Blog

Coneix tot el que cal saber sobre la nova llei RGPD

  |   Tècnic   |   Cap comentari

El nou Reglament General de Protecció de Dades (RGPD) va entrar en vigor al maig de 2016 i serà aplicable de forma obligatòria a partir del proper mes de maig de 2018. A partir d’aquest moment, serà de obligat compliment en tots els països de la Unió Europea i la seva vulneració comportarà importants sancions. Aquestes van des dels 10 milions d’euros o el 2% de facturació per a una falta lleu als 20 milions d’euros o el 4% de facturació per a faltes greus.

La Llei no només és aplicable per a totes les empreses d’Europa, sinó també per a empreses internacionals que gestionin dades d’usuaris residents en la Unió Europea.

El RGPD conté molts conceptes, principis i mecanismes similars als establerts per la Directiva 95/46 i per les normes nacionals que l’apliquen. Per això, les organitzacions que en l’actualitat compleixen adequadament amb la LOPD espanyola tenen una bona base de partida per evolucionar cap a una correcta aplicació del nou Reglament.

 

Apareixen dos nous elements de caràcter general per als responsables i es projecten sobre totes les obligacions de les organitzacions:

 

El principi de responsabilitat proactiva: El RGPD descriu aquest principi com la necessitat que el responsable del tractament apliqui mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament és conforme amb el Reglament. Aquest principi exigeix una actitud conscient, diligent i proactiva per part de les organitzacions enfront de tots els tractaments de dades personals que duguin a terme.

L’enfocament de risc: El RGPD assenyala que les mesures dirigides a garantir el seu compliment han de tenir en compte la naturalesa, l’àmbit, el context i les finalitats del tractament així com el risc per als drets i llibertats de les persones. L’aplicació de les mesures previstes pel RGPD ha d’adaptar-se, per tant, a les característiques de les organitzacions.

 

Les principals qüestions que hauran de tenir en consideració les empreses:  

 

El RGPD manté el principi recollit en la Directiva 95/46 que tot tractament de dades necessita recolzar-se en una base que ho legitimi. En aquest sentit, el RGPD no implica canvis per als responsables del tractament de dades.

 

El consentiment ha de ser “inequívoc

A diferència del Reglament de Desenvolupament de la LOPD, no s’admeten formes de consentiment tàcit o per omissió, ja que es basen en la inacció.

 

Transparència i informació als interessats

La informació als interessats, haurà de proporcionar-se de forma concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill.

El RGPD conté els ja tradicionals drets ARC i també alguns nous drets. A més, estableix condicions concretes sobre el procediment a seguir per atendre als interessats en l’exercici dels seus drets.

 

Delegat de Protecció de Dades

La GDPR introdueix la figura del Delegat de Protecció de Dades, que ha de nomenar-se en tots els organismes públics i en aquelles organitzacions que tractin dades a gran escala o especialment sensibles. Pot ser intern o extern i necessitarà coneixements legals i informàtics per poder assessorar i supervisar el tractament de dades i cooperar amb l’autoritat de control.

Apareixen tres novetats a tenir en consideració per part dels responsables i encarregats: Obligacions específiques per part dels responsables i encarregats; Els responsables hauran de triar únicament encarregats que ofereixin garanties suficients per aplicar mesures tècniques i organitzatives apropiades; Formalització de les relacions entre el responsable i l’encarregat mitjançant un contracte o en un acte jurídic que vinculi a l’encarregat respecte al responsable.

El RGPD estableix un catàleg de les mesures que els responsables, i en ocasions els encarregats, han d’aplicar per garantir que els tractaments que realitzen són conformes amb el Reglament i estar en condicions de demostrar-ho.

 

Transferències internacionals

El model de transferències internacionals dissenyat pel RGPD segueix els mateixos criteris que l’establert per la Directiva 95/46 i per les legislacions nacionals de trasposició.

 

Tractament de dades de menors

L’esment més explícit als menors està relacionada amb l’obtenció del consentiment en l’àmbit de l’oferta directa de serveis de la societat de la informació. El RGPD preveu que en aquest entorn, el consentiment solament serà vàlid a partir dels 16 anys, havent de comptar amb l’autorització dels pares o tutors legals per sota d’aquesta edat.

 

L’AEPD ha posat a la disposició de la petita i mitja empresa uns materials de suport i recursos amb els quals facilitar l’adaptació al Reglament General de Protecció de Dades. Aquí us deixem un enllaç a ells perquè pugueu ampliar més informació:

AUTHOR - Marketing

Cap comentari

Post A Comment