3. Obligacions en el tractament de dades personals

El principi de responsabilitat proactiva implica que el responsable del tractament ha d’adoptar les mesures tècniques i organitzatives apropiades per tal de garantir i poder demostrar que el tractament de dades personals és conforme amb el reglament europeu.

La responsabilitat proactiva té diverses manifestacions, en forma d’obligacions dirigides als responsables del tractament, i si s’escau, als encarregats. Aquestes obligacions són les següents:

• Política de protecció de dades.
• Registre d’activitat de tractament.
• Protecció de dades en el disseny i per defecte.
• Avaluacions d’impacte sobre la protecció de dades.
• Consulta prèvia.
• Seguretat de les dades.
• Notificació de violacions de seguretat.

Les polítiques de protecció de dades es configuren com una de les mesures tècniques i organitzatives que ha d’adoptar el responsable.

Les entitats del sector públic estan obligades a disposar d’un registre o inventari de les activitats de tractament (conegut com a RAT), i a més, l’han de publicar per mitjans electrònics. De fet, la normativa de transparència inclou el RAT entre les informacions sotmeses a publicitat activa, de manera que s’hi ha de poder accedir a través dels portals de transparència.

El reglament europeu disposa quin ha de ser el contingut d’aquest registre (finalitats del tractament, categories de persones interessades i de dades personals, i descripció general de les mesures tècniques i organitzatives de seguretat, entre d’altres).

En determinats supòsits, també és aplicable als encarregats del tractament l’obligació de disposar del RAT, amb un contingut similar.

En primer lloc, la protecció de dades en el disseny implica tenir en compte totes les obligacions i requisits imposats per la normativa de protecció de dades, des que es projecta un nou tractament.

En concret, obliga a implantar les mesures adequades, com ara la pseudonimització; aplicar els principis de la protecció de dades, i integrar les garanties necessàries per complir les obligacions que imposa el reglament europeu per protegir els drets de les persones interessades.

I, en segon lloc, la protecció de dades per defecte consisteix a oferir les màximes garanties de privacitat de “fàbrica” i assegurar-se que només es tracten les dades necessàries per a cada finalitat.

Les avaluacions d’impacte relatives a la protecció de dades s’han d’efectuar abans d’iniciar el tractament. Ara bé, les avaluacions d’impacte no s’exigeixen per a qualsevol tractament de dades personals, sinó només quan hi ha un risc alt per als drets i llibertats de les persones, ja sigui per la naturalesa del tractament, l’abast i el context, les finalitats o l’ús de noves tecnologies.

El reglament europeu conté una llista de tractaments en els quals es requereix l’avaluació d’impacte relativa a la protecció de dades personals, com ara quan la finalitat és l’avaluació «sistemàtica i exhaustiva» d’aspectes de la persona realitzada de manera automatitzada.

La llista de supòsits en què, segons el reglament europeu, cal efectuar l’avaluació d’impacte per considerar que són tractaments de risc alt, no té el caràcter de llista tancada, i per això la llei orgànica de protecció de dades conté una llista de tractaments en els quals hi pot haver «riscos superiors», fet que pot obligar a portar a terme l’avaluació d’impacte.

Entre d’altres, es refereix a casos en què es poden generar situacions de discriminació, usurpació d’identitat o frau, pèrdues financeres, dany per a la reputació o en què es pot privar els afectats dels seus drets i llibertats.

El contingut mínim que ha de tenir l’avaluació d’impacte, si aquesta és obligatòria, és el següent:

• Una descripció del tractament, com ara el cicle de vida de les dades.
• La finalitat o base jurídica.
• L’avaluació de la necessitat i la proporcionalitat del tractament.
• L’avaluació dels riscos i les mesures per minimitzar-los, etc.

Si com a resultat de l’avaluació d’impacte, el responsable continua observant un risc elevat que no es pot mitigar o reduir per mitjans raonables d’acord amb la tecnologia disponible i els costos de l’aplicació, ha de consultar l’autoritat de control, abans d’iniciar aquell tractament. L’autoritat ha d’assessorar el responsable, però també pot prohibir-ne el tractament.

El reglament europeu obliga a adoptar les mesures adequades o apropiades, per tal de garantir la seguretat de les dades. Per determinar quines són les mesures de seguretat adequades, cal efectuar l’anàlisi de riscos corresponent.

L’anàlisi de riscos ha de tenir en compte els elements següents:

• La naturalesa de les dades (per exemple, si es tracten categories especials de dades).
• El nombre de persones interessades afectades o la quantitat (volum de les dades).
• La varietat de tractaments (per exemple, si permet l’elaboració de perfils).

El reglament europeu preveu que les mesures de seguretat poden consistir en:

• Reduir al mínim el tractament de dades.
• La pseudonimització o xifrat de les dades.
• La capacitat per garantir la confidencialitat, la integritat, la disponibilitat i la resiliència permanent dels sistemes i dels serveis de tractament, és a dir, la capacitat de resistir o de recuperar-se (per exemple, davant l’atac d’un hacker).
• La capacitat de restaurar la disponibilitat i l’accés a les dades personals de manera ràpida, en cas d’incident físic o tècnic (per exemple, amb les còpies de seguretat).
• Un procés per verificar, avaluar i valorar regularment l’eficàcia de les mesures de seguretat (per exemple, això s’aconseguiria mitjançant auditories d’aquestes mesures).

En tot cas, constitueix també una mesura de seguretat el fet que els responsables i els encarregats garanteixin que qualsevol persona que actuï sota la seva autoritat i accedeixi a dades personals, com seria el cas del seu personal, tracti les dades segons les instruccions del responsable.

Aquesta obligació comporta que, davant qualsevol violació o incident de seguretat de les dades que pateixi una organització i que comporti un risc per als drets i llibertats de les persones afectades, ha de ser notificat a l’autoritat de protecció de dades competent. Així, si un ajuntament català pateix una violació de seguretat que afecta la confidencialitat, la integritat o la disponibilitat de les dades, ha de notificar-ho a l’APDCAT.

Cal notificar una violació de seguretat a l’autoritat de protecció de dades competent sense dilació, com a màxim dins de les 72 hores següents al moment en què es té constància de la violació.

En canvi, si és improbable que la violació constitueixi un risc per als drets i llibertats de les persones, no cal efectuar aquesta notificació.

En els casos en què s’ha de notificar a l’autoritat per no poder-se qualificar d’improbable el risc, si el responsable considera que la violació de seguretat pot comportar un risc alt per als drets i llibertats de les persones, a més de notificar-la a l’autoritat, s’ha de comunicar a les persones afectades, a les quals s’han d’oferir recomanacions per mitigar els riscos.

En tot cas, davant qualsevol mena d’incident que pugui afectar la seguretat de les dades, inclús en els casos que no requereixi la notificació a l’autoritat, l’entitat responsable del tractament ha de documentar l’incident internament, anotant els fets, els efectes i les mesures correctores adoptades.