El Reglament Europeu en matèria de protecció de dades, d’aplicació imperativa des del 25 de maig del present 2018, comporta per a totes les persones, empreses o entitats que a raó de la seva activitat tractin dades personals, l’obligació d’adoptar un seguit de mesures per tal de garantir que la gestió d’aquestes dades es realitza d’acord amb les obligacions establertes a la normativa. 

A Espanya, el Reglament Europeu conviu amb la LOPD i el seu reglament de desenvolupament, que ja comportaven obligacions en matèria de protecció de dades per a les entitats que tractaven dades de caràcter personal. 

 

Quines obligacions hi havia fins ara?

Respecte als CLIENTS, USUARIS, PACIENTS, ALUMNES, SOCIS, ETC:

  • En la recollida de dades: complir amb els drets d’informació sobre les dades facilitades: accés, rectificació, cancel·lació, oposició i oblit, així com facilitar els canals adequats per al seu exercici.
  • En el tractament de les dades: facilitar als clients la informació sobre la responsabilitat, la finalitat, la duració i l’accés o cessions de dades que es realitzaran.
  • En l’emmagatzematge de les dades: adoptar les mesures organitzatives que permetin garantir la seguretat de les dades.
  • En la cessió de les dades: garantir que la cessió de dades a tercers es realitza sota l’empara del consentiment del client i amb la corresponent assumpció de responsabilitat per part del tercer sobre aquelles dades.

 

Respecte als TREBALLADORS, COL·LABORADORS AUTÒNOMS, BECARIS O ASSIMILATS:

En el marc de la relació laboral o de col·laboració/ conveni: signar contractes bidireccionals, que regulin el deure de confidencialitat del treballador respecte les dades personals dels clients i que permetin obtenir el consentiment sobre el tractament de les dades que el propi treballador cedeix a l’empresa. 

 

Respecte als PROVEÏDORS:

En el marc de la prestació de serveis a raó de la qual hi hagi una cessió de dades personals per l’empresa al proveïdor (Encarregat del tractament): signar contractes de confidencialitat en els que es concretin les característiques de la cessió  i del tractament de les dades per l’Encarregat. 

 

Però, què ha canviat respecte a l’antiga normativa?

  • La notificació de fitxers a l’Agència de Protecció de Dades, s’ha substituït per la necessitat d’adoptar un Registre d’Activitats del Tractament en el que s’identifiqui i es detallin les característiques del tractament que es realitza. 
  • El Document de Seguretat desapareix.
  • Cal revisar les clàusules sobre protecció de dades que consten a la documentació generada a raó de l’activitat.
  • Cal revisar els contractes signats amb treballadors i encarregats de tractament (proveïdors) i adaptar-los  a la nova normativa.
  • El consentiment tàcit desapareix i cal atorgar el consentiment inequívoc o exprés sobre la cessió i el tractament de les dades.
  • L’enviament mailing de comunicacions comercials i/o informatives han de comptar amb el consentiment  exprés del destinatari.
  • Els antics Drets Arco es complementen amb nous drets: limitació, portabilitat i oblit.
  • La figura del responsable de seguretat es substitueix pel Delegat de Protecció de Dades (DPO), d’obligada designa en certs supòsits estipulats.
  • L’informe d’auditoria es substitueix per l’anàlisi de riscos i l’avaluació d’impacte
  • El Registre d’Incidències es substitueix pels protocols de notificació de les violacions de seguretat. Es preveuen noves sancions davant l’incompliment de les obligacions d’entre 900 i 600.000 euros i s’incrementen fins el 2 al 4 % de la facturació anual i fins a 10 – 20 milions d’euros. 

 

Diana Martínez 
dmartinez@tax.es
Advocada de TAX Figueres

© Tax 2018 - Tots els drets reservats

Tax
En què podem ajudar-te?