Saltar als continguts principals.

Conferència RGPD "Aplicació del RGPD Europeu per advocats. Especial atenció a l'avaluació del risc"

25/06/2018

El passat 25 de maig, coincidint amb l'entrada en aplicació del Reglament General de Protecció de Dades, REGLAMENT (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades, i pel qual es deroga la Directiva 95/46/CE, en endavant, RGPD, va tenir lloc la segona conferència en aquesta matèria organitzada per la Secció de Tecnologies de la Informació i de la Comunicació, impartida pel company Albert Conde Olano, Copresident de la secció de TIC.

En aquesta segona conferència es va posar l'accent principalment a l'Avaluació de Risc.

Durant el transcurs de la mateixa es va fer una petita introducció sobre el marc normatiu anterior, posant especial atenció a la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal (LOPD), al Reial decret 1720/2007 de 21 de desembre, (RLOPD), i les obligacions que dimanaven d'aquestes normatives.

D'igual manera, es va tractar l'àmbit material i territorial del mateix, així com els principals aspectes a destacar del RGPD: entre d’altres, enfocament proactiu, base legal per a tractament i principis relatius al tractament de dades personals, transparència i informació als interessats, ampliació de drets dels afectats..

Així mateix, es va entrar de ple en l'aplicació del RGPD, detallant tots els aspectes a tenir en compte per realitzar la implantació del RGPD en els despatxos d'advocats. Els punts tractats van ser els següents:

A) Valorar la necessitat o no de designar DPO (Data Protection Officer) Figura que en els despatxos d'advocats no serà habitual que sigui obligatòria, sí ho serà pel contrari en els Col·legis Professionals, segons estableix l'avantprojecte de LOPD que substituirà a la LOPD de l’any 1999.

B) Realitzar una avaluació de risc, en la qual s'hauran d'identificar els riscos i amenaces que comporta el tractament de dades de caràcter personal, avaluar els riscos inherents a les amenaces, per posteriorment tractar els riscos identificats establint les mesures tècniques i organitzatives adients.

En el cas dels despatxos d'advocats, el més habitual serà utilitzar com a eina per efectuar la identificació, avaluació i tractament de les amenaces, el Registre d'Activitats de Tractament: eina d'intensitat mitjana que s'acumularà a l'eina bàsica d'anàlisi de riscos i gestió de riscos per defecte, i que serà obligatòria en tractar-se en l'activitat professional dades relatives a ideologia o opinions polítiques, afiliació sindical, religió o opinions religioses, creences o creences filosòfiques, origen ètnic o racial, dades relatives a salut, vida sexual o orientació sexual, dades de violència de gènere i maltractaments, dades biomètriques, dades genètiques que proporcionen una informació única sobre la fisiologia o la salut de l'identificat, obtingudes de l'anàlisi d'una mostra biològica, dades sol·licitades per a finalitats policials sense consentiment de les persones afectades, dades relatives a condemnes i delictes penals.

La informació que es farà constar en el Registre d'Activitats de Tractament serà:

-           Les dades de contacte del responsable de tractament ( RT); en aquest cas, l'advocat o si és una SLP, la denominació social de la mateixa, del representant, DPO..

-           Finalitats de tractament.

-           Categories d'interessats, destinataris de les dades.

-           Transferències internacionals de dades, si és que es realitzaran.

-           Terminis de supressió de les dades personals, si és possible determinar-ho.

-          Descripció de les mesures de seguretat implementades en el processos de tractament de dades, si és possible.

Així mateix, es va exposar de forma breu la tercera eina, l'Avaluació d'Impacte de Protecció de Dades (EIPD), ja que no serà la situació habitual en què es pugui trobar un despatx d'advocats.

C) Establir un procediment per notificar les violacions de seguretat.

Obligatori establir-ho en aplicació del RGPD havent de notificar a l'Agència Espanyola de Protecció de Dades (AEPD) i a l'interessat si escau, sempre que es donin els requisits establerts reglamentàriament i en el termini disposat per est.

D) Proporcionar la deguda informació a l'interessat del tractament de les seves dades de forma prèvia a la recollida de dades, informant-li de:

-           Dades del responsable de tractament, si escau representant i delegat de protecció de dades.

-           Finalitats del tractament i base jurídica.

-           Interessos legítims del responsable o d'un tercer, si el tractament de dades es basa en interès legítim.

-           Destinataris de les dades i transferències internacionals.

-           Termini de conservació de les dades, o els criteris utilitzats per determinar aquest termini.

-           Drets que pot exercir l'interessat: accés, rectificació o supressió, o limitació del tractament, o a oposar-se al tractament, o dret a la portabilitat de les dades.

-           Dret a retirar el consentiment quan el tractament es base en aquest.

-           Dret a presentar una reclamació davant l'autoritat de control

-           Si té obligació de subministrar les dades i conseqüències en cas de no subministrar-los, i si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte.

-           L'existència de decisions automatitzada, inclosa l'elaboració de perfils

-           Qualsevol tractament per a una fi ulterior no previst.

E) Consentiment.

Que haurà de donar-se mitjançant un acte afirmatiu clar que reflecteixi una manifestació de voluntat lliure, específica, informada, i inequívoca de l'interessat d'acceptar el tractament de dades de caràcter personal que li concerneixen.

A més, en el cas dels despatxos d'advocats, en trobar-nos davant el tractament de categories especials de dades el consentiment si escau, haurà de ser explícit, per exemple, en efectuar el corresponent full d’encàrrec per al client. Si bé, hem de destacar que, atès que el tractament és necessari per a la formulació, l'exercici o la defensa de reclamacions, això també legitimaria a l'advocat per al tractament de les dades especialment protegides per habilitació legal.

F) Establir un procediment per a l'exercici de drets per l'interessat.

Als ja existents drets d'accés, rectificació, cancel·lació que passa a anomenar-se de supressió i s'afegeix el dret a l'oblit, dret d'oposició, s'afegeixen els nous drets de limitació i portabilitat.

Haurà de donar-se resposta a aquests drets sense dilació indeguda, i com a molt tard en el termini d'un mes, prorrogable a dos mesos en determinades situacions.

Havent de ser a més, l'exercici d'aquests drets, gratuïts per a interessat, excepte en les sol·licituds manifestament infundades, excessives o repetitives.

G)Elecció d’ encarregat de tractament i celebració de contracte per escrit amb el mateix. Es va definir a l'encarregat de tractament com: la persona física o jurídica, autoritat pública, servei o un altre organisme que tracta dades personals per compte del responsable del tractament, i es va detallar el contingut obligatori que ha de constar en el contracte que es signi entre Responsable de tractament i Encarregat de Tractament.

  • objecte i durada del contracte
  • naturalesa i finalitats del tractament
  • tipus de dades personals
  • categories dels interessats
  • obligació de seguir instruccions del responsable
  • garanties de confidencialitat del seu personal
  • mesures de seguretat
  • si es preveu la subcontractació per part de  l’ET : disposar d'autorització prèvia, per escrit, específica o general.
  • compromís de col·laborar amb el responsable per a la satisfacció dels drets dels ciutadans
  • destinació de les dades quan finalitzi relació; retornar o suprimir, llevat que el dret de la UE obligui a conservar-los.
  • Posada a disposició del responsable tota la informació necessària per demostrar el compliment de les obligacions establertes en l'art. 28, així com per permetre i contribuir a la realització d'auditories, incloses inspeccions, per part del responsable o d'un altre auditor autoritzat per dit responsable.

 

H)Transferències Internacionals de dades. Es va detallar quan i com serà possible realitzar les mateixes, i en quuins casos serà necessària la comunicació i autorització de l'AEPD.

Per finalitzar, es va tractar el règim de recursos, responsabilitat i sancions, i l'avantprojecte de LOPD que substituirà a la Llei Orgànica 15/1999, de 13 de desembre.

Vam finalitzar la conferència, resolent dubtes pràctics dels assistents en quant a la implantació del RGPD.

Il·lustre Col·legi d’Advocats de Tarragona © Copyright 2015. Reservats tots els drets.
  • Tecnologies
  • Disseny Pàgines Web Tarragona

Avís cookies

Per poder millorar els nostres serveis, utilitzem cookies de tercers per recollir informació estadística. Si contínua navegant considerem que accepta la seva utilització. Més informació aquí..