Com afecta els comerciants el nou RGPD?

Qualsevol gran empresa, pime o botiga ha d'aplicar el nou Reglament General de Protecció de Dades si vol evitar multes que poden arribar als 20 milions d'euros

Tota empresa, per petita que sigui, ha d'aplicar el RGPD
Tota empresa, per petita que sigui, ha d'aplicar el RGPD
experto en protección de datos y profesor de Escodi
Barcelona
23 d'Octubre de 2018

La realitat ens diu que hi ha poques empreses que no tractin dadespersonals. En els comerços, els clients són persones i en un moment o altre s’emmagatzemaran les seves dades personals. Fins i tot, establiments que, per la seva mida i volum de negoci, no tracten aquestes dades (vendes de petit import amb tiquet de venda al comptat), si tenen treballadors contractats, ja estan tractant dades personals. Així doncs, totes les empreses, també les de comerç i associacions de comerciants, establertes a la Unió Europa i que tracten dades de caràcter personal, els afecta el nou Reglament General de Protecció de Dades (RGPD (UE) 2016/679).

No és rellevant la mida de l’empresa en l’aplicació del RGPD. Tant si és una multinacional com si és una botiga d’àmbit local, el fet de tractar dades personals obliga al compliment del reglament. Tampoc és rellevant el suport amb el qual es tracten aquestes dades i, tant si s’usa un equip informàtic com el clàssic paper per desar-les, estan subjectes al nou reglament.

El nou RGPD dóna drets, eines i criteris a les persones i a les empreses que treballen amb dades personals per protegir-les, custodiar-les i tractar-les de manera eficient, posant per davant la seva defensa i cura. Els drets que dóna el RGPD a les persones respecte a les seves dades objecte de tractament són els d’accés, rectificació, consulta, oposició, eliminació, oblit, portabilitat, essent aquests dos últims una novetat respecte a la normativa anterior; i el dret a l’oblit, especialment rellevant en el cas de xarxes socials, que utilitzen molts comerciants.

Què s’entén per dades personals?

L’article 4 del Reglament diu: “Dades personals és tota informació sobre una persona física identificada o identificable (l'interessat)”. Un DNI, el nom i cognoms, el número de telèfon, l’adreça de correu electrònic, una imatge o vídeo (per exemple, per càmeres de seguretat o xarxes socials), etc. són dades de caràcter personal i, per tant, si el nostre comerç, botiga, associació, tracta dades d’aquest tipus, estem obligats a aplicar el nou RGPD. No oblidem que altres tipus de dades com la ideologia, religió, origen racial, dades de salut o de menors són dades personals especialment sensibles i que demanen un tractament específic.

I si no faig cas de tot plegat què em pot passar?

Les multes administratives que es contemplen poden arribar entre els 10 i 20 milions d’euros, o entre el 2% i el 4% del volum de negoci anual global. Per establir la quantia de les sancions s’atendrà cada cas en particular i es tindrà en compte:

  • La naturalesa, gravetat i durada de la infracció.
  • La intencionalitat o negligència en la infracció.
  • Qualsevol mesura presa pel responsable o encarregat del tractament per pal·liar els danys i perjudicis soferts per les persones interessades.
  • Tota infracció anterior comesa.
  • El grau de cooperació amb l'autoritat de control.
  • Les categories de les dades de caràcter personal afectades.
  • La forma en què l'autoritat de control va tenir coneixement de la infracció.   
  • L'adhesió a codis de conducta o a mecanismes de certificació aprovats d'acord amb l'articulat del mateix RGPD.
  • Qualsevol altre factor agreujant o atenuant aplicable a les circumstàncies del cas.

11 passos per adaptar-se al nou RGPD

El nou RGPD comporta canvis rellevants en el tractament de les dades personals respecte a l’anterior LOPD.

  1. Nomenar un responsable del tractament. El Reglament (UE) 2016/679 defineix, en l'article 4.7, al responsable del tractament o responsable com "la persona física o jurídica, autoritat pública, servei o un altre organisme que, sol o juntament amb altres, determini els fins i mitjans del tractament”. En el cas del comerç seria la mateixa empresa, associació o empresari autònom.
  2. Identificar als Encarregats del Tractament. És aquella persona física o jurídica, autoritat pública, servei o un altre organisme, que presta un servei al responsable del fitxer que comporta el tractament de dades personals per compte d'aquest. El nostre gestor que porta les nòmines dels treballadors pot ser un encarregat del tractament, de la mateixa manera que ho és l’empleat que usa l’ordinador per modificar les dades d’un client.
  3. Avaluar les dades que es tracten. Depenent del tipus de dades que es tracten en l’activitat del negoci cal aplicar mesures de protecció diferents. Recordeu els nivells de dades que recull el reglament: nivell baix, nivell mitjà, nivell alt i dades de menors (especialment protegides). Algun establiment pot emmagatzemar el nom i data de naixement del nadó i la mare, per exemple; o si s’organitza algun concurs adreçat a infants amb dibuixos, fotografies de disfresses, etc. Habitualment, les dades que pot gestionar un comerç o associació per a les promocions i comunicacions amb els clients, corresponen al nivell baix o mig de protecció.
  4. Crear un Registre d’activitats i tractament. L’article 30 del RGPD indica que "el responsable o l’encarregat del tractament posaran el registre a disposició de l’autoritat de control que ho sol·liciti”. Aquest registre és un document que detalla la llista de les dades recollides, el tractament previst (facturació, mailings, comunicacions comercials, etc.), la cessió de les dades a tercers.
  5. Fer una anàlisi de riscos. L'exposició als riscos amb impacte en la protecció de dades es produeix des de l'inici o posada en marxa dels tractaments i al llarg de la vida de les dades. El RGPD introdueix els conceptes de protecció de dades des del disseny i per defecte.
  6. Fer una avaluació d’impacte (si s’escau). L’Article 35 del RGPD indica que "davant la probabilitat que un tractament comporti un elevat risc pels drets i les llibertats de les persones físiques serà necessari dur a terme un AIPD abans de la posada en funcionament del tractament”. Si tractem grans quantitats de dades o bé hi ha un risc elevat per a la seva integritat serà necessària fer l’avaluació.
  7. Adaptar la documentació actual. Si disposem de documentació d'acord a l’anterior reglament, caldrà revisar-la, modificar-la i actualitzar-la. A títol d’exemple caldrà revisar/crear: el peu de missatge als correus electrònics fent referència al nou RGPD, el document de confidencialitat signat amb els treballadors, el document de cessió de dades dels nostres clients, el document de cessió de dades dels treballadors signat per la gestoria (confecció de nòmines), el document de cessió de dades a tercers, el disseny de la web (política de privacitat), etc. 
  8. Crear el mecanisme perquè els nostres clients puguin exercir els seus drets. Cal disposar d’un mecanisme fàcil, simple i eficaç perquè els clients puguin exercir els seus drets (accés, rectificació, consulta, oposició, eliminació, oblit, portabilitat).
  9. Establir/adaptar les polítiques de privacitat. Una política de privacitat és un document legal que planteja com una organització es reserva, processa i gestiona les dades de l'usuari o client. Aquesta acostuma a ser usada en un lloc d'internet, on l’usuari crea un compte.
  10. Documentar tot el procés. Cal disposar del document on es recull la totalitat d’accions aplicades a l’empresa: conscienciació, revisió de la documentació, legitimació per tractar les dades, consentiment de les persones per al tractament de les seves dades, polítiques de privacitat, nomenar el responsable del tractament i els encarregats, documentació de seguiment, registre de tractament i registre d'incidències. 
  11. Sensibilitzar i formar els treballadors sobre la importància del nou RGPD. Tot el personal del vostre negoci que tracti dades personals ha de ser format i conscienciat en la protecció de les dades personals, això aportarà valor afegit al negoci i percepció de seguretat als clients del vostre comerç. Fins i tot és necessari que empleats i proveïdors, com la gestoria o l’empresa de neteja (que tenen accés a les dades o a espais on s’emmagatzemen aquestes) signin un compromís de confidencialitat.

Esteu preparats?