El GDPR (General Data Protection Regulation) de la UE, que reemplaça la Directiva de Protecció de Dades 95/46 / EC, ha estat dissenyat per a equiparar les lleis de protecció de dades a Europa, a més de permetre protegir els drets dels ciutadans de la UE referents al tractament de les seves dades personals.
Encara que les sancions pel seu incompliment podran arribar fins als 20 milions d’euros, al voltant del 56% de les empreses a Espanya no compleixen aquest reglament actualment.
El passat mes de novembre, el Consell de Ministres va aprovar la remissió a les Corts Generals del Projecte de Llei Orgànica de Protecció de Dades amb la finalitat d’adaptar les lleis espanyoles a les disposicions del GDPR (General Data Protection Regulation)
Pel que fa al dret dels usuaris a ser informats sobre el tractament de les seves dades personals, s’incorpora el principi de transparència. A més de contemplar expressament els drets de limitació de tractament, accés, rectificació i supressió.
D’altra banda, s’avança l’edat de consentiment per a tractament de dades a 13 anys i es contempla la protecció de dades de persones mortes a sol·licitud dels seus hereus.
Pel que fa al consentiment, s’estableix que ha de manifestar-se a través d’una declaració positiva (per exemple, mitjançant una casella no pre-marcada)
Amb l’arribada del GDPR es manté la prohibició d’emmagatzemar dades d’especial protecció com són: religió, orientació sexual, origen racial o ètnic, afiliació sindical, ideologia, i creences.
A més de tot això, amb aquest nou reglament de la UE, es promou:
- La figura del delegat de protecció de dades.
- L ‘existència de mecanismes d’autoregulació tant en el sector privat com en el públic.
Davant aquesta tessitura, per tal d’adaptar-se a l’GDPR, les organitzacions espanyoles han de desenvolupar i implementar un pla d’actuació revisable per abordar els canvis reguladors. En el mateix han de col·laborar com a mínim representants del departament jurídic, recursos humans, IT, màrqueting, direcció i qualsevol altre implicat en el tractament de dades.
Es contemplen aquestes 7 actuacions bàsiques per a complir les mesures organitzatives, tècniques i a nivell de dades:
- Mapeig de les dades que es tracten a l’empresa amb la finalitat de determinar on són, quins són els processos per tractar-los, qui té accés a ells, quina és la seva categoria de dades (sociodemogràfiques, d’identificació, etc.) i quina utilitat tenen per a l’organització.
- Identificació del tractament de dades, que consisteix a estudiar quina és la causa que permet el tractament de dades segons les anteriorment exposades.
- Obligació d’informar els usuaris amb un llenguatge senzill i clar sobre la base jurídica del tractament; l’existència i contacte del delegat de protecció de dades; la possibilitat de presentar reclamacions davant l’Agència Espanyola de Protecció de Dades, i el termini durant el qual es van a tractar aquestes dades.
- Atenció als drets dels usuaris interessats. El GDPR crea nous drets com el dret a la portabilitat de dades i en la limitació del tractament. També estableix que el termini màxim per a atendre els drets és d’un mes i l’atenció ha de ser gratuïta.
- Control de les relacions entre l’encarregat (proveïdors que tracten dades dels usuaris) i responsable del tractament de les dades (l’empresa). El reglament recull, entre d’altres, l’obligació que les relacions entre els responsables i encarregats es formalitzin per escrit.
- Mesures de responsabilitat proactiva. Les organitzacions han de demostrar que actuen de manera diligent cada vegada que vagin a efectuar un tractament de dades.
- Transferències internacionals de dades. D’acord amb l’GDPR, cal revisar si s’està fent algun tipus de transferències de dades a països de fora de la UE i, si escau, confirmar si s’està fent amb les garanties requerides.
Com afecta el GDPR a l’estratègia de captació d’oportunitats?
El GDPR adoctrina les organitzacions a implementar nous procediments d’autorització, notificació i mecanismes de comunicació.Pel que si la teva empresa té una estratègia de captació de base de dades, hauràs d’adaptar els formularis que fas servir a emailings i landings.
Els teus formularis web hauran d’incloure tots aquells camps necessaris perquè l’usuari pugui indicar exactament quin tractament consenteix (o no). A més, se li ha d’informar de manera transparent i concisa de:
- La base jurídica del tractament de les seves dades.
- Els terminis de conservació d’aquests.
- De la possible existència de transferència d’informació a altres països no pertanyents a la UE.
En resum, passarem de tenir una única casella per a l’acceptació del tractament de les dades al número de caselles que siguin necessàries.
Sens dubte, amb aquestes mesures de claredat, el reglament millorarà la seguretat de la informació personal dels usuaris i els ajudarà a enfrontar-se al correu brossa amb totes les de la llei. Si desitges més informació, consulta’ns sense compromís.
