Bou & Associats | Nou Reglament General de Protecció de Dades
Nou Reglament General de Protecció de Dades

Nou Reglament General de Protecció de Dades

Què és el Reglament General de Protecció de Dades? 
El nou Reglament General de Protecció de Dades (RGPD, per les seves sigles en castellà i GDPR, per les sigles en anglès) aprovat a l’abril de 2016 per la Unió Europea, constitueix un nou marc jurídic sobre la protecció de les dades personals i sobre la seva lliure circulació.

El RGPD està dissenyat per atorgar major seguretat i control a les persones sobre la seva informació personal, així com per establir unes regles comunes a tot Europa de protecció d’aquesta informació.

A Espanya regeix la Llei Orgànica de Protecció de Dades (LOPD), una de les normatives més estrictes de la Unió Europea en matèria de protecció de dades. Fins a l’entrada en vigor del RGPD, tant la Directiva 95/46/CE com les normes internes dels diferents països de la UE seguiran sent aplicables, inclosa la LOPD a Espanya.

En què consisteix el nou RGPD? 
Un dels principals objectius de la nova normativa és el d’augmentar la protecció a les persones físiques davant el tractament i la lliure circulació de qualsevol tipus de dades personals en un context d’activitats professionals. Amb el nou Reglament General de Protecció de Dades existirà una necessitat de consentiment inequívoc i explícit de l’ús d’aquestes dades.

El nou RGPD serà una norma més estricta. Les sancions a les empreses poden arribar al 4% de la facturació anual mundial o als 20 milions d’euros (el que sigui més gran). A més, la condemna es pot imposar encara que no hi hagi pèrdua en si de les dades.

Amb tot això, es donarà major control de les seves dades personals als ciutadans, ampliant els seus drets a decidir com volen que les seves dades siguin tractades i com volen rebre informació de les empreses.

Quan entra en vigor i qui està obligat al seu compliment?
El nou Reglament General de Protecció de Dades ja està en vigor des d’abril de 2016 i és d’aplicació obligatòria per a totes les empreses de la Unió Europea (UE) des del 25 de maig de 2018.

El RGPD té grans implicacions per a tots els departaments de moltes companyies a nivell mundial, afectant a les empreses i als que s’encarreguin del tractament de dades per a elles (fins i tot fora de la Unió Europea).

Per això, es recomana rebre la formació adequada en aquesta nova normativa de protecció de dades per treballar amb temps en els canvis necessaris per a dur a terme una correcta adaptació (i evitar possibles sancions).

Si la meva empresa ja està adaptada a la llei 15/1999 (LOPD), he de fer l’adequació al nou Reglament Europeu?
Sí, totes les empreses i professionals han d’adaptar-se a aquest nou Reglament Europeu, estiguin o no al corrent del compliment de la LOPD i del RD 1720/2017.

Aquestes són algunes de les claus i els nous drets de la RGPD:

1. Llenguatge clar i senzill: les interminables sol·licituds de consentiment hauran d’estar escrites amb un llenguatge clar i fàcil d’entendre. Qualsevol empresa que utilitzi dades digitals dels seus clients hauran d’especificar en el document quin ús faran de les dades personals, durant quant de temps es conservaran, amb qui es compartiran, si seran transferides fora de la Unió Europea i com retirar el consentiment, que haurà de ser específic, informat i inequívoc, quan un client desitja retirar-lo. L’objectiu: que les empreses no puguin escudar-se en les extenses condicions jurídiques que mai llegim per esquivar les polítiques de privacitat. El silenci no serà suficient i el consentiment, per ser vàlid, haurà de ser afirmatiu.

2. Accés a les dades personals: el reglament garanteix l’accés de tots els usuaris a les dades personals en mans d’una organització, de forma gratuïta, així com a obtenir una còpia en un format accessible. Encara que en ocasions preval l’interès públic, el reglament també consagra el dret dels usuaris a sol·licitar la correció de dades inexactes, incompletes o incorrectes sense una dilació indeguda. La normativa també consagra el dret a oposar-se a la recepció de publicitat directa, l’obligació de les empreses de no enviar formularis amb caselles premarcades i més protecció per als menors. Per exemple, els menors de 16 anys no podran seguir utilitzant aplicacions i serveis digitals sense autorització parental.

3. Dret a l’oblit i rectificació: qualsevol usuari podrà demanar en tot moment que s’esborrin les seves dades personals si ja no desitja que es tractin i no hi ha cap raó legítima perquè una empresa els conservi.

4. Portabilitat de dades: a l’igual que ocorre amb el número de telèfon mòbil, un usuari podrà demanar a una xarxa social que li tornin les seves dades o que les traslladin a una altra empresa els serveis que vulgui utilitzar.

5. Pèrdua de dades: si una empresa pateix una bretxa de seguretat i li roben dades dels seus clients hauran de notificar-ho ràpidament a l’autoritat de control de dades i a l’afectat de manera personal si la violació de la seguretat suposa un risc. Per a això tindran un termini màxim de 72 hores. Si la companyia no ho fa pot ser objecte de sancions.

6. Multes per vulneració: qualsevol usuari podrà presentar una denúncia davant l’autoritat nacional de protecció de dades o els tribunals i fins i tot les associacions de defensa dels consumidors. Els usuaris podran demanar compensacions per danys materials o immaterials.

7. Àmbit d’aplicació de la llei: totes les empreses, siguin europees o estrangeres, que gestionen dades digitals de clients residents a Europa hauran de complir les noves normes de protecció de dades. Els Estats membres segueixen treballant per adaptar la seva legislació encara que no tots ho estan, entre ells Bèlgica, Bulgària, Xipre, Hongria o Eslovènia.