En la sessió plenària de 16 de gener el Comitè Europeu de Protecció de Dades (CEPD) va adoptar l’informe amb les conclusions de la segona acció coordinada a nivell europeu centrada en la designació i la posició de delegats i delegades de protecció de dades (DPO).

Aquest informe és fruit del treball efectuat durant el 2023 per les 25 autoritats de control de protecció de dades de l’Espai Econòmic Europeu, incloent el Supervisor Europeu de Protecció de Dades (SEPD). En aquest s’hi il·lustra quins són a dia d’avui els principals obstacles de la figura del DPO, i també s’hi esmenten algunes recomanacions per a reforçar el seu status. L’informe ha estat publicat juntament amb els 2 apèndix: un estadístic, i l’altre, amb l’anàlisi i observacions fetes a nivell nacional per part de cada autoritat participant.

Els punts d’atenció que es destaquen en l’informe són:

• Absència de designació de DPO, inclús en aquells casos en els quals és obligatori.
• Insuficiència de recursos del DPO.
• Manca d’expertesa i experiència del DPO.
• No tenir confiades en el DPO total o explícitament les tasques definides en el RGPD.
• Situacions de conflicte d’interès o de manca d’independència del DPO.
• Absència de reporting del DPO al més alt nivell de l’entitat.
• Sol·licitud d’orientació addicional per part de les autoritats de control per a tenir major seguretat i eficiència en les actuacions.

Tot i la coincidència en aspectes generals, són de gran interès les apreciacions particulars que descriuen les diverses autoritats de control a cada país. Se’n destaquen les 3 següents:

• L’Agència Espanyola de Protecció de Dades alerta de l’externalització de DPO. En concret, s’informa que en molts casos, aquesta pràctica pot mostrar debilitat des del punt de vista que sigui un mateix DPO el que pugui desenvolupar plenament la seva intervenció en vàries organitzacions. Això pot també incrementar el risc de què la figura del DPO sigui considerada una mera formalitat en comptes de què el DPO tingui una implicació real i proactiva en els tractaments de dades efectuats per les organitzacions.
• L’autoritat francesa adverteix que sovint els DPOs no tenen prou informació sobre certs tractaments de dades de l’entitat perquè no se’ls fa participar des de moments inicials en la presa de decisions estratègiques.
• L’autoritat portuguesa descriu funcions que de forma equivocada s’associen al DPO quan en realitat són obligacions pròpies del responsable del tractament o encarregat del tractament. En aquest sentit també es detecten tasques que de forma equivocada s’encomanen al DPO quan no són la seva funció, per exemple, en el cas de les avaluacions d’impacte que acaben duent a terme directament, malgrat que la seva funció sigui d’assessorar.

Després de més de 5 anys de plena aplicació del RGPD i amb aquest, de la figura del DPO, es constata que s’han fet avenços però que queda molt trajecte encara per recórrer. És per això que és necessari tenir presents les irregularitats detectades i adequar-les a les indicacions donades, més encara quan en aquests moments hi ha nombrosa normativa del sector digital que està essent desenvolupada o just aprovada i davant de la qual el DPO hi tindrà un rol significatiu. Aquests nous rols poden reforçar algunes de les preocupacions detectades en l’informe, en especial les relatives al conflicte d’interès o la insuficiència de recursos del DPO.

Per a més informació:

https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/resultados-de-la-accion-europea-que-ha-analizado-la

Les principals novetats de la Llei 2/2023, de 20 de febrer, reguladora de la protecció de persones que informin sobre infraccions normatives i de lluita contra la corrupció ja foren resumides en un article de l’Alba Torres publicat en la newsletter del passat mes de febrer. Ara tornem a pronunciar-nos sobre aquesta llei per un doble motiu: el primer, atès que des d’aquest mes de desembre qualsevol entitat que tingui 50 treballadors o més, així com tot municipi amb menys de 10.000 habitants, ja té obligació de tenir implementat un sistema intern d’informació (SII). (more…)

El passat 14 de juliol la nova directora de l’Autoritat Catalana de Protecció de Dades (APDCAT), Meritxell Borràs i Solé, va comparèixer davant de la Comissió d’Afers Institucionals del Parlament de Catalunya per a presentar la memòria anual.

En la memòria 2021 s’hi recullen totes les actuacions dutes a terme, de les quals en destaquem les més rellevants referents a: l’atenció al públic i consultes, la funció inspectora, les notificacions de violacions de seguretat i els plans d’auditoria. (more…)

Ha quedat aprovada a Andorra la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, que entrarà en vigor el maig de 2022.

Aquesta Llei té per objecte actualitzar la normativa relativa al tractament que, tant persones o entitats privades com l’Administració pública andorrana, duen a terme de les dades corresponents a persones físiques acollint-se a la nova regulació europea, continguda al Reglament general de protecció de dades i modernitzant el marc jurídic existent basat en la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals. En efecte, han transcorregut divuit anys d’ençà que el Consell General va aprovar la primera Llei qualificada de protecció de dades personals i la seva revisió era necessària. (more…)

Fruit de l’acord entre el PSOE i PP, el  passat divendres 21 d’octubre es donaren a conèixer els noms de les persones que rellevaran la direcció de l’Agència Espanyola de Protecció de Dades (AEPD), així com la nova composició d’organismes com el Tribunal de Comptes, el Tribunal Constitucional i el Defensor del Poble.

La nova directora de l’AEPD serà Belén Cardona Rubert que rellevarà en el càrrec a Mar España Martí, que liderava l’entitat des de juliol de 2015. (more…)

El passat 14 de juliol es va presentar la Carta de Drets Digitals, pionera en l’àmbit internacional.

Amb aquesta Carta es pretenen enfortir i ampliar els drets de la ciutadania, generant certesa en la societat davant de la nova realitat digital i augmentar la confiança de les persones davant la disrupció que representa la tecnologia. (more…)

En el DOGC número 8302 de 23 de desembre es publicava la RESOLUCIÓ JUS/3362/2020, de 18 de desembre, per la qual s’aproven els criteris que han de regir el Pla d’actuació inspectora de fundacions i associacions declarades d’utilitat pública per a l’any 2021.

Segons el marc legal vigent, el Protectorat ha de vetllar perquè es compleixin les finalitats fundacionals, les disposicions legals i els estatuts de les fundacions, i perquè s’observi la voluntat fundacional respectant l’autonomia de gestió i de funcionament de les fundacions. En l’article 23.1 de la Llei 21/2014, del 29 de desembre, es confereix al Protectorat i l’Òrgan de Supervisió de les associacions declarades d’utilitat pública l’exercici de la potestat inspectora. En concret, l’article 23.2 enumera una sèrie de causes d’inspecció i l’article 24.1 disposa que el Protectorat i l’Òrgan de Supervisió de les associacions declarades d’utilitat pública han d’aprovar anualment un pla d’actuacions inspectores formulat d’acord amb criteris objectius que han de fer públics. (more…)

El BOE de 18 de novembre publica el Reial Decret llei 34/2020, de 17 de novembre, de mesures urgents de suport a la solvència empresarial i al sector energètic, i en matèria tributària. (more…)

Per fi, el legislador espanyol ha aprovat la Llei 6/2020, de 11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança, que entra en vigor el 13 de novembre de 2020.

Cal recordar que aquesta norma té com a origen el Reglament (UE) nº 910/2014 del Parlament Europeu i de Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93 / CE, que és aplicable des de l’1 de juliol de 2016. L’objecte d’aquesta Llei és, per tant, adaptar el nostre ordenament jurídic al marc regulador de la Unió Europea, evitant així la existència de buits normatius susceptibles de donar lloc a situacions d’inseguretat jurídica en la prestació de serveis electrònics de confiança. Aquesta llei deroga la Llei 59/2003, de 19 de desembre, de signatura electrònica. (more…)

Com a conseqüència de la situació d’excepcionalitat generada en la nostra societat pels darrers brots epidèmics de la pandèmia de la COVID-19, mitjançant la Resolució SLT/2107/2020, de 28 d’agost, s’ha adoptat la prohibició de les trobades i de les reunions de més de deu persones, tant en l’àmbit privat com en l’àmbit públic, a tot el territori de Catalunya. Aquesta mesura determina la necessitat d’establir, amb caràcter urgent, una regulació provisional del funcionament dels òrgans col·legiats de les entitats esportives de Catalunya per tal que puguin continuar amb el desenvolupament de les seves funcions. (more…)