Reglament Europeu de Protecció de Dades (GDPR), perdó?
El nou Reglament Europeu de Protecció de Dades (GDPR, en les seves sigles en anglès), ha sofert una dura marxa des de que va ser presentat al gener de 2012. Avui, més de 4 anys després, es troba a poques dates de la seva adopció formal i la seva publicació oficial, creiem que és un bon moment per apuntar les característiques bàsiques del GDPR, així com veure de quina forma pot afectar-te aquest nou text que pretén ser una resposta actualitzada per protegir la privadesa i superar l’obsoleta Directiva, del llunyà 1995.
GDPR, una sola norma per 28 Estats membres
Una de les principals característiques del Reglament Europeu de Protecció de Dades (GDPR) és que serà d’aplicació directa a tots els Estats membres de la UE. Això pretén harmonitzar tant els drets de les persones, com les obligacions dels qui recullen i tracten les seves dades. Té sentit, ja que resulta extrany que al Mercat únic, hi hagi obligacions diferents en funció de l’Estat de residència dels titulars de drets o els obligats a complir la llei.
Jo ja compleixo la LOPD què haig de fer?
Si has fet els deures i compleixes la LOPD, com t’afecta el GDPR?
- Hauràs de revisar les teves polítiques de privacitat. El GDPR obliga a facilitar informació addicional com per exemple: el temps pel qual pretens tractar les dades, informar d’on poden interposar-se reclamacions o la identitat de la teva DPO (si has de nomenar-ho).
- No amaguis el consentiment per tractar dades, enmig de textos legals eterns. Distingeix bé que l’usuari dóna el seu consentiment i informar de para què ho fa.
- Aplica el Dret a l’oblit i a la portabilitat.
- Estableix un sistema intern per notificar incidències a l’Agència Espanyola de Protecció de Dades i, en alguns casos, als afectats per aquestes incidències.
- Nomena un Delegat de Protecció de Dades (DPO) si tractes, a gran escala, dades sensibles o et dediques a monitorizar el comportament de les persones. Són conceptes amplis que hauran d’anar-se concretant.
- Aplica els principis de privacitat des del disseny o per defecte. Posa la privacitat dels usuaris en un lloc central al moment de prendre decisions empresarials, per exemple en dissenyar un APP o en implementar sistemes de control horari. En alguns casos t’obliguessin a realitzar un Estudi d’Impacte de la Protecció de Dades.
- Forma al teu personal.
Quant temps tinc?
El GDPR dóna un termini de 2 anys, des de la seva aprovació definitiva, perquè els obligats a complir-ho, es posin al dia. Això ens portaria a mitjans 2018. Dit això, el canvi és tan significatiu, que és més que recomanable que qualsevol canvi o decisió que hagis de realitzar en matèria de protecció de dades, des de ja, es faci pensant en el GDPR. D’altra forma, un canvi tan substancial, de la nit al dia, em sembla impossible.
En definitiva, el GDPR és un repte gegant, especialment per a aquelles empreses que no només “compleixen la LOPD” sinó que tenen instaurada una política real de respecte a les dades personals. Implicarà canviar processos, formes de prendre decisions i en definitiva, implementar una cultura de protecció de dades efectiva que ha de convertir-se en un valor competitiu més de l’organització.
Si tens dubtes sobre aquest o qualsevol altre tema, no dubtis en contactar-nos!