fet i les empreses han d’obtenir un consentiment inequívoc i verificable .



: fins ara el que era habitual era el consentiment tàcit, és a dir, que les empreses «entenien» que els usuaris donaven permís per a fer servir les dades personals si no ho refusaven explícitament. Amb la normativa nova, es capgira aquest fet i . Transparència en la informació : les sol·licituds per a obtenir dades personals han de ser comprensibles i transparents del tot amb el motiu i la finalitat per què es demanen aquestes dades.



: les sol·licituds per a obtenir dades personals han de ser per què es demanen aquestes dades. Dret a l’oblit : els usuaris han de tenir en tot moment el control sobre les seves dades; per a això, a més del dret d’accés, de rectificació, de cancel·lació o d’oposició, les persones han de tenir dret a l’oblit, que representa un dret de cancel·lació reforçat amb el qual es vol facilitar que s’esborrin les dades també en altres llocs on es puguin tractar (com el rastre que en queda a internet i serveis d’emmagatzematge al núvol).



: els usuaris han de tenir en tot moment el control sobre les seves dades; per a això, a més del dret d’accés, de rectificació, de cancel·lació o d’oposició, amb el qual es vol facilitar que s’esborrin les dades també en altres llocs on es puguin tractar (com el rastre que en queda a internet i serveis d’emmagatzematge al núvol). Delegat de protecció de dades: en molts casos, les empreses que tracten dades personals han de nomenar un delegat de protecció de dades (DPD), el qual ha de conèixer la normativa i ha de vetllar perquè es compleixi, i també ha de dominar la seguretat de les dades que gestioni.



Un canvi de paradigma

Els experts dels Estudis de Dret i Ciència Política de la UOC coincideixen a dir que l’RGPD estableix un canvi de paradigma en el control de les dades personals. Miquel Peguera, expert en dret a internet, assegura que fins ara «la normativa aplicable no ha estat capaç de protegir adequadament els drets de les persones interessades i s’ha considerat necessari oferir més protecció». Mònica Vilasau, professora de Dret civil, explica que «el canvi més important és la introducció del principi de responsabilitat proactiva, ja que imposa més diligència en els responsables del tractament». Aquesta experta en protecció de dades assegura que empreses i administracions no solament hauran de complir la normativa, sinó també «poder demostrar que tenen una actitud i adopten mesures per a realment complir la normativa».

En aquest sentit, el professor col·laborador Carles San José explica que un dels aspectes més rellevants de la normativa nova és «la idea de l’enfocament del risc, ja que les mesures adoptades per a garantir el compliment de l’RGPD han de tenir en compte els tractaments i els riscos per als drets i les llibertats de les persones. A partir d’aquests riscos, cal adequar i adaptar les mesures de seguretat que s’han d’implantar, amb l’objectiu de reduir al mínim aquests riscos».



Un repte per a les administracions

El sector públic és un dels actors interpel·lats pel canvi de normativa que hauran de fer més esforços per adaptar-se a l’RGPD. Carles San José explica que totes les administracions públiques han d’aplicar el Reglament «amb la mateixa intensitat», independentment de la seva dimensió, i això pot provocar «dificultats en les entitats públiques amb menys recursos (com els ajuntaments petits), com ja ha passat amb la legislació de transparència, que tampoc no va tenir en compte aquestes possibles diferències i va imposar les mateixes obligacions per a totes les administracions». Al seu torn, Mònica Vilasau assenyala que «les administracions tenen una tasca ingent a davant, que ha d’anar lligada a la plena implantació de la normativa relativa a l’administració electrònica».



L’estalvi pot no compensar el cost

Miquel Peguera explica que «el cost de complir l’RGPD és elevat, atès que s’augmenten les obligacions per a tractar dades personals, en particular exigint mesures proactives i d’avaluació d’impacte». Tot i això, la normativa implica per a les empreses i administracions la supressió d’una obligació formal que hi havia fins ara, que és notificar a les autoritats l’existència de fitxers de dades personals.

Però, malgrat que hi ha algunes obligacions que s’han suprimit, «és cert que la implantació d’algunes exigències de l’RGPD pot comportar un increment dels costos econòmics en les empreses, com la necessitat de disposar del delegat de protecció de dades, tot i que tampoc no s’exigeix a totes les empreses», explica San José. També «hi ha altres deures, com dur a terme una avaluació d’impacte, tenir un registre de les activitats, implantar els principis de privadesa des del disseny, etc., i tot això també té un cost», assegura Vilasau.