Newsletter

El nou reglament implica que s'han de tractar dades incorporant un element central: l'anomenada responsabilitat “proactiva” o responsabilitat “demostrada” (accountability). Què vol dir això? Doncs que venim d'un model reactiu on la norma legal indicava una “carta” de mesures a adoptar per protegir les dades –mesures de seguretat–, obligacions documentals –document de seguretat– i obligacions de comunicació –registre de fitxers– sense avaluar l'eficiència del sistema, per passar a un model en el que s'han de valorar els tractaments de dades i decidir com executar-los.

Un exemple gràfic seria substituir els cartells a un parc públic a on s'indica “Gossos no” per uns de nous que indiquin “que el teu gos no molesti”. Aquesta cartells impliquen que el propietari d'un gos ha de valorar el perfil de la mascota, si cal portar-lo lligat, si borda molt, si pot evitar que embruti, etc. i actuar en conseqüència, havent, això sí, d'argumentar i justificar la correcció del seu comportament en cas de ser-ne requerit.

Però aquesta actitud de responsabilitat proactiva s'ha de poder acreditar, per això s'ha d'abordar la gestió de la protecció de dades a partir del disseny de processos, documentar-los, implantar-los i mantenir-los.

A diferència del 1999, quan es va promulgar la LOPD, ara, amb l'aplicació del RGPD no es parteix de zero ni cal parlar d'un nou règim legal, sinó que s'ha d'afrontar el moment com un canvi evolutiu. Per tant, la primera i molt necessària premissa és que no s'ha de deixar de fer res del que s'estigui fent correctament en matèria de protecció de dades. Si hi ha aspectes de millora amb el règim encara vigent de la LOPD, aquests aspectes s'han de seguir abordant i millorant: la desaparició de l'actual LOPD no significa que s'hagin d'abandonar les àrees de millora detectades.

Bona part de la metodologia de responsabilitat proactiva abans comentada es construirà sobre el que ja es té i el que ja s'està fent. En aquest sentit, el contingut de les obligacions fins ara assumides són el punt de partida per anar confegint les noves: registre de fitxers, documents de seguretat, resultats de les auditories, consultes al Codi Tipus, registres d'incidències, resultats dels controls d'accessos, etc.

Des del Codi Tipus de La Unió s'ha elaborat un decàleg que resumeix els aspectes clau i que cal abordar. Aquests aspectes seran tractats en una successió de newsletters. Per trobar més informació detallada sobre els diferents aspectes a implementar, també és recomanable consultar la guia desenvolupada per l'APDCAT. 

El RGPD ha estat molt comentat per la incorporació de novetats al voltant de la figura del consentiment de l'interessat per tractar les seves dades. El consentiment, quan és la base que legitima el tractament de les dades (o, dit de manera més planera, quan és la base legal que permet que tractem dades personals) esdevé un acte que ha de ser exprés i, per tant, decauen tots aquells tractaments de dades que s'han fonamentat en un consentiment implícit o tàcit.

Pel que fa a les dades de salut, així com moltes d'altres categories especials de dades personals que sovint es tracten als centres sanitaris (origen ètnic o racial, conviccions religioses o filosòfiques, genètiques, vida sexual) el RGPD parteix de la idea que és prohibit tractar-les. Tot i així, estableix circumstancies que fan decaure aquesta prohibició, entre les que destaquen el tractament necessari per al diagnòstic mèdic, la prestació d'assistència o tractament de tipus sanitari o social, o la gestió de sistemes i serveis d'assistència sanitària i social.

Per tant, cal dir que el nou RGPD no genera un canvi d'escenari en el sector sanitari en allò que fa referència a la base jurídica del tractament de dades personals, ans el contrari, el seu redactat és més clar i incorpora de manera inequívoca la prestació d'assistència i gestió de serveis socials juntament amb els sanitaris. Per tant, no cal el consentiment de l'interessat per tractar les seves dades als efectes de prestar assistència o gestionar els sistemes sanitaris i/o socials.