Subscriu-te al Newsletter

Espai associats

Accés extranet

* Nom usuari

* Contrasenya

Mantenir sessió 30 dies (amb cookies activades)

Recuperar contrasenya

17/05/2018

Preparats per al nou Reglament General de Protecció de Dades #3

El Reglament General de Protecció de Dades (RGPD) es una normativa europea que va ser aprovada el maig de 2016 i que resulta d'aplicació directa als estats a partir del 25 de maig de 2018. Des de La Unió, a través del Codi Tipus, hem acompanyat des de fa més de 17 anys a les entitats del sector en l'aplicació de la normativa de protecció de dades, col·laborant de manera activa a assolir un grau de compliment rellevant. El RGPD implica un repte, passant d'un model reactiu a un model de responsabilitat proactiva, i cal adaptar-s'hi.

Aquesta és la tercera d'una sèrie de newsletters pensades per informar sobre els temes clau que les entitats han de tenir en compte per a una correcta adaptació al RGPD. A cada newsletter es destaquen 3 aspectes rellevants del nou entorn. En aquest cas es tracta l'anàlisi de riscos, les mesures de seguretat i la revisió de drets, els continguts i la forma d'exercir-los.

Juntament amb altres accions de difusió, formació i serveis posats en marxa, des del Codi Tipus de La Unió s'acompanya a les entitats en aquesta nova etapa en matèria de protecció de dades personals. Amb una llarga experiència en la matèria en el sector sanitari i social, es faciliten eines que permetran que l'adaptació al nou entorn normatiu sigui més fàcil i eficaç.

Per ampliar la informació, podeu consultar:

1a newsletter, amb informació de punt de partida, indicacions per adaptar-se al nou RGPD abans del 25 de maig i l'explicació de quin tipus de consentiment requereixen les dades de salut.
2a newsletter, centrada en el Delegat de Protecció de Dades, l'elaboració dels Registres d'Activitat de Tractament (RAT) i la protecció de dades en el cas de menors d'edat.
Decàleg de l'adaptació al RGPD

Avui destaquem:

Com dur a terme l’anàlisi de Riscos

Tractar dades té riscos. Per riscos s'entén el tractament inadequat de dades que pot provocar danys i perjudicis físics, materials o immaterials, pot privar els interessats de drets i llibertats, i els pot impedir exercir el control sobre les pròpies dades. Això es pot agreujar quan afecta categories especials de dades, a tractaments que permetin l'avaluació de persones, que afectin persones vulnerables o que impliquin una gran quantitat de dades i afectin a moltes persones.

L'anàlisi de riscos és una tasca central i continuada en la protecció de dades a partir de l'aplicació del RGPD. Cal per tant, amb perfecte coneixement dels tractaments que es realitzaran, de les categories de dades que es tracten i de la tecnologia que s'utilitza, analitzar i avaluar els riscos per als drets i les llibertats de les persones afectades i, especialment dins d'aquests, els riscos per la seguretat de les dades.

Tot i que hi ha guies per dur a terme aquesta tasca (enllaç a la guia per a l'anàlisi de riscos de la Agencia Española de Protección de Datos) el punt de partida s'ha de basar en els materials de que es disposa, com són el RAT, el registre d'incidències, els informes d'auditoria o les consultes realitzades als Codis Tipus. La tasca s'ha de documentar i ésser objecte de revisió continuada.

Mesures de seguretat

Un cop analitzats els riscos, cal tractar-los per modificar-los: a aquest objectiu s'orienten les mesures de seguretat. Fins ara les mesures de seguretat venien imposades per la llei, s'havien d'aplicar amb independència de la seva eficàcia en un context concret. Ara es poden determinar en cada organització o generant estàndards sectorials, sempre subjectes a un procés de millora contínua: definir-les / avaluar-les / auditar-les / redefinir-les.

Les mesures de seguretat s'han de formular partint de la privacitat des del disseny (no es poden pensar les mesures de seguretat un cop un tractament ja està implantat, ans el contrari, la reflexió sobre protecció de dades s'ha d'incorporar des del primer moment en que es dissenya una activitat que suposi tractar dades) i la privacitat per defecte (per aconseguir una finalitat determinada, com menys dades es tractin i durant menys temps, millor).

En el punt en que estem, s'ha de començar per mantenir les mesures aplicades fins a dia d'avui i, a mesura que l'anàlisi dels riscos ho aconselli, millorar-les o substituir-les per altres més eficients. És un plantejament erroni pensar en eliminar mesures actualment implantades sense implantar-ne d'altres que assoleixin millor el mateix objectiu.

Revisió de drets, continguts i forma d’exercir-los

Els fins ara coneguts com a drets ARCO (drets d'Accés, Rectificació, Cancel·lació i Oposició) segueixen vigents amb poques variacions. Només el dret de cancel·lació ha passat a denominar-se dret de supressió i té un aspecte molt comentat però adreçat essencialment als navegadors d'internet i xarxes socials: el dret a l'oblit, d'escàs impacte al sector sanitari i social. S'han incorporat dos nous drets, amb un previsible impacte residual als sectors sanitari i social: Portabilitat i limitació del tractament.

En tot cas, els principis generals segueixen essent els mateixos: facilitar-ne l'exercici, gratuïtat, no limitar-ne l'exercici per aspectes formals, a exercir per l'interessat o un representant legal o voluntari, i amb un termini general d'un mes per donar-ne resposta. Es recomanable, però, incorporar a la base de documents de la organització els nous models que permetin i facilitin el seu exercici. Des del Codi Tipus es facilita als adherits models actualitzats sobre aquest àmbit.