Què ha de tenir en compte un negoci en temes de protecció de dades? [Àbac Assessors]

El primer que s’ha de tenir en compte, en termes de protecció de dades de caràcter personal, és que tant la normativa espanyola (LOPD) com la normativa europea (RGPD) obliguen totes les persones, empreses, entitats i organismes, tant públics com privats, que disposin de dades personals (nom, adreça, correu electrònic, DNI, etc.) a complir amb una sèrie de requisits i mesures de seguretat adients i adequades a les dades gestionades.

És a dir, que l’obligació és extensiva a tota aquella persona (empresari individual), empresa (gran, mitjana o petita) i/o entitat (associació, comunitat de propietaris, club, gremi, AMPA, etc.) que reculli i gestioni dades de persones físiques (particulars) independentment de la finalitat que els doni (gestionar base de dades, girar rebuts o quotes, enviar publicitat, newsletters, cartes de correu, etc.).

S’entén per “dades personals” tota la informació sobre una persona física identificada o identificable, a la qual s’anomena “interessada”.

Amb caràcter enunciatiu, són dades personals: el nom, un número d’identificació (DNI, NIE, passaport, etc.), les dades de localització (adreça, correu electrònic, número de telèfon, etc.), un identificador en línia, els elements propis d’identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social, etc.

Què haig de fer?

Primerament s’ha de fer una petita valoració / un petit estudi de les dades recollides i gestionades, per saber-ne la naturalesa i també la finalitat. Amb les conclusions extretes d’aquesta revisió es podrà fer l’alta dels fitxers corresponents davant de l’Agència de Protecció de Dades.

Després s’ha de confeccionar un protocol on es recullen els procediments i les mesures de gestió i control de les dades. Els procediments han d’abastar tot el recorregut de les dades, des del moment de la seva recollida, passant pels criteris d’arxiu i els de destrucció.

Des d’Àbac Assessors ens encarreguem de tot el procés i intentem que sigui el menys feixuc per a tu.

I si ja ho tinc, haig de fer alguna cosa?

Al marge que la protecció de dades és dinàmica i no val fer-la una vegada i oblidar-se de mantenir-la al dia, tots aquells empresaris o entitats que ja la teniu implementada heu de tenir molt en compte que amb el nou Reglament europeu de protecció de dades ara es modifiquen obligacions importants, i que us hi haureu d’adaptar.

A partir d’ara s’haurà de:

·       Tenir el consentiment exprés i per escrit del particular per poder gestionar les seves dades.

·       Tenir acreditació que s’ha informat els particulars dels seus drets. Ja no només s’han de respectar i complir els drets ARCO (accés, rectificació, cancel·lació i oposició), sinó que també hi ha drets nous a tenir en compte, com el dret a l’oblit (molt important per l’ús creixent de dades a les xarxes socials, pàgines web, etc.) i el dret a la portabilitat.

I si no ho faig?

L’actual regulació espanyola preveu sancions per la manca de compliment, que són multes que poden oscil·lar entre els 601 € i els 601.121,00 € en funció de si la sanció és lleu, greu o molt greu.

La nova regulació europea endureix fortament les sancions, que poden anar fins als 20 milions d'euros o del 4 % de la facturació global (optant sempre per la quantitat més gran).

A banda del tema econòmic, que sabem que és important per l’import de les sancions, hi ha un altre aspecte comercial molt més immediat que s’ha  tenir molt en compte.

Amb la cada vegada més estesa cultura de compliment normatiu (compliance), el fet de ser una empresa responsable i adaptada a la normativa de la LOPD està esdevenint un avantatge competitiu respecte a altres empreses de la competència. Són moltes, i cada vegada més, les empreses, tant nacionals com internacionals, que exigeixen als seus proveïdors que tinguin implementades mesures de control en molts àmbits, i la LOPD n’és un.

I per què la nova regulació europea afecta Espanya i desapareix la nostra llei?

Des del 25 de maig del 2016 està aprovat el NOU Reglament general de protecció de dades (RGPD) que, tot i que ja està en vigor, no serà d’aplicació obligatòria fins al dia 25 de maig del 2018, per donar temps que tots els obligats s’adaptin a les noves obligacions.

Aquest Reglament és una normativa europea que preval per sobre de la normativa estatal espanyola i que, per tant, és i serà de compliment obligat.

Que no sigui d’aplicació obligatòria fins al dia 25 de maig del 2018 no vol dir que fins a aquell dia no s’hagi de fer res, sinó tot el contrari, vol dir que aquell dia ja ha d’estat tot fet, adaptat i en funcionament.

Hi ha molts aspectes de la reforma que ja estan recollits a la LOPD i que només s’hauran d’adaptar o matisar, però n’hi ha d’altres de nous, que sí que implicaran modificacions tant legals com de procediment no només per part dels obligats, sinó també per part de l’Agència de Protecció de Dades.

Per a més informació, us animem a descarregar-vos la nostra circular informativa sobre les novetats de protecció de dades, o a contactar directament amb nosaltres.

Adreça per a la descàrrega: http://lopd.abac.cat

AUTORA: Ester Hervas