Des del 25 de maig de 2018 és obligatori el nou Reglament General de Protecció de Dades (RGPD), aprovat pel Parlament Europeu i el Consell, per tal d’unificar els règims de tots els Estats Membres en aquesta matèria.

El Reglament es fonamenta en dos nous principis:

  • Principi de ¨responsabilitat proactiva¨ (accountability). L’RGPD descriu aquest principi com la necessitat que el responsable del tractament apliqui mesures tècniques i organitzatives apropiades, a fi de garantir i poder demostrar que el tractament és conforme al Reglament.En termes pràctics, aquest principi requereix que les organitzacions analitzin quines dades tracten, amb quines finalitats ho fan i quin tipus d’operacions de tractament duen a terme. A partir d’aquest coneixement, han de determinar de manera explícita com aplicaran les mesures que preveu l’RGPD. Així mateix, s’han d’assegurar que aquestes mesures són les adequades per complir-lo i que poden demostrar-ne el compliment davant les persones interessades i davant les autoritats de supervisió.En síntesi, aquest principi exigeix que les organitzacions tinguin una actitud conscient, diligent i proactiva davant de tots els tractaments de dades personals que duguin a terme.
  • Principi d’ ¨enfocament de risc¨. L’RGPD assenyala que les mesures adreçades a garantir-ne el compliment han de tenir en compte la naturalesa, l’àmbit, el context i les finalitats del tractament, així com el risc per als drets i les llibertats de les persones.D’acord amb aquest enfocament, algunes de les mesures que l’RGPD estableix només s’han d’aplicar quan hi hagi un alt risc per als drets i les llibertats, mentre que d’altres s’han de modular d’acord amb el nivell i tipus de risc que presentin els tractaments.Per tant, l’aplicació de les mesures previstes per l’RGPD s’ha d’adaptar a les característiques de les organitzacions. El que pot ser adequat per a una organització que maneja dades de milions d’interessats, en tractaments complexos que involucren informació personal sensible o volums importants de dades sobre cada afectat, no és necessari per a una petita empresa que duu a terme un volum limitat de tractaments de dades no sensibles.Aquests dos elements es projecten sobre totes les obligacions de les organitzacions.

A més, les principals novetats que incorpora són:

  • Consentiment exprés. Cal que els interessats doni permís exprés per  que es faci ús de les seves dades. El silenci o inacció dels usuaris no es pot intrepretar en el sentit afirmatiu, pel ue fa al permís.
  • Transparència i informació a l’interessat, que ha de ser concisa, transparent, intel·ligible, de fàcil accés, i amb un llenguatge clar i senzill.
  • Adaptació de clàusules i polítiques informatives, obligatoriament, cal informar els clients de les novetats que estableix la nova normativa de LOPD.
  • Novetat de l’avaluació de l’impacte en la protecció de dades, es tracta d’una eina que permet detectar el nivell de privacitat de les dades personals i, en cas que es detectin riscos o forats de seguretat, aplicar les mesures pertinents per tal d’eliminar-les.
  • Dret a la portabilitat de les dades, entre dos entitats, administracions, empreses, …, sense que l’interessat hagi de realitzar cap tipus de gestió complementària.
  • Nomenament d’un delegat de protecció de dades, és necessari que les empreses que tinguin un tractament massiu de dades personals comptin amb un delegat de protecció de dades (DPO).
  • Obligació de notificar falles de seguretat, cal notificar les anomenades “violacions de seguretat de les dades”, en un termini de 72 hores a partir del moment en què el responsable tingui constància d’aquest succés.
  • Introducció de certificats i segells, per tal de certificar que es garanteix el compliment de la normativa europea i la qualitat de la protecció de dades.
  • Adhesió a codis de conducta, de caràcter voluntari i per tal de facilitar la correcta aplicació de la Llei de Protecció de Dades en diferents àmbits sectorials.

A la xarxa hi ha molta informació disponible, si bé, un dels llocs d’obligada visita és la web que l’Autoritat Catalana de Protecció de Dades, amb informació molt completa i detallada (http://apdcat.gencat.cat/ca/documentacio/RGPD/). A banda, caldrà anar veient com es concreta en els centres educatius, que hauran de ser molt més sensibles en tota aquesta temàtica i, amb tota seguretat, caldrà que adaptin els seus processos i activitats.

Segur que el tema tindrà recorregut, i no poc. De moment, la Agencia Española de Protección de Datos (AEPD), ha elaborat unes guíes sectorials i en concret una per a centres educatius (Guía para centros educativos). D’obligada consulta.

http://www.tudecideseninternet.es/agpd1/images/guias/GuiaCentros/GuiaCentrosEducativos.pdf