“Reflexions sobre protecció de dades i empreses: Complim amb totes les nostres obligacions?”, per Maria José Estapé [Àbac Assessors]

Avui (dt. 28 de gener de 2020) és el Dia Europeu de la Protecció de Dades i també el passat desembre es va complir el primer aniversari de l'entrada en vigor de la Llei orgànica 3/2018 de protecció de dades i garantia dels drets digitals. Transcorregut aquest període, proposo algunes reflexions per valorar en quin punt ens trobem i el trajecte que ens queda per complir amb les normatives actuals pel que fa al tractament de les dades de caràcter personal que tenen les nostres empreses.

La primera qüestió, i que realment suposa el punt de partida quan iniciem un procés d'adequació al Reglament de protecció de dades, és plantejar-nos si sabem quins tractaments de dades realitzem, qui són les persones afectades, quines categories de dades tractem, a qui cedim aquests dades.... Tota aquesta informació hauria de recollir-se en el que s'anomena Registre d'activitats de tractament, document d'obligat compliment (art. 30 RGPD) i que ha d'estar a la disposició de l'Agència Espanyola de Protecció de Dades (AEPD) en cas que aquesta el sol·liciti. Tenim elaborat el registre d'activitats de tractament?

Una altra qüestió interessant és: sabem on queden allotjades totes les dades de la nostra empresa? Preguntant a empresaris, en moltes ocasions no coneixen del cert si són en un núvol i fins i tot, de vegades, indagant sobre els seus proveïdors informàtics, descobreixen amb sorpresa que les seves dades són a l'Índia, al Brasil o en algun país que ni haguessin imaginat. Tenim amb tots els nostres proveïdors amb accés a dades tots els contractes de confidencialitat i d’encarregats de tractament signats?

En aquest exercici d'anàlisi del compliment de la normativa de protecció de dades és de gran importància plantejar-nos com realitzem el tractament de les dades dels nostres empleats. Estem complint amb el deure d'informació? En el cas, per exemple, que estiguéssim utilitzant un sistema de geolocalització, n’han estat correctament informats? Si telefonem a un empleat al seu mòbil particular, hi estem autoritzats? En quins casos podem fer-ho...? Amb l'actual normativa del marcatge de la jornada laboral, hem tingut en compte en la selecció del sistema la seva adequació amb la Llei de protecció de dades...? Tenir clars i controlats tots aquests punts és fonamental per evitar cometre infraccions sancionables.

Pel que fa al nostre principal actiu, els nostres clients, han estat informats correctament de la nostra política de privacitat? Tenim el seu consentiment per enviar-los newsletters...? Com hem de respondre per complir en el termini i en la forma que estableix la normativa davant aquells contactes que ens sol·liciten la seva baixa?

Una novetat, d’entre les introduïdes pel Reglament general 2016/679 (RGPD), és l'obligatorietat de nomenar un delegat de protecció de dades per a un determinat perfil d'empresa. L'Agència Espanyola de Protecció de Dades va publicar un llistat del tipus d'empresa que el requeriria i l'obligatorietat d'inscriure les dades del delegat a la seva seu electrònica. Som una de les empreses que hem de complir aquest requisit?

Actualment els atacs a la ciberseguretat són com una epidèmia: nombroses empreses han patit atacs de hackers informàtics i, com a conseqüència, s'han trobat amb  incidents de disponibilitat d’accés a les seves dades. Davant d'aquestes situacions, tenim definit el procediment d'actuació i comunicació a l'Agència Espanyola de Protecció de Dades en cas de ser necessari?

A través d'aquestes reflexions, podríem marcar el recorregut per analitzar i valorar alguns aspectes sobre la correcta adequació de les nostres empreses a la normativa de protecció de dades. Com a consultora especialitzada en les normatives de protecció de dades i seguretat de la informació, resto a la vostra disposició per a qualsevol aclariment i per oferir solucions a aquests plantejaments. 

Maria José Estapé 
Responsable RGPD i DPO Extern

mariajose@abac.cat

Àbac Assessors