Reglament General de Protecció de Dades
A partir del 25 de maig, haurem de tenir el consentiment inequívoc de totes les persones i empreses de les que en tenim alguna dada, en el format que sigui, per poder-les fer servir. És més, els haurem de dir quines dades tenim quin ús ens en deixen fer.
Aquest dia entra en vigor a tot Europa una nova llei de protecció de dades: GDPR (General Data Protection Regulation). Una normativa que afecta totes aquelles empreses que tractin dades dels ciutadans europeus encara que siguin dels Estats Units, com Google o Facebook.
Les grans multes a què s’enfronten els qui no compleixin amb ella són un dels punts més controvertits i mediàtics. Però darrere d’aquestes sigles també s’amaga una nova manera d’informar els usuaris sobre quina informació cedim i per a què es fa servir.
Què és GDPR (o RGPD)
GDPR, per les seves sigles en anglès (General Data Protection Regulation), o RGPD per les seves sigles en espanyol (Reglament General de Protecció de Dades) és la nova normativa que regula la protecció de les dades dels ciutadans que visquin a la Unió Europea.
El reglament va entrar en vigor el 24 de maig de 2016, però serà d’obligat compliment a partir del 25 de maig de 2018.
Durant aquests dos anys, la Llei Orgànica de Protecció de Dades (LOPD) ha seguit vigent, però té data de caducitat. De fet, s’espera que en uns mesos s’aprovi una nova llei (està ara mateix en procés de tramitació parlamentària) que permeti o faciliti l’aplicació del Reglament. Aquesta nova llei no pot contradir GDPR, però sí que definirà millor alguns dels seus aspectes (quan un usuari és considerat menor, per exemple)
Es tracta de la primera norma sobre aquesta matèria que afecta tots els països de la Unió Europea i unifica, per tant, tant els drets com les obligacions.
De fet, durant anys va ser una reivindicació de moltes empreses i sectors, com el tecnològic, els que havien de fer front a 28 legislacions diferents sobre l’ús i tractament de dades personals per a poder oferir els seus serveis a Europa.
A qui afecta GDPR
Aquesta nova normativa determina que totes les empreses, independentment del seu país d’origen o d’activitat, hauran de complir-la si recullen, guarden, tracten, usen o gestionen algun tipus de dada dels ciutadans de la Unió Europea. És a dir, que Apple o Amazon (per posar alguns exemples) també estan subjectes a ella.
I, per descomptat, ens afecta a totes les persones que vivim a la Unió Europea
Principals novetats:
Consentiment exprés, és un dret fonamental en el tractament de dades personals. En aquest sentit, el reglament exigeix que aquest sigui lliure, informat, específic i inequívoc, i mai s’ha de deduir del silenci o de la inacció dels usuaris.
Per aquest motiu, la nova normativa requereix que els interessats manifestin aquest consentiment de forma expressa i revocable, per la qual cosa a partir del 25 maig de 2018 no s’admetran altres tipus de consentiment.
Transparència i informació a l’interessat, tota informació subministrada a l’interessat s’ha de proporcionar de manera concisa, transparent, intel·ligible, i ha de ser de fàcil accés, amb un llenguatge clar i senzill.
Adaptació de clàusules i polítiques informatives, és obligatori informar els clients de les novetats que estableix la nova normativa de LOPD, mitjançant les eines de comunicació de l’empresa, com pàgines web, correu electrònic o butlletins informatius.
Novetat de l’avaluació de l’impacte en la protecció de dades, es tracta d’una eina que té com a finalitat assegurar la privacitat de les dades personals des del disseny del tractament i, d’aquesta manera, analitzar si posa en risc els drets dels interessats. Un cop obtinguts els resultats, cal aplicar les mesures de seguretat pertinents.
Dret a la portabilitat de les dades, aquest dret implica que les dades de l’interessat es transmeten (prèvia sol·licitud) d’un responsable a un altre, sense necessitat que siguin transmesos prèviament a l’interessat, sempre que això sigui tècnicament possible.
Nomenament d’un delegat de protecció de dades, és necessari que les empreses que tinguin un tractament massiu de dades personals comptin amb un delegat de protecció de dades (DPO).
Obligació de notificar falles de seguretat, amb el nou reglament s’han de notificar les anomenades “violacions de seguretat de les dades”. El termini per realitzar aquesta comunicació és de 72 hores a partir del moment en què el responsable tingui constància d’aquest succés.
Introducció de certificats i segells, amb la finalitat d’ajudar les empreses a impulsar la seva reputació corporativa i la seva competitivitat, s’introdueixen nous mecanismes de certificació que garanteixen el compliment de la normativa europea i la qualitat de la protecció de dades.
Adhesió a codis de conducta, faciliten la correcta aplicació de la Llei de Protecció de Dades en diferents àmbits sectorials. Aquests codis són de caràcter voluntari i només obliguen els qui es comprometin a aplicar les seves disposicions.
A l’espera de tenir el reglament de la norma aprovat pel mateix parlament, cal que ens posem a treballar per poder disposar d’una base de dades contractada, validada i autoritzada. A part de ser clars i entenedors ens cal demostrar-ho.