25/05/2018

Avui, 25 de maig del 2018, entra en vigor el nou Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades – RGPD). 

Aquest nou Reglament, que homogeneïtza el marc legal de la protecció de dades de caràcter personal a tota la Unió Europea (UE), és aplicable directament als estats i substitueix la Llei orgànica 15/1999, de protecció de dades de caràcter personal (LOPD) i el Reglament 1720/2007, en tot allò que el contradigui. 

Segons el nou RGPD, s’entén per “dada personal”, “qualsevol informació sobre una persona física identificada o identificable, com ara un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona”. 

El Reglament, que és aplicable a qualsevol tractament de dades realitzat a la UE, s’aplica a les dades de caràcter personal de les persones físiques i a la lliure circulació d’aquestes dades. No s’aplica a les persones jurídiques, als difunts ni tampoc a les persones físiques que tractin dades en l’àmbit privat.

El tractament de les dades ha de ser lícit i lleial en relació amb la persona interessada —ha de quedar totalment clar quines dades s’estan recollint, consultant o tractant—. Perquè el tractament sigui lícit, les dades personals s’han de tractar amb el consentiment de la persona interessada o sobre alguna altra base legítima establerta conforme a dret. També, qualsevol informació i comunicació relativa al tractament d’aquestes dades ha de ser accessible i fàcil d’entendre. 

Les dades s’han de recollir amb finalitats determinades, explícites i legítimes, i posteriorment no s’han de tractar de manera incompatible amb aquestes finalitats. Així mateix, han de ser adequades, pertinents i limitades a la necessitat del tractament; exactes i actualitzades, i se n’ha de garantir la seguretat, aplicant mesures tècniques i organitzatives per assegurar-ne la integritat i confidencialitat i evitar-ne el tractament no autoritzat.

El nou RGPD assenyala que les mesures tècniques i organitzatives de seguretat adreçades a garantir-ne el compliment han de tenir en compte la naturalesa, l’àmbit, el context i les finalitats del tractament, així com el risc per als drets i les llibertats de les persones. Per tant, l’aplicació de les mesures previstes pel RGPD s’ha d’adaptar a les característiques de cada organització. 

L’Agència Tributària de Catalunya (ATC), en compliment de les funcions que li atribueix la legislació, recull, emmagatzema i tracta les dades de caràcter personal i les dades tributàries dels ciutadans amb la màxima cura, exigència i professionalitat, i pren les mesures adequades, tècniques i organitzatives, per preservar-ne la disponibilitat, integritat i confidencialitat, i les manté actualitzades en tot allò que és necessari. 

En aquest sentit, l’ATC s’ha adaptat a la nova normativa que estableix el RGPD, i ha dut a terme les actuacions que es descriuen a continuació, entre d’altres. 

El Reglament introdueix el concepte activitats de tractament i suprimeix la necessitat de crear formalment els fitxers i publicar-los al DOGC. En relació amb això, l’ATC du a terme les activitats de tractament següents: 

– Activitat de tractament amb finalitats tributàries.
– Activitat de tractament de dades de recursos humans.
– Activitat de tractament de col·laboradors externs.
– Activitat de tractament de videovigilància.
– Activitat de tractament del registre. 

Així mateix, l’ATC també ha dut a terme altres actuacions com ara: 

– Actualització i ampliació de l’apartat “Protecció de dades” de la seu electrònica, amb la publicació del Registre d’activitats de tractament.
– Revisió de les clàusules de recollida d’informació.
– Actualització de l’anàlisi de riscos i de les mesures de seguretat.
– Formació interna i difusió de les novetats normatives entre el personal.
– Nomenament del delegat de protecció de dades.

Pel que fa a la figura del delegat de protecció de dades, que introdueix el Reglament, a l’ATC és el cap de l’Àrea d’Inspecció de Serveis (dpd@atc.cat), i té com a principals funcions informar i assessorar el personal sobre les obligacions que imposa la nova normativa, supervisar que es compleix, assessorar sobre l’avaluació d’impacte relativa a la protecció de dades, i actuar com a punt de contacte per a qüestions relatives a aquest tema.