Si en la gestió de la teva activitat maneges noms, adreces, números de telèfon o qualsevol altra classe de dades personals, has de adaptar-te a la normativa sobre Protecció de Dades. Tot seguit, resumim les novetats que s'aplicaran a partir del 25 de maig.
La Llei Orgànica de Protecció de Dades de Caràcter Personal (LOPD) és la legislació de compliment obligat per als qui gestionen dades de caràcter personal fins al 25 de maig de 2018, quan el Reglament General de Protecció de Dades (RGPD) s'imposarà a escala europea .
En aquest sentit, com ja us havíem avançat fa un temps, tots els negocis, associacions o particulars que manegen dades de caràcter personal (entesos com tota informació numèrica, alfabètica, fotogràfica o de qualsevol altre format relativa a persones físiques identificades o identificables, com la relativa a la seva existència i ocupacions; per exemple, el DNI, una matrícula o les altes i baixes mèdiques), hauran d'adaptar els seus procediments abans del 25 de maig de 2018 per garantir-ne el correcte tractament.
Aquesta és la data límit estipulada al RGPD, un dels canvis normatius més importants duts a terme per la Unió Europea a fi d'aportar un marc comunitari per a la protecció de dades confidencials. Entre altres, els objectius de la legislació són donar més control al ciutadà i simplificar la burocràcia.
Principals diferències entre la LOPD i el RGPD
Continguts
Classificació de les dades per nivells
Mentre que la LOPD classificava les dades tractades en tres categories —és a dir, de nivell bàsic, mitjà o alt—, i plantejava les mesures tècniques que s'havien d'aplicar en funció del grau, el RGPD no estableix nivells ni especifica mesures particulars en el pla tècnic, si bé sí que parla de dades «especialment sensibles» i es consideren més tipus de dades, com els biomètrics, genètics, etc.
Notificació de fitxers
En virtut de la LOPD, totes les empreses i entitats que manegen dades han de notificar a l'Agència de Protecció de Dades (AEPD) sobre els fitxers que gestionen (llistes de clients, proveïdors, treballadors, usuaris web, etc.). Això es pot fer mitjançant la pàgina la AEPD i és obligat compliment fins al 25 de maig del 2018.
Amb el RGPD desapareix l'obligació de presentar fitxers davant de l'autoritat, si bé cal portar un registre d'activitats de tractament, de caràcter intern en lloc de públic.
Document de seguretat
La LOPD requereix que tinguem un document de seguretat on constin l'estructura dels fitxers, la infraestructura informàtica, els usuaris segons zones i accessos, els dispositius associats i els protocols en vigor.
A partir de finals de maig de 2018, no caldrà comptar amb un document concret sobre la seguretat de les dades, sinó que aquesta informació es podrà englobar al registre d'activitats.
Compromisos de seguretat
Actualment, hem de signar contractes tant amb els treballadors (a qui hem d'informar prèviament de les mesures que puguin afectar la seva privadesa, com a possibles auditories del seu correu corporatiu o instal·lació de GPS en dispositius de l'empresa) com amb tercers que accedeixin a les dades ( per exemple, gestors, informàtics, etc.).
El RGPD amplia el contingut dels contractes amb tercers requerint descripció detallada dels serveis prestats, possibles transferències internacionals, etc.
Clàusules i avisos legals
La LOPD ja especificava que calia advertir el client o usuari de la recollida de dades i dels drets ARCO (accés, rectificació, cancel·lació i oposició) a les factures, pressupostos, contractes, impresos, correus electrònics, imatges, cartell de videovigilància i avisos legals a la pàgina web.
Ara el RGPD ampliarà la informació que es facilita al client o usuari (per exemple, la base jurídica per al tractament, qui és el destinatari de les dades, els drets dels afectats, etc.), si bé ofereix la possibilitat de proporcionar-la «per capes», en funció del nivell de recollida.
Mesures tecnicoorganitzatives
A l'actual LOPD es detallen mesures de seguretat com la necessitat de crear claus d'accés per a cada usuari, còpies de seguretat, control d'accés físic als servidors, implementació d'antivirus, xifratge de dades, etc. i, en el cas de les dades en paper, dels criteris darxiu i destrucció, entre altres.
Encara que la RGPD no especifica quines mesures de protecció aplicar, es parla de «responsabilitat activa» o, el que és el mateix, de actuar amb iniciativa segons anàlisi de riscos.
Altres aspectes rellevants del nou reglament
A més de tot allò esmentat, cal ressaltar alguns punts més de la nova normativa.
- Consentiment lliure, informat, específic i inequívoc i per a les diverses finalitats. És a dir, hem d'informar clarament el client o usuari de quines dades recaptem i com les utilitzarem i, per a cada finalitat amb què utilitzarem, haurem de facilitar la informació corresponent, perquè pugueu triar si voleu que les vostres dades s'usin o no així. A més, queden prohibits el consentiment tàcit i les caselles premarcades a pàgines web. (És a dir, encara que un client ens hagi donat el seu número de telèfon, no podrem enviar SMS promocionals a no ser que hagi acceptat explícitament mitjançant signatura).
- Principi de transparència en avisos legals. Tots els textos legals han de ser redactats amb un llenguatge comprensible.
- Es mantenen els drets ARCO. Tot i això, no hi ha termini de resposta.
- Notificació de fallades de seguretat a l'AEPD i als afectats.
- Delegat de protecció de dades. En els casos en què es gestioni dades a gran escala, es nomenarà la figura del delegat.
- Regulació de les transferències internacionals de dades. En cas d'enviar o emmagatzemar dades fora de l'espai de la UE, cal sol·licitar permís específic.
Comunicacions en format electrònic
D'altra banda, pel que fa a les dades de caràcter personal per mitjans electrònics, cal recordar que les comunicacions realitzades virtualment es regulen per la LSSICE (Llei 34/2002, d'11 de juliol, de Serveis de la Societat de la Informació i de Comerç Electrònic), que estipula el següent per a les activitats que constitueixin activitat econòmica o lucrativa per al prestador:
- Els pàgines web han de contenir la següent informació:
- Avís legal. En què consti la raó social, el CIF, dades de contacte, dades d'inscripció de registre, professió regular, codis de conducta…
- Política de privacitat (LOPD). On s'informa del tractament que es farà de les dades recollides.
- Política de cookies. En cas de fer-les servir, s'ha de notificar clarament i visiblement de qui les instal·la, el seu ús, tipologia, finalitat i mecanisme de desactivació.
- Condicions de contractació. Només en el cas de les botigues en línia.
- Clàusula per a comunicacions comercials. Heu d'incloure la possibilitat de donar-vos de baixa.
- Altres avisos concrets. S'ha d'incloure el text legal corresponent a tots els formularis, les pàgines de recollida de currículums i en qualsevol aplicació que desenvolupem (termes i condicions particulars a l'app).
- Comunicacions comercials per correu electrònic. La LSSICE prohibeix els enviaments comercials sense el consentiment previ i exprés del client o usuari (no obstant això, aquest no serà necessari si hi ha hagut una relació contractual prèvia i sempre que les dades s'hagin obtingut lícitament i s'utilitzin per fer publicitat de productes o serveis semblants als contractats anteriorment).
- S'haurà de informar a les comunicacions sobre la finalitat del tractament, així com proporcionar una adreça vàlida per exercir el dret a modificar o retirar el consentiment (ARC).
Conclusions
A la pàgina web de l' AEPD (Agència Espanyola de Protecció de dades) trobaràs tota la informació actualitzada, guies i una sèrie de eines com Facilita per al compliment de les obligacions recollides a la Llei.
És possible ocupar-se personalment de tots els tràmits a l'AEPD després de fer els passos adequats, però si prefereixes consultar amb professionals, a Nominalia posem a la teva disposició dos packs econòmics per adaptar la teva pàgina web a la normativa sobre protecció de dades.