UT04 Legislació i jurisprudència en matèria de protecció de dades.

Objectius de l'unitat formativa. Al llarg d'aquesta unitat desenvoluparan competències sobre la protecció de dades i la regulació existent en aquesta matèria, principalment seran:

1. Identificar regulació existent.

2. Aplicació dels principis relacionats amb protecció de dades.

3. Requisits per a l'aplicació de la privacitat en el disseny.

4. Eines de compliment normatiu.

5. Anàlisi de riscos de les activitats de processament de les organitzacions.

6. Implantació de mesures per a la reducció de riscos identificats en la protecció de dades.

7. Coneixement el rol de delegat de protecció de dades en una organització.

En aquesta unitat es desenvoluparan els continguts següents:

1. Principis de protecció de dades.

2. Novetats del RGPD de la Unió Europea.

3. Privacitat per Disseny i per Defecte.

4. Anàlisi d'Impacte en Privacitat (PIA), i mesures de seguretat.

5. Delegat de Protecció de Dades (DPO).

1.- Principis de Protecció de Dades.

Multa històrica per incompliment de protecció de dades

Aquí teniu un enllaç a una notícia que comenta la multa a una gran empresa de telecomunicacions a Espanya, la qual ha rebut la major multa de la història en matèria de protecció de dades.

https://www.elconfidencial.com/tecnologia/2021-03-12/aepd-vodafone-multa-millonaria-record-rgpd_2988888/

Protecció de dades, Conceptes Bàsics.

Les dades personals són qualsevol informació relativa a una persona física identificada o identificable.

Les diferents informacions, que recopilades poden portar a la identificació d'una determinada persona.

Exemples de dades personals:

[mohamed_hassan]Targeta identificativa(Domini públic)

• nom i cognoms,

• domicili,

• adreça de correu electrònic, del tipus nombre.apellido@empresa.com,

• número de document nacional d'identitat,

• dades de localització (com la funció de les dades de localització d'un telèfon mòbil) (*),

• adreça de protocol d'internet (IP),

• l'identificador d'una cookie (*),

• l'identificador de la publicitat del telèfon,

• les dades en poder d'un hospital o metge, que podrien ser un símbol que identifiqués de forma única una persona.

Exemples de dades no considerats personals:

• número de registre mercantil,

• adreça de correu electrònic tipus info@empresa.com

• dades anonimitzades.

La Regulació General de Protecció de Dades estableix a més, una categorització de dades especialment sensibles. Aquestes dades són:

• Origen racial

• Ideologia política.

• Religió o Creences.

• Afiliació sindical.

• Dades relatives a la Salut.

• Dades relatives a la vida sexual o orientacions sexuals.

• Dades genètiques i biomètriques.

En general, el tractament d'aquestes dades està prohibit, llevat dels escenaris següents:

• Amb el consentiment explícit de l'interessat, quan l'individu consent el seu tractament.

• Per obligació legal quan hi ha peticions judicials.

• Per interès vital de l'interessat, per exemple a les urgències d'un hospital.

• Per a fundacions o associacions polítiques, filosòfiques i religioses o sindicals.

• Dades manifestament públiques com per exemple la ideologia d'un líder polític.

• Formulació / defensa de reclamacions / tribunals.

• Interès públic en l'àmbit de la salut pública, recerca científica, històrica, etc...

Legislació vigent.

El Reglament General de Protecció de Dades (RGPD) és el reglament europeu relatiu a la protecció de les persones físiques pel que fa al tractament de les seves dades personals i a la lliure circulació d'aquestes dades. Va entrar en vigor el 24 de maig de 2016 i va ser d'aplicació el 25 de maig de 2018.

La Llei Orgànica de Protecció de Dades és l'adaptació espanyola del reglament europeu. Va ser aprovada el 5 de desembre de 2018 com a Llei Orgànica 3/2018, de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD). Tot i que en essència és molt similar al RGPD Europeu, inclou articles addicionals dins dels epígrafs de Garantia dels Drets Digitals, com ara el dret de Desconnexió Digital.

Principis de protecció de dades.

La protecció de dades es basa principis rectors definits a l'article 5 de la RGPD, són els següents:

• Exactitud

• Les dades tractades han de ser exactes, i en cas de no ser-ho, aquestes han de ser actualitzades. Aquest principi tracta d' establir les directrius per mantenir les dades actualitzades i correctes, o se suprimeixin o modifiquin en cas que no ho siguin.

• Confidencialitat

• Els responsables i encarregats de tractament i en general, qualsevol persona que intervingui en el procés de gestió de dades, ha de mantenir el deure de confidencialitat.

• Consentiment

• El tractament de la informació personal s'ha de basar en el consentiment del seu propietari i limitat al marc d'una finalitat o finalitats comunicades.

• Licitud, transparència i lleialtat

• S'han d'utilitzar les dades de manera legal i lícita, informant el propietari del motiu pel qual es tractaran les dades i utilitzant-les únicament per a les finalitats comunicades i consentides pel propietari.

• Finalitat

• Les dades han de ser tractades per dur a terme finalitats específiques i no per a qualsevol. En línia amb els principis anteriors, aquestes finalitats han de ser identificades, comunicades i aprovades pel propietari de les dades en cas necessari.

• Minimització de dades

• Utilitzar la quantitat de dades mínima possible per complir amb una finalitat.

• Limitació del termini de conservació

• Les dades han de ser tractades i/o emmagatzemades només durant el temps pel temps necessari per garantir la finalitat del tractament consentida.

• Seguretat

• Establir les mesures tècniques i organitzatives que permetin mantenir la seva confidencialitat, integritat i disponibilitat.

• Responsabilitat activa

• Demostrar diligència deguda en el tractament de dades personals, per protegir i garantir drets i llibertats de les persones físiques en base a una anàlisi de riscos.

1.1.- Regulació General de Protecció de Dades de la Unió Europea.

Disposicions Generals de la Regulació General de Protecció de Dades.

L'objectiu de la Regulació General de Protecció de Dades (RGPD) és la protecció de les persones físiques respecte a les seves dades personals i a la lliure circulació d'aquestes.

El RGPD aplica a tot tractament de dades personals ja siguin automatitzats o no, al territori europeu o bé en altres territoris si és que s'estan tractant dades de ciutadans europeus.

El tractament de dades consisteix en l'execució de qualsevol operació sobre dades, de manera manual o automatitzada, com la recollida, registre, modificació, consulta, ús, comunicació o difusió, conservació, supressió o destrucció.

La regulació estableix que les dades de caràcter personal només es podran tractar sota els següents escenaris:

• El propietari de la informació dóna el seu consentiment per al tractament de les seves dades amb un o diversos fins específics.

• El tractament s'executa en base a una obligació legal.

• El tractament és necessari per a l'execució d'un contracte signat entre propietari i responsable de les dades.

• El tractament és necessari per protegir la vida de l'interessat o d'una altra persona física.

• El tractament és necessari per a alguna activitat d'interès públic.

• el tractament és necessari per a la satisfacció d'interessos legítims perseguits pel responsable del tractament o per un tercer.

Obtenció del consentiment per al tractament de dades:

Els responsables de tractament de dades estaran obligades a obtenir el consentiment dels propietaris de la informació per gestionar les seves dades, i han d'informar de quina manera els processen i perquè finalitat. Els responsables de tractament han de demostrar que han obtingut el consentiment per a la gestió de la informació. La sol·licitud de consentiment es presentarà de tal manera que es distingeixi clarament dels altres assumptes, de forma intel·ligible i de fàcil accés i utilitzant un llenguatge clar i senzill per als propietaris de la informació. Aquests podran retirar el seu consentiment en qualsevol moment, essent la dificultat d'aquest procés similar a la d'atorgar-lo.

Drets de l'interessat en la Regulació General de Protecció de Dades

La següent infografia mostra els drets dels propietaris de les dades pel que fa a la seva informació:

AEPD. Drets de protecció de dades. [CC BY-NC-SA]

Figures en el tractament d'informació

A continuació es presenten les diferents figures que intervenen en el procés de tractament de dades:

Propietari de les dades / Interessat: Individu sobre el qual versen les dades que s'estan tractant, impactat per la limitació dels seus drets i llibertats en cas que no sigui respectada la regulació, i les seves dades no siguin tractades de manera diligent o existeixin fuites. Exemple: Juan Flores

Responsable del tractament de dades o controlador: Persona física o Jurídica que maneja la informació de l'interessat a través d'un o diversos mitjans amb un o diversos fins determinats. Exemple: Juan Flores signant una hipoteca amb Caixa Rural de Terol. 

Encarregat de tractament o processador: Persona física o Jurídica que tracta les dades personals en nom del responsable de tractament, sempre sota el marc d'un contracte. Exemple: Gestoria Tecnotramit realitza la gestió del procés de registre de la propietat en nom de Caixa Rural de Terol, sent Juan Flores el que ha contractat aquest servei.

Per saber-ne més

AEPD. Agència Espanyola de Protecció de Dades. [CC BY-NC-SA]

Codis de conducta i certificació

Les associacions sectorials o qualsevol organització que agrupi entitats de sectors homogenis, podran elaborar codis de conducta als quals adscriure's que descriguin la manera com estan complint el present reglament. Aquests codis de conducta inclouran elements com:

1. El tractament lleial i transparent de la informació.

2. Els interessos legítims perseguits pels responsables del tractament en contextos específics.

3. El mode de recollida de dades personals.

4. La seudonimització de dades personals.

5. La informació proporcionada al públic i als interessats.

6. L'exercici dels drets dels interessats.

7. La informació proporcionada als infants i la protecció d'aquests, així com la manera d'obtenir el consentiment dels titulars de la pàtria potestat o tutela sobre l'infant.

8. Les mesures i procediments per garantir la seguretat del tractament de la informació.

9. La notificació de violacions de la seguretat de les dades personals a les autoritats de control i la comunicació d'aquestes violacions als interessats;

10. La transferència de dades personals a tercers països o organitzacions internacionals.

11. Els procediments extrajudicials i altres procediments de resolució de conflictes que permetin resoldre les controvèrsies entre els responsables del tractament i els interessats relatives al tractament.

Per saber-ne més

Els codis de conducta són notificats a l'AEPD que els ha de validar i aprovar, essent aquests publicats i consultables al web de l'AEPD.

Codis de conducta en AEPD

Registre d'activitats de tractament

Un dels requisits del RGPD és el manteniment d'un registre d'activitats de tractament de la informació que emmagatzema l'organització. Aquest registre, ha de ser posat en mans d'un auditor de l'AEPD en cas que així ho requereixi com a informació mínima que evidenciï el compliment del reglament.

El RGPD i la LOPDGDD exigeixen que el registre contingui com a mínim la informació següent:

• El nom i les dades de contacte del responsable i, si s'escau, del corresponsable, del representant del responsable, i del delegat de protecció de dades.

• Les finalitats de tractament.

• Una descripció de les categories d'interessats i de les categories de dades personals.

• Les categories de destinataris a qui es van comunicar o comunicaran les dades personals, incloses els destinataris a tercers països o organitzacions internacionals.

• Les transferències de dades personals a un tercer país o una organització internacional, inclosa la identificació d'aquest tercer país o organització internacional.

• quan sigui possible, els terminis previstos per a la supressió de les diferents categories de dades.

• quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat.

El contingut del Registre d'Activitats de Tractament constitueix una informació mínima exigible, aquest, podria formar part dels catàlegs de processos que ja existissin a l'entitat, incloent-hi tota la informació que el responsable consideri necessària per protegir els drets i llibertats de les persones físiques i poder demostrar compliment atenent la natura, l'àmbit, el context i les finalitats del tractament, així com els possibles orígens dels riscos que aquest tractament pogués suposar per als interessats.

El registre podria incloure aspectes que facilitin l'aplicació efectiva de la responsabilitat proactiva com: anàlisi de riscos per als drets i llibertats realitzats, la descripció sistemàtica del tractament, els sistemes d'informació sobre els quals es recolza, la descripció de la identitat dels encarregats del tractament, les garanties previstes per dur a terme transferències internacionals de dades, informació de contacte de les persones o els departaments de l'organització que es troben implicats en les operacions de tractament, etc.

En el cas de donar accés al contingut del Registre d'Activitats de Tractament, i amb relació a una possible descripció general de les mesures tècniques i organitzatives de seguretat, s'ha d'evitar desvetllar qualsevol informació que pogués ser perjudicial per a l'organització, per als tractaments de dades personals i que comprometés la pròpia seguretat.

Mesures de seguretat en el tractament de dades.

AEPD. Agència Espanyola de Protecció de Dades. [CC BY-NC-SA]

L'article 32 del RGPD imposa als responsables d'un tractament l'obligació de definir i implantar les mesures de seguretat adequades per garantir el nivell de seguretat apropiat en funció de l'estat de la tècnica, els costos d'aplicació i, la naturalesa, l'abast, el context i els fins del tractament, així com els riscos associats al mateix.

A diferència de la LOPD existent prèviament a Espanya, en la qual es definien explícitament les mesures de seguretat a implementar, amb el RGPD, el responsable ha d'avaluar els riscos inherents al tractament i aplicar mesures per mitigar-los. En aquesta avaluació del risc s'han de tenir en compte els riscos que atempten contra els drets i les llibertats dels interessats.

Amb l'objectiu de seleccionar les mesures per gestionar el risc per als drets i llibertats, es poden utilitzar estàndards de seguretat ja existents en el mercat com la norma ISO 27000 o qualsevol altra, com les que es poden consultar en l'apartat de normes nacionals i internacionals en la unitat 5. Per la seva banda, les Administracions Públiques hauran d'utilitzar l'Esquema Nacional de Seguretat per seleccionar les mesures que s'hagin d'implantar per evitar la seva pèrdua, alteració o accés no autoritzat, adaptant els criteris de determinació del risc en el tractament de les dades.

Amb caràcter general l'estàndard utilitzat implicarà:

• La realització d'un inventari d'actius partint de la descripció sistemàtica del tractament.

• La identificació dels riscos, per als drets i llibertats dels interessats, associats als actius que constin en l'inventari d' actius.

• L'avaluació del risc per als drets i llibertats dels interessats.

• La gestió de riscos per als drets i llibertats dels interessats al llarg del cicle de vida del tractament.

RGPD ni LOPD-GDD estableixen mesures de seguretat obligatòries, no obstant això, les mesures a adoptar han d'estar basades en una anàlisi de riscos de cada tractament de dades que hàgiu de realitzar, perquè no totes les activitats de tractament impliquen els mateixos riscos i tenen el potencial de causar els mateixos danys i perjudicis als titulars de les dades. A continuació es proposen una sèrie de mesures de seguretat a tall d'exemple, que permeten augmentar el nivell de seguretat en el tractament de la informació:

Mesures de seguretat tècniques proposades:

• Instal·lació d'antivirus, sistemes Endpoint Detection and Response (EDR), sistemes Data Rights Management(DRM), sistemes Data Leakage Prevention (DLP).

• Sistemes seguretat de xarxa com firewalls.

• Protecció del correu electrònic, com a protocols contra el phishing.

• Gestió d'actualitzacions per solucionar vulnerabilitats.

• Xifrat de fitxers, discos durs i memòries USB.

• Sistemes de còpies de seguretat còpies de seguretat.

• Sistemes de xifrat, ofuscació, aleatorització de dades.

• Programari d'esborrat segur i destrucció d'arxius segura.

• Sistemes de gestió centralitzada de controls d'accés i contrasenyes.

• Gestió d'usuaris, rols i privilegis basats en una política de privilegis mínims i zero trust.

Mesures de seguretat organitzatives proposades:

• Plans de seguretat de la informació i de tractament de dades.

• Definició d'un cos normatiu de seguretat que inclogui polítiques i procediments.

• Protocols per al control de documents i registres.

• Política per al maneig i tractament d'informació confidencial.

• Inclusió de clàusula de seguretat i confidencialitat per a proveïdors.

• Política de controls d'accés.

• Designació d'un responsable de Seguretat de la Informació.

• Designació d'un Delegat de Protecció de Dades.

• Realització periòdica d'auditories de seguretat i de protecció de dades.

Les bretxes de Seguretat

[Sora Shimazaki].Domini Públic

Una bretxa de seguretat és un incident de seguretat que afecta dades de caràcter personal. Aquest incident pot tenir un origen accidental o intencionat i a més pot afectar dades tractades digitalment o en format paper. En general, es tracta d'un succés que ocasioni destrucció, pèrdua, alteració, comunicació o accés no autoritzat a dades personals.

Una bretxa de dades personals pot tenir una sèrie d'efectes adversos considerables en les persones, susceptibles d'ocasionar danys i perjudicis físics, materials o immaterials; per la qual cosa cal intentar evitar-les i en cas que succeeixin gestionar-les adequadament, especialment quan puguin posar en risc els drets i llibertats de les persones físiques.

L'article 33 del RGPD imposa als responsables d'un tractament de dades personals l'obligació de notificar a l'autoritat de control competent les bretxes de dades personals quan sigui probable que constitueixin un risc per als drets i llibertats de les persones.

El responsable de tractament ha de valorar el nivell de risc d'una bretxa de dades personals i notificar-la a l'autoritat de control quan existeixi aquest risc. El termini per notificar a l'autoritat de control és de 72 hores des que l'organització té constància de la bretxa.

Si a més comporta un alt risc s'haurà de comunicar sense dilació indeguda als afectats a través del mitjà que se sol utilitzar per comunicar-se amb ells, amb un llenguatge clar i senzill. Això permetrà que els afectats puguin reaccionar com més aviat millor i prendre les mesures oportunes, perquè en aquesta comunicació se'ls haurà d'explicar clarament el succeït i les mesures recomanades perquè puguin minimitzar o eliminar les conseqüències negatives que pugui tenir la bretxa sobre ells.

En l'àmbit privat, els responsables del tractament afectats per una bretxa de dades personals hauran de notificar a l'AEPD:

• Quan el seu únic establiment estigui localitzat a Espanya.

• Si tenen diversos establiments a la Unió Europea, únicament quan l' establiment principal estigui localitzat a Espanya.

• Si no tenen establiment principal a la Unió Europea, només en el cas que hagin designat un representant a Espanya.

• Si no tenen establiment ni representant a la Unió Europea, en el cas que la bretxa de dades personals compti amb afectats a Espanya.

La notificació a l'autoritat de control d'una bretxa que afecta dades personals forma part de la responsabilitat proactiva establerta en el RGPD, i el fet de notificar-la no implica necessàriament l' obertura d'un procediment administratiu. De fet, notificar en temps i forma és una evidència de la diligència de l'organització, mentre que no complir amb aquesta obligació si està tipificat com a infracció.

No obstant això, en aquells casos en què el responsable consideri que no existissin riscos per als drets i llibertats de les persones físiques el responsable té l'obligació de documentar qualsevol violació de la seguretat de les dades personals, inclosos els fets relacionats amb ella, els seus efectes i les mesures correctives adoptades, aquesta documentació permetrà a l'autoritat de control verificar el compliment del que disposa l'article 33 del RGPD.

Per saber-ne més

L'agència espanyola de protecció de dades ha publicat una guia per a la notificació de bretxes de dades personals.

Guia per a la notificació de bretxes de dades

Transferències internacionals de dades.

Una transferència internacional de dades es produeix quan les dades personals que són tractades per un responsable o un encarregat del tractament a l'Espai Econòmic Europeu (països de la Unió Europea, Islàndia, Liechtenstein i Noruega) són enviades a un tercer país o organització internacional, fora d'aquest territori.

L'objectiu de la regulació és garantir, que un cop les dades surtin del territori europeu, es continuïn donant els elements necessaris per garantir el dret fonamental a la protecció de dades personals de les persones físiques les dades personals de les quals són objecte de tractament.

Una transferència internacional de dades fora de l'Espai Econòmic Europeu (EEE), és a dir, els països de la Unió Europea i Islàndia, Liechtenstein i Noruega, només es pot dur a terme quan el tercer país o organització internacional té un nivell adequat o es donen altres garanties adequades en matèria de protecció de dades personals.

[Mike].Banderes(Domini Públic)

En general, totes les transferències internacionals, han de ser notificades i aprovades per l'agència espanyola de protecció de dades, no obstant això, els responsables i encarregats del tractament podran realitzar transferències internacionals de dades sense necessitat d'autorització sempre que el tractament de dades observi el que disposa el RGPD i en els supòsits següents:

• Transferències basades en una decisió d'adequació: Quan les entitats receptores de les dades es trobin en un país, un territori o un o diversos sectors específics d'aquest país o organització internacional que hagin estat declarats de nivell de protecció adequat per la Comissió Europea. Fins ara els països i territoris estan declarats com a adequats són: Suïssa, Canadà, Argentina, Guernsey, Illa de Man, Jersey, Illes Feroe, Andorra, Israel, Uruguai, Nova Zelanda, Japó, Regne Unit i República de Corea.

• Mitjançant l'aportació de garanties adequades: A falta de decisió d'adequació si s'ofereixen garanties adequades, que podran ser aportades a través de:

  • Un instrument jurídicament vinculant i exigible entre les autoritats o organismes públics.
  • Normes corporatives vinculants.
  • Clàusules tipus de protecció de dades adoptades per la Comissió.
  • Clàusules tipus de protecció de dades adoptades per una autoritat de control i aprovades per la Comissió.
  • Codis de conducta, juntament amb compromisos vinculants i exigibles del responsable o l'encarregat del tractament en el tercer país d'aplicar garanties adequades, incloses les relatives als drets de les persones interessades.
  • Mecanismes de certificació, juntament amb compromisos vinculants i exigibles del responsable o l'encarregat del tractament en el tercer país d'aplicar garanties adequades, incloses les relatives als drets de les persones interessades.

• Excepcions per a situacions específiques

A falta de decisió d'adequació i de garanties adequades únicament es podran realitzar si es compleix alguna de les condicions següents:

• La persona interessada hagi donat explícitament el seu consentiment, després d'haver estat informada dels possibles riscos.

• La transferència sigui necessària per a l'execució d'un contracte entre la persona interessada i el responsable del tractament o per a l'execució de mesures precontractuals adoptades a petició de la persona interessada.

• La transferència sigui necessària per a la celebració o execució d'un contracte, en interès de l'interessat, entre el responsable del tractament i una altra persona física o jurídica.

• La transferència sigui necessària per raons importants d'interès públic.

• La transferència sigui necessària per a la formulació, l'exercici o la defensa de reclamacions.

• La transferència sigui necessària per protegir els interessos vitals de l'interessat o d'altres persones, quan la persona interessada estigui físicament o jurídicament incapacitada per donar el seu consentiment.

• La transferència es realitzi des d'un registre públic que, d'acord amb el Dret de la Unió o dels Estats membres, tingui per objecte facilitar informació al públic i estigui obert a la consulta del públic en general o de qualsevol persona que pugui acreditar un interès legítim, però només en la mesura que es compleixin, en cada cas particular, les condicions que estableix el Dret de la Unió o dels Estats membres per a la consulta.

Una transferència internacional, necessitarà aprovació explicita de l'Agència Espanyola de Protecció de Dades, quan l'oferiment de garanties adequades es realitzi mitjançant:

• Clàusules contractuals entre el responsable o l'encarregat i el responsable, encarregat o sub encarregat, que no hagin estat adoptades per la Comissió Europea o per l'Agència Espanyola de Protecció de Dades i aprovades per la Comissió Europea.

• Disposicions que s'incorporin en acords administratius entre les autoritats o organismes públics que incloguin drets efectius i exigibles per a les persones interessades

L'agència espanyola de protecció de dades.

[Agència espanyola de protecció de dades].. [CC BY-NC-SA]

L'Agència Espanyola de Protecció de Dades (AEPD) està encarregada de vetllar pel compliment de la normativa de protecció de dades i controlar la seva aplicació, a nivell estatal, no obstant això, per als àmbits geogràfics d'Andalusia, Catalunya i País Basc, existeixen agències autonòmiques de protecció de dades amb potestat d'actuació en àmbit local i amb funcions similars a les de l'AEPD.

Les funcions principals que duen a terme aquestes agències, són les següents:

• Controlar l'aplicació del Reglament General de Protecció de Dades i la resta de la normativa de protecció de dades, així com procedir a que s'apliqui.

• Promoure la sensibilització del públic i la seva comprensió dels riscos, normes, garanties i drets en relació amb el tractament.

• Assessorar el Parlament nacional, el Govern i altres institucions i organismes sobre les mesures legislatives i administratives relatives a la protecció dels interessos i llibertats de les persones físiques pel que fa al tractament.

• Promoure la sensibilització de les persones responsables i encarregades del tractament sobre les obligacions que els incumbeixen en virtut del present Reglament.

• Facilitar informació a qualsevol interessat en relació amb l' exercici dels seus drets.

• Tractar les reclamacions presentades per un interessat o per un organisme, organització o associació, i investigar, en la mesura oportuna, el motiu de la reclamació.

• Cooperar, en particular compartint informació, amb altres autoritats de control i prestar assistència mútua per tal de garantir la coherència en l'aplicació i execució del present Reglament.

• Enllestir l'elaboració de codis de conducta, dictaminar i aprovar els codis de conducta presentats, que donin prou garanties d'acord amb el compliment del RGPD.

• Fomentar la creació de mecanismes de certificació de la protecció de dades i de segells i marques de protecció de dades.

• Portar registres interns de les infraccions del present Reglament.

• Dur a terme investigacions en forma d'auditories de protecció de dades.

• Sancionar tota persona responsable o encarregat del tractament amb un advertiment quan les operacions de tractament previstes puguin infringir o hagin infringit el que disposa la normativa de protecció de dades.

• Tutelar els drets i garanties de les persones abonades i usuàries en l'àmbit de les comunicacions electròniques, incloent l'enviament de comunicacions comercials no sol·licitades realitzades a través de correu electrònic o mitjans de comunicació electrònica equivalent (spam).

• Rebre les notificacions de les eventuals fallides de seguretat que es produeixin en els sistemes dels proveïdors de serveis de comunicacions electròniques i que puguin afectar dades personals.

• Cooperació amb diversos organismes internacionals i amb els òrgans de la Unió Europea en matèria de protecció de dades.

Sancions per incompliment de la legislació en protecció de dades.

En aquest epígraf es detallarà el règim sancionador per incompliment de protecció de dades.

[succo].Sancions(Domini Públic)

En aquest sentit, s'ha de diferenciar la quantia de les multes segons el definit en el RGPD que les que estan especificades en la nova LOPD-GDD. El reglament europeu és més abstracte quant a l' especificitat dels incompliments i la graduació de la seva quantia, mentre que la LOPD-GDD ho especifica de manera més detallada.

La quantia de les sancions per protecció de dades que tant el RGPD com la LOPDGDD imposen, es valora segons els drets personals afectats, els beneficis obtinguts, la possible reincidència, la intencionalitat i qualsevol circumstància que sigui rellevant per determinar la culpabilitat.

Així, les sancions que estableix el RGPD són:

• Per a infraccions greus: multa de fins a 10 milions d'euros (o el 2% de la facturació anual, aplicant la quantia que resulti més alta).

• Per a infraccions molt greus: multa de fins a 20 milions d'euros (o el 4% de la facturació anual, aplicant la quantia que resulti més alta).

En cas de la LOPD-GDD espanyola, les infraccions per protecció de dades es divideixen en lleus, greus i molt greus.

• Les sancions per a infraccions lleus suposen una multa de fins a 40.000 €. Són considerades infraccions lleus:

  • Incompliment del principi de transparència de la informació o el dret d'informació de l'afectat per no facilitar tota la informació que exigeixen els articles 13 i 14 del RGPD.

  • Demanar un pagament a l'interessat per poder accedir a la informació que exigeixen els articles 13 i 14 del RGPD o per atendre les sol.licituds d'exercici de drets contemplades als articles 15 a 22 de l'esmentat Reglament.

  • No atendre les sol·licituds dels exercicis dels drets que s'estableixen als articles 15 a 22 del RGPD.

  • No atendre els drets d'accés, rectificació, supressió, limitació del tractament o portabilitat de les dades quan no es requereixi la identificació de l'afectat.

  • No complir amb l'obligació de notificació relativa a la rectificació o supressió de dades personals o la limitació del tractament que exigeix l'article 19 del RGPD.

  • No complir amb l'obligació d'informar l'afectat dels destinataris als quals s'hagi comunicat la rectificació, supressió o limitació del tractament.

  • No complir amb la supressió de dades referides a una persona morta quan així ho exigeix l'article 3 de la LOPDGDD.

  • Incompliment de les obligacions dels responsables i encarregats del tractament.

  • Que el registre d'activitats de tractament no contingui tota la informació que exigeix l'article 30 del RGPD.

  • Informar tard o de forma incompleta a l'AEPD d'una bretxa de seguretat.

  • Donar informació inexacta a l'AEPD en els supòsits en què el responsable del tractament ha d'elevar una consulta prèvia, d'acord amb l'article 36 del RGPD.

  • No publicar les dades de contacte del delegat de protecció de dades o comunicar-les a l'AEPD.

  • Incompliment de les obligacions dels organismes de certificació d'informar l'AEPD de l'expedició, renovació o retirada d' una certificació.

  • Incompliment dels organismes acreditats de supervisió d'un codi de conducta de l'obligació d'informar l'AEPD de les mesures que resultin oportunes en cas d'infracció del codi.

• Les sancions per a incompliments Greus suposen una multa de 40.001 € a 300.000 €. Es poden considerar com a greus:

  • Tractar dades de menors d'edat sense recaptar el seu consentiment, quan tingui edat per a això, o dels seus pares o tutors.

  • No acreditar esforços raonables per verificar la validesa del consentiment del menor o dels seus pares o tutors.

  • No atendre de forma reiterada o obstaculitzar la sol·licitud dels drets d'accés, rectificació, supressió, limitació del tractament o portabilitat de les dades en els tractaments en els quals no es requereix la identificació de l'afectat.

  • No adoptar les mesures tècniques i organitzatives apropiades per aplicar la protecció de dades des del disseny.

  • No adoptar les mesures tècniques i organitzatives que garanteixin el tractament de les dades personals necessàries per a cadascun dels fins específics del tractament.

  • No adoptar les mesures tècniques i organitzatives necessàries per garantir la seguretat de les dades.

  • Bretxes de seguretat ocorregudes per no haver adoptat les mesures adequades de seguretat.

  • No designar un representant del responsable o encarregat del tractament no establert en territori de la UE, d'acord amb l' article 27 del RGPD.

  • No atendre les sol·licituds de les agències de protecció de dades.

  • Contractar un encarregat del tractament que no ofereixi les garanties suficients per aplicar les mesures tècniques i organitzatives necessàries, d'acord al Capítol IV del RGPD.

  • Encarregar el tractament de dades a un tercer sense el degut contracte.

  • Contractació per part de l'encarregat del tractament d' altres encarregats sense comptar amb l'autorització del responsable.

  • Infracció del que disposa l'article 28.10 del RGPD respecte a la determinació dels fins i els mitjans de tractament per part de l'encarregat.

  • No disposar del registre d'activitats.

  • No cooperar amb l'AEPD o altres autoritats de control en l' acompliment de les seves funcions en els supòsits no previstos a l'article 72 de la LOPDGDD.

  • El tractament de dades personals sense complir amb el que recull l'article 28 de la LOPDGDD.

  • Incomplir el deure d'informar de les violacions de seguretat per part de l'encarregat del tractament al responsable.

  • No informar de les violacions de seguretat a l'AEPD, segons l'article 33 del RGPD.

  • No informar l'afectat d'una violació de seguretat de dades personals.

  • Dur a terme el tractament de dades sense realitzar una avaluació d'impacte quan aquesta és exigible.

  • Tractar dades personals sense haver realitzat consulta prèvia a l'AEPD quan aquesta sigui obligatòria.

  • No designar un delegat de protecció de dades quan sigui obligatori.

  • No permetre que el delegat de protecció de dades pugui complir amb les seves funcions.

  • Utilitzar segells o certificacions en matèria de protecció de dades que no hagin estat atorgades per una entitat de certificació acreditada o estiguin expirats.

  • Incompliments dels organismes de certificació.

• Les sancions molt greus impliquen una multa d'entre 300.001 € a 20.000.000 €, són considerades infraccions molt greus, les següents:

  • Tractament de dades personals que vulnerin les garanties i principis establerts a l'article 5 del RGPD.

  • Tracta dades personals sense la legitimació establerta a l' article 6 del RGPD.

  • No complir amb els requisits exigits a l'article 7 del RGPD per a la validesa del consentiment.

  • Utilitzar les dades personals recollides amb una finalitat diferent per a la qual es va donar el consentiment.

  • Tracta dades personals de les categories recollides a l' article 9 del RGPD sense que concorri alguna de les circumstàncies previstes d'aquest article i de l'article 9 de la LOPDGDD.

  • Tractar dades personals relatives a condemnes i infraccions penals o mesures de seguretat connexes fora dels supòsits de l' article 10 del RGPD i l'article 10 de la LOPDGDD.

## **1.2.- Privacitat per Disseny i per Defecte.** ### **Privacitat des del disseny i per defecte.** La **privacitat des del disseny i per defecte** es tracta d'establir un procés a través del qual es **considerin els riscos en privacitat** d'un procés o un sistema de tal manera que **durant la seva construcció** s'apliquin les mesures tècniques i organitzatives necessàries per garantir la privacitat de la informació de caràcter personal abans del seu tractament.

{ width="50%" }

[https://pixabay.com/es/photos/computadora-port%c3%a1til-wordpress-593673/].(Domini Públic)

Aquest paradigma implica un canvi en la manera com es desenvolupen aquests processos, en els quals, típicament es realitzava un disseny funcional per a posteriorment, s'afegiran les mesures de seguretat, una vegada desenvolupat. Aquest procés està **regulat en el RGPD en l'article 25:** *"Tenint en compte l'estat de la tècnica, el cost de l'aplicació i la naturalesa, àmbit, context i fins del tractament, així com els riscos de diversa probabilitat i gravetat que comporta el tractament per als drets i llibertats de les persones físiques, el responsable del tractament aplicarà, tant **en el moment de determinar els mitjans de tractament** com en el moment del propi tractament, mesures tècniques i organitzatives apropiades, concebudes per aplicar de forma efectiva els principis de protecció de dades, i integrar les garanties necessàries en el tractament, a fi de complir els requisits del present Reglament i protegir els drets dels interessats."* El concepte de privacitat des del disseny i per defecte es basa en **set principis fonamentals**: 1. **Proactiu, no reactiu; preventiu, no correctiu:** La privacitat per disseny, (per les seves sigles en anglès \"PbD\") implica anticipar-se als esdeveniments que afectin la privacitat abans que succeeixin. Qualsevol sistema, procés o infraestructura que hagi d' utilitzar dades personals ha de ser concebuda i dissenyada des de zero identificant, a priori, els possibles riscos als drets i llibertats dels interessats i minimitzar-los perquè no arribin a concretar-se en danys. 2. **La privacitat com a configuració predeterminada:** La configuració per defecte haurà de quedar establerta des del disseny a aquell nivell que resulti el més respectuós possible en termes de privacitat. En el cas que el subjecte no prengui cap acció de configuració, la seva privacitat ha d'estar garantida i mantenir-se intacta, ja que està integrada en el sistema i configurada per defecte. Com a exemple pràctic d'aquest principi es poden determinar els elements següents: 1. Fixar criteris de recollida limitats a la finalitat que persegueix el tractament. 2. Limitar l'ús de les dades personals a la(s) finalitats per a la(s) que van ser recollides i assegurar-se que existeix una base legitimadora del tractament. 3. Restringir els accessos a les dades personals a les parts implicades en els tractaments atenent al principi de \"need to know\" i segons la funció que realitzin mitjançant la creació de perfils d'accés diferenciats. 4. Definir terminis estrictes de conservació i establir mecanismes operatius que en garanteixin el compliment. 5. Crear barreres tecnològiques i procedimentals que impedeixin la vinculació de no autoritzada de fonts de dades independents. 3. **Privacitat incorporada en la fase de disseny:** La privacitat ha de formar part dels sistemes, aplicacions, productes i serveis, així com de les pràctiques de negoci i processos de l'organització. No ha de consistir en una sèrie de mesures de seguretat que s'afegeix a una cosa preexistent , sinó que ha d'estar integrada en el conjunt de requisits no funcionals des del mateix moment en què es concep i dissenya. 4. **Funcionalitat total, pensament \"tots guanyen\":** Tradicionalment s'ha entès es guanya en privacitat a costa de perdre altres funcionalitats, presentant dicotomies com privacitat vs usabilitat, privacitat vs funcionalitat. L'objectiu ha de ser buscar el balanç òptim en una recerca tipus \"gana-gana\", amb una mentalitat oberta a noves solucions per aconseguir sistemes plenament funcionals, eficaços i eficients també a nivell de privacitat. 5. **Privacitat en tot el cicle de vida:** La privacitat neix en el disseny, ha d'existir al llarg de tot el cicle de vida complet de les dades.  Mentre que la seguretat de la informació imposa confidencialitat, integritat, disponibilitat i resiliència dels sistemes, la privacitat implica la desvinculació, la transparència i la capacitat d'intervenció i control en el tractament per part del subjecte de la dada. 6. **Visibilitat i transparència:** El procés de privacitat per defecte en una organització, ha de ser demostrable, verificant que el tractament és d'acord amb la informació donada. El principi de transparència en el tractament de dades implica la capacitat de demostrar la diligència i la responsabilitat proactiva davant l'Autoritat de Control (AEPD) i com a mesura de confiança davant els subjectes les dades dels quals són tractats, principalment, els clients d'una organització.  7. **Respecte per la privacitat dels usuaris:** s'ha de mantenir un enfocament centrat en l'usuari respectant els interessos legítims del tractament de la informació. L'objectiu final del procés és garantir la privacitat dels propietaris de la informació. L'usuari ha de tenir un paper actiu en la gestió de les seves pròpies dades i la seva inacció no ha de suposar un nivell inferior en la privacitat de les seves dades. La configuració de privacitat per defecte ha d' oferir el màxim nivell de protecció. [AEPD](https://www.aepd.es/)([CC BY-NC-SA](http://creativecommons.org/licenses/?lang=es)) Tradicionalment la protecció dels processos i sistemes d'informació s'ha basat en el desplegament de mesures de seguretat la finalitat de les quals es basava en la cobertura de les principals propietats de seguretat de la informació: confidencialitat, integritat i disponibilitat. La minimització de riscos en privacitat implica una sèrie d'objectius nous diferents però complementaris als de la seguretat, que compleixen amb els **principis establerts en la RGDP**, aquests són: **Desvinculació:** Aquest objectiu de privacitat minimitza el risc d' un ús no autoritzat de les dades personals i la creació de perfils mitjançant la interconnexió d'informació pertanyent a diferents conjunts de dades, establint garanties sobre els principis de limitació de la finalitat, la minimització de dades i la limitació del termini de conservació. **Transparència:** Aquest objectiu de la privacitat pretén que el context del tractament quedi perfectament delimitat i que la informació sobre les finalitats i les condicions legals, tècniques i organitzatives aplicables estigui disponible abans, durant i després del tractament a totes les parts implicades, tant per al responsable com per al subjecte les dades del qual són tractades, minimitzant així els riscos que poden afectar els principis de lleialtat i transparència. **Control:** Aquest objectiu es basa en la implementació de procediments per a l'exercici de drets en matèria de protecció de dades, la presentació de reclamacions o la revocació dels consentiments prestats per part dels interessats, així com mecanismes per garantir, per part del responsable, l'avaluació del compliment i l'efectivitat de les obligacions que li són fixades per la normativa, el que contribueix a respectar els principis d'exactitud i responsabilitat proactiva marcats pel RGPD. Perquè la privacitat quedi integrada com a part del disseny del sistema s'ha de seguir una **aproximació sistemàtica i metodològica**, traslladant els requisits de la fase d'anàlisi al seu desenvolupament en la fase d'implementació. Per a això, existeixen certes estratègies de maneig d'informació que donen suport en el compliment dels objectius recent esmentats. Les estratègies de privacitat es materialitzen, a més baix nivell, en patrons de disseny de solucions reutilitzables de privacitat que són aplicables per resoldre problemes comuns i repetibles de privacitat que es presenten de forma reiterada en el desenvolupament de productes i sistemes. S'han identificat vuit **estratègies de disseny de la privacitat** que es coneixen com 'minimitzar', 'ocultar', 'separar', 'abstreure', 'informar', 'controlar', 'complir'i 'demostrar'. - **Minimitzar: L'** objectiu que persegueix aquesta estratègia és recollir i tractar la mínima quantitat de dades possible, de manera que, evitant el processament de dades que no siguin necessàries per a les finalitats perseguides en el tractament, es limiten els possibles impactes en la privacitat. - **Ocultar:** Aquesta estratègia se centra a limitar l'exposició de les dades, establint les mesures necessàries per garantir la protecció dels objectius de confidencialitat i desvinculació. - **Separar: L'** objectiu que persegueix aquesta estratègia és evitar, que durant el processament de diferents dades personals pertanyents a un mateix individu en una mateixa entitat, i utilitzats en tractaments independents, es pugui arribar a realitzar un perfilat complet del subjecte. Per a això, cal mantenir contextos de tractament independents que dificultin la correlació de grups de dades que haurien d'estar deslligats. - **Abstreure:** La idea que subjau sota l'ús d'aquesta estratègia és limitar al màxim el detall de les dades personals que són tractades. A diferència de l'estratègia 'minimitzar'que realitza una selecció prèvia de les dades recollides, aquesta estratègia se centra en el grau de detall amb què les dades són tractades i en la seva agregació. - **Informar:** Aquest objectiu persegueix que els interessats estiguin plenament informats del processament de les seves dades en temps i forma. Sempre que es realitzi un tractament, els subjectes les dades dels quals són tractats haurien de conèixer quina informació és la que es processa, amb quin propòsit i a quines terceres parts és comunicada. - **Controlar:** Es tracta de proporcionar als interessats control en relació a la recollida, tractament, usos i comunicacions realitzades sobre les seves dades personals mitjançant la implementació de mecanismes que permetin l'exercici dels drets d'accés, rectificació, supressió, oposició, portabilitat i limitació al tractament així com la prestació i retirada del consentiment o la modificació de les opcions de privacitat en aplicacions i serveis. - **Complir:** Aquesta estratègia assegura que els tractaments de dades personals són compatibles i respecten els requisits i obligacions legals imposats per la normativa. Aquesta estratègia es basa en la definició d'un marc de privacitat i una estructura de governança que inclogui una política de protecció de dades recolzada des de l'alta direcció, així com els rols i responsabilitats que vetllin pel seu compliment. - **Demostrar:** L'objectiu d'aquesta estratègia és que el responsable del tractament pugui demostrar, tant als interessats com a les autoritats de supervisió, el compliment de la política de protecció de dades que estigui aplicant, així com de la resta de requisits i obligacions legals imposats pel Reglament. [Hans](https://pixabay.com/es/photos/desfibradora-aplastado-papel-779853/)(Domini públic) Finalment, com a part de les eines que poden donar suport en privacitat, es troben les **tecnologies de privacitat millorada o PETS (Privacy Enhancing Technologies)** que s'utilitzen per implementar els patrons de disseny de la privacitat amb una tecnologia concreta. Les Privacy Enhancing Technologies o PETs són un conjunt de solucions TIC que redueixen els riscos que afecten la privacitat, implementant les estratègies i patrons definits anteriorment. A continuació es proposen dues agrupacions de PETs de tipologia d'eines utilitzades per a la millora en la privacitat: - **Protecció de la privacitat:** - Eines per a pseudonimitzar: Permeten efectuar transaccions sense sol·licitar informació personal. - Productes i serveis per anonimitzar: Proporcionen l'accés a serveis sense requerir la identificació del subjecte de dades. - Eines de xifrat: Protegeixen els documents i transaccions de ser visualitzats per terceres parts. - Filtres i bloquejadors: Eviten emails i contingut web no desitjat - Supressors de seguiment: Eliminen les traces electròniques de l'activitat digital de l'usuari. - **Gestió de la privacitat:** - Eines d'informació: Creen i verifiquen les polítiques de privacitat. - Eines administratives: Gestionen la identitat i els permisos de l'usuari **1.3.- Anàlisi d'Impacte en Privacitat (PIA), i mesures de seguretat.** **Anàlisi d'Impacte en Privacitat (PIA)** [geralt](https://pixabay.com/es/photos/meta-grupo-objetivo-gente-selecci%c3%b3n-3845093/).*Persones objectiu*(Domini públic) El **RGPD parla de l'anàlisi d'impacte en privacitat** com una obligació regulada a l'article 35 de la norma, en la seva transposició a la legislació espanyola es parla d'aquest procés com a Avaluació d' Impacte en Protecció de Dades. Una Avaluació d'Impacte en Protecció de Dades (EIPD) és una activitat realitzada per **identificar els riscos als quals estan exposades les dades personals** que manté una organització en funció de les activitats de tractament que es realitzen, a més, permet definir mesures de minimització de riscos fins a reduir-les a un nivell acceptable per a l'organització. Aquest procés ha de ser executat previ al tractament de la informació en els casos en què hi hagi un risc alt per als drets i llibertats dels propietaris de la informació. A diferència d'una avaluació de riscos en seguretat de la informació que se centra en aspectes de risc per a l'organització, l'avaluació d'impacte de protecció de dades, busca determinar el nivell de **risc que un determinat tractament suposa per als drets i llibertats de les persones, identificant amenaces i probabilitats i avaluant l'impacte que això tindria sobre la vida dels propietaris de la informació.** El reglament estableix **quan cal dur a terme una anàlisi d'impacte en privacitat**, essent obligatori en les situacions següents: - **Alt risc:** Quan el tractament vagi a comportar un alt risc a causa de l'ús de noves tecnologies, o per la seva naturalesa, abast, context o fins. - **Avaluació sistemàtica:** quan es duu a terme una avaluació exhaustiva i sistemàtica d'aspectes personals i se suporta en un procés automatitzat, com l'elaboració deperfils, i que a més suposa la presa de decisions que afectin els interessats. - **Tractament a gran escala** de dades especialment protegides: Si s'efectua un tractament a gran escala de les categories especialment sensibles de dades de l'article 9, apartat 1 del RGPD, de les dades personals relatives a condemnes i infraccions penals o de dades relatives a menors. - Quan es vagin a dur a terme activitats d**'observació sistemàtica a gran escala**, en funció a: - El nombre d'interessats afectats, bé en termes absoluts, bé com a proporció d'una determinada població. - El volum de dades i la varietat de dades tractades. - La durada o permanència de l'activitat de tractament. - L'extensió geogràfica de l'activitat de tractament. **Per saber-ne més** L'agència espanyola de protecció de dades ha desenvolupat una guia per a l'avaluació d'impacte i l'anàlisi de risc en privacitat. És consultable en el següent enllaç: [Guia per a l'avaluació d'impacte i anàlisi de riscos en privacitat](https://m4.xaviersastre.cat/moodle/pluginfile.php/3910/mod_resource/content/1/U4_LegislacionMateriaProteccionDatos_25_08/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf) L'avaluació d'impacte de la protecció de dades (EIPD) ha de ser realitzada en base a una metodologia que tingui en compte els requeriments establerts pel RGPD. Les **anàlisis d'impacte han d' incloure almenys els continguts següents**: - Una descripció sistemàtica de l'activitat de tractament previstes. - Una avaluació de la necessitat i proporcionalitat del tractament respecte a la seva finalitat. - Una avaluació dels riscos. - Les mesures previstes per afrontar els riscos, incloses garanties, mesures de seguretat i mecanismes que garanteixin la protecció de dades personals. Així mateix, també s'han de **tenir en compte els aspectes següents:** - Pel que fa al **context**, s'han de tenir en compte dos elements: - El cicle de vida de les dades, elaborant-ne una descripció i del flux de dades durant el tractament, identificant les dades tractades, intervinents, tercers, sistemes implicats i qualsevol element rellevant que participi en l'activitat de tractament. - Analitzar la idoneïtat, necessitat i proporcionalitat del tractament, en base a:[Nataliya Vaitkevich](https://www.pexels.com/es-es/foto/lapiz-gobierno-fecha-tope-financiar-6863174/).*Lupa*(Domini públic) - Idoneïtat: determinar si el tractament és adequat per a la finalitat que persegueix. El tractament dóna resposta a determinades mancances, demandes, exigències, obligacions o oportunitats objectives i pot aconseguir els objectius proposats amb l'eficàcia suficient. - Necessitat: determinar si la finalitat perseguida no es pot assolir d'una altra manera menys lesiva o invasiva, és a dir, no hi ha un tractament alternatiu que sigui igualment eficaç per a l'assoliment de la finalitat perseguida. - Proporcionalitat: La gravetat del risc per als drets i llibertats del tractament, i la seva intromissió en la privacitat, ha de ser adequada a l'objectiu perseguit i proporcionada a la urgència i gravetat d'aquesta. - Així mateix, també s'ha de dur a terme un procés **de gestió de riscos,** que inclogui: - Amenaces i riscos: Identificació de les amenaces i riscos potencials als quals estan exposats les activitats de tractament. - Avaluació els riscos: Avaluació de la probabilitat i l'impacte que es materialitzin els riscos als quals està exposada l' organització. - Tractament els riscos: Resposta davant els riscos identificats amb l'objectiu de minimitzar la probabilitat i l'impacte que aquests es materialitzin fins a un nivell de risc acceptable que permeti garantir els drets i llibertats de les persones físiques. - Finalment, s'ha d'emetre un **informe amb les conclusions i el pla d'acció que** ha de recollir: - El resultat obtingut juntament amb el pla d'acció que inclogui les mesures de control a implantar per gestionar els riscos identificats i poder garantir els drets i llibertats de les persones físiques. - Un procés de supervisió i revisió de la implantació o posada en marxa del nou tractament amb l'objectiu de garantir la implantació de les mesures de control descrites en el Pla d' acció. El procés d'avaluació d'impacte en privacitat, ha de ser entès com un **procés continu**, de tal manera que les dades de l'anàlisi realitzada es **revisin davant de qualsevol canvi** rellevant en les activitats de tractament.   **1.4.- Delegat de Protecció de Dades (DPO).** **El delegat de Protecció de Dades.** **Delegat de Protecció de Dades -- Oficial de protecció de Dades -- Data Privacy Officer - DPO.** El Delegat de Protecció de Dades és la figura dins de l'organització que s'encarrega de vetllar per la protecció de la informació. El RGPD estableix la figura del Delegat de Protecció de Dades (DPD), que serà **obligatori en:** - Autoritats i organismes públics. - Responsables o encarregats que tinguin entre les seves activitats principals les operacions de tractament que requereixin una observació habitual i sistemàtica d'interessats a gran escala. - Responsables o encarregats que tinguin entre les seves activitats principals el tractament a gran escala de dades sensibles. O bé quan l'organització pertanyi als **sectors següents:** - Educació. - Serveis de comunicacions. - Entitats de crèdit. - Asseguradores. - Energia. - Publicitat i recerca. - Sanitat. [Lisa fotios](https://www.pexels.com/es-es/foto/hombre-usando-la-computadora-portatil-en-la-mesa-con-una-taza-de-bebida-caliente-2010794/).*DPO*(Domini públic) El DPD ha de ser **nomenat atenent les seves qualificacions professionals** i, en particular, el seu coneixement de la legislació i la pràctica de la protecció de dades. Tot i que no ha de tenir una titulació específica, en la mesura que entre les funcions del DPD s' inclogui l'assessorament al responsable o encarregat en tot allò relatiu a la normativa sobre protecció de dades, els coneixements jurídics en la matèria són sens dubte necessaris, però també cal comptar amb coneixements aliens a l'estrictament jurídic, com per exemple en matèria de tecnologia aplicada al tractament de dades o en relació amb l'àmbit d'activitat de l'organització en la qual el DPD exerceix la seva tasca. La designació del DPD i les seves dades de contacte s'han de fer públiques pels responsables i encarregats i hauran de ser comunicades a les autoritats de supervisió competents. La **posició del DPD** en les organitzacions ha de **complir els requisits establerts**, entre els quals es troben: - Total autonomia en l'exercici de les seves funcions. - Necessitat que es relacioni amb el nivell superior de la direcció. - Obligació que el responsable o l'encarregat facilitin al DPD tots els recursos necessaris per desenvolupar la seva activitat. - Coneixement en dret en la branca de protecció de dades. - Les seves dades han de ser notificades a l'AEPD. - Pot ser intern o un servei externalitzat. Les seves **funcions** són: - Informar i assessorar de les obligacions en matèria de protecció de dades (similar al compliance officer). - Supervisar el compliment legal en protecció de dades, almenys en l' assignació de responsabilitats, conscienciació i formació i l' execució d'auditories. - Proposar i supervisar l'execució d'Avaluacions d'Impacte de Protecció de Dades. - Punt de contacte per a les Agències de Protecció de Dades. **A4.- Continguts Addicionals.** Presentació sobre el Reglament General de Protecció de dades: Natalia Olivares -- Alaro Avant [Article](http://www.iisgm.com/wp-content/uploads/2013/08/100320-Seminario-RGPD-FIBHGM.pdf) Protecció de dades -- Fundació EDE [Article](https://www.ehige.eus/wp-content/uploads/2019/02/ProteccionDatosBIGE-ADAKA.pdf) La nova LOPD -- Elzaburu [Article](https://www.elzaburu.es/wp-content/uploads/2019/01/ELZABURU-191207-Dosier-LOPD_Elzaburu-e.pdf) ACCID Congress -- Barcelona 2019 Miguel Reboiro [Article](https://accid.org/wp-content/uploads/2019/06/VIII-Congr%C3%A9s-ACCID-GRUPO-LAE-Miguel-Reboiro.pdf) Privacitat per defecte i des del disseny PREVENSYSTEM [Article](https://www.prevensystem.com/internacional/807/noticia-privacidad-desde-el-diseo-y-por-defecto.html)  Privacitat des del disseny: GRUP ATICO34 [Article](https://protecciondatos-lopd.com/empresas/privacy-by-design/)