Està preparada la teva empresa pel RGPD?

Jose Velategui

Ets conscient d’on tens emmagatzemades les dades personals dels teus clients?
I de qui les recull, cóm i per què?

Probablement no. Perquè ara la informació personal confidencial de qualsevol empresa es troba emmagatzemada en un ventall molt ampli de dispositius i sistemes. A més, pràctiques com la transferència de dades entre aquests dispositius, tant dins com fora de l’organització (i del país), fa que protegir aquestes dades sigui tot un repte.

RGPD: Reglament General de Protecció de Dades.

Davant l’auge del comerç electrònic, el Big Data, el Cloud Computing, l’Internet de les coses (IoT), la realitat augmentada, o la intel·ligència autònoma, la Unió Europea va decidir ampliar els drets de tots els ciutadans en relació a les seves dades personals.  I ho va fer aprovant el Reglament General de Protecció de Dades (RGPD) a finals de 2016. Un reglament que representa un important canvi en la gestió de les dades personals tant a nivell europeu com mundial, pel qual es descriuen les regles, els requeriments i els procediments que s’han de respectar per protegir les dades personals de les persones.

El nou Reglament General de Protecció de dades (RGPD) serà d’aplicació obligatòria a tots els estats membres de la UE, a partir del 25 de maig de 2018 (tot i que ja és vigent), i harmonitzarà les lleis de privacitat de dades a tot Europa, definint com les empreses protegeixen i administren les dades dels seus clients i col·legues en el futur.

El Reglament General de Protecció de Dades (RGPD) constitueix el nou marc jurídic que entrarà en vigor el 25 de maig de 2018 a la Unió Europea (UE).

L’objectiu de l’RGPD és el d’atorgar un més gran control als ciutadans sobre les seves dades personals així com establir unes regles comunes de protecció dins la UE. Les empreses fora de la UE també estaran subjectes al nou reglament quan les seves activitats comportin el tractament de dades personals de persones que resideixin a la UE.

El nou reglament suposa unes modificacions substancials de la normativa de protecció de dades de caràcter personal, i estableix un seguit de nous requeriments que han de complir les organitzacions que tractin dades personals dins la UE.  També modifica el règim sancionador amb noves sancions de fins a 20.000.000 € o el 4% del volum del negoci anual global de l’exercici anterior.

El Reglament RGPD obliga les empreses a assumir una major responsabilitat respecte les dades que recopila dels usuaris així com a portar a terme les tasques necessàries per a protegir-los.

RGPD: Principis bàsics.

El Reglament RGPD  consolida tres conjunts bàsics de normes relatives a les dades personals. El seus principis es poden descriure de la forma següent:

  • Principis de la protecció de dades.

    El tractament de les dades personals ha de ser lícit, lleial i clar per l’interessat. S’han de recollir per a fins específics, explícits i legítims, i no es poden tractar d’una forma que sigui incompatible amb ells. Les dades recollides han de ser adequades, pertinents i limitades al necessari.
    Han de ser exactes i mantenir-se actualitzades, i han de prendre totes les mesures raonables per garantir que les dades personals que siguin inexactes es rectifiquin o suprimeixin sense demora. Les dades personals han de ser emmagatzemades d’una manera que identifiqui a l’interessat només el temps necessari, i han de ser tractades de manera que es garanteixi la seva seguretat, inclosa la protecció davant pèrdua, destrucció o danys, així com l’accés il·lícit o no autoritzat.

  • Tractament lícit.

    Només és lícit el tractament de dades personals si es compleix almenys una de les següents condicions. L’interessat ha donat el seu consentiment per a un o més fins específics; és necessari per a un contracte en el qual intervé, o aviat intervindrà, el interessat; s’ha de complir una obligació legal (per exemple, declaració d’impostos d’una empresa); existeix una missió realitzada en l’interès públic o a l’exercici de poders públics; és necessari per protegir interessos legítims (fins i tot d’un tercer), llevat que prevalguin els interessos, drets fonamentals i llibertats del interessat.

  • Transferències internacionals.

    El reglament RGPD manté la prohibició general d’enviar dades personals fora de l’Espai Econòmic Europeu a un país que no ofereixi una protecció adequada. En el moment de redactar aquest document, els països que la Comissió Europea consideren que ofereixen una protecció adequada són: entitats nord-americans que s’hagin autocertificat en l’Escut de la privacitat UE-EE. UU. (Nota: això no implica que es consideri que els Estats Units com a país proporciona una protecció adequada), Andorra, Argentina, Canadà (només PIPEDA), Illes Fèroe, Guernsey, Israel, Illa de Man, Jersey, Nova Zelanda, Suïssa i Uruguai. Si no hi ha decisió sobre l’adequació, només poden transferir dades en circumstàncies limitades, com ara, sobre la base del consentiment, l’ús de clàusules contractuals tipus publicades per la Comissió Europea o, en el cas de transferències interempresarials, l’ús de normes corporatives vinculants.

Mesures que cal implantar.

Des d’EIO recomanem a totes les empreses que accelerin el compliment del nou reglament el més aviat possible. Per què? Doncs perquè no existeix un producte RGPD; cada organització haurà d’implementar aquelles mesures (organitzatives i tècniques) que garanteixin la protecció de les dades personals dins els seus productes i serveis.

Algunes de les mesures que cal implantar poden ser les següents:

  • Xifrat de dades personals.
  • Garantir la disponibilitat, integritat, confidencialitat i resiliència dels sistemes.
  • Capacitat de restaurar els sistemes davant qualsevol incident.
  • Disposar de processos per fer test i avaluar l’efectivitat dels sistemes.

DADES PERSONALS.

El terme “dades personals” es fa servir per a definir tota aquella informació relacionada amb una persona física identificable.  Això vol dir identificadors com ara adreces IP, adreces de correu electrònic, informació recollida per cookies i tot allò que es pugui vincular amb la persona física. També fa esment a altres tipus d’informació que permeti establir (directa o indirectament) la identitat d’una persona ja sigui a nivell fisiològic, genètic, psíquic, econòmic, cultural, social…  Un abast molt ampli.

D’altra banda, el reglament no estableix cap diferència entre els diversos àmbits de la persona, ja sigui el privat, el públic o el laboral; tots ells queden coberts.

Demanar consentiment i molt més.

El reglament RGPD estableix com a un aspecte clau el sol·licitar el consentiment de la persona les dades de la qual es volen tractar. Això vol dir que les empreses hauran de demostrar de quina manera i en quin moment han assolit el consentiment de l’usuari. A més, aquestes dades han de ser emprades per una finalitat concreta, explícita i legítima.

Quan l’empresa sol·liciti dades a un usuari, cal que li informi amb claredat sobre diversos aspectes; com ara:

  • La identitat i dades de contacte de l’organització que sol·licita les dades.
  • Quina és la finalitat així com la base jurídica que fonamenta el tractament.
  • Informar sobre la transferència de les dades a un tercer país i les garanties.
  • Quin serà el període al llarg del qual es conservaran les dades.
  • El dret d’accés, rectificació i eliminació de les seves dades personals.
  • El dret de limitar i oposar-se al tractament de les seves dades personals.
  • El dret a poder retirar el seu consentiment en qualsevol moment.
  • El dret de l’usuari a poder reclamar davant una autoritat de control.
  • El dret a conèixer les dades de contacte dels delegats de protecció de dades designats.

El reglament GDPR disposa que els usuaris tinguin accés a la informació relativa al mode en que les seves dades són processades. Aquesta informació ha de ser presentada d’un mode clar i comprensible.

A banda dels drets anteriorment esmentats, els usuaris tenen dret a la eliminació permanent de les seves dades (dret a l’oblit) un cop ja no resulten d’utilitat pels objectius i tractaments pels quals van ser recollits.

Donar compliment a RGPD vol dir protegir la informació personal de tota l’empresa contra el robatori, la pèrdua o eliminació accidental i contra els atacs ransomware.

ESQUERDES DE SEGURETAT.

El reglament RGPD estableix que l’empresa ha de comunicar a l’autoritat de control qualsevol esquerda de seguretat en la protecció de dades personals.  I ho ha de fer de forma immediata, dins un termini de setanta dues hores.  Això vol dir que l’empresa ha de disposar de sistemes i eines que li permetin detectar qualsevol atac i valorar el risc per a la seguretat.

En cas que es produeixi un atac, l’empresa ha de poder demostrar que ha portat a terme les accions necessàries per a reduir les conseqüències sobre les dades personals.  Això vol dir que l’empresa ha de poder tancar els punts d’accés, comunicar l’amenaça a tota la organització i blindar els sistemes que continguin dades de caràcter personal.

NO ESPERIS I ACTUA.

Hi ha una dita que afirma que “fins que no passa una desgracia les coses no canvien“.  I encara que defineix molt bé la visió d’algunes organitzacions, és una mala idea. A Enginyeria Informàtica Olot us recomanem començar a preparar la vostra empresa tot aplicant un seguit de mesures:

  • Comença per revisar els sistemes de captura i tractament de dades personals per garantir que s’ajusten al reglament RGPD.  Planteja’t el dur a terme una auditoria RGPD des d’un punt de vista legal i tecnològic, entre d’altres.

  • Verifica que tant els empleats com els proveïdors coneixen el reglament RGPD.  Organitza accions formatives perquè estiguin preparats.  Cal tenir present que l’empresa és responsable del tractament de dades personals que tercers facin en nom seu.

  • Assessora’t amb l’objectiu de comprendre les implicacions i l’abast del nou reglament per a les activitats de l’empresa.

Si tens cap dubte o vols més informació, a EIO atendrem les teves consultes i t’ajudarem a implantar eines, formació i suport per a protegir la privacitat de la infraestructura de la teva empresa i complir amb el nou reglament de protecció de dades personals.

En aquest web processem dades personals com, per exemple, les dades de navegació. Si segueix navegant pel nostre web, EIO i altres companyies seleccionades podran instal·lar cookies o accedir a informació no sensible del teu dispositiu amb l'objectiu de personalitzar continguts i elaborar estadístiques. Pots configurar les preferències de privacitat ara o en qualsevol moment accedint a la nostra política de privacitat. Més informació,

ACEPTAR
Aviso de cookies