DESDE 1942 ESPECIALISTES EN LA MECANIZACIÓ D'OFICINES A REUS I TARRAGONA

Nova LLei de Protecció de Dades

El Reglament Europeu de Protecció de Dades va ser aprovat el 2016 i després de dos anys entraran en vigor diversos canvis importants a tenir en compte per totes les empreses.
Complir amb la Llei de Protecció de Dades és una cosa molt important per a qualsevol pime, per la qual cosa ja s’han fet públics els canvis perquè les empreses tinguin temps, fins a maig de 2018, per adaptar-s’hi.

La llei de protecció de dades i el seu compliment
Canvis del Reglament General Europeu per a la protecció de dades
Quan entrarà en vigor?
Sancions per incompliment

Image result for LOPD

 

Que és la LOPD i a que obliga?


El Reglament Europeu de Protecció de Dades s’emmarca dins de la legislació per a la protecció i control de les nostres dades personals, un dret fonamental que tenim totes les persones. Així, s’evita que les nostres dades personals siguin usades per vulnerar la nostra intimitat i altres drets fonamentals i llibertats.
A Espanya la Llei Orgànica de Protecció de Dades porta activa des de l’any 2000, el seu nom complet és Llei Orgànica 15/1999 del 13 de desembre de Protecció de Dades de Caràcter Personal i es fonamenta en l’article 18 de la constitució espanyola sobre el dret a la intimitat familiar i personal i el secret de les comunicacions.
Dins de les dades personals existeixen dades i fitxers amb diferents nivells de seguretat: baix, mitjà i alt, i cada un d’ells ha d’anar acompanyat de diferents mesures de seguretat. Per això, la LOPD, obliga a totes aquelles persones, empreses o organismes (públics o privats) que per les seves activitats disposin de dades i arxius de caràcter personal, a complir amb una sèrie de requisits i mesures de seguretat com els que presentem a continuació:

  • Les dades que es recullin han d’ésser només les necessaries per complir amb la finalitat amb què seran utilitzades, res més
  • Especificar que les dades seran recollides i amb quina finalitat es faran servir. També s’ha d’avisar que si la persona que els facilita vol rectificar-les o cancel·lar-les, té el dret a fer-ho.
  • Facilitar un contacte perquè la persona pugui cancel·lar o rectificar les seves dades, a més d’especificar qui està a càrrec d’aquestes dades.
  • La persona que proporciona les dades ha de consentir-ho i saber que aquest consentiment pot ser revocat si hi ha causa justificada.
  • Les dades de mitjà i alt nivell no han de ser recollides a menys que sigui estrictament necessari, de manera que informació com la ideologia, religió o creences són dades que no haurien de demanar-se. Quan així succeeixi s’ha d’advertir a la persona que està en el seu dret a no donar aquest tipus de dades.
  • La persona responsable de les dades i fitxers, igual que qualsevol altra persona que interactuï amb ells, està obligada al secret professional, que es manté fins i tot en haver finalitzat la seva relació amb aquests.
  • L’única situació acceptable en la qual les dades i fitxers recollits poden ser compartits amb un tercer és per al compliment de fins directament relacionats amb la persona que els cedeix i qui va a recollir-los de nou. Per a això, primer s’ha d’haver informat a la persona que els va cedir primer (i quines dades són les que s’estan cedint a un tercer) i aquesta haver consentit.
  • Com hem comentat la seguretat dels fitxers i de les dades és fonamental. S’han de prendre mesures tècniques i organitzatives per garantir en tot moment la seva seguretat i evitar alteracions, pèrdues o accessos no autoritzats.
  • Al recollir fitxers informàtics, el responsable ha de redactar un document de seguretat que serà el model a seguir per a tots els que entrin en contacte amb aquesta informació. Pots trobar un exemple a la web de la Agencia de Protecció de Dades.
  • A la vegada que el responsable dels fitxers ha de notificar l’existència d’aquests a l’Agència abans de crear-los i registrar la inscripció del fitxer de dades en el Registre General de Protecció de dades.

Si alguna vegada has llegit els termes i condicions al baixar-te una aplicació o en enviar un formulari, tot això et sonarà. Si no, ja coneixes moltes de les coses de les que t’han informat i has acceptat sense llegir.

Com pots veure, a més, aquestes obligacions estan estretament vinculades amb la ciberseguretat que tota empresa ha d’aportar als seus arxius, és un tema molt actual en el qual tots hem de prestar atenció, també els departaments de recursos humans perquè les dades dels propis empleats estiguin segurs i protegits.

Canvis en la LOPD 2018 i el Reglament General de protecció de dades (RGDP)


Les empreses tenen temps fins a maig de 2018 per aplicar els canvis en la seva gestió de dades personals, però aquí resumim els canvis més importants que has de tenir en compte i que que pots anar gestionant ja.

Ampliació de l’àmbit territorial. El Reglament passarà a aplicar-se també a empreses i entitats que es trobin fora de la Unió Europea quan aquestes realitzin accions destinades a ciutadans de la UE o conseqüència del monitoratge del seu comportament. Amb això es millora sobretot la protecció dels ciutadans europeus en matèria de transaccions per internet quan aquestes s’efectuïn fora del territori de la Unió.

Nous avisos. El nou Reglament obliga a incloure noves advertències que fins ara no ho eren. Per exemple: la base legal per al tractament de les dades o els períodes de retenció d’aquests. A més, quedarà especificada la necessitat d’informar de manera fàcil i clara a tots els usuaris.

Només el necessari. Amb el Reglament en funcionament, quedarà completament prohibit recollir més dades de les estrictament necessàries. A més, s’exigirà també un consentiment lliure, informat i inequívoc de la persona que cedeix les seves dades. Invalidant així l’acord tàcit que existia fins ara davant el silenci o la inacció.

Autoritat de Control. Cada estat membre ha de disposar d’aquest organisme per regular, supervisar i vigilar el tractament de dades personals. Quan una empresa o persona vagi a realitzar depèn de quins tractaments, haurà primer de consultar-ho amb l’Autoritat de Control per a realitzar una avaluació d’impacte per si aquesta transacció comporta algun tipus de risc per als drets i llibertats de les persones.
Aquesta avaluació es durà a terme, sobretot, quan es donin tractaments a gran escala, o amb dades que tinguin a veure amb dades relatives a les idees polítiques, orientació sexual o salut.

Delegat de Protecció de dades. Si en una empresa el tractament de dades el porta a terme una autoritat o organisme Les empreses hauran de designar un delegat de Protecció de Dades (a excepció dels tribunals en la seva funció judicial), o que l’activitat principal de l’empresa consisteixi a tractar amb una gran escala de dades d’alt nivell com ara categories de religió, raça o genètica, hauran de designar un delegat de protecció de dades perquè supervisi el correcte compliment de la normativa de protecció de dades.

Registre d’Activitats. amb el nou Reglament, el registre de les activitats de tractament de les dades serà obligatori per a persones i empreses.

Dret a l’oblit i dret a la portabilitat

Dins el nou Reglament Europeu de Protecció de Dades quedaran recollits, a més a més, el dret a l’oblit i el dret a la portabilitat.
El dret a l’oblit, recollit ja pel Tribunal de Justícia de la Unió Europea al 2014, defensa el dret de les persones a què la informació obsoleta o no rellevant pel transcurs del temps sigui bloquejada, suprimida o desindexada. Ara, sol·licitar que es suprimeixin les dades personals, donades determinades circumstàncies, serà més fàcil.
Amb el dret de portabilitat, les persones tenen dret a sol·licitar l’enviament de les seves dades al responsable de tractar amb elles per transmetre’les a un altre responsable.

La creació d’un encarregat o delegat de protecció de dades, és doblement important per a les empreses ja que l’encarregat de recursos humans o CEO de les empreses haurà de decidir sobre qui recau aquesta tasca i assegurar-se que reben la informació i formació necessàries.

Quan entra en vigor el RGPD?

Com hem dit, el Reglament General de Protecció de dades entrarà en vigor al maig, oncretamente el dia 28. Tot el que aquest canvi comporta per a les empreses pot resultar un important volum de treball, per això ja s’han fet públiques totes les obligacions, per donar temps a les empreses a actualitzar els seus protocols i actuacions i que no se sentin sorpreses, ja que les sancions per incompliment poden ser molt greus com veurem a continuació.

Sancions per incompliment de la LOPD


No complir amb les normatives i obligacions de les lleis per la protecció de dades comporta diferents sancions depenent de la gravetat de la infracció comesa, que pot ser lleu, greu o molt greu. Pel que si en la teva empresa tracteu amb dades personals, heu de tenir totes aquestes consideracions i canvis molt presents.
Com ja hem comentat, a Espanya l’organisme que vetlla pel compliment de la LOPD és l’Agència Espanyola de Protecció de Dades i és ella també la que estableix els graus d’infracció i les sancions.
La informació en la què basa les seves sentències són, entre altres: el temps que porta cometent la infracció, el volum d’informació tractada de manera fraudulenta, els beneficis obtinguts de les infraccions, el grau d’intencionalitat, el dany causat amb les seves accions, etc…

S’entén per infracció lleu, per exemple, no inscriure el fitxer de dades en el Registre General de Protecció de Dades. Aquesta infracció pot comportar una sanció econòmica d’entre 900 euros i 40.000 euros.
Una infracció greu pot ser tractar dades personals sense consentiment. Aquesta infracció pot comportar una multa econòmica d’entre 40.001 euros i 300.000 euros.
I una infracció molt greu seria recollir dades personals de manera fraudulenta i amb enganys, seria sancionada amb multes d’entre 300.001 euros i 600.000 euros.




Butlletí Digital

Subscriute i informa’t sobre les últimes notícies del nostre Blog

Segueix-nos:

© Copyright: Ramon Bergadà 2017 · Design by: Kleversoft