Noves obligacions i sancions relacionades amb la ciberseguretat
Nova LOPD: Llei de Proteccio de Dades i Garantia dels Drets Digitals
RGPD: Reglament General de Protecció de Dades. HST t’ajuda
De la mà de l’Eva Cullerés, l’assessora en protecció de dades d’HST, us deixem l‘article que va publicar el mes de novembre a la revista MAGAZINE LLEIDA. En ell ens parla del nou RGPD i com cumplir amb les obligacions que tenen les empreses en quant a protecció de dades
A l’empresa HST fa més de 18 anys que ens dediquem a assessorar a empreses en l’àmbit de la informàtica, de la seguretat i de la protecció de dades. Treballem en tot moment perquè el client d’HST tingui a les seves mans tot un ventall de recursos per millorar el seu rendiment mitjançant la tecnologia i el dotem de les eines necessàries per optimitzar els seus resultats, així com garantir la seguretat informàtica dels seus sistemes.
Cal saber que el RGPD (Reglament General de Protecció de Dades) és la normativa vigent sobre el tractament i seguretat de les dades personals. Les empreses, organitzacions, entitats, autònoms… que tractin amb dades personals han de consultar i complir correctament amb la normativa.
Els principals objectius del Reglament General de Protecció de Dades
- A nivell europeu, intentar protegir a les persones i que prenguin el control sobre les seves dades personals.
- Reforçar els drets de cada persona (informació, accessos, eliminació de dades, modificacions, dret a l’oblit, limitació, portabilitat i dret a no ser objecte d’una decisió basada únicament al tractament automatitzat).
- Crear una llei única per tota la UE i que s’esdevingui per igual.
- Modificar la manera en la que s’autoregularà i verificarà el tractament de dades.
Com diu el RGPD, un dels objectius és proporcionar més seguretat i control als consumidors sobre la seva informació personal. Per aquest motiu, s’han ampliat els drets dels afectats.
Quins són aquests drets?
- Dret a rectificar les dades proporcionades. Per exemple, quan aquestes estiguin incomplertes o siguin inexactes.
- Dret a suprimir les dades. És tan simple com que el consumidor revoqui el seu consentiment perquè l’empresa les utilitzi.
- El dret d’oposició al tractament de les dades.
- Dret a conèixer per a què s’utilitzen les dades, el termini de conservació d’aquests així com la seva finalitat.
Una vegada es fiquin en pràctica aquests drets, s’ha de saber que, el particular en el moment que facilita les seves dades personals a una organització, ha de donar el consentiment explícit i separat de la resta de compliments així com també de cada un dels tractaments que es realitzaran de la nostra informació. Per exemple, com a ciutadà podem indicar al banc que pot tractar les nostres dades per complir amb el contracte que tenim amb ells, però no per realitzar accions comercials.
Un altre aspecte és quan volem denegar uns permisos, ha de ser tan fàcil com acceptar-los. Sempre amb excepcions i, entre altres coses, el ciutadà podrà sol·licitar de forma senzilla a l’organització que els tracta, quines dades personals té sobre ell, per a què els té i la seva modificació si no són correctes. L’empresa ha de permetre al ciutadà sol·licitar la seva eliminació en determinats casos i informar-lo si les seves dades s’utilitzen per prendre decisions automatitzades, com les utilitzades per predir el rendiment a la feina, la situació econòmica o qüestions de salut, podent denegar aquesta presa de decisions automàtiques.
Finalment, el dret a la portabilitat permetrà als ciutadans exportar en un format estructurat les dades personals que tingui una organització per transmetre-la a una altra. Quan un ciutadà executa algun dels seus drets, les organitzacions disposaran d’un període de temps definit per fer-les efectives. En general, el RGPD dona de termini un mes, ampliable segons el cas per altres dos més.
Com m’afecta com a empresa?
Si ets una empresa que emmagatzema o processa informació de caràcter personal de ciutadans de la Unió Europea, llavors estàs obligada a complir amb el nou RGPD.
A què ens referim exactament amb informació de caràcter personal?
El RGPD considera dades de caràcter personal tota aquella informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus pertanyent a persones físiques identificades o identificables. És a dir, dades que ens permetin identificar a un particular. Normalment en una empresa hi ha dades identificatives com el nom, cognom i dni dels nostres clients, dels propis treballadors i de proveïdors. Aquestes dades són dades de caràcter personal. Així doncs, si tens una empresa i tractes amb aquest tipus d’informació hauràs de complir amb el nou reglament.
Quins canvis ha d’aplicar l’empresa amb el nou Reglament?
El nou reglament suposa un major compromís per la teva empresa respecte a la protecció de dades. Aquestes són algunes de les noves obligacions que s’han de cumplir:
- Registre d’activitats de tractament de dades: El responsable de tractament (és a dir, l’empresa) ha de tenir documentat un registre d’activitats de tractaments de les dades, que a diferència de la LOPD, no s’ha d’inscriure ni notificar a l’Agència Espanyola de Protecció de Dades.
- Contracte amb tercers (encarregats del tractament): L’RGPD defineix l’encarregat com la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que tracta dades personals per compte de la nostra empresa. S’haurà de regular mitjançant un contracte aquest accés a les nostres dades per aquests encarregats del tractament. En aquest contracte s’establiran tots els punts que exigeix el RGPD. Uns exemples d´ encarregats de tractament podrien ser la gestoria o el proveïdor de software.
- Clàusules: Caldrà redactar les clàusules informatives quant a protecció de dades perque cumpleixin amb la nova normativa. Tenim el deure d’informar.
- Consentiment exprés: S’elimina el consentiment tàcit. El consentiment tàcit vol dir que no hi ha necessitat de signar o manifestar verbalment l’acceptació d’alguna cosa. L’RGPD requereix que l’interessat presti el consentiment al tractament de les seves dades mitjançant una declaració inequívoca o una acció afirmativa clara. Als efectes del nou Reglament, les caselles ja marcades, el consentiment tàcit o la inacció no constitueixen un consentiment vàlid. Com a conseqüència, totes les empreses hauran de revisar les seves clàusules en aquesta matèria i refer-les.
- Comunicació de violacions de seguretat: S’hauran de notificar les fallades de seguretat a l’Agència Espanyola de Protecció de Dades (AEPD) en un termini límit de 72 hores.
- La incorporació del Delegat de Protecció de Dades: Aquesta nova figura ve de la mà del RGPD. Té com a objectiu garantir el compliment del Reglament, igual que controlar que la gestió i el tractament de les dades que dugui a terme l’empresa es realitzi de forma adequada. Cal remarcar que no totes les empreses estan obligades a tenir un Delegat de Protecció de Dades.
- Elaboració d’anàlisi de riscos: Totes les empreses han de garantir que estan en condicions de complir amb les regles, drets i garanties que el Reglament estableix, així com prevenir problemes futurs que puguin perjudicar la reputació de l’empresa. Per aquest motiu serà necessari realitzar aquesta anàlisi.
- Mesures de seguretat: Establir i implementar les mesures de seguretat necessàries segons el risc detectat a cada tractament de dades.
Caldrà implementar mesures bàsiques a nivel informàtic, com sistemes de còpia de seguretat, antivirus, etc
Què passa si com a empresa no compleixo amb el nou Reglament General de Protecció de Dades?
Tot dependrà de la gravetat de l’article que es vulneri, però si que és cert que les sancions són elevades. La sanció podria arribar fins als 20.000.000 € (o el 4% del volum de negoci anual global de l’exercici anterior).
HST adaptem la teva empresa al RGPD i t’assessorem en l’àmbit de protecció de dades i seguretat informàtica.
Tant si ets un autònom com una pime, t’ajudarem a cumplir la normativa i assegurar les dades amb un servei a la teva mida.