El 25 de maig de 2016 va entrar en vigor el Reglament General de Protecció de Dades (RGPD), que substituirà a l’actual normativa vigent i que començarà a aplicar-se el 25 de maig de 2018. Es tracta d’una nova normativa de Protecció de Dades a nivell de la Unió Europea i d’implantació obligatòria, que derogarà part de la LOPD i el seu reglament de mesures (RD 1720/2007).
Totes les empreses, professionals i organitzacions que gestionen dades personals han d’adaptar-se als principis i obligacions de les següents normatives per garantir els drets dels interessats:
- Llei Orgànica de Protecció de Dades de caràcter personal (LOPD 15/1999): emana del marc normatiu de la Unió Europea, dirigit a la protecció de la intimitat com a dret fonamental i reconeix a l’individu la facultat de controlar les seves dades personals i la capacitat per disposar i decidir sobre aquestes.
- Llei de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSICE (34/2002)): afecta a tots els titulars de llocs web, i regula tots els serveis i comunicacions d’Internet.
Tasques d’adaptació al RGPD
- Designar el Delegat de Protecció de Dades (DPD)
- Elaborar el Registre d’Activitats de tractament
- Identificar finalitats i base jurídica dels tractaments
- Efectuar una Anàlisi de riscos
- Implementar les mesures tècniques i organitzatives necessàries segons els resultats de l’anàlisi de riscos
- Establir protocols per gestionar i notificar fallides de seguretat
- Valorar tractaments que requereixen EIP (Evaluación de Impacto de la Privacidad)
- Realitzar EIP
Altres actuacions simultànies:
- Adequar formularis per al dret d’informació
- Establir i revisar mecanismes i procediments d’exercici de drets
- Valorar si els encarregats ofereixen garanties i adaptació de contractes
- Elaborar/Adaptar una Política de Privadesa i un pla de formació per a empleats
Requisits i Obligacions
Els requisits legals i mesures de seguretat informàtiques són més estrictes en funció del grau de classificació de les dades personals. L’òrgan de control del compliment de la normativa de protecció de dades dins del territori espanyol, amb caràcter general és l’Agència Espanyola de Protecció de Dades, ademas de les Agències de Protecció de Dades de caràcter autonòmic. Les sancions poden oscil·lar entre els 900€-600.000€ depenent de la gravetat de la infracció.
El responsable del fitxer o tractament ha de complir les obligacions de la LOPD i de la seva organització:
- Notificar els fitxers davant el Registre General de Protecció de Dades perquè es procedeixi a la seva inscripció.
- Assegurar-se que les dades siguin adequades i veraces, obtinguts lícita i legítimament i tractats de manera proporcional a la finalitat per la qual van ser recaptats.
- Garantir el compliment dels deures de secret i seguretat.
- Informar als titulars de les dades personals en la recollida d’aquests i obtenir el consentiment per tractar-los.
- Facilitar i garantir l’exercici dels drets d’oposició al tractament, accés, rectificació i cancel·lació.
- Assegurar que en les seves relacions amb tercers, que li prestin serveis que comportin l’accés a dades personals, es compleixi el que es disposa en la LOPD.
- Complir, quan escaigui, amb el que es disposa en la legislació sectorial que li sigui aplicable.
Beneficis
- Evitar sancions de l’AEPD
- Augmentar la capacitat de reacció davant la pèrdua de dades
- Incrementar la seguretat informàtica, evitant l’alt risc del mal ús de les noves tecnologies
- Delimitar responsabilitats (per mal ús de tercers)
- Projectar una bona imatge empresarial amb la correcta implantació de la política de privadesa
Eines
- L’AEPD ofereix eines i orientació per al compliment del Reglament General de Protecció de Dades i una guia per al ciutadà.
- El ‘Centro Criptológico Nacional’, CNN, ofereix una eina de Metodologia d’Anàlisi i Gestió de Riscos dels Sistemes d’Informació.
- A la web de la Llei de Serveis de la Societat de la Informació i de Comerç Electrònic es troba tota la informació pertinent per a empreses i ciutadans.
