11/05/2017 Coneixes la nova normativa de protecció de dades, GDPR?

Podem dir que pràcticament qualsevol lloc web recull i magatzema dades de caràcter personal. Només cal un formulari de contacte o registre online per obtenir, com a mínim nom i email de contacte d'aquella persona, això per no parlar del comerç electrònic. Tota aquesta gran quantitat de dades recopilades ha creat la necessitat de desenvolupar una llei que reguli i garanteixi la seva protecció  i privacitat. D'aquí neix el GDPR.

Qué és el GDPR?

GDPR és el nou Reglament General de Protecció de dades de la UE. Potser les sigles no diguin massa sobre les grans implicacions que tindrà aquesta norma, però podem dir que és la regulació més profunda sobre protecció de dades i provacitat a Internet fins el moment.

A qui afecta?

El GDPR afecta a totes les empreses que facin negocis a la Unió Europea, independentment de la seva mida o activitat. També afecta a qualsevol institució que tracti informació personal de qualsevol tipus.

Quan entra en vigor?

El GDPR es va aprovar el 27 de maig de 2016, però el seu compliment no serà obligatori fins el 25 de maig de 2018. D'aquesta manera, s'estableixen 2 anys de marge perquè les empreses puguin portar a terme les mesures necessaries per al seu compliment.

Quines són les sancions?

Segons un informe de de la consultora Gartner, l'incompliment del GDPR es pot traduir en una sanció de fins el 4% de la facturació anual de l'empresa o fins els 20 milions d'euros.

Les PIMES seran les empreses amb més dificultats per adherir-se a la normativa

El GDPR requereix un gran esforç, implicació i proactivitat per part de les organitzacions. Per una gran empresa, els costos per adequar-se a la normativa són assumibles, però en el cas de les PIMES podria convertir-se en una quimera. De fet, hauran de ser les mateixes empreses qui evaluin les mesures tècniques i organitzatives que cal implementar.

El 56% de les empreses de l'Estat Espanyol no compleix actualment amb el GDPR.

El GDPR com avantatge competitiu

No obstant, trobem algunes empreses que utilitzen el compliment del GDPR com un avantatge competitiu. Proporcionar seguretat a les dades dels usuaris així com una gestió responsable d'acord amb la normativa pot convertir-se en un punt positiu per aquells clients preocupats per la seguretat de les seves dades.

Què ens diu el GDPR?

El reglament és molt extens i profund, tot i així intentarem fer cinc cèntims dels conceptes més importants.

> Mesures a nivell de dades

Si una empresa disposa de dades personals (nom, adreça, telèfon, e-mail...) ha de documentar quina informació guarda, d'on prové i amb qui la comparteix (és el cas d'importar la base de dades a una plataforma d'enviament d'email massiu). També cal documentar com es procesen les dades i identificar la base legal aplicable.

> Mesures a nivell tècnic

L'empresa ha de garantir que les dades són processades certificant-ne la seva seguretat, integritat i confidencialitat, la qual cosa inclou el xifrat de dades. Abans però , ha d'obtenir el consentiment de l'usuari, que no pot ser deduida mitjançant silenci ni caselles prèviament marcades i s'haurà d'informar sobre el processament de les dades a l'usuari.

D'altra banda, l'usuari ha de tenir dret a esborrar informació  i podrà oposar-se a que les seves dades siguin utilitzades per a màrqueting directe.

L'empresa ha de posar els mitjans tècnics necessaris perquè la seva Base de Dades no sigui violada. No obstant, en el cas que això passi, s'ha d'informar tant a l'autoritat nacional com als mateixos usuaris implicats. No notificar d'una possible violació de les dades serà motiu de multa, import que es sumarà a la multa per la mateixa violació de les dades.

Finalment els controladors puguin demostrar el compliment dels principis de protecció de dades. L'empresa haurà de ser capaç de demostrar en qualsevol moment les seves polítiques de protecció de dades.

> Mesures a nivell organitzatiu

Els empleats de l'empresa també han d'estar assabentats de les bones pràctiques de seguretat i protecció de dades. També s'han de portar a terme auditories o revisions periòdiques d'aquestes polítiques i els procediments que es duen a terme.