Com canvia el Reglament General de Protecció de Dades?

Les noves mesures de seguretat volen garantir la integritat de la informació, permetre la recuperació en cas d'incidents i evitar els accessos no autoritzats

Els usuaris han de ser avisats sempre que es recullin dades en la seva navegació
Els usuaris han de ser avisats sempre que es recullin dades en la seva navegació
Carlos Guerrero
Soci d'Innovació, Emprenedors i Noves Tecnologies de Ceca Magán Abogados
Barcelona
02 de Maig de 2018

Menys de 30 dies perquè ja siga aplicable el Reglament General de Protecció de Dades. I moltes empreses es pregunten "per on començar?". L'Agència de Protecció de Dades ha publicat una sèrie de guies perquè les empreses puguen adaptar-se a la nova normativa. La mateixa Agència diferencia entre les companyies i organitzacions que tracten dades personals de major risc i les entitats de menor grandària i amb tractaments de poca complexitat. Les empreses, per tant, hauran de dur a terme una anàlisi sobre les implicacions dels tractaments en els drets i llibertats dels interessats.

 

Aquesta anàlisi es pot resumir en les qüestions que l'Agència ens recomana que contestem després d'una anàlisi de la nostra organització. Com més gran siga el nombre de respostes afirmatives major seria el risc que podria derivar-se del tractament. Si la resposta a aquestes preguntes i unes altres del mateix tipus fóra negativa, és raonable concloure que l'organització no realitza tractaments que generen un elevat nivell de risc i que, per tant, no ha d'engegar les mesures previstes per a aqueixos casos.

 

Per exemple: es tracten dades sensibles? S'inclouen dades d'una gran quantitat de persones? Inclou el tractament l'elaboració de perfils? Es creuen les dades obtingudes dels interessats amb altres disponibles en altres fonts? Es pretén utilitzar les dades obtingudes per a una finalitat per a un altre tipus de finalitats? S'estan tractant grans quantitats de dades, inclòs amb tècniques d'anàlisi massiva tipus big data? S'utilitzen tecnologies especialment invasives per a la privadesa, com les relatives a geolocalizació, videovigilància a gran escala o certes aplicacions de la internet de les coses? I com han de llavors adaptar-se al RGPD aquest tipus d'empreses?

Auditoria o verificació simplificada

Els responsables que realitzen un nombre limitat de tractaments que probablement presenten un baix nivell de risc per als drets i llibertats dels interessats, podran simplificar la valoració dels aspectes rellevants a l'hora de determinar que estan en condicions d'aplicar adequadament el RGPD.

Aquests responsables seran en molts casos pimes o micropymes, encara que també poden incloure's entre ells organitzacions de major grandària. L'element realment decisiu és el tipus de tractaments que duguen a terme.

Empreses que realitzen tractaments bàsics sobre les dades dels seus empleats, clients i proveïdors, o comunitats de copropietaris que facen tractaments limitats a la gestió de les tasques pròpies de la comunitat, es trobarien entre ells.

Exercici de drets dels interessats

El responsable ha de preveure mecanismes per a facilitar l'exercici de drets i la resposta a les sol·licituds. Establir una adreça de correu electrònic específica que siga operativa i que permeta identificar als interessats i atribuir a una persona de l'organització que es responsabilitze de tramitar totes les sol·licituds que eventualment es reben.

Identificació de mesures de seguretat

Les mesures de seguretat tenen com a finalitats principals garantir la integritat de la informació, permetre la seua recuperació en cas d'incidents i evitar els accessos no autoritzats a les mateixes. Els tractaments que impliquen un baix risc per als drets o llibertats dels interessats no requeririen, en principi, mesures de seguretat més complexes que les que actualment estableix el Reglament de Desenvolupament de la LOPD per al nivell bàsic.

Verificació de les relacions amb els encarregats de tractament

L'empresa ha de verificar que els contractes per encàrrec de tractament amb prestadors de serveis inclou tots els aspectes que estableix el RGPD, especialment quant a que l'encarregat només tractarà les dades per a les finalitats que li encomane el responsable, que aplicarà les mesures de seguretat adequades i que mantindrà estricta confidencialitat sobre la informació tractada. En alguns casos, el model de contracte serà oferit pel prestador.

Sancions del Reglament General de Protecció de Dades

20.000.000 euros com a màxim, una quantia equivalent al 4% com a màxim del volum de negoci total anual global de l'exercici financer anterior, tractant-se d'una empresa.