Solucions RGPD Ready: jo protegeixo les dades

Jose Velategui

El 25 de maig s’activa l’RGPD. A partir d’aquesta data les empreses estan obligades a establir, de forma clara, el sistema de recollida, ús i consulta de les dades de caràcter personal de les persones físiques que gestionin dins la seva activitat empresarial.

RGPD: objectiu.

L’objectiu del nou reglament és el de donar resposta als nombrosos desenvolupaments tecnològics com ara el big data, la IA, el IoT o l’emmagatzematge biomètric, entre d’altres. Tecnologies que han deixat obsoleta l’antiga directiva de l’any 1995.

Protegir les dades és una obligació empresarial.

El Reglament General de Protecció de Dades (RGPD), que substitueix a la LOPD, afecta totes les persones físiques, societats, organismes, entitats sense personalitat jurídica i autoritats públiques que tractin dades de caràcter personal.

RGPD afecta a tothom:

  • Autònom, administrador d’una societat limitada o anònima.
  • Autònom sense empleats.
  • Autònom amb empleats.
  • Empreses privades en general, PIME, etcètera.
  • Entitats del sector públic.
  • Entitats sense ànim de lucre o fundacions.
  • Comunitats de propietaris.
  • Empreses que no tinguin seu a la UE.

L’RGPD posa especial èmfasi en la responsabilitat de les empreses que recopilen dades personals.

Dada personal: tota informació relativa a una persona física per la qual pugui determinar-se la seva identitat; per exemple, una adreça de correu electrònic.

Les empreses i les marques es veuran obligades a canviar les seves polítiques de privacitat i fer una anàlisi del nivell de riscos que comporta la seva activitat empresarial. L’objectiu és conèixer les mesures de protecció de dades que hauran d’implantar, d’acord amb la naturalesa i les finalitats del tractament que volen fer.

Nova figura: el DPO.

Incorporar la figura del DPO (Delegat de Protecció de Dades o Data Protection Officer en anglès) serà obligatori per les empreses que tractin dades personals de forma intensiva, o dades de caire sensible, de forma massiva.

Aquesta nova figura ( articles 37, 38 i 39) és important no només perquè serà l’encarregat de vetllar pel compliment del reglament RGPD, sinó perquè serà l’enllaç amb l’Agència Espanyola de Protecció de Dades (AEPD).

Entenent RGPD.

El primer que cal saber és que l’RGPD és diferent per a cada empresa. També cal destacar que RGPD no defineix les mesures que cal aplicar de forma exhaustiva; malgrat això, estableix que els responsables i encarregats han de definir i aplicar les mesures organitzatives i/o tècniques que garanteixin el nivell de seguretat adient, d’acord amb els riscos detectats en una anàlisi prèvia.

RGPD estableix un contingut mínim de les avaluacions d’impacte (EIPD) encara que no contempla cap metodologia específica per a la seva realització.

El nou reglament parla de mesures com ara el xifrat de dades personals, i s’haurà de tenir en compte que aquestes mesures s’aplicaran tenint present el cost de la tècnica i d’aplicació, les finalitats del tractament així com els riscos per als drets i llibertats.

Quelcom important que cal tenir present és que l’empresa ha de poder demostrar l’aplicació d’aquestes mesures, d’acord amb el principi de responsabilitat activa.

RGPD Compliance

Des d’EIO recomanem assessorar-se amb un expert i avaluar les pròpies pràctiques de recopilació i emmagatzematge de dades per garantir que donen compliment a l’RGPD.

EIO i SAGE t’ajuden amb l’RGPD.

A continuació, presentem algunes preguntes que cal tenir en compte a l’hora de determinar els propers passos.

Avaluar: comprovar l’estat actual de les dades i documents.

  • Quines dades personals es recopilen i/o emmagatzemen?
  • D’on provenen i amb qui es comparteixen?
  • S’obtenen de forma ètica?
  • On són emmagatzemades les dades? Han estat classificades?
  • Durant quant de temps romanen emmagatzemades aquestes dades? Quan podran ser eliminades?
  • Es protegeixen les dades emprant un nivell de seguretat adient, en funció del risc?
  • Es recopilen i/o processa alguna categoria especial de dades personals? Es fa d’acord a l’RGPD?
  • Es transfereixen dades personals fora de la UE? En cas afirmatiu, de quina forma es protegeixen?

Consentiment dels interessats.

  • Són exactes els registres? Estan actualitzats i protegits?
  • Disposeu de consentiments separats i explícits per gestionar totes les dades personals?
  • Necessiteu el consentiment d’una persona titular de la responsabilitat parental?

Drets.
Assegura’t de complir amb tots els drets dels interessats respecte de les seves dades.
Els nous drets són els següents:

  • Dret a l’oblit; ser informat; eliminar les seves dades; posseir una còpia de les seves dades personals (en el termini d’un mes, de forma gratuïta);
  • Dret a la portabilitat de dades – dades recopilades electrònicament en un format que s’utilitza comunament.
  • Dret a impedir les decisions automatitzades i el perfilat.
  • Dret d’oposició.

Pla de projecte RGPD.

  • Es disposa d’un pla de projecte per garantir el compliment ?
  • Cal fer una Avaluació d’Impacte de la Privacitat de Dades (EIPD)?
  • S’ha pres una decisió respecte al DPO?
  • Es disposa d’una política de “Protecció de Dades basada en el Disseny i per defecte”?
  • Ha estat analitzada la forma en que es processen les dades dels empleats?

Procediments i controls.

  • Els equips de seguretat són conscients de les seves obligacions en el marc de l’RGPD?
  • Disposeu de procediments per atendre les peticions dels usuaris que vulguin modificar, eliminar o accedir a les seves dades personals?
  • Heu posat en pràctica els procediments adients per detectar, comunicar i investigar qualsevol filtració de dades? Es revisen i auditen les dades que gestioneu?

Formació i sensibilització.

  • Assegurar-se que l’equip directiu de l’empresa coneix el RGPD i el seu possible impacte.
  • Informra i sensibilitzar el personal sobre la recopilació i el tractament de qualsevol dada personal de clients.

Solucions Avançades RGPD Ready de Sage.

Les Solucions de Sage inclouen funcionalitats avançades que et permeten fer un seguiment i tractament de tasques vinculades amb el compliment de la gestió, emmagatzematge i custòdia de documentació relacionada amb la gestió de les dades personals.

Gestor RGPD
Centre de informació del Responsable del Tractament de dades de l’empresa.

Formació RGPD
Inclouen un complet programa formatiu que aporta amplis coneixements teòric pràctics i de seguretat en RGPD.

I a més, una llicència Office 365 Business Premium. Aquesta llicència permet realitzar còpies de seguretat i tenir la informació compartida amb el nivell de seguretat que el nou reglament estableix.

 

Exempció de responsabilitat

Aquest article no es pot considerar com assessorament legal ni com a recomanació de cap tipus amb sentit jurídic. EIO us recomana que us assessoreu legalment sobre la forma d’interpretar i aplicar el nou reglament a la vostra organització.

En aquest web processem dades personals com, per exemple, les dades de navegació. Si segueix navegant pel nostre web, EIO i altres companyies seleccionades podran instal·lar cookies o accedir a informació no sensible del teu dispositiu amb l'objectiu de personalitzar continguts i elaborar estadístiques. Pots configurar les preferències de privacitat ara o en qualsevol moment accedint a la nostra política de privacitat. Més informació,

ACEPTAR
Aviso de cookies
Gestionar RGPD amb Sage