Com ja sabeu, a nearCrumbs estem 100% compromesos amb la seguretat de les dades del nostres clientes, aixi que hem volgut fer aquest article per informar-vos que el proper 25 de maig de 2018 serà d’obligat compliment l’aplicació del Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 respecte a la Protecció de Dades Personals.
Fins ara cada estat membre tenia la seva pròpia legislació, però amb aquest nou reglament tots els estats de la Unió Europea compartiran la mateixa legislació.
Laplicació d’aquest nou reglament es molt importnat ja que fa especial èmfasi en dos aspectes;ç
- El control de les empreses que tracten dades considerades sensibles (bàsicament dades de salut), a gran escala.
- L’ús de les noves tecnologies per al tractament de dades personals que es faci a gran escala, amb finalitats de control y comercial.
A nivell global hi ha una sèrie de canvis respecte a l’aplicació del nou reglament que detallem a continuació:
- Fins ara parlàvem sempre de dades de nivell bàsic, mig i alt. Ara tindrem dades i dades sensibles. Les sensibles son: dades de salut, sexe, religió, polítiques, genètiques, penals, i biomètriques ( l’empremta digital, utilitzada per moltes empreses en els seus controls d’accessos a les instal·lacions és una dada sensible).
- L’obligació de declarar els fitxers a la Agencia Española de Protección de Datos ja no existirà, però aquelles empreses que tenen més de 250 treballadors, tractin dades sensibles a gran escala i/o dades personals referents a condemnes penals, hauran de registrar els tractaments de les dades que fan.
- Realització d’un anàlisi de riscos i aplicació de mesures preventives per aquelles que gestionen dades sensibles a gran escala, elaboren perfils de persones i prenen decisions automàtiques.
- Si son empreses públiques, o tracten dades sensibles a gran escala, han de disposar d’un Delegat de Protecció de Dades certificat.
I s’hi som Microempreses, o Pymes i no som ni empresa pública, ni tractem dades sensibles a gran escala, en què ens afecta?.
- 1 – Respecte al deure d’informar de que disposem de dades personals tant dels nostres clients, com dels treballadors, cal tenir en compte:
– Sols es podem tractar dades que recollim per imperatiu legal o per un interès legítim de l’empresa. S’ha de poder demostrar de forma objectiva que hem informat, i no es poden recollir més dades que les imprescindibles. És el principi de minimització de les dades.
– Si tractem altre tipus de dades, cal demanar el consentiment i explicar la finalitat de les mateixes. Aquest reconeixement ha de ser explícit; mai es pot donar per suposat.
– Hem d’indicar quan temps guardarem les dades internament.
– Sols poden cedir dades personals a altres empreses o entitats per altres finalitats si la legislació ho preveu. Si no es així, s’ha de demanar també el consentiment.
– La no acceptació d’un consentiment no es motiu per no tractar la resta de dades. - 2 – Inclusió de nous drets, com el de la limitació de les dades personals, o bé el de portabilitat.
- 3 – Requisits addicionals amb les empreses terceres que tracten dades personals de la nostra empresa, com una assessoria laboral o uns informàtics. És necessari que hi hagi un contracte on es marquin les obligacions de cadascun.
- 4 – Si es guarden dades personals en el núvol, hem de saber de quin núvol es tracta i les seves mesures de seguretat. No es poden guardar dades en núvols no homologats per les autoritats de control en matèria de protecció de dades.
- 5 – Ja no es registraran les incidències a nivell intern. La Agencia Española de Protección de Datos ha creat un registre on és d’obligat compliment registrar en un termini inferior a 72 hores totes les violacions de seguretat que afectin a la llibertat de les persones i les mesures que s’ha adoptat.
- 6 – Internament cada empresa ha d’aplicar les mesures que consideri adients i ha de poder demostrar que son efectives.
També s’ha endurit de forma significativa les sancions per incompliment. Aquestes podem anar fins a 20 milions d’euros o un 4 % de la facturació anual.
En resum, les Microempreses o Pymes hauran d’adaptar totes les clàusules de recollida de dades, revisar els seus contractes amb les seves empreses col.laboradores i revisar totes les mesures internes que tenen implantades. Però, cal afegir, que a data d’avui l’Agencia Española de Protección de Datos segueix publicant informació a respecte per tal de concretar més exactament algunes consideracions del nou reglament.
Vols saber si la teva empresa compleix el Reglament (UE) 2016/679?
Contacta amb nosaltres.