Quins són els passos per adaptar la teva empresa al Reglament General de Protecció de Dades (RGPD)
- 14 juny 2018
- Assessoria
Quins són els passos a seguir per adaptar la teva empresa al RGPD
L'entrada en vigor del nou Reglament Europeu de Protecció de Dades (RGPD) ha suposat per a moltes empreses una cursa contra-rellotge per implementar la nova normativa, tot i que un percentatge important de companyies encara no s'ha adaptat a ella. Aquelles que no ho hagin fet encara, poden enfrontar-se al risc de sancions de fins a 20 milions d'euros o un 4% de la facturació anual.
Davant la por de ser sancionats, són molts els dubtes que el RGPD ha generat en empresaris, directius i autònoms que tracten amb dades i desconeixen els passos a seguir per implementar-lo, i com tenir garanties de fer-ho de forma correcta. A més, en ser l'RGPD una norma d'aplicació directa, és la referència que tots els responsables han d'assumir per sobre de l'actual Llei Orgànica de Protecció de Dades (LOPD).
En aquest sentit, el nou reglament exigeix noves obligacions a les empreses sota el principi de responsabilitat activa, que té com a finalitat demostrar davant les autoritats corresponents i als afectats pel tractament correcte compliment del RGPD. Per tant, d'ara en endavant qualsevol organització té l'obligació d'aclarir quines dades tracten, amb quina finalitat i quin tractament duen a terme.
A continuació expliquem quins són els aspectes clau que han de complir totes les empreses per adaptar-se correctament al RGPD:
1. Anàlisi de riscos
Tots els responsables de tractament de dades hauran de realitzar una valoració del risc dels tractaments que realitzen, amb l'objectiu de determinar quines mesures han d'aplicar i com han de fer-ho. El tipus d'anàlisi variarà en funció del tipus de tractament, la naturalesa de les dades, el volum d'afectats i quantitat i varietat de tractaments que l'organització dugui a terme.
2. Registre d'activitats de tractament
Els responsables i encarregats han de mantenir un registre d'operacions de tractament en el qual s'inclogui la informació que estableix el RGPD i que contingui els següents camps, entre d'altres:
• Nom i dades de contacte del responsable o corresponsable i del Delegat de Protecció de Dades (si escau)
• Finalitats del tractament
• Descripció de categories d'interessats i categories de dades personals tractades
• Si tenen lloc transferències internacionals de dades
3. Protecció de Dades des del Disseny
La RGPD ha d'implementar-se des del principi de responsabilitat proactiva, és a dir, amb anterioritat a l'inici del tractament i quan s'estigui duent a terme. Així, els responsables hauran d'aplicar mesures tècniques per garantir els principis de l'RGPD, que impliquen que només es tractin les dades necessàries, l'extensió del tractament, temps de conservació i accessibilitat a les dades.
Des de l'inici, els responsables han de prendre mesures organitzatives i tècniques per integrar en els tractaments garanties que permetin aplicar de forma efectiva els principis del RGPD. Aquests han d'adoptar mesures que garanteixin que només es tractin les dades necessàries en el respecta a la quantitat de dades tractades, l'extensió del tractament, els períodes de conservació i l'accessibilitat a les dades.
4. Determinació de mesures de Seguretat
Abans, la LOPD determinava quines mesures de seguretat havien d'aplicar segons la tipologia de les dades. Ara, amb el RGPD, els responsables i encarregats del tractament són els que han d'establir les mesures tècniques i organitzatives que garanteixin la seguretat segons el risc detectat.
5. Notificació de bretxes de seguretat de les dades
Les bretxes de seguretat consisteixen en tot tipus d'incident que impliqui la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservats o tractats d'una altra manera, o la comunicació o accés no autoritzats a les esmentades dades.
Quan es produeixi una bretxa de seguretat de les dades, el responsable ha de notificar a l'autoritat de protecció de dades competent dins de les 72 hores següents al fet que el responsable tingui constància. No obstant això, no seria necessari en cas que fos improbable que aquesta violació de seguretat suposi un risc per als drets i llibertats dels afectats.
6. Avaluació d'Impacte
En aquells supòsits en què el tractament comporti un alt risc per als drets i llibertats dels interessats, cal que el responsable dugui a terme una Avaluació d'Impacte sobre la Protecció de Dades (EIPD). L'avaluació d'impacte té com a finalitat proporcionar una visió detallada dels riscos relatius a la protecció de les dades, i s'ha d'aplicar de forma objectiva seguint un procediment estandarditzat i sistemàtic.
7. Designació d'un delegat de Protecció de Dades
La figura del Delegat de Protecció de Dades serà obligatòria en totes les empreses que tractin de forma habitual amb dades personals. La funció d'aquesta figura és garantir el compliment del RGPD.
L'article 37 del RGPD fixa l'obligatorietat de la seva designació en els següents casos:
– Quan el tractament de les dades sigui realitzat per un organisme públic.
– Quan les activitats principals consisteixin en operacions de tractament que requereixin una observació habitual i sistemàtica d'interessats a gran escala.
– Si les activitats principals del responsable impliquen el tractament a gran escala de dades especials (article 9 del RGPD) o personals referides a condemnes o delictes.
Tens dubtes sobre la implementació del RGPD?
Contacta amb el nostre Departament de Protecció de Dades (monica.vilallave@cinc.es) sense cap compromís.
Cordialment,
CINC Assessoria d'Empreses