Què és i com t’afecta la RGPD?

RGPD (o GDPR en anglès) és el Reglament General de Protecció de Dades de la Unió Europea, el qual estableix paràmetres i protocols de seguretat per a totes les empreses que operen dins d’Europa i per als qui ofereixen serveis a la Unió Europea des de fora.

La legislació RGPD va aparèixer en 2016 (fins llavors a Espanya teníem la LOPD). Amb aquest reglament d’obligat compliment, sota l’amenaça de fortes sancions i multes econòmiques, la Unió Europea busca estandarditzar la manera de realitzar transaccions en línia en tota Europa, sobretot a l’hora de compartir dades relacionades amb els usuaris.

Vols descobrir en què consisteix? Descobreix com adaptar el teu negoci per a complir amb la RGPD en la teva empresa.

Aquesta regulació és un mecanisme de seguretat per a enfortir la forma en què les empreses es relacionen amb els seus clients, i com aquests permeten o no que la seva informació sigui utilitzada per altres empreses.

Et posem un clar exemple: en països com Alemanya, les regulacions per a executar pagaments en línia poden ser molt restrictives, però no al Regne Unit. Amb aquest reglament es pretén aconseguir un mercat de pagaments més segur, homogeni i transparent en totes les empreses europees, i en aquelles que negociïn o ofereixin serveis des de l’estranger.

Tota web que estigui associada a entitats de pagament ha d’ajustar-se a aquest procediment, en cas contrari, existeixen fortes sancions econòmiques si no el compleixen. Sense anar més lluny, al gener de 2019, la Comissió Nacional de Protecció de Dades francesa va imposar a Google una multa de 50 milions d’euros per infringir el RGPD.

La resposta és concisa i breu: la RGPD aplica a tots. Està destinat a qualsevol persona, entitat o empresa que tingui una web a Europa (o fora d’Europa) però que emeti factures, contractes, o qualsevol informació personal on es requereixin dades del client i aquests es trobin a la Unió Europea.

En parlar de ”dades personals”, no es tracta únicament d’informació relacionada amb dades financeres (bancs o finances). Pot ser que una pàgina web no vengui productes o ofereixi serveis, però d’igual forma tingui formularis i subscripcions on es requereixen dades personals de l’usuari.

La Unió Europea va obrir l’espai de 2 anys perquè les empreses entenguessin com adaptar-se a aquest reglament. Aquest període va caducar al maig de 2018, i a partir de llavors, és d’obligat compliment per part de les empreses. No obstant això, és normal que les petites empreses o emprenedors encara estiguin confosos sobre aquesta adaptació, sobretot si és una web nova.

Primer és necessari comprendre que ja no és possible sol·licitar cap mena de dada personal sense fonaments legals ajustats a la RGPD, cosa que significa que les teves polítiques d’ús i gestió de dades han de canviar com més aviat millor, i aquestes polítiques han de publicar-se detalladament perquè els teus clients, proveïdors, empleats i usuaris de la pàgina les coneguin.

Comença per desenvolupar un reglament intern sobre el processament de les dades en la teva empresa i vela perquè estigui alineat amb les exigències de la RGPD. Crea mòduls per a sol·licitar dades personals als teus clients, que siguin prou clars i explícits sobre els permisos que requereixes de la teva part.

Amb la RGPD l’emmagatzematge de dades ha de canviar pel fet que aquest reglament assenyala que cada web ha de brindar l’opció que un client revoqui algun permís sobre la seva informació personal i que quan vulgui pugui sol·licitar a la pàgina web que elimini les seves dades emmagatzemades per complet. Això significa que és molt important comptar amb una base de dades interna i separada, i que al seu torn sigui molt segura i estigui actualitzada de totes les peticions per part dels usuaris, tant de subscripció com d’eliminació.

1. Adopta l’enfocament de la RGPD des del principi

• Analitza el risc de qualsevol operació de tractament i avalua el seu impacte, prèviament a dur-lo a terme.
• Aplica els mecanismes necessaris per a assegurar que les dades només siguin accessibles per a aquelles persones autoritzades que hagin d’intervenir en el tractament.

2. Sigues transparent en tot moment

• Amb els interessats (has de proporcionar-los informació detallada sobre la naturalesa del tractament).
• Amb l’Autoritat de Control (hauràs de comunicar a l’AEPD les bretxes de seguretat que es produeixin en un termini de 72 hores).

3. Necessites el consentiment explícit

• Estableix els mitjans adequats per a poder recaptar el consentiment lliure, específic, informat, explícit i inequívoc de l’interessat, mitjançant el qual accepta el tractament de les seves dades personals. Recorda: sense consentiment previ i explícit no hi ha tractament.

4. Limita els teus tractaments a la fi inicial

• Aplica les mesures apropiades per a garantir que, des del disseny i per defecte, només siguin objecte de tractament les dades necessàries per a cadascun dels fins establerts.
• No conservis les dades durant un període superior al necessari.