RGPD

L’objectiu del RGPD és protegir tots els ciutadans de la UE de les infraccions contra la privacitat de dades en un món cada vegada més basat en dades, que ha canviat molt de quan es va establir la directiva de 1995. Tot i que els principis de la privacitat de les dades segueixen sent fidels a la directiva anterior, s’han proposat molts canvis a les polítiques regulatòries. Detallem tot seguit els punts clau del RGPD, així com informació sobre com impactarà en els negocis:

Major abast territorial (aplicabilitat extraterritorial)
Es podria dir que el major canvi en el panorama regulatori de la privacitat de les dades prové de la jurisdicció ampliada del RGPD, ja que s’aplica a totes les empreses que processen dades personals de persones que resideixen a la Unió Europea, independentment de la ubicació de l’empresa. RGPD fa que la seva aplicabilitat sigui molt clara: s’aplicarà al processament de dades personals per part de controladors i processadors a la UE, independentment de si el processament es porta a terme a la UE o no. El RGPD també s’aplicarà al processament de dades personals de persones a la UE per un controlador o processador no establert a la UE, on les activitats es relacionin amb: oferir béns o serveis a ciutadans de la UE (independentment de si es requereix o no pagament) i el control del comportament que té lloc dins de la UE. Les empreses alienes a la UE que processen les dades de ciutadans de la UE hauran de nomenar un representant a la UE.

Consentiment
Les condicions per al consentiment s’han enfortit, i les empreses ja no podran usar termes i condicions il·legibles llargs plens d’argot legal, ja que la sol·licitud de consentiment s’ha de donar en una forma intel·ligible i de fàcil accés, amb el propòsit del processament de dades adjunt a aquest consentiment. El consentiment ha de ser clar i diferenciable d’altres assumptes i proporcionat en una forma intel·ligible i de fàcil accés, usant un llenguatge clar i senzill. Ha de ser tan fàcil retirar el consentiment com donar-lo.

Drets dels subjectes de dades

  • Notificació d’incidents. Sota el RGPD, la notificació d’incompliment serà obligatòria en tots els estats membres on un data breach “generi un risc per als drets i llibertats de les persones”. Això s’ha de fer dins de les 72 hores d’haver-se detectat l’incident per primera vegada. Els processadors de dades també han de notificar als seus clients, els controladors, “sense demora indeguda” després de conèixer per primera vegada una violació de dades.
  • Dret d’accés. Part dels drets ampliats dels interessats esbossats pel RGPD és el dret dels mateixos a obtenir de la confirmació del controlador de dades si les seves dades personals s’estan processant, on i amb quin propòsit. A més, el controlador ha de proporcionar una còpia de les dades personals, sense càrrec, en un format electrònic.
  • Dret a l’oblit. També conegut com esborrat de dades, el dret d’oblit li dóna dret a que el responsable del tractament esborri les seves dades personals, deixi de difondre les dades i, potencialment, faci que tercers aturin el processament de les dades. Les condicions per a esborrat, com es descriu en l’article 17, inclouen que les dades ja no són rellevants per als propòsits originals per al processament, o que els subjectes de dades retirin el consentiment.
  • Portabilitat de dades. RGPD introdueix la portabilitat de dades: el dret d’un subjecte de dades de rebre les dades personals que el concerneixen, que prèviament ha proporcionat en un ‘format d’ús comú i llegible per màquina’ i té dret a transmetre aquestes dades a un altre controlador.
  • Privacitat en el disseny. La privacitat en el disseny com a concepte ha existit des de fa anys, però només s’està convertint en part d’un requisit legal amb el RGPD. En essència, la privacitat per disseny requereix la inclusió de protecció de dades des de l’inici del disseny dels sistemes, en lloc d’una addició. Més concretament: «El responsable del tractament ha d’aplicar les mesures tècniques i organitzatives adequades … de manera efectiva … per complir els requisits d’aquest Reglament i protegir els drets dels interessats». L’article 23 exigeix ​​que els controladors retinguin i processin només les dades absolutament necessaris per al compliment de les seves funcions (minimització de dades), i que limitin l’accés a les dades personals als que necessiten representar el processament.

Preguntes freqüents

  • Quan entra en vigència el RGPD? El RGPD va ser aprovat i aprovat pel Parlament de la UE a l’abril de 2016. El reglament entrarà en vigència després d’un període de transició de dos anys i, a diferència d’una Directiva, no requereix que cap govern aprovi cap legislació habilitant; el que vol dir que entrarà en vigor al maig de 2018.
  • A qui afecta el RGPD? El RGPD no només s’aplica a organitzacions ubicades dins de la UE, sinó que també s’aplicarà a organitzacions ubicades fora de la UE si ofereixen béns o serveis a, o controlen el comportament de, els subjectes de dades de la UE. S’aplica a totes les empreses que processen i mantenen les dades personals dels interessats que resideixen a la Unió Europea, independentment de la ubicació de l’empresa.
  • Què constitueix informació personal? Qualsevol informació relacionada amb una persona física o ‘subjecte de dades’, que pot usar-se per identificar directament o indirectament a la persona. Pot ser qualsevol cosa, des d’un nom, una foto, una adreça de correu electrònic, dades bancàries, publicacions en llocs web de xarxes socials, informació mèdica o una adreça IP d’un ordinador.
  • Quina és la diferència entre un processador de dades i un controlador de dades? Un controlador és l’entitat que determina els propòsits, condicions i mitjans del processament de dades personals, mentre que el processador és una entitat que processa dades personals en nom del controlador.
  • Els processadors de dades necessiten un consentiment del subjecte de dades “explícit” o “no ambigu”, i quina és la diferència? Les condicions per al consentiment s’han enfortit, ja que les empreses ja no podran utilitzar llargs texts il·legibles i condicions plenes d’argot legal, ja que la sol·licitud de consentiment s’ha de donar en una forma intel·ligible i de fàcil accés, amb el propòsit del processament de dades adjunt a aquest consentiment, el que significa que ha de ser inequívoc. El consentiment ha de ser clar i distingible d’altres assumptes i proporcionat en una forma intel·ligible i de fàcil accés, usant un llenguatge clar i senzill. Ha de ser tan fàcil retirar el consentiment com ho és atorgar-lo. Es requereix el consentiment explícit només per a processar dades personals confidencials, en aquest context, ni més ni menys que “acceptar” serà suficient. No obstant això, per a dades no confidencials, el consentiment “inequívoc” serà suficient.
  • Què passa amb els subjectes de dades menors de 16 anys? Es requerirà el consentiment dels pares per processar les dades personals dels nens menors de 16 anys per als serveis en línia; els estats membres poden legislar permetent una edat més baixa de consentiment, però mai serà inferior als 13 anys.
  • Com afecta el RGPD a les polítiques relacionades amb les incidents de dades? Les regulacions propostes que envolten els incidents de dades es relacionen principalment amb les polítiques de notificació de les empreses que han estat violades. Les infraccions de dades que puguin representar un risc per a les persones han de notificar-se a la DPA dins de les 72 hores i a les persones afectades sense demora indeguda.