Adaptació al Reglament General de Protecció de Dades El Reglament General de Protecció de Dades (RGPD) és la nova normativa europea de protecció de dades que va entrar en vigor el 24 de maig de 2016 i s’aplica des del 25 de maig de 2018. L'RGPD és d’aplicació directa. 30/10/2018
www.privadesa.cat
1
Innovacions de l’RGPD Principi de responsabilitat proactiva. Les empreses han d’analitzar els tractaments de dades personals i aplicar les mesures organitzatives i tècniques apropiades per tal de garantir i poder demostrar que el tractament és conforme a l’RGPD. Mesures de responsabilitat proactiva: • • • • • • • 30/10/2018
Anàlisi de riscos Registre d’activitats de tractament Protecció de dades des del disseny i per defecte Mesures de seguretat Notificació de “violacions de seguretat de les dades” Avaluació d’impacte sobre la protecció de dades (tractaments d’alt risc) Delegat de protecció de dades (tractament de dades a gran escala) www.privadesa.cat
2
Innovacions de l’RGPD L'enfocament de risc. L'aplicació de les mesures previstes per l’RGPD s'ha d'adaptar a les característiques de les empreses. D'acord amb aquest enfocament, algunes de les mesures que l’RGPD estableix només s’han d’aplicar quan hi hagi un alt risc per als drets i les llibertats, mentre que d’altres s’han de modular d’acord amb el nivell i tipus de risc que presentin els tractaments.
30/10/2018
www.privadesa.cat
3
Tractaments de dades personals • Clients • Pacients • Associats • Alumnes • Clients potencials • Contactes • Treballadors • Candidats 30/10/2018
• Col·laboradors • Proveïdors • Videovigilància • Publicitat • Enquestes • Butlletins de notícies • Esdeveniments • Sortejos www.privadesa.cat
4
Bases de legitimació Tot tractament de dades necessita recolzar-se en una base que ho legitimi. • Consentiment de l’interessat • Relació contractual • Interessos vitals de l’interessat o d’altres persones • Obligació legal per al responsable • Interès públic o exercici de poders públics • Interessos legítims del responsable o de tercers als quals es comuniquen les dades 30/10/2018
www.privadesa.cat
5
Què s’ha de fer? Protegeix els drets de les persones que faciliten les seves dades. Comunicació. Digues qui ets quan sol·licitis les dades. Digues per què tractaràs les seves dades, durant quant de temps les guardaràs i qui les rep. Consentiment. Obté el consentiment inequívoc per al tractament de les dades.
Accés i portabilitat. Deixa que les persones accedeixin a les seves dades i les donin a altres empreses. Avisos. Informa les persones de les violacions de dades si hi ha un greu risc per a elles. Esborra les dades. Respecta el «dret a l'oblit». Esborra les dades personals si t’ho demanen. 30/10/2018
www.privadesa.cat
6
Què s’ha de fer? Protegeix els drets de les persones que faciliten les seves dades. Publicitat. Permet que les persones optin a no rebre publicitat. Protecció de dades sensibles. Utilitza protecció addicional per a la informació relativa a la salut, la raça, l'orientació sexual, la religió o la ideologia política. Transferència de dades fora de la UE. Adopta mesures jurídiques quan transfereixis dades a països que no compten amb l'autorització de les autoritats de la UE.
30/10/2018
www.privadesa.cat
7
Què s’ha de fer? Integra la protecció de dades. Protecció de dades des del disseny i per defecte. Integra garanties de protecció de dades en els teus productes i serveis des de les primeres fases del seu desenvolupament. Relacions empresa-proveïdor. Assegura't que el proveïdor signa un contracte sense llacunes que enumera les responsabilitats de cada part. Tria únicament proveïdors que compleixin amb el requeriments de l’RGPD. Per demostrar que els proveïdors ofereixen les garanties exigides per l’RGPD, aquests podran adherir-se a codis de conducta o certificar-se dins dels esquemes previstos per l’RGPD. 30/10/2018
www.privadesa.cat
8
Què s’ha de fer? Crea un registre de les activitats de tractament. El registre ha de contenir: ✓ ✓ ✓ ✓ ✓ ✓ ✓
El nom i les dades de contacte de l'empresa Els motius del tractament de les dades La descripció de les categories d'interessats i dades personals Les categories d'organitzacions que reben les dades La transferència de dades a un altre país o organització El termini límit per eliminar les dades La descripció de les mesures de seguretat utilitzades durant el tractament
30/10/2018
www.privadesa.cat
9
El cost de l’incompliment L’autoritat de protecció de dades supervisa el compliment normatiu; el seu treball es coordina a escala de la UE. El cost d'incomplir la normativa pot ser elevat.
Font: Comissió Europea 30/10/2018
www.privadesa.cat
10