RGPD o GPDR: nova normativa sobre protecció de dades
Miguel Nicolás
-
Ja és aquí la RGPD o GPDR, una actualització de la normativa sobre protecció de dades que has de conèixer i complir si vens online. Informa-te'n!
-
-
El marc legal sobre protecció de dades està canviant a Europa de manera molt important. La RGPD o GPDR és una actualització d'aquesta normativa que no pots passar per alt, especialment si tens una botiga online o una pàgina web.
Segur que aquesta normativa et preocupa i et fas moltes preguntes, què et sembla si intentem resoldre les principals?
-
Què és la RGPD o GDPR?
-
En aquests casos sol ajudar bastant descompondre les sigles. GDPR és l'acrònim de:
- General
- Data
- Protection
- Regulation
I, com pots imaginar, RGPD són les sigles en català de la mateixa llei (Reglament General de la Protecció de Dades).
Es tracta d'una llei impulsada a nivell comunitari per generar un nou marc jurídic que sigui capaç d'oferir una major protecció i legislar de manera més uniforme a tot el territori europeu en matèria de protecció de dades personals.
-
-
En què consisteix la RGPD o GDPR?
-
Aquesta llei que està promulgada a nivell europeu i és d'obligat compliment per part de les empreses, societats, autònoms, comunitats i associacions dels estats membres.
Es caracteritza per establir alguns nous requeriments que hem de complir si no volem incórrer en la il·legalitat en matèria de protecció de dades (fins i tot encara que ja estiguéssim adequats a la LOPD, ja que la nova normativa és més restrictiva que aquesta darrera i estableix un control més acurat de l'ús que es fa de la informació).
És important recalcar el caràcter europeu de la llei, ja que prohibeix de manera expressa l'enviament de les dades recollides fora de l'espai econòmic de la comunitat si no és a un país que ofereixi plenes garanties. Les reclamacions hauran de ser presentades davant de l'autoritat nacional corresponent.
A nivell de procediments, la RGPD exigeix que hi hagi un coneixement exprés de la base legal en el moment de demanar les dades.
És a dir, l'usuari ha de ser degudament informat del tractament que es farà de la informació que cedeix i, a més, d'una manera clara, inequívoca i allunyada de tecnicismes que puguin fer farragosa la seva interpretació.
D'altra banda, si volem aplicar de manera correcta la RGPD, haurem de crear dues noves figures a efectes legals dins de l'empresa: el responsable i l'encarregat del fitxer de dades (que en realitat poden ser la mateixa persona dins de l'organització) .
El responsable és aquella persona o entitat que crea la base dades en la qual es recull la informació personal o, almenys, que decideix sobre el seu ús i gestió. Aquesta figura, que ja estava prevista a la llei orgànica de protecció de dades, ara ha de designar al seu torn un encarregat.
-
-
La definició d'encarregat del fitxer no deixa lloc a confusions. Es tracta de: "la persona física o jurídica [...] que tracti dades personals per compte del responsable del tractament" és a dir, des d'un perfil intern de la companyia a un servei jurídic extern contractat per ella.
Entre les obligacions de responsable i encarregat està la notificació a l'organisme pertinent (en el cas d'Espanya, a l'Agència Espanyola de Protecció de Dades) i l'afectat tant de l'existència de les dades com del lloc on han estat emmagatzemades.
Un concepte de gran importància dins del nou marc legal és el d'accountability o responsabilitat activa. Bàsicament el que vol dir és que tot aquell que gestioni bases de dades de caràcter personal té l'obligació de posar de la seva banda tots els mitjans i mesures que en propiciïn un ús legítim.
Tots els processos i procediments han de ser auditats internament. Les mesures de seguretat han de ser màximes, notificant a l'organisme corresponent qualsevol incidència, i només s'han de recollir i emprar les dades estrictament necessàries.
Tot això, idealment, hauria d'estar documentat en un document intern.
La nova normativa posa especialment el focus en les alertes en casos de violacions de seguretat, què s'han de notificar a l'organisme corresponent en un període mai superior a 72 hores.
Aquesta informació també s'haurà de posar en coneixement dels afectats, quan el risc sigui considerat alt, en un llenguatge clar i transparent que pugui ser perfectament entès per ells sense precisar formació legal, entenent el procediment que se seguirà.
Cal destacar també que la RGDP és extensiva també als treballadors, no només als clients. S'ha de signar un contracte de confidencialitat amb ells, i, encara que en part això ja estava recollit a l'antiga LOPD, s'amplien els supòsits i suports per arribar a totes les dades del treballador als quals accedeix l'empresa (control de correu, telèfons d'empresa, enregistraments de circuit tancat de seguretat...).
-
Quan entra en vigor la RGPD o GDPR?
-
El cert és que ja té efecte. De fet està activa des del 25 de maig de 2016. Abans d'espantar-te cal dir que, tot i que porta en vigor gairebé dos anys, es va establir un període de carència i adaptació perquè tots els afectats puguessin adaptar-s'hi degudament.
L'inici efectiu del marc legal o, almenys, l'obligatorietat d'estar al dia el marca una data molt propera: el 25 de maig de 2018. A partir d'aquest moment tot aquell qui no hagi adaptat la captació, tractament i gestió dels dades de caràcter personal al RGPD estarà en risc de ser sancionat.
-
-
Quines multes preveu la RGPD o GDPR?
-
La veritat és que les sancions prometen ser molt exemplars. Està previst que oscil·lin entre el 2% i el 4% de la facturació anual de l'empresa i els 20 milions d'euros, que s'estableixen com a màxim.
Evidentment són multes d'una gran quantia, cosa que demostra que la Unió Europea es comença a prendre molt seriosament l'ús comercial de les dades personals.
-
I què passa amb les dades que tinc emmagatzemades?
-
En principi res. Sempre i quan s'hagin obtingut de la manera que exigeix el nou reglament (és a dir: amb el coneixement i consentiment explícit de qui les cedeix) no cal fer-ne una nova notificació.
Si no s'ha fet de manera legal, sí que cal fer una nova notificació als usuaris, demanant-los el seu consentiment exprés i informant-los del tractament previst de les dades.
I en qualsevol cas, el que canvia és com demanaràs les dades dels teus clients en el futur. Si abans podies sol·licitar la subscripció dels teus clients o la cessió de dades com el correu electrònic sense més problemes legals, ara és imprescindible que el client accepti la seva cessió i tractament en un tick box habilitat a aquest efecte.
-
EXEMPLE: Si un usuari comenta al nostre blog i per a fer-ho cal que ens cedeixi el seu email, per poder fer comentaris ha d'acceptar la cessió d'aquest email i el tractament que li'n donarem mitjançant l'acceptació expressa d'un text legal que ho expliqui. Però, pitjor encara, ja no podrem enviar correus electrònics de cistelles abandonades a usuaris que no s'hagin registrat, el que posa en perill totes les estratègies de retargeting vigents fins al moment.
-
Com adapto la meva pàgina a la nova RGPD?
-
Tota interacció de l'usuari amb la pàgina en la qual es produeixi un intercanvi de dades, ja sigui una compra o mecànica promocional, ha d'estar subjecta a aquest nou marc jurídic.
Aquests són alguns passos que has de seguir per tal d'assegurar una correcta observació de les normes:
- Adaptar els formularis eliminant tots els opt-ins automàtics. A partir d'ara, l'usuari ha de denotar intencionalitat de manera directa i proactiva per completar la compra o la subscripció. A més, en el formulari és obligatori que hi hagi una clàusula informativa del tractament que es farà de les dades.
-
- Actualitzar la Política de Privacitat per tal que reflecteixi:
- Menció expressa al compliment de la RGPD.
- Constatar quina informació estàs recollint i amb quina finalitat s'utilitzarà (en cap cas pot utilitzar-se per a un altre objectiu que l'exposat).
- Indicar si hi ha terceres parts que poden tenir accés a les dades i, en cas de ser així, informar de qui són.
- Especificar la identitat del responsable de les dades personals.
- Informar als usuaris del seu dret de correcció i desistiment, així com indicar-los el procés per tal d'exercir el dret a desaparèixer de la nostra base de dades. -
- La política de cookies ja no es pot acceptar de manera tàcita o implícita (el clàssic missatge de "si continues navegant s'entendrà que acceptes..."). Des d'aquest moment cal establir un botó per acceptar de manera directa aquesta política.
- Registra les dades de l'usuari que accepta les cookies mitjançant una base de dades. Això és bàsic davant d'una eventual denúncia o auditoria, ja que s'han de presentar les dades justificant que s'està adaptant a la RGPD.
- Afegeix als teus formularis de contacte una casella de verificació. És important que l'usuari expressi el seu consentiment de manera directa.
- Afegeix un link per ampliar la informació en cas que l'usuari vulgui fer-ho. Hauràs de detallar en profunditat:
- La finalitat de les dades
- Legitimació de les dades
- Destinataris de les dades
- Drets de les dades
- Informació addicional -
- Detalla a la teva pàgina de Condicions Legals qui és el responsable de les dades, amb una adreça física i una web on l'usuari que vulgui ampliar informació o eliminar les dades pugui contactar.
- En el cas de les pàgines que gestionen perfils, com els eCommerce, has de permetre que els usuaris puguin accedir a les seves dades i modificar-les o eliminar-les si així ho desitgen.
- Assegura't que el teu hosting o servidor és segur i compleix amb la GDPR (Reglament Europeu de Protecció de Dades). Els servidors europeus acostumen a ser-ho. En el cas que el teu servidor sigui de Nord Amèrica, ha d'estar a la llista "Safe Harbour".
- Si utilitzes aplicacions externes d'analítica, CRM, gestors de correu, etc. assegura't que compleixen amb la GDPR.
- Repassa la redacció de les teves condicions legals i política de cookies. Tota aquesta informació ha de ser intel·ligible i clara.
-
I tu, ja has adaptat el teu eCommerce a la RGPD o GDPR? Quins passos has seguit? Et queden dubtes? Comparteix-los en els comentaris!
-
Imatges | Unsplash, Fotolia.