Una nova regulació de protecció de dades de la Unió Europea entrarà en vigor el 25 de maig de 2018 i es denomina GDPR (Reglament General de Protecció de Dades). Les empreses incloses en aquest nou reglament hauran de complir diversos nous requisits en relació a la forma en què recullen i utilitzen les dades personals dels ciutadans de la UE. Encara que pugui sonar avorrit i irrellevant per a segons quin negoci i puguem pensar que 2018 encara queda lluny, potser hàgim de parar una mica d’atenció a la nova regulació.
Concretament, hi ha cinc fets que totes les empreses necessiten conèixer:
- El GDPR afectarà a qualsevol empresa que processi dades personals de ciutadans europeus, independentment de si aquesta organització està establerta a la UE o no.
- En parlar de “dades personals” no es refereix només a nom, adreça o DNI. La definició en la regulació es refereix fins i tot a un simple ID extret de les xarxes socials d’un ciutadà de la UE. En concret, la definició de dades personals fa esment a “qualsevol informació que pogués utilitzar-se, per si sola o conjuntament amb altres dades, per identificar un individu”.
- Si la seva organització no compleix amb els termes d’aquesta regulació, i hauria de fer-ho, pot suposar importants multes. Les sancions per aquest tipus de delictes relacionats amb el control i la mitigació poden ascendir al 2% de la facturació anual total, mentre que els delictes relatius a drets i obligacions poden ascendir al 4% del volum de negoci de l’empresa. Com més gran sigui la facturació d’una empresa, més gran serà la multa que pugui rebre.
- El nou Reglament distingeix entre els controladors de dades i els processadors de dades (tal com ho fa la directiva actual). El controlador de dades és l’organització que determina els propòsits i mitjans del processament de dades personals, mentre que un processador és algú que processa les dades en nom d’altres. La majoria de les organitzacions modernes cauen sota la definició de controlador, el que significa que a partir de maig de 2018 haurà de complir amb diversos nous requisits de dades. Però els processadors també tindran obligacions com les que s’oposen avui en dia quan el controlador té la plena responsabilitat. Com a exemple, els processadors hauran d’informar de les infraccions de dades a partir de maig de 2018 i tenen l’obligació d’informar el controlador de dades si sospiten que una instrucció de processament de dades no s’ha realitzat de forma correcta.
- La nova normativa és molt exigent. Aquests són els tres canvis més destacables:
- Si processa dades personals a gran escala, haurà de nomenar un oficial de protecció de dades.
- Recol·lectar el consentiment dels consumidors serà molt més difícil, ja que un individu ha de confirmar de forma activa que està d’acord amb l’ús de les seves dades, i l’empresa o organització ha de ser molt clara sobre el propòsit d’aquesta recopilació de dades.
- El consumidor tindrà diversos nous drets, per exemple, el dret a rebre informació fàcilment llegible sobre les dades que està emmagatzemant sobre ell i que aquestes dades siguin corregits o eliminades per complet.
Com a resum, cal revisar les dades que es recullen de clients i usuaris, així com els processos que s’utilitzen per a això. Al maig de 2018 la nova regulació suposarà un canvi i hem d’estar preparats.
Per Carles Dufour, country manager de Stibo Systems Iberia / El Butlletí de l’AMIC