El 25 de maig entra en vigor la nova normativa de protecció de dades europea, el Reglament General de Protecció de Dades (RGPD) que afectarà gran part de les empreses europees i que es basa en un principi de responsabilitat proactiva. Barcelona Tech City va celebrar un acte a l'espai DayOne de CaixaBank en el qual Jesús Martrat, soci de l'àrea de privadesa de Rousaud Costas Duran, especialista en protecció de dades, va oferir algunes recomanacions que haurien de tenir en compte les empreses emergents per afrontar aquesta nova normativa.

Com a punt de partida, Martrat va recomanar començar per «verificar si realment la companyia tracta amb dades personals, que són informacions sobre persones físiques identificades o identificables».

Per a això, és interessant crear un esquema que inclogui:

• Origen de les dades, ús i cessió a tercers.
• Formats d'entrada/suport de les dades.
• Accessos i permisos.
• Mètodes de transferència.
• Ubicacions.

«Amb aquest mapa podrem redactar uns documents de compliment que reflectiran el teu model de negoci», va explicar Martrat. En cas de dubte, va recomanar acudir a fonts oficials com l'Agència Espanyola de Protecció de Dades que ha publicat un Llistat de compliment normatiu. Es tracta d'un document amb el qual les organitzacions poden identificar i verificar que estan tenint en compte els requeriments establerts pel Reglament General de Protecció de Dades.

Principis de la normativa

La normativa es basa en el principi bàsic de responsabilitat proactiva: l'empresa ha de decidir com la compleix. La norma no et diu el que has de fer, és una norma d'objectius. Com a novetat, s'imposa un principi de transparència, amb llenguatge clar en les polítiques i missatges de privadesa.

• Responsabilitat
• Licitud, lleialtat i transparència
• Limitació de la finalitat
• Minimització de dades: només les que facin falta
• Exactitud en les dades de la base de dades
• Limitació del termini de conservació: termini estricte i dret de l'usuari a conèixer-lo
• Integritat i confidencialitat
• Protecció de dades des del disseny i per defecte

Tasques per complir l'RGPD

Segons l'Agència Espanyola de Protecció de Dades (AGPD) són bàsiques les accions següents: Designació del delegat de protecció de dades; registre d'activitats de tractament (document intern on es descriu quines dades es tracten i per què); identificació de les finalitats i la base jurídica, que inclou el consentiment i l'interès legítim; revisió de les mesures de seguretat; valoració sobre quins tractaments requereixen una avaluació d'impacte en protecció de dades, que és una auditoria interna que fa una empresa en processos tecnològics per valorar quins riscos implica la nova plataforma. I, d'altra banda, cal adequar els formularis de dret a la informació, i elaborar i adaptar la política de privadesa, que és la que veu l'usuari, per exemple, al web.

Finalment, l'AGPD recomana documentar. «Generar documents és bàsic. Complir l'RGPD i estar en disposició de mostrar-ho. Les polítiques internes generen un bon compliment. S'ha de simplificar el llenguatge de les polítiques de privadesa, ha de ser clar i senzill», va destacar Martrat.

El principi de transparència exigeix informar (qui, què, per a quins fins; quins drets té l'usuari) i oferir a l'usuari diverses vies d'accés. Els formularis no poden contenir clàusules abusives: és allà on es poden originar més focus sancionadors. S'hauran de tenir en compte també les disposicions nacionals i les lleis locals que complementaran aquest reglament. A Espanya hi haurà la LOPD, que pot contenir disposicions específiques. «En matèria de polítiques, és important la formació interna del personal que tracta dades en la teva empresa, és una obligació i un punt important del compliment. Pel que fa a les polítiques de proveïdors, cal definir els estàndards que vols que compleixin i incloure'l en els contractes com a garantia», va recomanar l'especialista de Rousaud Costas Duran.

Contracte de tractament de dades (DPA)

L'AGPD ha creat una guia en la qual es pot veure quins punts s'han de complir. El consentiment, en l'anterior normativa, havia de ser lliure, específic i informat. Ara l'RGPD afegeix que el consentiment ha de ser demostrable i ha de ser una declaració afirmativa. No serveixen, per exemple, els requadres ja emplenats prèviament. En el cas del consentiment de menors, serà a partir dels 16 anys, i dels 13 anys en algunes legislacions nacionals. La figura del delegat de protecció de dades en l'empresa és obligatòria en alguns casos i recomanable en gairebé tots. És un responsable del compliment de la protecció de dades. És recomanable que estigui acompanyat per un equip que serà l'encarregat de prendre les decisions en cas de situacions de crisi..  

Transferència de protecció de dades: existeix un principi de prohibició de transferències a tercers països que no garanteixin un nivell de protecció adequat. A Espanya desapareix l'obligació d'inscriure's en els fitxers de l'AGPD i se substitueix pel registre d'activitats de tractament, que és molt important tenir llest abans del 25 de maig. Pel que fa a la seguretat de la informació, és clau assessorar-se amb bons experts. La nova norma diu literalment que cal tenir mesures de seguretat adequades al risc. Cal verificar els sistemes de seguretat i muntar sistemes de seguretat que garanteixin la privadesa de les dades.

Sobre sancions i atacs informàtics

Pel que fa a les sancions, es dividiran entre greus i molt greus, en funció del nivell de gravetat, la durada del que hagi passat, els danys causats, la intencionalitat o negligència, la cooperació amb les autoritats o si s'està adherit a codis de conducta. La llei obliga a donar una resposta oficial als usuaris en el termini d'un mes o l'interessat pot anar directament a l'Agència de Protecció de Dades.

«Una empresa es pot trobar directament amb una proposta de sanció. Per això és interessant ser transparent. Com més convidis l'usuari a parlar amb tu si té dubtes o queixes, més controlades estaran les incidències», va remarcar Jesús Martrat de Rousaud Costas Duran.

D'altra banda, ha indicat que en el cas de patir un atac informàtic que pugui afectar les dades, hi ha un termini de 72 hores per comunicar-ho a les agències de protecció de dades. S'ha d'informar de les dades perdudes i les mesures adoptades, sempre amb decisions documentades. Així mateix, l'RGPD també contempla que s'informi els interessats del que ha passat amb les seves dades. I vosaltres, ja esteu preparats per a l'RGPD? Teniu de termini fins al 25 de maig.   Llocs web d'interès

• European Data Protection supervisor
• ICO (Information Comission Officer)
• 29 Working Party Newsroom