En el moment de la creació d’una nova empresa o entitat hi ha molts aspectes legals, fiscals i administratius que s’han de tenir en compte.
No menys important és la protecció de dades, ja que qualsevol nou negoci tractarà dades de clients, proveïdors, contactes, treballadors, usuaris…, seria estrany l’absència total de dades personals. Per aquest motiu és essencial vetllar pel compliment de les normatives vigents de Protecció de Dades, el RGPD (Reglament General de Protecció de Dades) i la LOPDGDD (Llei orgànica de Protecció de Dades i Garantia dels Drets Digitals).
Qualsevol empresa que tracti dades personals pot estar en risc.
A continuació detallem deu aspectes clau en matèria de protecció de dades que qualsevol nou negoci ha de tenir en compte:
- La privacitat de les dades és un dret fonamental.
El dret a la privacitat està recollit en la Declaració Universal dels Drets Humans. Per tant, es tracta d’un dret fonamental, inherent a l’ésser humà, independent, intransferible i irrenunciable.
Aquest dret el podem relacionar directament amb l’obligatorietat del compliment de dos principis del RGPD (Reglament General de Protecció de Dades): “la privacitat des del disseny i per defecte” i “el principi de responsabilitat proactiva”.
- Complir amb el deure d’informar.
El RGPD estableix l’obligació d’informar amb transparència de: qui és el responsable del tractament de les dades, perquè s’utilitzaran, a qui es comunicaran i quant temps es guardaran. També si el tractament de les dades es basa en alguna de les bases legitimadores esmentades en el RGPD, els drets que tenen les persones i com i on poden exercir-los.
És a dir, quan una persona faciliti les seves dades a l’empresa, sàpiga, des de l’inici, qui i com es tractaran les seves dades.
- El consentiment.
Quan es recullin dades s’ha de sol·licitar el consentiment. També s’ha d’analitzar que legitima el seu tractament, ja que tractar-los “perquè sí” no és legal.
Les bases del tractament a la qual es refereix el RGPD són: el consentiment de l’interessat/a, l’existència d’un contracte, una obligació legal, un interès vital de la persona, interès públic o interès legítim de l’empresa.
- Dur a terme un Registre d’Activitats de Tractament.
És molt important identificar quin tipus de dades es gestionaran, les seves finalitats, bases de legitimació, temps de conservació, els tercers que accedeixen a dades, etc. tot això s’haurà de recollir-se en un document denominat Registre d’Activitats de Tractament (RAT).
- Vetllar la seguretat de les dades i la formació de les persones ocupades.
Custodiar les dades personals de manera física mitjançant calaixos/armaris amb clau, mantenint les taules netes, etc. o comptar amb una seguretat informàtica suficient per a la limitació d’accessos, tallafocs, antivirus, xifrat de la informació, còpies de seguretat, etc.
És molt important la formació de les persones que vagin a gestionar les dades, això redueix molt les bretxes de seguretat, ja que moltes provenen d’errors humans.
- Analitzar els riscos.
Totes les empreses són diferents i per tant els seus riscos també ho són. Per aquest motiu l’anàlisi de riscos ha de documentar-se i serveix per a adoptar les mesures de seguretat i compliment d’aquests riscos. Si el risc de les dades a gestionar és molt elevat, pot ser necessari realitzar una Avaluació d’impacte.
- Atendre els drets de les persones.
L’empresa haurà de facilitar un mitjà senzill per a sol·licitar els drets, per exemple, una direcció d’email, i haurà d’atendre’ls en els terminis legals. Els drets són: accés, rectificació, supressió, oposició, limitació i portabilitat.
- Gestionar possibles incidents de seguretat.
És fonamental estar preparats per a gestionar possibles incidències de seguretat i donar-los resposta.
Si afecten dades personals, en alguns casos, han de comunicar-se a l’Agència Espanyola de Protecció de dades en el termini de 72 hores.
- Els encarregats de tractament.
Regular les relacions amb proveïdors que al prestar serveis accedeixen a dades. Aquests tercers són encarregats de tractament i han de formalitzar-se els contractes d’encarregats de tractament, aquest contracte haurà de contenir uns mínims.
- Analitzar la necessitat de designar un DPD.
Existeixen alguns casos concrets en els quals és obligatori designar un Delegat de Protecció de Dades (DPD). El DPD és una figura important que ajudarà a l’empresa al compliment de les normatives de protecció de dades. Marcant en “Qui ha de designar un DPD?” poden veure els casos en què és necessari aquesta figura.
En definitiva, és important conèixer les obligacions de les normatives, així com les seves implicacions legals. Això requereix dedicació i constància. A ASSplus ens sumem a l’equip dels nostres Clients per a ajudar-los en aquest procés i treballem per a acompanyar-los en tot el procés d’adaptació al compliment normatiu a través d’un servei d’assessorament personalitzat, constant. Apliquem una metodologia de seguiment que ens permet garantir una adaptació completa i permanent.