Protecció de dades

Sessió “Compte enrere” adequació al RGPD

El passat dia 12 d’abril es va celebrar la sessió “Compte enrere” adequació al RGPD a la seu de La Unió Catalana d’Hospitals, amb l’objectiu de tractar el termini fins a l’adequació del Reglament General de Protecció de Dades.

La sessió va comptar amb la participació de Caterina Bartrons, Gerent dels Serveis Jurídics de Faura-Casases, i es va estar dirigida, sobretot, als professionals de protecció de dades de les entitats adherides al Codi Tipus de La Unió. Continua

Premis de protecció de dades 2017 de l’Agencia Española de Protección de Datos

L’Agència Espanyola de Protecció de Dades (AEPD) ha concedit els Premis de Protecció de Dades 2017, amb la finalitat de reconèixer els treballs que promouen el coneixement, la recerca i la difusió del dret fonamental a la protecció de dades.

El jurat ha concedit el premi principal de comunicació al periodista Pedro del Rosal, del diari “El Economista”, per les notícies, reportatges i entrevistes publicades en relació al Reglament General de Protecció de Dades i l’adaptació al nou marc normatiu. Continua

Sessió informativa sobre el nou reglament de Protecció de Dades

El passat 26 de febrer va tenir lloc, a la seu de la Fundació Escola Cristiana de Catalunya (FECC), la primera Sessió informativa sobre el nou reglament de Protecció de Dades, amb entrada en vigor el 25 de maig, i el qual comporta canvis significatius en la protecció de dades de caràcter personal, tant des del punt de vista dels drets de les persones com de les obligacions de les persones i entitats que tracten dades de caràcter personal.

Els objectius de la sessió varen ser els de donar a conèixer el nou marc normatiu, els canvis en els deures i obligacions dels responsables del tractament de les dades de caràcter personal, enfocar el risc en el tractament d’aquestes dades i conèixer els canvis en el regim sancionador.

La jornada, a càrrec de Caterina Bartrons, gerent dels Serveis Jurídics de Faura-Casas, va tenir gran demanda d’inscripcions, per la qual cosa es van obrir noves places per a una segona sessió el dia 5 de març. Continua

Conferència: Adaptació del Reglament General Europeu de Protecció de Dades (RGPD)

El pasat 29 de gener, es va dur a terme la conferència: “Adaptació del Reglament General Europeu de Protecció de Dades. La figura del delegat de protecció de dades”, a la seu del Col·legi de Censors Jurats de Comptes de Catalunya i realitzada per Caterina Bartrons, gerent de Serveis Jurídics de Faura-Casas.

Conferència: Adaptació del Reglament General Europeu de Protecció de Dades (RGPD)

El dia 29 de gener a les 18:00h, Caterina Bartrons, gerent de Serveis Jurídics de Faura-Casas, durà a terme la conferència: “Adaptació del Reglament General Europeu de Protecció de Dades. La figura del delegat de protecció de dades”, a la seu del Col·legi de Censors Jurats de Comptes de Catalunya.

Amplieu la informació clicant en aquest enllaç.

El Govern Espanyol aprova el projecte de Llei Orgànica de Protecció de Dades de caràcter personal

El 10 de novembre de 2017 el Consell de Ministres va aprovar el Projecte de Llei Orgànica de Protecció de Dades, a proposta del ministre de Justícia, Rafael Català. Aquesta adaptarà la legislació espanyola a les disposicions del Reglament UE 2016/679, que s’aplicarà a partir del pròxim 25 de maig de 2018.

En el cas espanyol, l’adaptació de la legislació al Reglament General de Protecció de Dades (RGPD) requereix l’elaboració d’una nova Llei Orgànica, substituint l’actual. Ara bé, cal indicar que l’Agència Espanyola de Protecció de Dades també ha de desenvolupar qüestions concretes atès que el reglament comunitari remet a les autoritats nacionals de control certs aspectes.

El RGPD introdueix novetats en la regulació del dret fonamental de protecció de dates, regulat en l’article 18.4 de la Constitució espanyola, i que un dels seus objectius és acabar amb la fragmentació existent en les diferents normatives dels estats comunitaris. Així mateix, també persegueix l’adaptació de la normativa de protecció de dades a la ràpida evolució tecnològica i als canvis produïts pel desenvolupament de la societat de la informació i la globalització.

Més concretament, el nou marc normatiu recull novetats tant en el règim del consentiment, com en el del tractament i introdueix nous procediments i figures.

En relació amb el règim del consentiment la normativa espanyola avança als 13 anys l’edat, abans 14, per consentir el tractament de dades, en consonància amb la normativa d’altres països europeus. Una altra novetat és que es considera el tractament de les dades de persones mortes en base a la sol·licitud dels seus hereus. A més, s’exclou la figura del consentiment tàcit que es substitueix per una acció afirmativa i expressa per part de l’afectat. En cas d’inexactitud de les dades personals obtingudes de forma directa, s’exclou la imputabilitat del responsable del tractament si aquest ha adoptat les mesures raonables per la rectificació o supressió d’aquestes.

Pel que fa al tractament de dades s’incorpora el principi de transparència que suposa el dret dels afectats a ser informats sobre el tractament de les seves dades, regulant de forma expressa els drets dels afectats, que són: el dret d’accés, rectificació, supressió, oposició, a la limitació del tractament i a la portabilitat.

A més, s’introdueixen supòsits en que es contempla com a presumpció la prevalença de l’interès legítim del responsable del tractament de les dades en compliment de determinats requisits, com en el cas de sistemes d’informació creditícia. Així mateix, es regulen situacions en què s’aprecia l’existència de l’interès públic, com per exemple les relacionades amb la videovigilància, el sistemes d’exclusió publicitària (llista Robinson), la funció estadística pública i les denúncies internes en el sector privat.

Relacionat amb el procediment, es promou l’existència de mecanismes d’autoregulació, tant en el sector públic com privat. També s’ introdueix l’obligació de bloqueig de les dades per garantir que aquestes quedaran a disposició del tribunal corresponent, el Ministeri Fiscal o autoritats competents amb la finalitat d’exigir responsabilitats derivades del seu tractament i que no puguin ser esborrades per encobrir el seu incompliment.
Per últim, una de les novetats més rellevants i que genera més dubtes a les entitats és la potenciació de la figura del delegat de protecció de dades, que la seva designació ha de ser comunicada a l’autoritat competent.

Un cop exposat l’anterior i a sis mesos de l’aplicació del Reglament General de Protecció de Dades, es recomana a les entitats que revisin els seus documents, formularis, procediments i altres aspectes relacionats amb el tractament de dades de caràcter personal per l’adaptació al nou marc normatiu atès que les novetats, com s’ha pogut observar, no són poques.

Més detall a:

Ministerio de Justicia

Codi de bones pràctiques en protecció de dades per a projectes BIG DATA

L’Agència Espanyola de Protecció de Dades conjuntament amb l’ISMS Forum Spain varen publicar el darrer mes de maig el Codi de bones pràctiques en protecció de dades per a projectes de Big Data.  Amb aquesta guia es pretén globalitzar les apreciacions que es fan des d’ambdues entitats respecte als projectes de Big Data i l’aplicació de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), així com la normativa de desplegament i el Reglament General de Protecció de Dades (RGPD).

S’entén com Big Data a un conjunt de tecnologies, algoritmes i sistemes emprats amb la finalitat de recol·lectar dades a gran escala i extraure informació de valor mitjançant sistemes analítics avançats de forma automatitzada. Aquest tractament sobre les dades es caracteritza per fer-se sobre un gran volum de dades, molt variables i a una velocitat que pot arribar a ser en temps real en alguns casos.

Des d’un punt de vista arquitectònic o bé estructural, un projecte de Big Data pot ser analitzat des de diferents capes principals: la de fonts de dades (origen de la informació), integració d’aquestes a la base de dades, emmagatzematge amb recursos adequats per ser analitzada i gestionada així com, la darrera capa, la presentació i aplicació en diferents processos.

El codi es presenta com una anàlisi de la normativa que operarà a partir del 25 de maig del 2018, el RGPD, i les consideracions que s’han de tenir en compte en cas que l’organització desitgi submergir-se en un projecte de Big Data. Així, recorden la necessitat d’acomplir amb els principis bàsics de la normativa de protecció de dades pel que fa al dret d’informació i el consentiment, lligant-se amb la necessitat d’estructurar-se una organització transparent la qual els usuaris puguin confiar a causa de la constant informació i facilitat de trobar-la en relació als seus drets garantits pel RGPD, és a dir, actualització de les finalitats les quals es recaven les dades sempre lligades a la finalitat inicial que ho varen motivar així com, en especial, informació sobre els drets d’accés, rectificació, supressió, oposició així com els nous drets que s’incorporen, és a dir, limitació, portabilitat o el dret a no ser sotmès a tractaments basats únicament en decisions automatitzades individuals. També, recorda la necessitat de tenir definits i integrats dins del govern intern els principis de minimització de les dades i qualitat, a partir de la qual es recaptin únicament les dades que siguin estrictament necessàries per a l’objectiu que volem assolir i en definitiva, no demanar dades en previsió que puguin ser útils en un futur o definit textualment, dades “per si de cas”.

Fora dels principis bàsics de la normativa de protecció de dades, es recorda la necessitat de regular degudament les relacions amb tercers (encarregats del tractament) i la definició de les responsabilitats de cada agent operatiu dins d’aquest tractament, així com l’assumpció interna del concepte accountability o responsabilitat de l’entitat a implantar mesures i establiment de mecanismes interns i/o externs per avaluar la fiabilitat i poder demostrar la seva efectivitat davant les autoritats de control, així com la privacitat en el disseny (Privacy by design) traduït en la necessitat que qualsevol projecte d’aquestes característiques s’iniciï tenint en compte els principis que la legislació en la matèria estableix amb la finalitat d’evitar haver de redefinir els sistemes i processos contínuament implicant, en el seu cas, despeses associades a la implantació dels requeriments legals.

També es realitza una especial menció a les avaluacions d’impacte o AIPD, a partir de les quals s’aconsella que les organitzacions que les portin a terme abans de l’inici del tractament de dades enfocat al Big Data per tal de poder identificar els riscos associats als processos d’identificació, anàlisi i recol·lecció d’informació especialment pel que fa els processos d’anonimització de les dades i la irreversibilitat en la identificació. Es recorda que és necessari fer una avaluació de les tècniques i procediments d’anonimització per tal d’acreditar que la dissociació realitzada evita que es pugui identificar a una persona física dins del conjunt de dades o que es pugui relacionar o enllaçar la informació d’una persona física a partir de la vinculació de dos registres dins del conjunt de les dades, així com es pugui inferir qualsevol informació sobre la persona física en el conjunt. Finalment, es fa al·lusió a què, davant una conclusió negativa o de riscos als drets dels usuaris en la AIPD, l’Entitat requerirà acudir a l’autoritat de control per tal que aquesta l’assessori.

Es recomana però la realització d’un projecte pilot amb una petita mostra fictícia de dades de la qual es pugui extraure, objectivament, conclusions respecte a la viabilitat de les tècniques d’anonimització i el procediment.

Per últim, destaquem la presentació d’una taula/resum sobre les estratègies de privacitat més adequades per a cadascuna de les fases que conformen la cadena de valor de Big Data:

FASE BIG DATA ESTRATEGIA IMPLEMENTACIÓ
Adquisició i recol·lecció Minimitzar ·         Seleccionar abans d’adquirir

·         Realitzar una AIPD

 

Agregar ·         Anonimització en la font d’origen
Ocultar ·         Eines de xifratge

·         Eines d’emmascarament de dades

Informar ·         Transparència – Comunicació a l’interessat
Controlar ·         Mecanismes per recaptar el consentiment.
Anàlisis i validació Agregar ·         Tècniques d’anonimització
Ocultar ·         Eines de xifratge
Emmagatzematge Ocultar ·         Eines de Xifratge

·         Mecanismes d’autenticació i control d’accés

Separar ·         Emmagatzematge distribuït o descentralitzat
Explotació Agregar ·         Tècniques d’anonimització
Aplicable a totes les fases Complir i demostrar ·         Definició de polítiques, traçabilitat de les accions i eines per garantir compliment.

 

Més informació: Guia Big Data AEPD-ISMS Forum

l’AEPD publica la seva memoria 2016 concloent que la inserció indeguda en fitxers de morositat i la contractació irregular concentren més del 65% de les sancions imposades

L’Agència Espanyola de Protecció de Dades va publicar el 29 de juny la Memòria 2016, en la que es recullen de forma detallada les activitats realitzades per aquesta institució, les tendències més destacades i les decisions i procediments més rellevants de l’any. Així mateix, analitza els reptes del present i futur en matèria de protecció de dades, subratllant que l’any 2016 va ser un any especialment important per tres motius:

  • L’aprovació del Reglament General de Protecció de Dades, que serà aplicable a partir del 25 de maig de 2018.
  • L’impuls i desenvolupament de les 113 actuacions recollides en el Pla Estratègic 2015-2019 de l’AEPD.
  • La sentencia del TJUE que va declarar invàlida la Decisió de Port Segur. Com a conseqüència, es va produir un important increment de les sol·licituds d’autorització basades en l’aportació de garanties contractuals, rebent-se 737 sol·licituds durant 2016 enfront de les 128 que es van registrar durant el 2015, arribant-se’n a concedir 499 l’any 2016.

Un dels primers punts que la memòria fa esment són les denuncies i reclamacions, indicant que durant l’any 2016 van tenir entrada 10.523 denúncies i reclamacions de tutela de drets. D’aquest número d’entrades, 7.935 van ser denúncies i 2.588 van ser reclamacions, podent observar que mentre les denuncies s’han reduït un 6,53% respecte l’any anterior, les reclamacions s’han incrementat un 24,30%.

Un cop explicat això, en relació a la naturalesa de les denúncies tramitades, són rellevants els casos d’inclusió indeguda en fitxers de morositat i contractació irregular que suposen un 21,5% i 11,3% de les resolucions sancionadores de l’AEPD i més del 65% de l’import global de les sanciones imposades.

Pel que fa a l’increment del número de reclamacions de tutela de drets presentades a l’AEPD, l’Agència ho justifica en la seva memòria amb la major preocupació per part dels ciutadans perquè aquells tercers que tracten la seva informació personal ho deixin de fer quan així ho sol·licitin els interessats. El dret de cancel·lació ha estat un any més el dret més reclamat, referint-se a la inclusió indeguda en fitxers de solvència gairebé el 25% de les reclamacions plantejades.

Així mateix, durant l’any 2016 l’AEPD va reprendre les inspeccions sectorials d’ofici, amb la realització del Pla d’Inspecció sectorial de sanitat, la inspecció del Sistema d’Informació de Visats i Schengen.

En segon lloc, en relació amb les infraccions declarades durant l’any anterior, l’Agència destaca l’increment en un 16,7% dels procediments de prevenció respecte al 2015 i una reducció del 21% en el número d’infraccions amb sanció econòmica. En la publicació també es fa esment al fet de que en moltes ocasions les investigacions permeten a l’AEPD advertir al denunciat en comptes d’imposar una sanció, exigint la correcció de la conducta i l’adopció de les mesures corresponents. Ara bé, també s’indica que l’import global de les sancions econòmiques, que suposa un import de 14.190.173 euros, ha pujat un 3,48% respecte al 2015.

En el cas de les Administracions Públiques, es van resoldre 56 procediments d’infracció, corresponent 23 a l’Administració Local, 20 a l’Administració Autonòmica, 10 a l’Administració General de l’Estat i 3 a altres entitats de dret públic.

Pel que fa a les sentències de l’Audiència Nacional en relació a recursos interposats contra resolucions de l’Agència, en la memòria s’indica que de les 74 sentències dictades en el 2016, un 78% van confirmar els criteris de l’AEPD.

En tercer lloc, també és interessant mencionar que es van atendre aproximadament 237.000 consultes plantejades pels ciutadans, sent els temes més consultats els relacionats amb la inscripció de fitxers, comunitats de veïns o videovigilància. Tot i això, respecte a les consultes telefòniques i presencials sobre l’exercici de drets, més de la meitat (53,34%) van ser sobre el dret de cancel·lació, a les que cal sumar un 26,56% que van sol·licitar informació específica sobre el dret a l’oblit.

En relació al Canal Jove, que és l’àrea específica de l’AEPD per a potenciar la comunicació amb els menors, pares i professors, ha atès aproximadament unes 700 consultes sent plantejades per pares, membres de la comunitat educativa, serveis socials i sanitaris.

En quart i darrer lloc, en la publicació s’indica que l’any 2016 va finalitzar amb més de 4,5 milions de fitxers inscrits en el Registre General de Protecció de Dades, apuntant que d’aquests el 96,41% van ser de titularitat privada i el 3,59%  van ser de titularitat pública.

 

Per a més informació i detall es pot consultar Memoria_AEPD_2016

Jornada sobre els aspectes principals que afecten a les entitats adherides del Reglament 2016/679, de 27 d’abril de 2016

El passat 30 de maig es feu a la seu de La Unió Catalana d’Hospitals la Jornada sobre els aspectes principals que afecten a les entitats adherides del Reglament 2016/679, de 27 d’abril de 2016 a càrrec de l’assessor jurídic de la Unió, Josep Maria Bosch, i dels col·laboradors dels Serveis Jurídics de Faura-Casas, Caterina Bartrons, Núria Alberich, Marta Carrasco i Carlos López.

Continua

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar tu experiència como usuario mientras navegas por nuestro sitio web. Si continuas navegando, consideramos que aceptas su uso. Puedes cambiar la configuración u obtener más información política de cookies aquí.

ACEPTAR
Aviso de cookies