Datu pertsonalak babesteko Europako Araudi berriaren gakoetako batzuk

Ia aditu guztiak bat datoz: datu pertsonalak dira XXI. mendeko petrolioa. Hain garrantzitsuak dira, ezen gaur egun maila globalean gehien bilatzen den lehengaitzat jotzen baita.

Gaur egun datu pertsonalak babesteko eskubideak duen garrantziaz jabetuta, eta datuen babesa bizi dugun garai digitalera egokitzeko asmoarekin, Europar Batasunak Datuak Babesteko Araudi Orokorra (DBAO) onartu zuen 2016an. 2018ko maiatzaren 25etik aurrera enpresa eta erakunde publiko eta pribatu guztiek bete beharrekoa izango da.

DBAO berriak arau-esparru bakarra xedatzen du Europar Batasuna osatzen duten herrialde guztietarako, eta datuen babesaren alorrean indarrean dauden araudi guztiak harmonizatzen ditu. Hauxe da helburua: herritarrei beraien datu pertsonalen kontrola itzultzea eta, horretarako, babes-estandarrak, konfiantza eta segurtasun juridikoa indartzea.

Egunez egun indarra hartzen ari diren hainbat arrazoi tarteko (aurrerabide teknologiko etengabea, Interneten garapenari lotutako arriskuak, hodei digitalera edo «cloud computingera» igotzen ditugun datu pertsonalak, webgunean edo sare sozialetan nabigatzen dugunean gordetzen diren datu pertsonalak, negozio-eredu berriak…), lege-esparru berri baten premia azaleratu da, alde batetik datu pertsonalen babesa bermatzeko eta, beste alde batetik, enpresek pertsona fisikoen datu pertsonalez egiten duten erabilera mugatzeko.

Izan ere, DBAOak arau berrira bizkor egokitzera behartuko ditu enpresak, beraien tamaina edo forma juridikoa edozein dela ere.

Datuak Babesteko Espainiako Agentziak formatu didaktikoko gidaliburu bat prestatu du, DBAOa erraz ulertzeko eta enpresak eta erakunde guztiak 2018ko maiatzean ezarriko diren aldaketa garrantzitsuetara egokitzen laguntzeko.

Ondoren, DBAOaren berrikuntzetako batzuk aipatuko ditugu:

  • Zer enpresatan ezarriko den DBAOa

Europar Batasunean egoitza duten datu-tratamenduen arduradun guztiei ezarriko zaie, bai eta EBn egoitza ez duten arduradunei ere, baldin eta EBko herritarrei zuzendutako ondasun- eta zerbitzu-eskaintza batetik etorritako datuak tratatzen badituzte, edo beraien portaeraren monitorizaziotik edo jarraipenetik jasotako datuak tratatzen badituzte.

Enpresek ordezkari bat izendatu beharko dute Europar Batasunean, datu pertsonalak babesteko Agentziarentzat nahiz herritarrentzat harremanetarako erreferentzia izan dadin.

Berrikuntza garrantzitsua da eta Europako herritarrentzako berme osagarria dakar. Gaur egun, datuak tratatzeko ez da beharrezkoa lurraldean presentzia fisikoa izatea eta, hartara, irizpideak Interneten errealitatera egokitzeko asmoa du Araudiak.

Hala, EBko herritarren datuak tratatzen dituzten enpresa guztiei eragingo die Araudiak. Izan ere, orain arte, enpresa batzuek EBko herritarren datuak tratatu arren, egoitza beste herrialde edo estatu batzuetan daukatenez, bertako araudiaren mende aritzen dira, eta, batzuetan, legeriok ez dute Europako araudiaren babes-maila eskaintzen.

  • Datuak babesteko printzipioak indartzea

Datuak legez tratatuko direla bermatzeko, enpresek zalantzarik gabeko adostasuna eskuratu behar dute. Datu sentikorrak direnean (osasunari buruzkoak, adibidez), berariaz jaso beharko da baimena.

DBAOa ezarri ondoren, adostasun hori baiezko ekintza baten bidez eskuratu beharko da; hau da, ez da nahikoa izango isilbidezko adostasuna. Gaur egungo DBLOan bezala, jasotzen diren asmoetarako egokiak, beharrezkoak eta mugatuak diren datuak eskuratu beharko dira.

Datu pertsonalen fitxategiaz arduratzen den enpresak nahitaez frogatu beharko du legearen arabera jaso duela datuen titularraren adostasuna, edota legezko ordezkariarena, adingabeen eta ezinduen kasuan.

Atal honen harira, enpresei aholkatzen diegu berrikus dezatela nola jasotzen eta erregistratzen duten gaur egun beraien zerbitzuak kontratatu edo produktuak erosten dituzten pertsonen adostasuna. Izan ere, gaur egun DBLOak datuak tratatzeko onartzen dituen era batzuk legez kanpo geldituko dira datorren maiatzean Araudia indarrean sartzen denean.

  • Enpresa arduradunentzako eta datu pertsonalak tratatzen dituzten enpresentzako betebehar berriak

Egiten den tratamendu-jardueren erregistroa eramatea. Gainera, tratamenduaren arduradun guztiek kontrol-agintaritzari (Datuak Babesteko Agentziari) laguntzeko betebeharra izango dute.

Tratamendu-jardueren erregistro horren edukia DBAOaren 30. artikuluan zehazten da.

  • Pertsona fisikoek beren datuak kontrolatzeko tresna berriak.

Araudiak eskubide berriak ezarri ditu, hala nola ahanzteko eskubidea eta eramangarritasun-eskubidea. Horien bidez, enpresei eta hirugarrenei emandako datu pertsonalen gaineko kontrola eta erabaki-ahalmena hobetu egiten da.

Ahanzteko eskubideak esan nahi du herritarrek eskubidea dutela arduradunei beren datu pertsonalak ezabatzeko eskatu eta beraiengandik hori lortzeko, baldin eta datuok jasotzeko asmorako dagoeneko beharrezkoak ez badira, adostasuna erretiratu bada edota zilegi ez den bide batetik eskuratu badira.

Eramangarritasun-eskubideari dagokionez, horrek esan nahi du interesdunak bere datuak arduradunen bati eman badizkio era automatizatuan tratatzeko, datu horiek berreskuratzeko eskatu ahal izango diola, beste arduradun bati eramatea ahalbidetuko duen formatu batean. Teknikoki posible bada, arduradunak zuzenean emango dizkio datuak interesdunak izendatu duen arduradun berriari.

  • Datu pertsonalak tratatzen dituzten enpresen erantzukizun aktiboa

Araudiaren funtsezko alderdietako bat da, eta datuak tratatzen dituen enpresa eta erakundeen prebentzioan oinarritzen da.

Enpresek segurtasun-neurri batzuk hartu beharko dituzte, nahitaez, zentzuz ziurtatzeko DBAOak ezartzen dituen printzipioak, eskubideak eta bermeak betetzeko moduan daudela.

Ildo horretan, Araudiak zehazten du ez dela estrategia nahikoa arauren bat urratzen denean soilik aritzea, beharbada urraketa horrek interesdunei kalteak eragin diezazkiekeelako eta oso zaila izan daitekeelako hori konpontzea edo konpentsatzea. Horretarako, Araudiak neurri multzo oso bat aurreikusten du:

– Datuak diseinutik bertatik babestea.

– Lehenetsitako datu-babesa.

– Segurtasun-neurriak.

– Tratamenduen erregistroa eramatea.

– Datuen babesaren gaineko inpaktu-ebaluazioak egitea.

– Datuen babeserako ordezkaria izendatzea.

– Datuen segurtasuna urratzen denean jakinaraztea.

– Jokabide-kodeak eta egiaztatze-eskemak sustatzea.

  • Betebehar-karga handiagoa enpresentzat.

Datuak babesteko konpromiso handiagoa eskatzen die Araudiak enpresei.

Halere, horrek ez du esan nahi enpresek halabeharrez eta beti betebehar-karga handiagoa izango dutenik. Kasu askotan, datuak babesteko orain arte erabili duten kudeaketa-sistema ez beste bat erabiltzea baino ez da izango.

Araudiak ezartzen dituen neurrietako batzuk dagoeneko abian diren neurrien jarraipena dira edo ordezkatu egiten dituzte. Horixe gertatzen da, adibidez, segurtasun-neurriekin edo dokumentazioa gordetzeko obligazioarekin, bai eta, hein batean, inpaktu-ebaluazioarekin eta ikuskaritza-agintaritzarekiko kontsultarekin ere.

Beste kasu batzuetan, dagoeneko enpresek luze eta zabal darabiltzaten jarduerak legez arautzea baino ez dute ekarriko.

Kasu guztietan, Araudiak aurreikusten du neurri horien obligazioa edo ezartzeko modua faktore jakin batzuen menpe egongo dela; adibidez, tratamendu motaren menpe, neurriak ezartzeko kostuen menpe edota tratamenduak datuen titulardunen eskubide eta askatasunetarako dakarren arriskuaren menpe.

Horregatik guztiagatik, datuak tratatzen dituzten enpresa guztiek tratamenduen arriskua aztertu beharko dute, zer neurri ezarri beharko dituzten eta nola egin beharko duten zehazteko.

Azterketa horiek oso eragiketa errazak izan daitezke tratamendu soil batzuk (esate baterako, datu sentikorrak tartean sartu gabe) baizik egiten ez dituzten erakundeetan, eta eragiketa konplexuagoak izan daitezke tratamendu asko egiten dituzten, interesdun askoren datuak erabiltzen dituzten edo, datuen izaera dela eta, arriskuen balorazio doia behar duten enpresetan.

Datuak babesteko Europako Agintaritzak, batera, eta Espainiako Agentzia bere aldetik, arriskuak identifikatzen eta baloratzen lagunduko duten tresnak eta neurriak ezartzeko gomendioak ari dira lantzen, batez ere enpresa-kudeaketan ohiko datu-tratamendua egiten duten ETE-ei begira.

Ildo horretan, Datuak Babesteko Espainiako Agentziak «Facilita RGPD» (DBAOrako laguntza) izeneko tresna bat aurkeztu du berrikitan, enpresei datu pertsonalen babesa betetzen laguntzeko. Honako esteka honen bidez eskura dezakezue: https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/index-ides-idphp.php

Azken berriak