COM S’ADAPTA LA PIME A LA RGPD

L’imminent 25 de Maig començarà aplicar-se el nou Reglament General de Protecció de Dades  (RGPD), al que popularment se li ha vingut denominant com el nou Reglament Europeu, que va entrar en vigor al Maig de 2016.

El RGPD és una norma directament aplicable als responsables que deuen abans de res assumir que la norma de referència és el RGPD i no les normes nacionals, encara que la nova llei que substituirà a la nostra actual LOPD, sí podrà incloure algunes precisions o desenvolupament en matèries en les quals el RGPD ho permet.

Les empreses que en l’actualitat ja compleixen amb la LOPD tenen una bona base de partida per adequar-se correctament al RGPD, encara que aquest modifica alguns aspectes del règim actual i conté noves obligacions, així que amb el que tenen ara, i com ho tenen, no és suficient.

I per la resta, ara és el moment!

A diferència de la nostra actual LOPD i el seu Reglament de Desenvolupament, el RGPD s’enfoca més cap un “tractament de la informació” que a “fitxers de dades”, (desapareix l’obligació de la inscripció d’aquests en el Registre General de l’Agència Espanyola de Protecció de Dades).

La major innovació, per els responsables, son dos elements de caràcter general, que es projecten sobre totes les obligacions de les empreses:

  • Principi de Responsabilitat Proactiva
  • L’enfocament del risc

El principi de Responsabilitat Proactiva es descriu com “la necessitat que el responsable del tractament apliqui mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament és conforme al Reglament”. S’ha d’analitzar:

  • Quines dades tracta
  • Amb quines finalitats ho fa
  • Què tipus d’operacions de tractament duu a terme

I determinar explícitament la forma en què aplicarà les mesures previstes en el RGPD i assegurant-se que aquestes siguin les adequades (i… que puguin demostrar-ho). S’exigeix una actitud conscient, diligent i proactiva de les empreses en tots els tractaments de dades personals que es duguin a terme.

I sobre l’enfocament del risc, les mesures dirigides a garantir el compliment del RGPD han de tenir en compte la naturalesa, l’àmbit, el context i les finalitats del tractament, així com, el risc per als drets i llibertats de les persones.

Així, algunes de les mesures que estableix el RGPD s’aplicaran només quan hi hagi un alt risc pels als drets i llibertats. I unes altres, en funció del nivell i tipus de risc que els tractaments presentin.

Fins ara, la directiva 95/46 i les lleis nacionals de transposició se centren en l’activitat dels responsables. La responsabilitat sobre el tractament segueix sent el responsable, que és qui determina l’existència del tractament i la seva finalitat.

En cavi, el RGPD conté les obligacions expressament dirigides als encarregats, ja que aquests, en determinades matèries, tenen obligacions pròpies (apart del contracte), com son les de mantenir un registre d’activitats de tractament, determinar les mesures de seguretat a aplicar en el tractament i, segons els casos, designar un Delegat de Protecció de Dades.

Els responsables poden adherir-se a codis de conducta, o certificar-se. Abans de modificar els protocols, i sota l’enfocament del RGPD, els responsables han d’auditar l’estat del tractament de dades que duen a terme, tant a nivell jurídic com a informàtic.

Hauran de també dur a terme un anàlisis de riscos, que no haurà de ser “una foto puntual” sinó que ha de formar part de la quotidianitat de l’empresa, per conèixer en tot moment les vulnerabilitats informàtiques i les bretxes de seguretat. A destacar que el RGPD desplaça a les empreses la responsabilitat de identificar les mesures de seguretat que hauran d’aplicar en el tractament de dades que efectuïn (fins ara ens venien facilitades per la normativa LOPD i el seu Reglament de Desenvolupament).

Rarament s’aplicarà a una Pime, es l’haver d’efectuar una avaluació d’impacte dels efectes que tenen sobre la protecció de dades el tractaments que efectuen. Però això, no és descartable si la Pime:

  • Fa una avaluació sistemàtica i exhaustiva d’aspectes personals de persones físiques, que es basi en una tractament automatitzat.
  • Realitza un tractament a gran escala de les categories especials de dades, o de les dades personals relatives a condemnes i infraccions penals.
  • O duu a terme una observació sistemàtica a gran escala d’una zona d’accés públic.

De la mateixa manera, i generalment, una Pime no estarà obligada a tenir un delegat de Protecció de Dades (DPD o DPO), tret que dugui a terme una observació habitual i sistemàtica d’interessats, o que tracti a gran escala, categories especials de dades.

Des del nostre Departament de Dret Digital , podran ampliar-lis informació, assessorar-los en la implantació del RGPD, presentar-lis una proposta econòmica i de serveis per fer-li, d’una manera pràctica i senzilla, l’adequació de la seva empresa al RGPD.

Li esperem a

c/ Sant Domènec, 39-41

08911 Badalona – consultor@lladogrup.com

http://www.lladogrup.com/area-dret-digital/