Cinc requisits per complir amb la nova llei de privacitat

Tot i que semblava que mai arribaria, ja és aquí el nou reglament europeu de protecció de dades o GDPR, que entra en vigor avui, 25 de maig, i que canviarà completament les regles de joc de les empreses respecte a com han de demanar i processar la informació personal dels seus usuaris a Europa per garantir una major privacitat. I és que les empreses que incompleixin el reglament s’exposaran a sancions milionàries, que podran arribar fins al 20 per cent de la facturació global anual de la companyia. Aquestes són les cinc claus perquè les companyies compleixin amb el GDPR, segons Sizmek:

1. Determinar una base legal per al processat de dades.- Si recopila i processa informació personal dels consumidors, necessita una “base legal” en què emparar-se i ha de documentar-la per escrit. De les sis bases legals a què es pot recórrer en el cas del GDPR, l’interès legítim i el consentiment són les més rellevants per a la publicitat digital. Amb la primera, el fonament de l’ús de les dades per a interessos propis de l’empresa està en equilibri amb els drets del propietari dels mateixos. La segona és el permís atorgat lliurement, específic i inequívoc de l’usuari a la companyia perquè faci servir la seva informació personal.

2. Identifiqueu al controlador i al processador de dades.- Per complir amb el GDPR s’ha d’identificar qui és el controlador de dades, d’una banda, i qui és el que processa les dades sensibles de l’usuari a l’empresa, de l’altra . Tots dos poden interactuar, però els seus rols són molt específics. El controlador determina el propòsit i els mitjans pels quals es processen les dades personals, mentre que el “processador de dades” és, en última instància, el responsable de garantir la privacitat de la informació sensible que s’obtingui, registri o posteriorment s’utilitzi.

3. Tenir capacitat de resposta a les sol·licituds de drets.- Segons el GDPR, els interessats tenen el dret d’accés, revisió, correcció i eliminació de qualsevol de les dades personals recopilades i processades per un controlador de dades. Els usuaris també tenen dret a revocar el consentiment donat prèviament per recopilar o processar les seves dades. L’empresa que vulgui complir el reglament hauria de disposar de procediments per respondre ràpidament i adequadament aquestes sol·licituds dels interessats en cas de petició.

4. Assignar un delegat de Protecció de dades (DPO).- Les organitzacions que processen dades per a una autoritat pública o les que desenvolupen activitats que impliquen processat regular i sistemàtic d’informació, o de dades confidencials a gran escala, han de designar un delegat de Protecció de Dades (DPO). Es tracta d’una figura que ha de tenir experiència en el negoci, en normativa de privacitat i govern de dades, i ha de saber interactuar amb els reguladors en nom de l’empresa. El DPO és responsable dels problemes de protecció de dades relacionades amb el seu negoci en cas que sorgeixin.

5. Assegurar-se que les dades estan segurs i incorporar la privacitat des del disseny.- El GDPR tracta d’adoptar mesures que garanteixin tant la privacitat com la seguretat de les dades. D’una banda, assegureu controlar qui té accés a les dades, tant dins com fora de la seva empresa. També és aconsellable comprovar els sistemes i assegurar-se que els processos de seguretat implementats són efectius i no poden ser sortejats per ciberdelinqüents o altres interessats en accedir de forma il·legal a la informació. D’altra banda, s’ha de garantir la “privacitat per disseny” en els productes i serveis.

Per Mediàtic/Àmbit d’Estratègia i Comunicació – Font: Sizmek