Blog

Protecció de Dades

FAQs – REGLAMENT EUROPEU DE PROTECCIÓ DE DADES

25 abril, 2018

 

Què és el nou Reglament Europeu?

És la nova normativa europea de protecció de dades personals. Serà d’aplicació obligatòria a partir del 25 de maig de 2018.

 

A qui afecta?

El Reglament Europeu afecta totes les empreses, organitzacions o autoritats públiques que tractin dades personals de ciutadans europeus (clients, empleats, proveïdors, etc.).

Això inclou empreses que ofereixen serveis a altres empreses ja que tracten dades sobre clients, encara que sigui de forma indirecta. El responsable de tractament haurà de comprovar les garanties que ofereixen els seus proveïdors per assegurar el correcte compliment als seus clients.

 

Totes les dades personals són iguals?

El RGPD distingeix entre dades bàsiques i dades de categories especials que requereixen una protecció especial a causa dels riscos que presenten per als drets i llibertats dels titulars.

Algunes de les dades classificats en aquesta categoria són:

  • Dades relatives a la salut
  • Origen ètnic o racial
  • Opinions polítiques
  • Conviccions religioses
  • Afiliació sindical
  • Orientació sexual
  • Dades genètiques
  • Dades biomètriques

 

Aplica fora de la Unió Europea?

El RGPD amplia la seva aplicació territorial a organitzacions establertes fora de la UE que tractin dades de ciutadans europeus per oferir-los béns i serveis.

 

Quines noves obligacions estableix el RGPD?

El procés d’adaptació a l’RGPD suposa un important canvi per a la gestió de les dades personals. Les empreses hauran de revisar i adaptar els seus processos interns i mesures de seguretat als requeriments del Reglament Europeu.

Algunes de les accions previstes que hauran de realitzar les empreses en el seu procés d’adaptació són:

  • Adequar la documentació (clàusules, contractes, etc.).
  • Actualitzar la política de privacitat.
  • Adaptar els mecanismes per a l’exercici de drets.
  • Elaborar un registre d’activitats.
  • Realitzar una anàlisi de risc.
  • Revisar les mesures de seguretat i actualitzar-les si cal.
  • Establir un protocol per notificar incidències de seguretat.
  • Revisar les garanties ofertes pels proveïdors.

 

Què és la Responsabilitat proactiva?

És l’essència del Reglament Europeu. Es tracta d’un principi que basa el tractament de dades en la prevenció, exigint que s’apliquin mesures tècniques i organitzatives des del disseny i per defecte.

La nova normativa és més exigent i flexible. Permetrà, als responsables i encarregats de tractament, decidir les mesures de seguretat apropiades per garantir i demostrar el compliment.

 

Què passa amb els consentiments tàcits?

A partir del 25 de maig de 2018 no seran vàlids els consentiments tàcits. Per seguir amb el tractament de dades recollides d’aquesta manera, s’hauran de tornar a recollir segons els nous requisits. El RGPD estableix que els consentiments hauran de ser expressos, i obtinguts de forma lliure, específica, informada i inequívoca, mitjançant una acció positiva.

 

Cal continuar registrant fitxers a l’AEPD?

A partir del 25 de maig de 2018 desapareix l’obligació de notificar els fitxers de dades davant l’Agència Espanyola de Protecció de Dades.

En el seu lloc, les empreses hauran de tenir un Registre d’Activitats dels tractaments de dades que realitzen, incloent-hi la informació que exigeix ​​el RGDP.

 

Quan és obligatori designar un Delegat de Protecció de Dades (DPO)?

El RGPD estableix que la contractació d’aquesta figura professional serà obligatòria per a:

  • Autoritats o organismes públics.
  • Organitzacions l’activitat principal consisteixi en operacions de tractament que requereixin una observació habitual i sistemàtica de persones a gran escala.
  • Organitzacions l’activitat principal consisteixi en el tractament a gran escala de categories especials de dades, o de dades sobre condemnes o infraccions penals.

 

Quan és obligatori realitzar una Avaluació d’Impacte (DPIA)?

Quan es realitzin tractaments que puguin suposar un alt risc per als drets i llibertats dels titulars de les dades. El RGPD estableix l’obligació per als següents casos:

  • Avaluació sistemàtica i exhaustiva d’aspectes personals que consisteix en un tractament automatitzat, com elaboració de perfils sobre la base es prenguin decisions que produeixin efectes jurídics.
  • Tractament a gran escala de dades personals de categories especials.
  • Observació sistemàtica a gran escala d’una zona d’accés públic.

 

Sempre s’han de notificar les incidències?

La notificació d’incidències no és una obligació general. Serà obligatòria per a incidències que suposin un risc per a la confidencialitat i integritat de les dades personals.

El termini límit per a realitzar la notificació és de 72 hores a partir de es té constància de la mateixa.

 

 

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *