Què és l’RGPD

El Reglament general de protecció de dades (RGPD) és un reglament aplicable a tota la UE que regula com empreses i organitzacions gestionen les dades personals. És la legislació més important en matèria de protecció de dades, amb implicacions rellevants per a qualsevol organització que operi a la Unió Europea.

Es tracta d’una legislació que vol garantir a les persones el control sobre com s’utilitzen les seves dades, protegint els "drets i llibertats fonamentals de les persones físiques", establint requisits sobre procediments de tractament de dades, transparència, documentació i consentiment de l'usuari.

Tota organització , com a responsable del tractament de dades, ha de portar un registre i supervisar les activitats de tractament de dades personals. També en quant a les dades personals gestionades per tercers (els encarregats del tractament).

Els encarregats del tractament poden ser des de proveïdors de programari com a servei (software-as-a-service) fins a serveis integrats de tercers, que rastregen i perfilen les visites del lloc web de l’organització.

Tant els responsables com els encarregats del tractament han de tenir present la tipologia de  dades que estan tractant, la finalitat del tractament i a quins països i tercers es transmeten les dades: quan s’envien dades personals a organitzacions o jurisdiccions fora de l’abast del RGPD (UE) o que el RGPD no consideri “adequades”, s’ha d’informar específicament l’usuari sobre això i sobre els riscos que comporta.

El Consentiment Explícit

No està permès el tractament de dades personals sensibles sense el consentiment explícit de l’usuari. El consentiment ha de ser otorgat lliurement en base a informació clara i específica tant dels tipus de dades que es gestionaran com del seu propòsit, i sempre abans que es realitzi qualsevol tractament. L’obtenció del consentiment s’ha de poder acreditar.

Per posar algun exemple: el desplaçament o la navegació continuada en un lloc web no constitueixen un consentiment vàlid; no es permet que els bàners de galetes tinguin caselles de selecció prèviament marcades.

Els usuaris, a més, tenen el "dret de portabilitat de les dades", el "dret d'accés a les dades" juntament amb el "dret a l'oblit" i poden retirar el seu consentiment i exercir aquests drets quan vulguin. Els responsable del tractament ha de facilitar-ho i suprimir les dades personals quan ja no són necessaries per a la finalitat per a la qual es van recollir.

Les  violacins de dades, s’han de notificar a les autoritats de protecció de dades i a les persones afectades en un termini de 72 hores.

A més, les organitzacions amb més de 250 empleats i a les empreses que tracten dades personals sensibles a gran escala tenen l’obligació de comptar amb un delegat de protecció de dades (DPD), que serà l’encarregat de prendre mesures les mesures necessàries per garantir el compliment del RGPD a tota l'organització.

Què són les dades personals?

El GDPR defineix les dades personals com "qualsevol informació relacionada amb una persona física identificada o identificable ("subjecte de dades "); una persona física identificable és aquella que es pot identificar, directa o indirectament, en particular per referència a un identificador com ara un nom, un número d'identificació, dades d'ubicació, un identificador en línia o un o més factors específics de la identitat física, fisiològica, genètica, mental, econòmica, cultural o social d'aquesta persona física. "

Els identificadors en línia, com ara les adreces IP, es consideren dades personals, tret que siguin anònims.

Quan les dades personals sota pseudònim són identificables mitjançant identificació inversa, també estan subjectes a l’RGPD.

Què s’ha de fer per complir amb l’RGPD

Preparar l’empresa

Informar i formar a tots els membres de la organització dels requisits del RGPD, seguretat cibernètica, i privadesa. Assignar un responsable de protecció de dades (en cas d’empreses de més de 250 empleats).

Auditoria de dades

Conèixer on són les dades, qui hi té accés i en quins dispositius. Identificar on es fa el tractament de les dades personals, inclosos els tractaments de tercers. Documentar els motius del tractament i mantenir actualitzades les polítiques de privadesa.

Socis

Assegurar-se que els serveis de tercers integrats al vostre lloc web o proveïdors de software, també compleixin l’RGPD o estiguin sota una jurisdicció de dades penalitzada oficialment. Revisar i mapejar els seus fluxos de dades internacionals.

Obtenció del consentiment

Implementar mètodes per buscar, obtenir i registrar el consentiment. Oferir opcions perquè l’usuari pugui revocar o modificar el consentiment.

Respondre als drets de dades

Implementar procediments que permetin respondre als drets de l’usuari: accés, rectificació i eliminació de dades.

Preparar un protocol d’actuació en cas de violació de la seguretat de les dades

Definir procediments per detectar, investigar i informar sobre violacions de la seguretat de les dades personals per complir el termini de notificació de 72 hores.

Com afecta l’RGPD al un lloc web?

Si el vostre lloc web adreça els serveis a persones de la UE i vosaltres (o serveis integrats de tercers) tracteu qualsevol tipus de dades personals, cal que obtingueu el consentiment previ del visitant, que ha d’estar informat de l’extensió i la finalitat del processament de dades en un llenguatge entenedor, abans de processar qualsevol dada personal.

Aquesta informació ha d’estar sempre disponible per al visitant en el vostre lloc web. També s’ha de facilitar la manera de canviar o retirar el consentiment.

S’ha de poder acreditar el consentiment mitjançant el seu enregistrament. També és necessari  documentar el seguiment de les dades personals, la seva transmissió, i a quins països.

Consulteu la infografia de la UE Protecció de dades: millors regles per a petites empreses

Com implementar l’RGPD a un lloc web

A Drauta podem dotar el teu web de totes les eines que calen per donar compliment a l’RGPD:

• Actualitzar els texts legals que han d’aparèixer al footer, formularis, butlletins… Aquests texts han de ser proveïts pel client.
• Dotar els formularis de les eines de d’obtenció de consentiment explícit.
• Implementar el registre d’activitats del tractament (RAT) i el seu anàlisi.
• Registre dels consentiments.
• Dissenyar i implementar mecanismes per a que els usuaris puguin exercir els seus drets de forma senzilla.
• Garantir mesures de seguretat.

Una part important de la informació que ha de contenir un lloc web en relació a l’RGPD fa referència a les cookies. L’usuari ha de consentir la utilització de les cookies, així com tenir accés a la informació completa i la forma d’administrar-les (com desactivar o esborrar-les).

Les cookies són arxius que es desen als equips informàtics dels visitants d’un web, que dónen informació de les activitats i preferències dels usuaris, i que sovint permeten identificar-lo. Per tant, la seva utilització està estretament lligada a l’aplicació de l’RGPD, normativa que la política de cookies ha de complir també.

Des de Drauta podem desenvolupar mòduls a mida de les característiques de les dades que recull el teu web, del tipus i finalitat de les cookies necessàries, que dotin el teu web d’aquelles funcionalitats que són necessàries per a que el tractament de les dades sigui conforme al reglament europeu.

T'ajudem? Contacta amb nosaltres sense compromís.