Datorren urteko maiatzaren 25ean entitate guztiek bete beharko dute Datuak Babesteko Europar Erregelamendu berria, alegia, 2016/679 Erregelamendua (EB). 2016ko apirilaren 27koa, Europako Parlamentuak eta Kontseiluak onartua, datu pertsonalen tratamenduari eta datu horien zirkulazio askeari dagokienez pertsona fisikoak babesteari buruzkoa; eta 95/46/CE Zuzentaraua indargabetzen duena (Datuak babesteko erregelamendu orokorra edo DPGR-ingelesez Data Protection General Rules, RGPD gazteleraz).

Erregelamenduak (DPGRRGPD-ak), indarrik gabe utzi du 95. urteko direktiba eta aplikagarria izango da era zuzenean Europar Batasuneko Estatu guztietan (28 estatuetan, Erresuma Batua barne). Horrela, lehen aldiz, datuak babesteko eta pribatutasun arloan armonizazioa lortuko da Europar Batasunaren baitan.

Hala ere, esan beharra dago: Espainian, Datuak Babesteko Lege Organikoa birmoldatzen daudela gaur egun (Datuak Babesteko Lege Organikoaren Aurreproiektua DBLOAP, gazteleraz APLOPD). Datorren urteko maiatzaren 25erako indarrean egonen dela aurreratu du Mar Españak, Datuak Babesteko Espainiar Bulegoko zuzendariak. Horrela, lege berriak erregelamenduaren osagarri gisa jokatuko du eta egun berean izango dira aplikagarriak, alegia aipatutako 2018ko maiatzaren 25ean.

Aurrerago aztertuko dugu APLOPD-DBLOAP-a, gaur DPGRRGPD-a zertan datzan ikusiko dugu.

Zeintzuk dira DPGR-RGPD  edo 2016/679 erregelamenduaren gakoak?

  • Ahazteko eskubidea jasotzen du DPGRRGPDak (TJUE, Europar Batasuneko epaitegiak jaso zuen lehen aldiz Mario Costeja eta Google auzian). RRSS eta bilatzaileetatik desindexatua izateko eskubidea, baldin eta Europar hiritarren pribatutasuna jokoan dagoenean.
  • Datuen eramangarritasuna: interesdunek, eskatu ahal izango diote tratamendu arduradunari (operadore edo enpresei), euren datuen migrazioa operadore batetik bestera eramateko (dohainik).
  • Isunak edo zigor ekonomikoak: guztira 20 miloi eurotara ailegatu daitezke edo entitatearen fakturazioaren %4 arte, beti ere, kasu larrienetan.
  • Indemnizazioak: legez kontrako datu pertsonalen tratamenduak ematen direnean, diru ordainak eskatu ahal izango dira sortutako kalteengatik.
  • Datu pertsonalen kategoria bereziak: LOPDDBLOak eta hau garatzen zuen Errege Dekretuak (RDLOPD-DBLOED) bereziki babesten zituen datuetatik aparte alegia, osasun datuak, politiko-sindikalak, sinesmen-erlijiosoak etab. DPGRRGPDak ere bi datu mota berri gehiago ezartzen ditu kategoria horretan, datu biometrikoak eta datu genetikoak.
  • Onespena edo adostasuna datuak kudeatzerakoan: DPGRRGPDan ezartzen denaren arabera, tratamenduaren arduradunak ezingo du jaso modu tazitoan interesdunaren onespena. Modu nabari batean jaso beharko du. Aurremarkatutako laukitxoak (Web gune edo Appetan adibidez) ez dira ontzat hartuko. Adostasun edo onespena ere hurrengo kasuetarako finkatzen da: datu berezien kudeaketarako, datuen transferentzia internazionaletan eta datuak automatizaturik dauden beste kasu batzuetan. Onespen espresua eta onespena ematerako momentuan modu nabarian gauzatzeko bermearen arteko ezberdintasunak ikustea zaila dirudi. Baina ezberdinak dira. Webgune batean informatzen gaituztenean cookien instalazioa gauzatuko dela eta nabigatzen jarraitzen badugu, adospen nabariaren aurrean egongo ginateke.
  • Adingabeak: onespenak 16urteertatik aurrera ematen denean balioa izango du. Hala ere, Europar Batasuneko Estatuek ahalko dute 16 urteko limite hori jaitsi 13 urteetara. Aipatutako adin tartearen azpitik dauden pertsonen kasuan, tutore edo gurasoen baimena eduki beharko dute.
  • Diseinutik abiatutako Datu Pertsonalen Babesa sustatuko da. Esate baterako, aplikazioen garapenean edo beste kasu batzuetan, neurri teknikoak edo organizatiboak hartu beharko dira pribatutasuna bermatzeko. Datu pertsonalak nahikoak direla eta ez gehiegizkoak bermatuko da ere. Neurri horiek gauzatuko dira bai datuak kudeatzen diren momentutik bai datuak kudeatu baino lehenagotik ere.
  • Interesdunen informazio ematea eta gardentasuna: espresuki eta idatziz, modu ulergarri eta gardentasuna bermatuz egiteko beharra izango dute tratamendu arduradunek.
  • Ikono estandarizatuen erabilera: DPGRRGPD-ak garrantzi handia ematen dio informazioarekiko gardentasun eta eskuragarritasunari, horregatik ikonoen erabilera bultzatu egiten du.
  • Pribatutasunaren inpaktu ebaluazioak: tratamendu arduradunak, bere sistemaren baitan, inpaktu ebaluazioak egin beharko ditu kontutan izanda zenbateko interesdunen datuak kudeatzen dituen edo eta datu bereziak kudeatzerakoan. Horretarako ere, pribatutasunarekiko arriskuen ebaluazioa egiteak garrantzi handia izango du ere.
  • Tratamendu arduradunaren izenean hirugarren entitateek datuak kudeatzen dituztenean, LOPDDBLOak ezartzen zuen moduan, kontratu batean jaso beharko dira hirugarren horien betebeharrak eta obligazioak. Baita ere, prozedura eta segurtasun neurriak euren sistemetan ezar ditzaten eskatu beharko zaie.
  • Segurtasun neurrien haustura ezagutaraztea. Tratamendu arduradunak, ezbeharraren ezagutza duen momentutik 72 ordu izango ditu kontrol autoritateari horri buruz informatzeko. Kasu larrienetan interesduna ere informatu beharko du. Tratamendu arduradunak ez du interesduna notifikatzeko betebeharra izango hurrengo kasuetan: segurtasun neurri egokiak ezarri balitu, ezbeharra gertatu ostean neurri egokiak ezarri eta ezbeharra berriz gertatzeko arriskua guztiz minimizatu duenean edo notifikazioak ahalegin edo esfortzu handia dakarrenean.
  • DPO (Data Protection Officer) edo Datuak Babesteko Delegatua. Figura berri hau, derrigorrezkoa izango da hurrengo kasuetan:
    • Datuak kudeatzen direnean entitate publiko baten baitan (epaitegiak salbu). Entitate publikoek izendatu ahalko dute DPO bakar bat entitate ezberdinak kudeatzeko.
    • Interesdunen datuak eskala handietan kudeatzen direnean (Interneteko enpresak eta abarrekoak).
    • Kudeatzen diren datuak, kategoria berezietan edo datu penalak direnean (Osasun arloko datuak kudeatzen dituzten entitateak eta abarrekoak).

DPO-aren betebeharrak

  • Datuak babesteko arloan tratamendu arduradunari eta langilegoari formazioa eta aholkularitza eman.
  • Gainbegiratu enpresak edo entitateak datuak babesteko legedia betetzen duen.
  • Kontrol autoritateekin batera lan egitea.
  • Erreferentzia puntua izatea datu pertsonalen tratamenduetan.

Bere izendapena publikoa izan beharko da eta bere harremanetarako datuak ere eskuragarri egongo dira. Horiek, tratamendu arduradunek argitaratuko dituzte.

DPO-ak era autonomo eta askean egin beharko du lan eta baliabide nahikoak izan beharko ditu bere funtzioak ondo bete ahal izateko.

Barne egiturako langilea edo kanpokoa izan ahalko da.

Oro har esan daiteke, DPGRRGPDak, ondoriozko erantzukizuna sustatzen duela.

Zer esan nahi dut honekin? Erregelamendu berriak ez ditu finkatzen segurtasun neurri konkretuak, bai ordea, erantzukizun zabala tratamendu arduradunarekiko. Esate baterako, DPGRRGPD-ak, aipatzen du zifratua segurtasun neurri gisa baina ez du ezartzen edo finkatzen noiz izango den segurtasun neurri hori aplikagarri edo derrigorrezkoa tratamendu arduradunarentzat. Hori bai, ezbeharra gertatzen bada eta zifratua edo beste segurtasun neurriren bat ez bada erabili, tratamendu arduradunari ziurrenik isuna jarriko diotela, segurtasun neurri nahikoak ez jartzeagatik.

Hortaz, erregelamenduak , datu pertsonalak babesteko arloan heldutasuna abiapuntu bezala hartzen duela esan dezakegu. Entitate bakoitzak erabakiko du zein motako segurtasun neurri egokituko dituen bere informazio sistemara.

Dagoeneko, urte bat baino gutxiago falta da entitateek DPGRRGPD-a bete behar izateko. Gaur egun, lehenago aipatu den moduan, APLOPD-DBLOAP-a lantzen ari dira Espainiar Parlamentuan. Ikusi behar zertan datzan eta nola matizatzen duen DPGRRGPD-a.

ARGAZKIA | Alex Mihis