El Reglament General de Protecció de Dades (RGPD) va entrar en vigor al maig de 2016 i serà d’aplicació obligatòria a partir del 25 de maig de 2018. Fins a aquesta data continuen sent aplicable la LOPD i la Directiva 95/46/CE.
Aquest Reglament pretén contribuir a un fàcil intercanvi de dades personals dins de la Unió Europea, tenint en compte tant la ràpida evolució tecnològica i pretenent donar seguretat jurídica als riscos que suposa l’ús d’Internet.
Des de DIGITAL LEX l’ajudem a adequar-se a les noves obligacions que imposa el RGPD i evitar, amb això, les elevades sancions que imposa pel seu incompliment.
Els 10 punts claus del Reglament són:
Avaluació d’Impacte (PIA, en anglès)
És una eina per a analitzar l’impacte que té un tractament sobre la privacitat de les persones. L’Avaluació d’Impacte es pot realitzar sobre qualsevol tractament de dades personals. És un document clau que han de tenir les organitzacions i que s’enquadra dins de la seva gestió de riscos i és obligatori tant per a les empreses responsables de tractaments com per a les encarregades de tractament. Això pot demostrar el seu compliment i limitar la seva responsabilitat en cas de ser requerit per una autoritat de control.
Responsabilitat activa
Les empreses hauran de prendre mesures apropiades i eficaces per a garantir la protecció de les dades personals.
Nomenament del Delegat de Protecció de Dades (DPO)
És la persona encarregada de vetllar i supervisar el compliment normatiu per part de l’entitat/empresa i l’interlocutor en cas de comunicacions amb l’autoritat de control.
Privacitat des del disseny
S’ha d’assegurar la conformitat dels tractaments de dades personals a la legislació des del mateix moment en què es crea un nou servei (dispositius de pseudo anonimització, xifratge o aplicació del principi de minimització de dades, han de ser igualment tinguts en compte, d’acord amb el principi de privacy by design.
Transferències de dades personals
Per norma general, la transferència de dades personals fora de la Unió Europea està prohibida. No obstant això, existeixen unes certes excepcions per a encabir aquestes transferències (BCR, clàusules contractuals tipus, Privacy Shield per a les companyies estatunidenques, etc.). És convenient revisar els contractes i les formalitats realitzades davant les autoritats de control.
Portabilitat
Aquest nou dret creat pel RGPD permet a totes les persones recuperar les dades personals recollits per un responsable A, per a transferir-los a un altre responsable B. Té com a objectiu retornar a les persones el control sobre el principi d’autodeterminació informativa i estimular així la competència. La seva implementació ha d’emmarcar-se d’acord amb la propietat intel·lectual per a permetre que cada prestador de serveis preservi les seves pròpies dades.
Consentiment
El RGPD reforça el consentiment. Acompanyant múltiples obligacions i excepcions, li correspon al responsable i a l’encarregat del tractament demostrar que ha recaptat el consentiment abans d’iniciar qualsevol tractament.
Creació de perfils
La creació de perfils és un dels grans desafiaments del Big data associats a algorismes predictius. Es refereix al disseny de l’anàlisi i predicció del comportament, compres, el rendiment, els desplaçaments, les preferències, etc. d’una persona física.
El RGPD contempla aquesta tècnica, susceptible d’atemptar greument contra els drets fonamentals. Per tant, quan es vulgui crear perfils, hauran d’acompanyar-se d’un estudi d’impacte.
Seguretat
La seguretat de les dades és objecte diari d’atacs massius: atac informàtic, robatori de dades, negligència…El RGPD imposa una obligació de seguretat global al responsable del tractament, però també als encarregats del tractament. Les dades especialment protegides (p. ex. salut) inclouran mesures de seguretat especials, així com una avaluació d’impacte (PIA).
Certificación
Con el RGPD, el proceso de etiquetado y certificación se extiende a todos los interesados. Por ejemplo, la privacidad por diseño de un servicio puede ser objeto de un certificado. Este es un beneficio económico y una marca de confianza.Certificació
Amb el RGPD, el procés d’etiquetatge i certificació s’estén a tots els interessats. Per exemple, la privacitat per disseny d’un servei pot ser objecte d’un certificat. Aquest és un benefici econòmic i una marca de confiança.
