El 25 de maig serà obligatori complir el Reglament General de Protecció de Dades (RGPD). La nova normativa suposa un gran canvi respecte a l’actual sistema de protecció de dades. Una de les novetats és que parlarem de dues figures: el responsable i l’encarregat del tractament de dades, que amb l’anterior normativa s’anomenaven responsable del fitxer i encarregat del tractament, respectivament.
Diferències entre responsable i encarregat Responsable del tractament
Responsable del tractament
Definició legal: “persona física o jurídica, autoritat pública, servei o organisme que, sol o juntament amb altres, determini la finalitat i mitjans del tractament” (art. 4.7 del RGPD)
- Exemple: a l’oficina de farmàcia, el responsable del tractament és el titular o co-titulars (CB) de la farmàcia en tant persona física que recull i tracta les dades de caràcter personal dels seus pacients.
Encarregat del tractament
Definició legal: “persona física o jurídica, autoritat pública, servei o organisme que tracti dades personals per compte del responsable del tractament” (art. 4.8 del RGPD).
- Exemple: a l’oficina de farmàcia, l’encarregat del tractament seria la gestoria que presta els serveis comptables, fiscals, laborals a les oficines de farmàcia, les empreses informàtiques del software específic de gestió de la farmàcia (Farmatic, Nixfarma, entre d’altres), les empreses que presten els serveis de prevenció de riscos laborals, les farmàcies que elaboren fórmules magistrals per tercers…
Principi de proactivitat (art. 5.2 RGPD)
Una de les principals novetats que introdueix la nova normativa és el caràcter proactiu de les mesures que cal adoptar, en el sentit que tant el responsable com l’encarregat del tractament han de decidir quines mesures de seguretat han d’implementar per garantir la seguretat de les dades objecte de tractament.
Tant és així, que el responsable del tractament té l’obligació de comprovar que l’encarregat ha adaptat les polítiques de protecció de dades que exigeix la normativa comunitària, segons Josep Mª Barcelona, advocat responsable del Departament de Noves Tecnologies de Bufet Escura.
Relació contractual entre el responsable i l’encarregat del tractament (art. 28.4 RGPD)
A partir del pròxim 25 de maig, els contractes signats entre el responsable del tractament i l’encarregat han d’assolir noves obligacions, motiu pel qual, hauran d’adaptar el seu contingut als nous requeriments legals. No obstant això, el projecte de Llei Orgànica de protecció de dades que el Govern espanyol està elaborant perquè entri en vigor també el pròxim 25 de maig, preveu que els contractes entre el responsable i l’encarregat del tractament que s’hagin signat amb anterioritat a l’entrada en vigor del Reglament, podran continuar vigents quatre anys més.
En el pròxim capítol…
Parlarem de les obligacions del responsable i l’encarregat:
- Registre d’activitats de tractament
- Anàlisis de riscos i mesures de seguretat
- Bretxes de seguretat
- Avaluació de l’impacte relatiu a la protecció de dades (EIPD)
- Delegat de Protecció de Dades (DPO)
- Codis de conducta i certificació
- Transferències internacionals de dades Indemnitzacions i sancions
0 Comments