Síguenos en Twitter Síguenos en Facebook Canal de vídeos de Noticias

L'entrada en vigor del Reglament Europeu de Protecció de Dades

Aquest reglament entra en vigor el pròxim 25 de maig de 2018 amb nombrosos interrogants que sembla que es tracten d'agreujar amb la divulgació d'interpretacions preocupants i sense el mínim recolzament. I tot això per raons que qui subscriu desconeix, o prefereix desconèixer.

Aspectes obligatoris?

Una d'aquestes interpretacions és la relativa a l'obligatorietat de rebre formació, que el reglament d'alguna manera estableixi, i que lògicament, no es pot presumir com obligació legal ni explicar-se com tal, sense detriment de que pugui resultar necessària o convenient, segons els casos.

Una altre es la relativa a la necessitat de designar un delegat per el tractament de dades, que el Reglament estableix només pel cas de que s'efectuïn tractament de dades a gran escala. Donat que aquest concepte bàsic de l'obligació no es defineix o precisa, de ninguna manera pugui presumir o establir deductivament i per suposicions, sigui quina sigui la importància  numèrica del tractament, i mentre la norma no precisi o delimiti el concepte en el que fa descansar la seva obligació, la gran escala que el legislador Europeu ha deixat expressament en l'aire.

Ni es tracta d'un concepte jurídic ni té el menor precedent o arrelament al nostre ordenament, tradició jurídica legislativa, o ús del tràfic, fora de l'àmbit penal, per delictes malsonants, i sense relació alguna amb la matèria que ens ocupa.

En conseqüència, no cal exigir-li a ningú en aquestes circumstàncies la designació del tal delegat. Això pertoca a l'elemental principi de certesa del dret que protegeix a tot ciutadà o empresa, d'ampli i segur desenvolupament jurisprudencial. Per exemple: "... l'element subjectiu de la infracció, sense el que no hi pot haver cap retret sancionador, queda exclòs quan la conducta enjuiciada troba recolzament en una interpretació fundada i sostenible de la norma". En altres paraules, que no pot sancionar a ningú que hagi designat DPO tan bon punt sigui possible sostenir qualsevol interpretació lògica del que no és un tractament a gran escala, màxim si això obeeix a una clara falta de precisa normativa.

També deriva la necessitat d'interpretar restrictivament les obligacions legals, i sobretot, i vinculat tot l'anterior, de l'Art. 1090 del Codi Civil, que estableixi que les obligacions legals no presumeixen o només cal exigir les expressament determinades per les lleis.

Dons bé, el concepte de gran escala no es expressa o no sustenta una obligació expressa, sinó indeterminada, o genèrica, donat que descansa en un concepte indeterminat i sense precedents o arrelament.

Vist tot l'anterior, sembla recomanable contrastar qualsevol criteri o pauta professional d'adaptació que es rebi, amb el degut respecte a totes les opinions, incloent sense dubte la pròpia de qui escriu, i amb el legítim propòsit de verificar que allò que alarma i se'ns exigeix respon de veritat a l'única interpretació correcta.

Consentiment inequívoc.

Existeixen diverses notes explicatives a disposició exclusiva dels col·legiats de Barcelona, a més de models per l'adaptació.

Centrats dons, en aquest article en els aspectes potser més senzills i a la  vegada prioritaris, convé així mateix destacar que si el mediador (agent o corredor d'assegurances) va recollir les dades i el consentiment d'ús per qualsevol de les vies permeses per la legislació ara vigent (Llei 15/1999 i el seu Reglament), no necessita tornar a recollir el consentiment o autorització, registrar res de nou no fer res en concret per continuar utilitzant aquestes dades, encara que sí existeixen certes necessitats d'adaptació. Únicament, les dades que es recullin amb destinació a un tractament o fitxer d'ençà l'entrada en vigor del Reglament han de basar-se en un model d'informació prèvia adaptat que, en el cas dels encarregats del tractament (col·laboradors, agents exclusius o vinculats), és responsabilitat del seu responsable (corredors i companyies, respectivament) assegurar que s'entrega al client.

La raó per la que no es necessari tornar a recollir el consentiment en dit cas (consentiment recollir en qualsevol de les formes previstes en la legislació actual) està en el propi Considerant 171 del Reglament Europeu. Aquest Considerant 171 eximeix de la necessitat de recollir nou consentiment quan l'anterior s'hagués recollit en unes condicions que compleixin les del nou Reglament.

Així, tot i que el tipus de consentiment exigit ara al client per tractar les seves dades ha de ser inequívoc, aquest concepte no és més que una innecessària i nova nomenclatura per designar el que, com l'anterior legislació, es denominava consentiment exprés. Encara és més flexible i ampli, dons admet que en lloc de la declaració existeixi una clara acció afirmativa; això és, un acte propi que nítida i necessariament comporti o significa acceptar el tractament, el que obre més possibilitats.

Però, a més del consentiment exprés o inequívoc (que ja de per si permetria els anterior tractaments considerar-los adaptats al nou Reglament Europeu), el nou Reglament permet tractar dades, encara que sigui sense consentiment de l'interessat, com succeeix en la nostra actual legislació, quan és necessari per l'execució d'un contracte (art. 6.1.b ReglamentUE 2016/679), i també i alternativament, quan aquest és necessari per per donar compliment a una obligació legal de qui tracte les dades (art. 6.1.c, Reglament citat). Així les coses, com que els tractaments previs al Reglament Europeu per part del corredors d'assegurances (responsables) poden sense dubte incloure's enb aquestes possibilitats contemplades en el Reglament, no és necessari tornar a recollir un nou consentiment per adaptar-se al Reglament Europeu.

Drets d'Accés

Un altre motiu infundat de preocupació és el dret d'accés a les dades, que segons el criteri o guia publicada en el seu web per la AEPD, inclou el deure dels responsable de facilitar als clients l'accés telemàtic a les seves dades. Però amb tot el respecte hem d'assenyalar que el Reglament Europeu de Protecció de Dades, que lògicament preval, no contempla exactament aquesta obligació d'accés telemàtic, sinó el dret l'interessat a rebre en qualsevol moment una copia de les seves dades (art. 15.3 Reglament citat). Per tant, no es obligatori introduir aquest accés telemàtic.

Adaptacions concretes.

Sí existeix algunes necessitats d'adaptació certes i concretes:

  1. Tots els responsables de tractament han de prendre mesures d'avaluació preventives, de nou no concretades al Reglament Europeu i que no poden en conseqüència interpretar-se extensivament. També fer una avaluació del risc que comporten els tractaments que realitzen, que inclou un document de valoració. Tot això requereix, o aconsella l'assessorament d'una consultoria especialitzada prèvi anàlisi de cada cas, subjecte a la recomanació preliminar que hem donat al principi.
  2. S'ha de garantir per part del responsable del tractament el dret dels clients a rebre un duplicat degudament organitzat a les seves dades, l'anomenada "portabilitat".
  3. La necessitat d'organitzar un sistema de registre de les activitats de tractament de dades tant per part del mediador responsable com per part dels seus encarregats (art. 30 Reglament) i l'aplicació de les mesures tècniques i organitzatives de seguretat adaptades al risc que genera el tractament de les dades, per part d'ambdós. Cenyits a l'àmbit estricte de mediació d'assegurances son encarregats els col·laboradors externs, respecte als corredors d'assegurances, i els agents exclusius o vinculats i els seus col·laboradors externs respecte a les asseguradores per els agents que treballen en elles. En cas de que els agents exclusius o vinculats no rebran indicacions al respecte de les asseguradores, es recomana que les sol·licitin de manera comprovable.
  4. A més dels models d'informació prèvia, es precís adaptar els contractes de col·laboració extern, afegint certs impactes i mencions. Poden també documentar-se en forma d'annexa d'adaptació, i existeixen models a disposició dels col·legiats de Barcelona.

       Dr. Josep Lluís Fernández

Assessor Jurídic

Col·legi de Mediadors d'Assegurances de Barcelona

Entitats col·laboradores

Col·legi de Mediadors d'Assegurances de Barcelona

Passeig de Sant Joan, 33.

08010 Barcelona

Aquesta adreça de correu-e està protegida dels robots de spam.Necessites Javascript habilitat per veure-la.

Telèfon: 932153223

Per subscriure’s i rebre les nostres notícies introdueixi les seves dades
Avís Legal