S’acosta la finalització del termini per adaptar-se al Reglament General de Protecció de Dades

A partir del pròxim 25 de maig de 2018 entra en vigor el  nou Reglament general de protecció de dades (RGPD), relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades, una norma que serà d'aplicació obligatòria a partir d'aquesta data i que imposa a les empreses nombrosos deures en relació a la privadesa.
 
Queda, a més, pendent l'aprovació de la nova Llei orgànica de protecció de dades, que es troba actualment en tramitació parlamentària i que molt probablement no estarà llista per al pròxim 25 de maig, data d'aplicació del reglament europeu. De totes maneres, això no suposa cap tipus d'avantatge o inconvenient, ja que el reglament europeu serà plenament exigible de totes maneres.
 
En què consisteix el RGPD?
 
El RGPD és un tipus de norma que té aplicació directa en tots els estats de la UE i, per tant, no és necessari cap tipus de mecanisme de transposició específic. Dit d'una altra forma, no fa falta que existeixi cap llei espanyola perquè el reglament europeu resulti obligatori, és exigible com si fos una llei nacional.
 
La meva empresa encara no s’ha adaptat al RGPD: per on començo?
 
És important establir un mapa de ruta per complir amb el nou reglament, ja que hi ha nombroses decisions jurídiques rellevants a tenir en compte.  
 
El primer pas que totes les empreses haurien d'executar és identificar i analitzar les àrees de risc i documentar els tractaments de dades personals que es duen a terme, a través d'un inventari de totes les activitats de tractament que realitza la companyia. D'aquesta manera serà més senzill classificar les dades d'acord amb: la seva naturalesa, finalitat, categoria, origen, si són susceptibles de ser compartides, etc.
 
Quins són els canvis i obligacions derivats del RGPD que hauran d’assumir les empreses i a quins riscos s’enfronten en cas d’incompliment? 
 
Són moltes les obligacions que tant les empreses, autònoms i organismes públics i privats que tractin dades de caràcter personal han de conèixer i el temps és escàs, per la qual cosa és necessari adoptar sense dilació les decisions necessàries per arribar a aquest termini en situació de compliment. El risc de no fer-ho és el de possibles sancions: les multes poden arribar fins als 20 milions d'euros o el 4% de la facturació anual global de l'infractor. L'autoritat de control pot actuar d'ofici o per denúncia dels interessats. 
 
Pel que respecta als canvis i obligacions que afecten a les empreses, podem destacar entre d’altres els següents:  
 
Delegat de protecció de dades (DPD/DPO). El reglament obliga als qui realitzin certs tractaments, a nomenar un DPO, que podrà ser extern o intern. Un DPO haurà de ser una persona experta en protecció de dades i en mètodes i tècniques de seguretat de la informació.
 
Exigència de la realització d'una avaluació d'impacte relativa a la  protecció de dades per a certs tractaments.
 
Violacions de la seguretat de les dades personals. Obligatorietat de comunicar-les  en un termini de 72 hores a l'Agència Espanyola de Protecció de Dades, i en casos greus, als propis afectats.
 
S'elimina el consentiment tàcit (per silenci), la qual cosa obligarà a les empreses a recaptar un nou consentiment per poder mantenir totes aquelles dades que en el passat es van obtenir tàcitament o buscar-los una altra cobertura legal.
 
S'amplien les obligacions d'informació als afectats, la qual cosa obligarà posar-los al dia en aquesta informació als ja existents.
 
S'amplia el contingut mínim en els contractes d'accés a dades per part de tercers, per la qual cosa s’hauran d’establir de nou els contractes amb els encarregats de tractament, atès que els actuals no compleixen amb el RGPD.
 
El RGPD no estableix diferenciació entre dades personals i dades ‘professionals’ (dades de contacte de persones físiques que presten els seus serveis en una persona jurídica i empresaris individuals) com va establir el vigent reglament, la qual cosa obligarà a les empreses a haver de realitzar accions informatives a aquesta categoria de dades.
 
> Llegir circular completa en PDF
 
Tens dubtes sobre la implantació de la RGPD?
 
Contacta sense cap compromís amb el Departament de Protecció de Dades  de CINC Assessoria (monica.vilallave@cinc.es) per resoldre tots els teus dubtes.
 
933 030 060 (Barcelona)
 
972 940 940 (Girona)
 
972 505 100 (Figueres)
 
 

 

Segueix llegint

Veure-les totes
CINC