El 25 de maig de 2016 va entrar en vigor el Reglament General de Protecció de Dades (RGPD), que substituirà l’actual normativa vigent en matèria de Protecció de Dades (LOPD) i que començarà a aplicar-se el 25 de maig de 2018. Aquest reglament passa a ser el reglament vàlid i d’obligatori compliment per a totes les empreses i organitzacions de la UE, i  sempre prevaldrà com a norma general respecte de la resta de normativa i jurisprudència.

 

Els principals canvis que aporta la nova RPGD a les empreses són els següents:

 

  • Principi de Responsabilitat Proactiva :

És necessari que el responsable del tractament de les dades apliqui mesures i tècniques organitzatives adequades per garantir i poder demostrar que es tracten les dades conforme el Reglament. En termes pràctics, les empreses han de disposar d’una anàlisi de les dades que utilitzen, quin ús en fan i amb quines operacions les tracten de forma documentada per poder informar als interessats o a l’administració.

 

  • Enfocament del Risc:

És necessari valorar per a cada conjunt de dades de l’empresa quin és el seu nivell de risc per a les persones depenent de la seva naturalesa i del seu volum. Depenent de l’àmbit, tipus de negoci i context, cada empresa haurà de modular les seves actuacions respecte les dades.

 

  • Consentiment:

Fins ara, el consentiment expressat per les persones físiques en informar-los dels seus drets es podia realitzar amb confirmació per omissió (deixant caselles marcades en formularis o amb clàusules informatives al peu de documents indicant el consentiment tàcit). El RGPD exigeix que el consentiment ha de ser explícit i inequívoc. L’empresa ha de disposar de documentació o registre signat amb el consentiment actiu de l’interessat.

 

  • Nous drets per a les persones físiques:

Als drets actuals d’Accés, Rectificació, Cancel·lació i Omissió, se n’afegeixen ara tres més:

  • Dret a l’Oblit: L’interessat podrà demanar a les empreses que eliminin TOTES les seves dades, tant les actuals com les històriques. L’empresa haurà de complir aquest mandat en el període màxim d’1 mes a la comunicació i haurà d’informar a l’interessat quan estigui realitzat.
  • Dret a la limitació en el tractament : L’interessat pot sol·licitar que les seves dades no s’utilitzin durant un període per a la tasca que les va donar i quedin bloquejades pel seu ús. L’empresa no les pot esborrar i ha de conservar-les evitant usar-les.
  • Dret a la portabilitat : L’interessat té el dret de demanar les seves dades que disposa l’empresa i aquesta les hi ha de lliurar en un format portable, llegible o compatible amb sistemes universals que li permetin fer-ne ús amb altres responsables.

 

  • Documentació de les operacions de tractament:

Els responsables del tractament de les dades, seguint el criteri de proactivitat que persegueix la RGPD, hauran de portar un registre de les operacions de tractament que realitzen sobre les dades

 

  • Avaluacions d’Impacte relatives a la Protecció de Dades:

Quan sigui probable que un tractament de dades, especialment si s’utilitzen les noves tecnologies i comunicacions, pel seu volum, context o finalitat, suposi un risc important per a la seguretat de les dades de les persones, el responsable del tractament haurà d’efectuar una avaluació prèvia del seu impacte abans de començar el seu tractament.

 

  • El Delegat de Protecció de Dades (DPD):

 El RGPD introdueix la figura del Delegat de Protecció de Dades (DPD) com l’expert responsable en Protecció de Dades que assessora l’empresa en el compliment del reglament. Aquesta persona pot formar part de la plantilla laboral de l’empresa o ser un professional    extern subjecte a un contracte de serveis. És recomanable a totes les empreses disposar d’un DPD, però és obligatori per aquelles empreses que més tractin amb dades sensibles.