Protecció de dades

RGPD i LOPDGDD

La regulació sobre la protecció de dades personals ha experimentat canvis importants en els darrers anys, especialment arran de l’entrada en vigor del Reglament (UE) 2016/679 del Parlament i del Consell, de 27 d’abril de 2016 (Reglament General de Protecció de Dades o “RGPD”) i de la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia de drets digitals (“LOPDGDD”).

El compliment amb la vigent normativa europea i espanyola ha esdevingut una qüestió de vital importància per a tot tipus d’empreses, independentment de la seva mida. Aquestes són només algunes de les mesures que tota empresa que tracti dades personals està obligada a implementar:

  • Anàlisi de riscs: Cal fer una valoració prèvia dels riscs inherents a cada tractament de dades, a fi d’adoptar les mesures de seguretat adequades.
  • Consentiment dels clients: Quan el tractament de dades es basi en el consentiment dels interessats, aquest haurà de ser lliure, específic, informat i inequívoc. Ja no valen els consentiments tàcits, ni els genèrics. Quan vulguem utilitzar les dades per a diferents finalitats, caldrà informar de totes i obtenir el consentiment per a cadascuna d’elles.
  • Deure d’informació: Abans de sol·licitar dades personals als clients se’ls ha d’informar d’aspectes com la identitat del responsable del tractament, les finalitats del tractament, els destinataris de les dades, possibles transferències, terminis de conservació, drets que pot exercir l’interessat, etc. Aquesta informació s’ha de facilitar de forma clara i entenedora, i ha de ser visible tant en la Política de Privacitat de la pàgina web com en cada formulari de recollida de dades (formularis de contacte, registre, cistella de la compra, etc.).
  • Registre d’activitats de tractament: Si bé ja no és obligatori registrar els fitxers de dades davant l’AEPD, algunes empreses han de dur a terme un registre dels tractaments de dades que realitzen, incloent informació com el tipus de persones interessades i de dades recollides, la finalitat del tractament, els destinataris de les dades, transferències internacionals, terminis de supressió de les dades, les mesures de seguretat (tècniques i organitzatives) adoptades, etc. D’aquesta obligació n’estan exemptes les empreses amb menys de 250 treballadors, sempre i quan no tractin dades sensibles.
  • Delegat de Protecció de Dades (DPO): Es tracta d’una nova figura introduïda pel RGPD, i que resulta obligatòria per a empreses que tractin dades de forma habitual, sistemàtica i a gran escala, o que tarctin dades personals sensibles (ideologia, religió, salut…). Entre d’altres, el DPO té les funcions de supervisar i assessorar al responsable sobre el compliment de la normativa de protecció de dades, assessorar en les evaluacions d’impacte que calgui realitzar, actuar d’intermediari en cas d’inspecció per part de l’AEPD, etc.
  • Contractes d’encàrrec de tractament: Quan una empresa encarrega el tractament de dades personals a un tercer que li presta algun servei (p.ex. gestoria, transport, marketing, manteniment informàtic, etc.) és obligatori signar un contracte amb aquest tercer encarregat del tractament, amb el contingut indicat en el RGPD.
  • Mesures de seguretat: En tot tractament de dades cal implementar les mesures de seguretat, tècniques i organitzatives, adequades al risc, entre les quals destaquen: el xifratge i la pseudonimització de les dades, la capacitat de garantir la confidencialitat, la integritat, la disponibilitat i la resiliència permanent dels sistemes i serveis de tractament, la capacitat de restaurar la disponibilitat i l’accés a les dades en cas d’incident físic o tècnic, etc.
  • Contractes de confidencialitat: Cal signar-los tant amb els tercers que ens presten algun servei com a encarregats del tractament, com amb els propis empleats que tenen accés a les dades personals que tracta l’empresa.
  • Notificació de violacions de seguretat: Si es produeix la destrucció, pèrdua o alteració accidental o il·lícita de dades personals , o la seva comunicació o accés no autoritzats (p.ex. a través d’un atac informàtic), cal notificar els afectats (clients i/o empleats) i a l’AEPD en un termini màxim de 72 hores.
  • Evaluació d’Impacte sobre la Protecció de Dades (EIPD): Cal dur-la a terme, amb els requisits que indica el RGPD, quan el tractament de dades comporti un elevat risc per als drets i llibertats dels interessats.
  • Drets dels interessats: A banda dels ja coneguts drets “ARCO” (Accés, Rectificació, Cancel·lació i Oposició), el RGPD ha afegit alguns drets més que tota empresa o responsable del tractament haurà de garantir a les persones interessades. Es tracta dels drets de portabilitat, limitació del tractament, dret a no ser objecte de decisions individuals automatitzades, i dret a formular reclamació davant l’autoritat de control. Cal posar els corresponents formularis a disposició dels clients per tal que puguin exercir els seus drets, i en cas que ho facin, caldrà donar-los resposta dins del termini que marca la llei.

A Domènech Corbella – Serveis Jurídics oferim un assessorament integral en matèria de protecció de dades i vetllem perquè els nostres clients compleixin amb la vigent normativa (RGPD i LOPDGDD).

COM PODEM ASSESSORAR-TE

  • Adaptació de la teva empresa a la vigent normativa de protecció de dades: Analitzem de forma individualitzada les possibles mancances de cada empresa pel que fa al grau de compliment amb el RGPD i la LOPDGDD, i oferim un assessorament integral a fi d’evitar possibles sancions derivades de tals incompliments.
  • Preparació revisió i redacció dels documents legals bàsics sobre privacitat: Ens encarreguem de redactar i/o adaptar la Política de Privacitat, la Política de Cookies, les clàusules de protecció de dades i els formularis d’exercicis de drets per a la pàgina web de la teva empresa.
  • Redacció, revisió i negociació de contractes: Acords i clàusules de confidencialitat, contractes d’encàrrec de tractament, contractes sobre altres matèries que incloguin clàusules sobre protecció de dades personals, etc.