Eines

Protegir les dades, una obligació empresarial

L’entrada en vigor del nou reglament europeu, el 25 de maig, permetrà als usuaris d’internet un control exhaustiu sobre què es fa amb la seva informació personal

Les empreses han tingut dos anys per adaptar-se a la nova normativa

A par­tir del 25 de maig, l’usu­ari de la xarxa tindrà dret a saber qui té les seves dades, per a què s’uti­lit­zen, a qui es poden cedir, quin són els des­ti­na­ta­ris i fins quan es podran uti­lit­zar. També podrà dema­nar la sus­pensió o la limi­tació del seu trac­ta­ment, sol·lici­tar una rec­ti­fi­cació o la seva supressió, haurà d’auto­rit­zar-ne la por­ta­bi­li­tat, podrà opo­sar-se al trac­ta­ment quan l’objec­tiu final sigui el màrque­ting directe i tindrà dret a pre­sen­tar una recla­mació si algun d’aquest punts s’incom­pleix. Aquests són els prin­ci­pals punts que recull el nou Regla­ment Gene­ral de Pro­tecció de Dades (RGPD) euro­peu, apro­vat el 25 de maig del 2016 i que ara entrarà en vigor, d’obli­gada apli­cació i com­pli­ment a tots els països mem­bres de la Unió Euro­pea.

El que pretén el nou regla­ment, segons explica Gre­gory Voss, juris doc­tor i pro­fes­sor de dret de la Tou­louse Busi­ness School (TBS), “és donar res­posta als nom­bro­sos desen­vo­lu­pa­ments tec­nològics com ara el big data, l’emma­gat­ze­matge biomètric i altres tec­no­lo­gies a les quals l’antiga direc­tiva de l’any 1995 no feia referència”. A més, segons Voss, “l’har­mo­nit­zació de la regu­lació de pro­tecció de dades també és objec­tiu de la reforma, davant les nom­bro­ses dis­pa­ri­tats que pre­sen­tava l’antiga direc­tiva entre els estats mem­bres”.

Dos anys han tin­gut els estats i les ins­ti­tu­ci­ons de la Unió Euro­pea, i també les orga­nit­za­ci­ons, tant euro­pees com d’altres països, per adap­tar-se a una nor­ma­tiva que atorga molt poder de con­trol als ciu­ta­dans sobre les seves dades i limita l’actu­ació sobre aques­tes a ter­cers.

El RGPD posa espe­cial èmfasi en la res­pon­sa­bi­li­tat de les empre­ses que reco­pi­len dades per­so­nals, que hau­ran de demos­trar en qual­se­vol moment que com­plei­xen amb la regu­lació. És a dir, serà obli­gat tenir el con­sen­ti­ment veri­fi­ca­ble de cada per­sona en cada un dels camps que pre­cisa la nor­ma­tiva o be del tutor, si es tracta d’un menor de 14 anys, en el cas de l’Estat.

“Les mar­ques hau­ran de can­viar radi­cal­ment les seves polítiques de pri­va­ci­tat. Avui, mol­tes empre­ses diuen que com­par­tei­xen els seus fit­xers amb una sèrie de socis, sense espe­ci­fi­car qui són. Amb el RGPD, esta­ran obli­ga­des a acla­rir qui té accés a la infor­mació dels seus cli­ents”, comenta Sergi Mal­do­nado, CEO de Pri­vacy­Cloud, una pla­ta­forma que ofe­reix als usu­a­ris la pos­si­bi­li­tat de con­tro­lar les seves dades per­so­nals a la xarxa, que ha nas­cut per fer front a l’esce­nari que dibuixa el nou regla­ment.

L’incom­pli­ment del RGPD suposa assu­mir mul­tes de 20 o 10 mili­ons d’euros o bé l’equi­va­lent al 4% o el 2% de la fac­tu­ració. En aquest sen­tit, l’Agència Espa­nyola de Pro­tecció de Dades (AEPD) ja ha adver­tit que a les empre­ses on és impor­tant el volum de trac­ta­ment de dades, com ara les dels sec­tors de les comu­ni­ca­ci­ons, la salut o les finan­ces, les ins­pec­ci­ons podrien començar el mateix 25 de maig.

Temps per ade­quar-se.

“Les empre­ses hem tin­gut temps sufi­ci­ent per adap­tar-nos, però és veri­tat que la immensa majo­ria ha arran­cat plans d’ade­quació i acom­pli­ment des de fa pocs mesos, algu­nes fins i tot des de fa poques set­ma­nes”, afirma Marc Oli­ve­ras, direc­tor de Tec­no­lo­gia de Tien­deo, que explica com aquesta tec­nològica del màrque­ting del retail va començar amb “una audi­to­ria interna l’octu­bre de l’any pas­sat, i des de lla­vors no hem parat de tre­ba­llar-hi”.

Per a Oli­ve­ras, un dels punts més com­ple­xos de resol­dre ha estat el que invo­lu­cra “ter­ce­res parts, agents de publi­ci­tat, empre­ses com Goo­gle o Face­book”, però està con­vençut que el RGPD és “l’única forma de garan­tir certa homo­geneïtat nor­ma­tiva dins del marc de la UE”. Tan­ma­teix, es mos­tra crític amb la seva for­mu­lació, per l’ambigüitat que pre­sen­ten alguns dels seus apar­tats, “que porta a inter­pre­ta­ci­ons dife­rents fins i tot entre empre­ses que som molt simi­lars“. Tot i això, Oli­ve­res creu que l’impacte del RGPD a la soci­e­tat “serà posi­tiu, perquè la gent sabrà valo­rar qui real­ment té cura de les seves dades”.

Suport de l’APDCAT

L’Autoritat Catalana de Protecció de Dades (APDCAT) va presentar l’abril passat el Pla Estratègic de Formació 2018-2020, desenvolupat conjuntament amb l’Escola d’Administració Pública de Catalunya, per ajudar institucions i entitats en l’aplicació del RGPD. El nou reglament incideix en “l’obligació que les entitats que tracten les dades assumeixin una responsabilitat proactiva i demostrable (accountability), amb un enfocament en el risc”, va explicar M. Àngels Barbarà, directora de l’Autoritat. El Pla ha estat dissenyat per atendre les necessitats en aquest àmbit de l’Administració de la Generalitat, institucions públiques, ens locals, universitats públiques i privades, i de la resta d’entitats públiques del país. L’APDCAT ha intensificat en aquest últim mes les accions formatives i informatives a tot el territori, dirigides tant a directius com a comandaments intermedis i responsables tècnics de protecció de dades, així com del servei de consultoria, a més d’elaborar la Guia pràctica per a l’avaluació d’impacte relativa a la protecció de dades.



Identificar-me. Si ja sou usuari verificat, us heu d'identificar. Vull ser usuari verificat. Per escriure un comentari cal ser usuari verificat.
Nota: Per aportar comentaris al web és indispensable ser usuari verificat i acceptar les Normes de Participació.