El GDPR és el Reglament general de protecció de dades. Per què és important? Quins són els requisits per estar de conformitat i els rols en joc?
El GDPR, acrònim de Reglament General de Protecció de Dades, és una de les lleis de privadesa i protecció de dades més estrictes del món, però, poques organitzacions compleixen completament els seus estatuts.
El GDPR regula generalment els països dins de la Unió Europea (UE) i de l'Espai Econòmic Europeu, però el seu marc ha estat adoptat en moltes lleis importants de privadesa de dades a tot el món.
Les entitats no conformes poden rebre multes de fins a 20 milions d'euros o sancions entre el 2 i el 4% dels ingressos globals anuals (segons quina sigui gran). A partir del 2018, l'Oficina del Comissionat d'Informació (ICO) aplica els estàndards de GDPR.
Aquest article descriu els estàndards establerts pel GDPR i proporciona una llista de verificació per ajudar les organitzacions a mantenir-se conformes.
Què és el Reglament General de Protecció de dades
El Reglament General de Protecció de Dades (RGPD) és el resultat audaç de la reforma de la protecció de dades de la Unió Europea (UE). Els estrictes estàndards de privadesa van entrar en vigor el 25 de maig de 2018 per protegir els drets de les persones. Aquest marc de ciberseguretat té com a objectiu protegir les dades personals de totes les persones a la Unió Europea.
El RGPD actualitza el Conveni Europeu de Drets Humans de 1950 perquè sigui rellevant a l'era digital. L'article 8 del conveni estableix que cada persona té dret a respectar la vida familiar i privada. A l'era analògica, els límits entre la vida pública i privada estaven ben definits i fàcilment identificables. Avui dia són ambigus i difusos. Sense un estàndard clar i aplicat com el RGPD, els usuaris mai no poden estar segurs que les seves dades privades, i per tant la seva vida privada, estiguin sent respectades.
Què s'entén per dades personals segons el GDPR de la UE?
Segons l'article 4 del GDPR, les dades personals es defineixen com qualsevol informació relativa a una persona física identificada o identificable. En altres paraules, les dades personals són totes les dades relacionades amb la identitat duna persona viva.
Les dades personals no es limiten a imatges, vídeos, àudio, números i paraules. No només inclouen associacions directes, com ara informació financera i adreces, sinó també associacions indirectes, com ara avaluacions de patrons de comportament d'una persona.
La informació errònia sobre les parts interessades es continua considerant dades personals perquè està vinculada a una identitat. Tot i això, si la informació està associada a una entitat fictícia, no es considera com a dades personals. Per exemple, si feu referència a un personatge fictici que resideix en un lloc fictici, no es consideren dades personals.
Les dades personals es divideixen en dues categories: les que controlen les dades i les que processen les dades (responsables vs. encarregats).
A qui aplica el GDPR?
El GDPR té un impacte en qualsevol organització que ofereixi béns i serveis a persones a la UE. Això inclou entitats que no es troben a la UE. Si maneges un negoci en línia, mai no saps amb certesa si les persones amb qui fas transaccions són a la UE. Per això, totes les activitats en línia han de complir amb el GDPR com a mesura de protecció.
Responsables de dades
El GDPR defineix un responsable de dades com qualsevol individu, autoritat pública, agència o un altre organisme que determini el propòsit i el processament de dades personals. Els responsables decideixen com es processen les dades personals.
Per exemple, una escola de música utilitza una pantalla digital per avisar els pares a la sala despera quan cada mestre està llest. La pantalla mostra el nom de cada nen i el número de la sala de la classe de música.
L'escola de música es classifica com a «responsable de dades» de les dades personals, ja que decideix com el sistema de notificació ha de processar totes les dades.
Encarregat del tractament de dades
El GDPR defineix qualsevol individu, autoritat pública, agència o un altre organisme que processi dades personals en nom d'un responsable del tractament. Atès que els encarregats del tractament segueixen les regles de processament de dades establertes pel responsable, no prenen decisions sobre com es manegen les dades personals.
Per exemple, una empresa de programari contracta un especialista en màrqueting per a una propera campanya per correu electrònic. A l'especialista de màrqueting se li proporcionen els noms i adreces de correu electrònic de tots els clients potencials perquè se'ls puguin enviar els anomenats correus electrònics «freds» personalitzats (és un correu electrònic no sol·licitat que s'envia a un destinatari sense avís previ) .
L'empresa de programari es classifica com a responsable del tractament de dades personals perquè determina com han de ser manejades les dades. L'operador de màrqueting es classifica com a «processador» perquè segueix les instruccions de processament de dades de l'empresa de programari.
Ja que manegen dades personals, fins i tot si els processos segueixen les directives del titular, encara deuen i sempre estar de conformitat amb el GDPR.
Per ser conforme, cal que t'asseguris de:
- Conèixer totes les dades recopilades per la teva empresa;
- Crear un registre GDPR per mapejar els processos de la teva activitat/organització;
- Avaluar els requisits per a la recopilació de dades;
- Reportar immediatament les violacions de dades;
- Ser transparent sobre el motiu de la recopilació de dades;
- Verificar l'edat de tots els usuaris que consenten les activitats de tractament de dades;
- Incloure un doble consentiment explícit per a totes les noves subscripcions a la llista de correu electrònic;
- Mantenir actualitzada la teva política de privadesa;
- Avaluar regularment tots els riscos de tercers.
Parlarem més detalladament sobre tot això aviat.
A Nominalia disposem d'una solució automatitzada i segura de GDPR amb què ajuda empreses i petits usuaris a complir amb el GDPR i altres regulacions vigents sobre protecció de dades en línia. Es tracta d'una solució proporcionada per iubenda, la millor actualment al mercat triada per més de 90,000 clients a més de 100 països.
És una eina fàcil i ràpida que ajuda el lloc web a mantenir la conformitat amb el GDPR identificant i abordant vulnerabilitats específiques de seguretat que afecten el compliment normatiu.
En utilitzar el nostre escàner, les empreses i organitzacions poden començar a avaluar la seva conformitat amb el GDPR i corregir-ho en oferir un servei en línia legalment conforme.
Les nostres solucions de conformitat en línia d'ubenda també permeten rastrejar la conformitat de tercers amb les regulacions més comunes. Això identifica possibles deficiències de compliment que exposen a tercers a un risc més gran de sancions normatives i violacions de dades.