Newsletter

El RGPD incorpora una obligació per als responsables de tractaments: avaluar l'impacte de les operacions de tractament en la protecció de les dades personals, quan sigui probable que el tractament comporti un risc significatiu per als drets i les llibertats de les persones. Les avaluacions d'impacte s'han de basar en metodologies o mètodes sistemàtics, a fi que resultin objectives, repetibles i comparables i quedin documentades.

Les avaluacions d'impacte cal establir-les per aquells tractaments amb risc significatiu per als drets i llibertats de les persones que es posin en marxa i abans d'aquesta posada en marxa. Els tractaments ja en funcionament a l'entrada en vigor del RGPD hauran d'efectuar-la si hi ha modificacions significatives. De tota manera, en àmbits tan sensibles i crítics com els tractaments de dades de salut o de dades socials resulta aconsellable que el DPD planifiqui la seva realització.

Les Autoritats de Protecció de Dades han establert guies amb metodologia de referència per dur a terme les avaluacions d'impacte. (enllaç a la guia de l'Autoritat Catalana de Protecció de dades).

Una de les manifestacions més visibles del principi de responsabilitat proactiva és l'obligació de comunicar les violacions de seguretat que constitueixin un risc per als drets i llibertat de les persones. Així mateix, si hi ha possibilitats de que aquest risc esdevingui alt, la notificació s'haurà de fer als interessats.

Aquesta actuació està sotmesa a determinats continguts de la notificació (sobre naturalesa de la violació, sobre volum d'afectats i de registres, identificar el DPD, sobre possibles conseqüències i sobre mesures a adoptar) i a terminis (en 72 hores a les Autoritats de Protecció de Dades i sense dilació als interessats). Per tant, resulta imprescindible definir els processos per preveure una actuació ràpida en la detecció i intervenció sobre les violacions de seguretat.

Segueix essent molt aconsellable seguir registrant les incidències en protecció de dades, al marge de les comunicacions de violacions de seguretat que es produeixin.

En el decàleg elaborat des del Codi Tipus es recullen aquelles actuacions necessàries que és recomanable tenir a punt per al 25 de maig. Cal, per tant, no perdre de vista actuacions necessàries, especialment les relatives a documents:

• Dret a la informació (interessat i personal): adequar la llegenda informativa dels formularis, contractes i qualsevol altre document o suport.
• Consentiment: recollir el consentiment en els tractaments que ho requereixin i reconduir consentiments tàcits (sempre referint-nos a finalitats diferents de l'assistencial).
• Drets dels afectats: revisar el mecanisme, procediments i formularis dels drets.
• Encàrrecs de tractament: adequar els contractes dels encarregats del tractament.
• Política de privacitat: revisar la política de privacitat a les pàgines web.

Hi ha temes que encara no tenen el nivell de definició esperat per part de les Autoritats de Protecció de Dades, com pot ser l'àmbit de la recerca, en el qual es plantegen tesis encara no concretades, de consentiments genèrics per àmbits temàtics de recerca que permetin l'ús de les dades obtingudes per a la prestació de serveis sanitaris i/o socials.

D'altra banda, hi ha temes que són el nucli problemàtic del sector sanitari i social que caldrà abordar des de la nova perspectiva de la responsabilitat proactiva, com, per exemple, el control dels accessos no adequats a les dades. També cal tenir en compte que la proliferació de l'ús de les xarxes socials en l'entorn de les organitzacions ens obligarà a fixar-nos en com el regulem, ja que les xarxes són un dels elements en que el RGPD es focalitza. En aquest sentit seran necessàries les polítiques sobre, per exemple, l'ús de les imatges a les xarxes socials.