A partir del proper 25 de maig de 2018 serà aplicable el nou Reglament General de Protecció de Dades (RGPD) que va entrar en vigor el maig de 2016. Pel que, si ets responsable o encarregat de tractament, hauries de tenir ja tot preparat per a poder adoptar les mesures necessàries i complir amb les previsions de l’RGPD en el moment que aquest sigui d’aplicació.
Amb el nou Reglament es pretén protegir els ciutadans d’actes malintencionats i de donar-los més autonomia a les seves dades. Així mateix, es busca que les empreses instaurin sistemes fiables que permetin una seguretat i un control de les dades personals dels clients.
Cal destacar que l’aplicació del Reglament General de Protecció de Dades serà complementada amb la nova ‘LOPD’; està previst que les dues entrin en vigor el mateix dia.
A continuació, et proporcionem els aspectes més importants a tenir en compte l’RGPD:
Consentiment per al tractament de dades
Hi ha d’haver una manifestació de l’interessat o una acció afirmativa que indiqui el consentiment del mateix.
A diferència del Reglament de Desenvolupament de la LOPD, no s’admeten formes de consentiment tàcit o per omissió, ja que es basen en la inacció.
Així mateix, aquest consentiment podrà ser implícit quan es dedueixi una acció per part de l’interessat. Per exemple, quan navegueu per una pàgina web.
Les caselles per obtenir el consentiment es podran seguir utilitzant sempre que aquestes no estiguin pre-marcades.
Aquells tractaments iniciats amb anterioritat a l’inici de l’aplicació del RGPD seguiran sent legítims sempre que compleixin amb els requisits esmentats anteriorment. La resta dels supòsits hauran de ser estudiats.
Clàusules informatives
Les clàusules informatives han de proporcionar als interessats la base jurídica del tractament, el termini de conservació i els criteris per a la seva determinació.
La informació s’ha de donar de manera concisa, transparent, intel·ligible, de fàcil accés i amb un llenguatge clar i senzill. Així mateix, s’ha de facilitar per escrit, inclosos els mitjans electrònics, i de forma gratuïta.
Dret a l’oblit i a la portabilitat.
Es tracta de dos nous conceptes introduïts pel RGPD.
El dret a l’oblit és la conseqüència de l’aplicació del dret a l’esborrat de les dades personals. Es tracta d’una manifestació dels drets de cancel·lació o oposició aplicats en l’entorn online.
El dret a la portabilitat permet a l’interessat transmetre de forma directa les dades d’un responsable a un altre, sense necessitat que siguin transmesos prèviament al propi interessat.
Encarregat de tractament – Contractes d’encàrrec
Els responsables hauran de triar encarregats que ofereixin garanties suficients per aplicar mesures tècniques i organitzatives apropiades, de manera que el tractament sigui conforme amb els requisits del Reglament.
Així mateix, els continguts dels contractes d’encàrrec hauran d’incloure una descripció detallada dels serveis prestats, mesures aplicades, transferències internacionals de dades, subcontractacions, etc.
Totes les relacions entre responsable i encarregat s’han de formalitzar en un contracte o en un acte jurídic. Aquells anteriors a l’aplicació del RGPD hauran de modificar i adaptar-se.
Registre d’activitats de tractament
Els responsables i encarregats de tractament han de mantenir un registre d’operacions de tractament on s’inclogui un contingut mínim com el nom i dades del responsable, finalitats del tractament, etc. Es tractaria de l’equivalent a l’actual ‘document de seguretat’.
Mesures de seguretat
En el RGPD s’estableix que els responsables i encarregats han de tenir una responsabilitat activa. És a dir, han d’establir les mesures tècniques i organitzatives que garanteixin un nivell de seguretat adequat en funció dels riscos detectats. S’ha de garantir la confidencialitat, integritat, disponibilitat i resiliència.
Delegat de Protecció de Dades
Es permet nomenar un delegat de protecció de dades sempre que sigui accessible des de cada establiment del grup.
Aquest delegat serà nomenat segons les seves qualificacions professionals i el seu coneixement de la legislació i la pràctica de la protecció de dades. Tot i així, cal que aquest DPD tingui coneixements jurídics, així com coneixements aliens als estrictament jurídic, com en matèria de tecnologia aplicada al tractament de dades o en relació amb l’àmbit d’activitat de l’organització en la qual el DPD realitza la seva tasca.
Pots consultar l’Esquema de Certificació de Delegats de Protecció de Dades publicat per l’AEDP el passat mes de juliol en què s’estableix el mecanisme de certificació per a aquesta nova figura.
Nivells de seguretat de les dades
En el RGPD se suprimeixen les categories ‘bàsic, mitjà i alt’ establertes a la LOPD i es crea la ‘categoria especial de dades’, dins de la qual s’inclouen les dades genètiques i les dades biomètriques.
A LleidaPRO ajudem a la pime a complir amb la LOPD i el nou Reglament General de Protecció de Dades d’una manera pràctica i senzilla.
Si necessites més informació sobre el nou Reglament, pots contactar amb Lleidapro fent click aquí.
