Qui s’encarrega de protegir les dades?
La figura del Delegat de Protecció de Dades (DPD) adquirirà un rol fonamental dins de l’empresa, no només perquè haurà de vetllar pel compliment de l’establert pel Reglament General de Protecció de Dades (RGPD), sinó també perquè serà l’enllaç amb l’Agència Espanyola de Protecció de Dades (AEPD). Per tant, a l’hora de designar aquest nou perfil, és important que les empreses tinguin en compte les seves qualitats professionals i els coneixements especialitzats en dret, així com l’experiència en la protecció de dades
El pròxim 25 de maig entra en vigor el nou Reglament General de Protecció de Dades (RGPD) relatiu a la protecció de les persones físiques en tot allò referent al tractament de dades personals i la seva lliure circulació. Els objectius principals del RGPD són avaluar l’impacte de les noves tecnologies, incrementar la transparència per als interessats i reforçar el control de les persones sobre les seves dades personals, ja siguin treballadors, clients o proveïdors.
En base al compliment d’aquest reglament i vista la importància de la privacitat com un actiu més per a les empreses, tots els esforços que facin les companyies per protegir les dades de caràcter personal tindran un impacte positiu en la seva reputació i a l’hora d’evitar possibles sancions en cas d’incompliment.
Des de la UE, mitjançant el nou RGPD, s’exigeix que es reforcin i s’especifiquin els drets dels interessats així com les obligacions d’aquells que tracten dades personals. Això implica que les empreses han d’adaptar els seus protocols i procediments a la nova regulació tenint en compte els grans canvis que s’incorporen.
Un dels més destacats és la nova figura del Delegat de Protecció de Dades (DPO, Data Protector Officer en anglès). Les entitats, empreses, institucions o agents que processin dades personals i compleixin els requisits del RGPD estan obligats a designar un DPO, que podrà ser un treballador de la companyia o bé una empresa externa que proporcioni aquest servei.
La figura del DPO adquirirà un rol fonamental dins de l’empresa, no només perquè haurà de vetllar pel compliment de l’establert pel RGPD, sinó també perquè serà l’enllaç amb l’Agència Espanyola de Protecció de Dades (AEPD). Per tant, a l’hora de designar aquest nou perfil, és important que les empreses tinguin en compte les seves qualitats professionals i els coneixements especialitzats en dret, així com l’experiència en la protecció de dades.
L’obligatorietat del DPO.
Avui en dia són molt poques les empreses que, malgrat tractar una gran quantitat de dades personals, han comunicat a l’Agència Espanyola de Protecció de Dades la incorporació de la figura del DPO. Això és especialment preocupant si tenim en compte que queda menys d’un mes per a l’entrada en vigor del reglament. Precisament per facilitar aquesta tasca, l’AEPD ha publicat un sistema de notificació electrònica mitjançant el qual les organitzacions podran comunicar a l’autoritat de control les dades de contacte del seu delegat de protecció de dades, tant si es tracta d’una persona física com si és una entitat pública o privada que exerceix com a delegat.
Un altre canvi que implica el RGPD és que les empreses estan obligades a establir clarament el sistema de recollida, ús i consulta de les dades de caràcter personal de les persones físiques que gestionen en el marc de la seva activitat empresarial. A més, el principi de transparència exigeix que tota la informació i comunicació relativa al tractament d’aquestes dades ha de ser fàcilment accessible, senzilla d’entendre i explicada amb un llenguatge clar i concís. Per tant, l’empresa també ha de facilitar la identitat del responsable del tractament de les dades (DPO) i la finalitat del mateix.
El responsable i l’encarregat del tractament de les dades estan també obligats a alertar sobre la violació de seguretat de les dades personals amb un període màxim de 72 hores a l’autoritat competent, en el nostre cas a l’Agència Espanyola de Protecció de Dades. Alhora, el responsable del tractament de les dades haurà de comunicar a l’interessat la violació de la seguretat de les seves dades personals descrivint la naturalesa de la violació dels mitjans de seguretat, incloent recomanacions per tal que la persona afectada pugui mitigar-ne els efectes.
Per últim, cal recordar a les empreses que encara estan en procés d’adaptació, que les sancions per incompliment del RGPD poden arribar fins als 20 milions d’euros o l’equivalent al 4% de la facturació global.