QUÈ CAL FER PER COMPLIR AMB LA NORMATIVA DE PROTECCIÓ DE DADES?
1 – DEFINICIONS
- 1.1 Què són les dades personals?
- 1.2 El RGPD i la LOPD-GDD
- 1.3 Algunes definicions importants
2 – Com afecten aquestes normes a empreses i autònoms/es?
- 2.1 Obligacions d’empresaris/es i autònoms/es en matèria de Protecció de Dades
3 – CONSEQÜÈNCIES ECONÒMIQUES DE L’INCOMPLIMENT NORMATIU
- 3.1 Conseqüències econòmiques
- 3.2 Potestat sancionadora de l’AEPD
1) DEFINICIONS
1.1 Què són les dades personals?
Segons l’article 4 del RGPD, podem definir una dada personal com
qualsevol informació relativa a una persona física identificada o identificable.
Entre altres, són dades personals: el nom i cognoms, el domicili, el DNI o NIE, la data de naixement, el sexe, el número de telèfon, el correu electrònic, l’estat de salut, l’estat civil, el número de la targeta de crèdit o una titulació acadèmica. També s’inclouen:
- La veu
- La imatge
- L’adreça IP
- La localització geogràfica (GPS)
- Inclús, la matrícula del vehicle
Nota: Dins de la definició de dades personals existeix la categoria de dades especialment sensibles (o “categoria especial”), que comprèn: l’origen racial o ètnic, les opinions polítiques, les creences religioses, l’afiliació sindical, l’orientació o conducta sexual i les dades relatives a la salut. Aquestes dades tenen una protecció especial.
1.2 El RGPD i la LOPD-GDD
El RGPD (Reglament (UE) 2016/679) ha suposat una novetat importantíssima per a la protecció de dades a Europa, ja que estableix una norma de màxim nivell jeràrquic a tota la UE, fent que els drets i obligacions derivats siguin aplicables directament a tots els Estats membres.
Aquest reglament unifica el dret a la protecció de dades a la UE i imposa obligacions que es poden resumir en els següents àmbits:
- Obligacions d’informació: el responsable del tractament ha d’informar, en recollir dades personals, sobre una sèrie de qüestions segons el que estipula l’article 13 del RGPD.
- Obligacions de contractació: és obligatori celebrar un contracte amb cada proveïdor o col·laborador (els “encarregats” del tractament) que participi en el tractament de dades.
- Obligacions documentals i de seguretat: tant el responsable com l’encarregat han de disposar d’un Registre d’Activitats de Tractament i d’una Anàlisi de Riscos. En determinats casos, s’ha d’elaborar també una Avaluació d’Impacte.
- Obligacions protocol·làries: s’han de tenir obligatòriament dos protocols: el de notificació de bretxes de seguretat i el de gestió de l’exercici de drets per part dels interessats.
Finalment, cal destacar que algunes obligacions de l’anterior LOPD han desaparegut amb el RGPD:
- Ja no es parla de “fitxers”, sinó de “tractaments”.
- No cal notificar fitxers davant l’AEPD, tot i que sí que hem de documentar internament anàlisis de riscos i registres de tractaments.
- El RGPD no imposa un llistat específic de mesures de seguretat, deixant a les empreses la responsabilitat de decidir quines mesures adoptar per minimitzar els riscos (principi de responsabilitat proactiva i de privacitat des del disseny o privacy by design).
2) Com afecten aquestes normes a empreses i autònoms/es?
2.1 Obligacions d’empresaris/es i autònoms/es en matèria de Protecció de Dades
Les obligacions derivades de la normativa actual de protecció de dades es poden agrupar en els següents cinc camps:
- Política informativa: informar correctament sobre la política de tractament de dades i privacitat a la pàgina web, formularis, documents en paper i altres mitjans (per exemple, SMS o WhatsApp).
- Política documental: definir i documentar les mesures de seguretat a implementar per minimitzar els riscos associats als tractaments. Per a això:
- Disposar d’un Registre d’Activitats de Tractament (RAT);
- Analitzar i documentar els riscos i les mesures de seguretat pertinents;
- Elaborar, en determinats casos, una Avaluació d’Impacte en la Protecció de Dades (AIPD).
- Política contractual: signar contractes entre el responsable i cada encarregat del tractament, incloent-hi les clàusules obligatòries segons el RGPD.
- Política protocol·lària: establir obligatòriament dos protocols: el de notificació de bretxes de seguretat i el de gestió de l’exercici de drets dels interessats.
3) Conseqüències econòmiques de l’incompliment normatiu
3.1 Conseqüències econòmiques
El RGPD estableix dos grups d’infraccions (greus i lleus), deixant als Estats la regulació d’un procediment sancionador que determini de manera precisa les infraccions i sancions. La nova LOPD-GDD classifica les infraccions i sancions en tres categories: molt greus, greus i lleus. Entre les infraccions considerades molt greus es destaquen:
- El tractament de dades personals no necessàries, sense habilitació legal o amb una finalitat diferent de la prevista.
- El tractament de dades sense respectar els principis bàsics de protecció.
- La manca d’informació als afectats sobre el tractament de les seves dades.
- La vulneració del deure de confidencialitat.
- L’omissió en l’atenció de l’exercici de drets per part dels interessats.
Multes:
- Per a infraccions greus o molt greus: multes administratives de fins a 20.000.000 € o el 4% del volum de negoci anual de l’empresa.
- Per a algunes infraccions greus i lleus: multes de fins a 10.000.000 € o el 2% del volum de negoci anual.
3.2 Potestat sancionadora de l’AEPD
L’AEPD pot iniciar un procediment sancionador d’ofici (en detectar una infracció) o a partir d’una reclamació d’un interessat. En cas de reclamació, la llei permet que l’AEPD la remeti al responsable, encarregat o Delegat de Protecció de Dades perquè sigui resolta en un termini d’1 mes.
A més d’imposar multes administratives, el RGPD atorga a l’AEPD els següents poders:
- Sancionar amb un advertiment.
- Sancionar amb un apercebiment.
- Realitzar investigacions en forma d’auditoria.
Finalment, és important recordar que algunes infraccions en matèria de protecció de dades poden ser constitutives de delicte segons el Codi Penal, amb penes que fins i tot poden incloure la privació de llibertat.
