Les dades s’han convertit en un gran actiu per als negocis. Tant és així que va arribar un moment en què era tal el nombre de companyies que disposaven del nostre telèfon, nom i adreça o coneixien els nostres gustos, les preferències o el nivell adquisitiu que la UE va decidir prendre cartes en l’assumpte. En els últims anys s’han engegat diverses normes per limitar l’ús de les nostres dades i fer que puguem saber en tot moment qui hi té accés, per a què les pot fer servir i com les ha aconseguit.
La mesura més important va ser el Reglament general de protecció de dades (RGPD), que va entrar en vigor el maig de 2016 i que des del 25 de maig de l’any passat és de compliment obligatori a Espanya. L’incompliment del reglament pot comportar multes i sancions que en el pitjor dels casos poden arribar als 20 milions d’euros.
La qüestió és important i preocupa els empresaris. “Les multes que s’han imposat recentment i el dany continu a la reputació com a resultat de l’incompliment regulatori emparen la seriositat amb què s’afronten aquests riscos", indiquen els responsables de la consultora multinacional Willis Towers Watson a la seva 6a enquesta de responsabilitat de directors.
Les entitats públiques, les organitzacions i les empreses van tenir dos anys de marge per adaptar-se a la nova forma de gestió de la informació. Tanmateix, encara n’hi ha que continuen sense aplicar les noves normes o que no ho fan correctament. Resumim el que cal fer i com s’ha de fer.
1. Complir el deure d’informació
S’ha d’informar els titulars de les dades de qui és el responsable del tractament, les finalitats que es persegueixen, si hi ha cessions a tercers i l’adreça postal o electrònica on el titular pot sol·licitar els seus drets d’accés, rectificació, cancel·lació i oposició. Totes les empreses estan obligades a informar els seus clients d’aquests canvis per qualsevol canal.
2. Aconseguir el consentiment explícit
El consentiment per al tractament de dades deixa de ser tàcit. Ja no n’hi ha prou que es doni per fet, sinó que hi ha d’haver una clara acció afirmativa. De fet, el responsable de les dades ha de tenir proves d’aquest consentiment.
Si tens dubtes, pots consultar aquesta guia de l’Agència Espanyola de Protecció de Dades (AEPD).
UN CAS HABITUAL
Què passa si tens un petit negoci i vols contactar amb els teus clients de manera esporàdica? Pensem, per exemple, en el cas d’un petit local, podria ser una botiga de mobles o un restaurant, que vol mantenir contacte amb els seus clients, per informar-los de les seves novetats mitjançant una newsletter mensual. Recull les seves adreces de correu, els noms i els telèfons en una llista. Mar López Almagro, sòcia de LOPD Preconlab, consultora de protecció de dades, explica que aquest negoci “hauria d’adaptar els seus processos de recollida de dades mitjançant un consentiment exprés i per a la finalitat d’enviar comunicacions comercials”. Sí, hi hauria d’haver constància d’aquest consentiment. Ja no n’hi ha prou amb el fet que hagin estat els clients a la botiga els qui hagin aportat aquesta informació. Han d’emplenar i signar un formulari.
“En tots els formularis de l’empresa on es recullen dades cal esmentar que els clients permeten expressament enviar-los publicitat”. De fet, una cosa tan senzilla com compartir una targeta de visita o un número de telèfon “es podria transformar en un problema legal si es fa de manera massiva i es considera que s’està cedint una base de dades a un tercer”, adverteix Mar López Almagro.
3. Registre d’activitats de tractament
El RGDP obliga a informar tant els mateixos usuaris com l’AEPD sobre la recollida de les dades i l’objectiu d’aquesta recollida. L’antiga inscripció de fitxers (vigent amb l’anterior LOPD 15/1999) és ara substituïda pel registre d’activitats de tractament efectuades per cada responsable i, si s’escau, encarregat del tractament de dades. Aquest registre inclou, entre altra informació, les finalitats, les categories de destinataris a qui s’han comunicat o es comunicaran les dades, les transferències de dades personals a un tercer país, etc.
4. Fer una anàlisi de riscos i adoptar mesures de seguretat
No és possible assegurar el dret fonamental a la protecció de dades si no s’és capaç de garantir la confidencialitat, la integritat i la disponibilitat de les dades personals. Per tant, el primer que cal fer és estudiar el nivell de perillositat que hi ha entorn del tractament i l’emmagatzematge que fas de la informació que maneges. Pots fer-ho mitjançant l’eina FACILITA-RGPD. En els primers passos d’aquest procediment via web trobaràs unes preguntes que t’ajudaran a determinar el grau de risc..
5. Comunicar incidents de seguretat
Amb els ciberatacs a l’ordre del dia i les eines informàtiques en evolució constant, cap empresa no se salva de la possibilitat de patir un incident. Si això passa, el RGPD introdueix l’obligació de notificar a l’autoritat competent, en aquest cas l’AEPD, si es detecta una bretxa de seguretat que afecti dades personals. En uns casos determinats, també cal avisar les persones les dades personals de les quals s’hagin vist afectades per la violació.
Aquí, el més important és establir de manera clara els mecanismes i el procediment de notificació de fallades de seguretat. El passat mes de març hi va haver 113 notificacions, tres de les quals s’estan investigant per si suposen l’existència de risc alt per als drets i les llibertats dels ciutadans.
6. Valorar si els encarregats de les dades ofereixen garanties
El RGPD defineix el tipus de contracte que ha de vincular el responsable de les dades amb l’encarregat d’aquestes dades. En aquest contracte s’hi han d’especificar la relació i les obligacions d’ambdues parts davant la prestació del servei acordat. Si hi ha un contracte vigent d’abans del maig de 2018, quan va entrar en vigor el reglament, és imprescindible incloure una clàusula sobre aquest tema que sigui signada per totes dues parts.
Potser aquest és el moment de valorar si l’empresa o l’organisme encarregat del tractament de les dades de la meva companyia és el més adequat i aclarir situacions en les quals pot ser difícil distingir quan estem davant d’un encarregat o d’un responsable del tractament. L’AEPD va elaborar aquest document que respon a moltes preguntes que et poden sorgir.
7. Designar un delegat de protecció de dades
No és una figura obligatòria en totes les empreses (consulta el teu cas aquí), però pot ser convenient assumir-la de manera voluntària o, en qualsevol cas, identificar una persona responsable de coordinar l’adaptació per al compliment correcte de les mesures del reglament.
8. Atendre correctament els drets dels ciutadans
Ens referim al dret d’accés (per conèixer i obtenir informació sobre les seves dades de caràcter personal sotmeses a tractament), de rectificació (el ciutadà pot sol·licitar la correcció d’errors i la modificació de les dades que siguin inexactes o incompletes), de cancel·lació (qualsevol persona pot sol·licitar que les seves dades siguin suprimides) i d’oposició (tothom es pot negar que es dugui a terme el tractament de les seves dades de caràcter personal o demanar que es deixi de fer aquest tractament).
A més, les dades personals que sol·licitem han de ser adequades, veraces i no excessives. És a dir, no s’han de sol·licitar més dades de les que calen, cal mantenir-les actualitzades i s’han d’eliminar quan ja no siguin necessàries.
I per acabar, una molt bona notícia: si la perillositat de la teva empresa en el tractament de dades és considerada reduïda, l’eina en línia FACILITA-RGPD de l’Agència de Protecció de Dades esmentada més amunt et serà de gran ajuda, ja que acaba de ser actualitzada i et permet obtenir els documents mínims indispensables per facilitar el compliment de la normativa.
