• Empresa
  • Podem posar el RGPD en pausa?

Podem posar el RGPD en pausa?

L'aplicació del nou RGPD de la UE sacseja els departaments legals de les empreses per adaptar-se al nou tractament de la privadesa de les persones

El nou RGPD entra en vigor aquest 25 de maig | iStock
El nou RGPD entra en vigor aquest 25 de maig | iStock
Neus Navarro | VIA Empresa
Exdirectora de VIA Empresa
València
24 de Maig de 2018

Nosaltres també ho hem fet. Aquest matí de dijous t'hem recordat que VIA Empresa t'estima i t'hem preguntat si ens dones el consentiment per continuar amb nosaltres. Es compten per desenes els butlletins i notificacions electròniques que es reben aquests dies sobre el nou Reglament General de Protecció de Dades (RGPD) des d'aplicacions mòbils, associacions, mitjans de comunicació, entitats, etc. Tots els que mantenen una relació a partir de les dades privades dels usuaris estan obligats, a partir d'aquest divendres 25 de maig, a comunicar la seua nova política de privacitat i tractament d'aquesta informació. La urgència ha provocat que les pimes demanen el botó de pause

 

Però també és cert que molts s'han assabentat d'aquesta nova realitat fa només dues o tres setmanes, "i per això ara corren", apunta Eloi Font, soci de Font Advocats. "La normativa es va aprovar fa dos anys, el 27 d'abril del 2016, però preveia que seria aplicable a partir d'ara", aclareix. Una situació "d'urgència" que espanta molts empresaris, els quals encara no havien pensat en el canvi que els hi venia al damunt.

 

Les pimes demanen un temps d'adaptació 

És aquest esglai el que ha motivat la patronal catalana Pimec, juntament amb altres patronals i cambres de comerç europees, a demanar una moratòria per evitar les sancions que comporta el nou RGPD. La institució estima en un 75% el percentatge de pimes catalanes que encara no han adoptat mesures per complir amb el RGPD que s'aplicarà en Europa a partir d'ara. Segons Estrella Rincon, directora del Departament Jurídic de Pimec, "aquest reglament és cert que ha tingut dos anys per aplicar-se però no hi hagut molt de ressò, no s’ha donat molta informació i hi ha moltes pimes que no ho tenen fet i ara hi ha un alarmisme". 

En opinió de Salvador Silvestre, advocat soci d'Écija València, de l'àrea d'IT/ Privacy, "encara que (la moratòria) es puga entendre des del punt de vista del ciutadà, no és possible atés que no és una qüestió que depenga del Govern. Estem davant un Reglament europeu directament aplicable a tots els països de la Unió", matisa. Silvestre, també president de la secció de Dret Informàtic i de les Telecomunicacions del Col·legi d'Advocats de València, recorda que "el RGPD fa dos anys que va entrar en vigor, donant aquest marge a les empreses per a una adequació progressiva... Sí que és veritat que la interpretació de les guies i dictàmens del Grup de Treball de l'Article 29 de la UE no és una qüestió fàcil...., però no hi cap la moratòria", apunta.

Juanjo Villalobos: ""La batalla diària no és fàcil per a les pimes" 

A l'espera d'una resposta institucional a la petició, en aquest context el món empresarial ha entrat en una mena de "psicosi", en paraules de Font. "En les últimes dues o tres setmanes els empresaris han vist que hi ha un canvi relativament proper i a nosaltres, per exemple, això ens ha provocat moltes sol·licituds de pressupostos. Les empreses més grans havien sigut més prudents però moltes altres no i ara estem corrents per fer totes les adaptacions necessàries", explica.

Una empresa que sí que havia fet els deures és Getting Contacts. Especialitzada a posar en contacte empreses per generar negoci entre elles, necessita tenir totes les dades tractades amb confidencialitat i transparència, "i fer-ho tot molt bé", explica el seu gerent i fundador, Juanjo Villalobos. Des del 2017 la companyia s'està adaptant al RGPD amb una primera adaptació entorn de qüestions tècniques a l'hora d'acceptar la política de dades i en els últims sis mesos és quan han accelerat el procés. Una excepció quan, apunta Rincón, "molta de la gent que presta aquest servei estan col·lapsats. Les empreses que ara han despertat veuen que els proveïdors estan donat-los hores per setembre i octubre". 

Estrella Rincón: "Les empreses que ara han despertat veuen que els proveïdors estan donat-los hores per setembre i octubre"

Avançats a la notícia, Getting Contacts havia confiat la supervisió de l'adaptació en una advocada i, a més, havien contractat un especialista en informàtica per adaptar els mecanismes de registre. En total, Villalobos assegura que han invertit "unes 200 hores" en el procés d'adaptació i al voltant de 3.000-4.000 euros, sense sumar els costos interns. "Nosaltres estem per sobre del que demana la llei perquè sol·licitem requisits extres perquè totes les dades han de ser verificades i verificables i d'això la llei no diu res, i aquí tothom accepta donar les seues dades professionals", explica l'empresari, pertanyent a l'àrea d'autònoms de Pimec. "És veritat que és un procés molt farragós per a una petita empresa i encara que pimes tenen avantatges i excepcions, però el que compta és l'adaptació real del teixit productiu i aquest encara no s'ha pogut adaptar", reconeix. És per això que està d'acord amb la petició de moratòria sol·licitada per Pimec: "La batalla diària no és fàcil per a les pimes", argumenta.

El nou Delegat de Protecció de Dades

No és un tema menor aquest. Segons explica Salvador Silvestre, "el RGPD ens afecta a tots, atés que el règim sancionador ha canviat substancialment contemplant sancions de fins a 20 milions d'euros o el 4% de la facturació". I en la pràctica? Doncs hi haurà empreses que treballen amb dades, com Getting Contacts, que necessiten adaptar pràcticament tota la seua rutina. Altres, no tant. "Les empreses estan obligades a analitzar quins riscos té el tractament de dades que realitzen per a la privadesa de les persones", matisa l'advocat. En la pràctica "moltes pimes no faran cap tractament de risc i el seu compliment normatiu serà més senzill, però unes altres segurament sí i els tocarà assumir noves i variades obligacions, com fer una avaluació d'impacte en cas que existisca un tractament d'alt risc o els tocarà nomenar un Delegat de Protecció de Dades (DPO)", enumera.

Salvador Silvestre: "El DPO haurà de treballar per evitar la interposició de denúncies i la instrucció de procediments sancionadors" 

Tal com explica Silvestre, el DPO és una nova figura emergent que actuarà com a interlocutor entre l'empresa i l'usuari, un nou perfil que "haurà de treballar per evitar la interposició de denúncies i la instrucció de procediments sancionadors atenent les sol·licituds dels interessats i promovent mesures que minimitzen riscos per a la privadesa", descriu Silvestre.

I és que no són només els empresaris, sinó que també els usuaris experimenten aquesta urgència de la qual parlem quan els correus electrònics són diaris i en obrir aplicacions mòbils es reben missatges que conviden a "revisar la política de tractament de dades", com està fent Facebook, per exemple. El gegant creat per Mark Zuckerberg també està afectat per aquesta nova normativa per l'abast que té la mateixa RGPD.

En aquest sentit, l'advocat Eloi Font valora la importància d'aquesta implicació perquè és una normativa que "aplicarà no només amb empreses de la Unió Europea, amb independència d'on tractin les dades, sinó també en organitzacions de fora de la Unió que tractin dades de la Unió. Per això, també Facebook i Google estan obligades i això sí que és un canvi de paradigma rellevant", reconeix l'especialista.

Font insisteix que a partir d'aquest 25 de maig la normativa "va més enllà de l'Estat –l'afectació de l'antiga Llei Orgànica de Protecció de Dades-, i més enllà de la Unió. Ara és d'obligat compliment i aquest reglament, fora de la Unió, també serà una norma molt rellevant. Perquè les dades són el petroli del segle XXI, no?", reflexiona.

 

VIA Empresa també s'adapta al Reglament General de Protecció de Dades. Recorda comprovar el teu correu per continuar rebent els nostres butlletins i estar al dia amb l'actualitat