El passat 25 de maig el Reglament General de Protecció de Dades (RGPD) va complir tres anys.
En realitat cinc anys ja des de que va entrar en vigor aquesta normativa europea. Va ser l’any 2016 però, com la majoria de les normatives, va tenir dos anys de període transitori fins a la seva plena aplicació.
El propòsit del RGPD és unificar la legislació de tots els estats membres de la UE en matèria de protecció de dades i privacitat de les persones físiques pel que fa al tractament de les seves dades personals i a la seva lliure circulació. Dit d’una altra forma, aquesta normativa és la que regeix la forma en què les organitzacions públiques i privades de la UE poden utilitzar, processar i emmagatzemar les dades personals.
En què ens va afectar l’entrada en vigor del RGPD?
Va implicar molts canvis per les empreses que tracten bases de dades personals. Destaquem els més rellevants a continuació. Pren nota!
· El consentiment i el deure d’informar.
El consentiment per a tractar les dades personals ha de ser inequívoc, explícit i lliure. També hem de complir amb el deure d’informar, facilitant a l’interessat informació sobre el responsable, la finalitat, destinataris, etc. L’Agència Espanyola de Protecció de Dades va dissenyar un manual per a orientar sobre les millors pràctiques per a donar compliment a aquesta obligació, “La Guia per a complir amb el deure d’informar”.
· Les bretxes de seguretat.
L’entrada en vigor del RGPD, obliga a notificar a l’autoritat de control qualsevol bretxa de seguretat, a tot tardar 72h després que hagi tingut constància de l’incident. El RGPD defineix la bretxa de Seguretat com «tota violació que ocasioni la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra forma, o la comunicació o accés no autoritzat a aquestes dades». L’AEPD, coincidint amb el tercer aniversari del RGPD, ha publicat una nova versió de la seva guia per a notificar bretxes de dades personals.
· El Delegat de Protecció de Dades (DPD).
Apareix la famosa figura del DPD: Persona física o jurídica amb coneixements avançats en matèria de protecció de dades, amb capacitats per a executar el Reglament i suficientment qualificat. És obligatori designar-ho en els supòsits previstos en l’article 37.1 del RGPD, així com en els indicats en l’article 34 de la LOPDGDD que poden consular aquí Qui ha de designar un DPD?
· El principi de responsabilitat proactiva.
La implementació del principi de responsabilitat proactiva, a estat un dels majors reptes als quals s’han hagut d’adaptar tant les entitats públiques, privades, pimes, multinacionals, autònoms, etc. Què significa això? que han de tenir una actitud conscient, diligent i proactiva davant el tractament de dades personals per a poder demostrar que estan complint la normativa.
Ah! i no hem d’oblidar que el RGPD va incrementar de manera significativa les sancions. Aquestes poden arribar, des dels 10.000.000 d’euros, com per exemple, per no notificar una bretxa de seguretat, o no fer-ho de manera adequada; fins als 20.000.000 d’euros, per vulnerar els drets dels interessats o tractar les seves dades sense el seu consentiment.
En definitiva, és important conèixer les obligacions de les normatives, així com les seves implicacions per a implantar-les. Això requereix dedicació i esforç. En ASSplus ens sumem a l’equip dels nostres Clients per a ajudar-los en aquest procés i treballem per a acompanyar-los en tot el procés d’adaptació al compliment normatiu a través d’un servei d’assessorament personalitzat, constant. Apliquem una metodologia de seguiment que ens permet garantir una adaptació completa i permanent.