Aquesta setmana fa un any que les empreses de tota la Unió Europea estan obligades a complir la Llei Europea de Protecció de Dades, una llei comuna per tots els estats membres i que pot comportar multes milionàries a qui no la compleixi. Per saber si la teva empresa la compleix primer cal conèixer la llei.
Què és GDPR o RGPD?
És la norma vigent a nivell europeu que regula el tractament de dades personals dels ciutadans per part d’empreses i d’autoritats o organismes públics, i també la seva lliure circulació. És d’aplicació directa en les legislacions nacionals dels Estats membres.
Des de quan és vigent aquesta norma?
Va entrar en vigor el maig de 2016, però és d’aplicació obligatòria des del 25 de maig de 2018.
Què són dades personals?
Els ciutadans tenen dret a la protecció de les seves dades personals. Aquests van des del nom i el domicili fins a un dada relacionada amb la salut o la condició social; també pot ser una fotografía o un àudio. En definitiva, tot allò amb el que es pugui identificar “directament o indirectament” a una persona física (no jurídica). Hi ha dades especialment protegides: genètiques, d’orientació sexual, racials,…
A qui afecta?
A totes aquelles persones que “es trobin” a la UE. L’àmbit territorial, per tant, s’amplia respecte a la legislació anterior i es posa el focus en on es troba la persona, no l’entitat ni el tractament de les dades. És a dir, que el reglament es pot aplicar a empreses de tercers països (per exemple, EUA) que tractin dades -com a conseqüència de la prestació de serveis i béns o de monitoratge, tot sempre en la UE-, independentment que ho facin in situ o que tinguin un responsable per a això en sòl europeu. Les dades demanades poden correspondre a ciutadans europeus o, per exemple, a un japonès de vacances a París.
Quins són els punts clau?
– Consentiment: Per tenir i tractar les dades d’una persona s’ha d’obtenir el seu consentiment exprés (no tàcit). Aquest ha de ser lliure i inequívoc, però també informat i individual; i ha de poder provar-se que es va rebre. Això vol dir que en el moment de demanar les dades, cal explicar-li al ciutadà de forma clara i senzilla per a què es volen utilitzar aquestes dades, per quant de temps i qui serà el responsable del tractament, entre altres coses. A més, la persona ha de dir “sí” de manera activa i expressa, perquè si no, no valdrà. Si les dades es volen utilitzar per a diversos fins, es demanaran consentiments separats. Hi ha excepcions: no cal consentiment si hi ha una obligació legal, mitja interès vital o públic, hi ha un contracte o si l’empresa o autoritat pública al·lega “interès legítim”, que haurà d’argumentar.
– Dret a l’oblit: Es tracta del dret de supressió i fins ara només es reflectia en sentències judicials (moltes relacionades amb eliminar notícies de Google), però no en una llei. Una persona podrà demanar a una empresa o a una autoritat pública que elimini les dades personals que té en el seu poder si ja no són necessaris; si ha decidit retirar el consentiment o s’oposa que es facin servir més; si s’han utilitzat de forma il·lícita, etc. Això, és clar, pot xocar amb el dret a la informació, l’interès públic o la llei i s’haurà de ponderar.
– Portabilitat i Limitació: Es tracta de dos drets importants per als ciutadans, a més dels d’accés, rectificació, cancel·lació i oposició (ARCO), que ja estaven previstos en la legislació. La portabilitat permet a una persona demanar, rebre i transferir directament les seves dades automatitzades d’una entitat a una altra. La limitació és una mena de suspensió temporal del tractament de les dades amb la finalitat de fer comprovacions, demostrar un interès legítim, resoldre una reclamació, etc.
– DPO: El reglament introdueix la figura del delegat de Protecció de Dades. És obligatori en el cas dels organismes públics, però no en totes les empreses, només en aquelles que tractin dades a gran escala o dades molt sensibles. Si, a més, l’empresa té menys de 250 treballadors, no haurà de portar un registre. En tot cas, si es tracten dades personals, totes les entitats han de pensar, fins i tot abans d’entrar en feina, en la GDPR: se’ls exigeix proactivitat
– Menors: Els menors de 16 anys, en el cas dels “serveis de la societat de la informació” (a internet, per exemple), no poden consentir sobre el tractament de les seves dades personals: han de fer els seus pares o tutors. En tot cas, els països poden rebaixar l’edat, si volen, fins als 13 anys. A Espanya està en 14.
Qui supervisa tot això?
L’autoritat de control nacional és l’Agència Espanyola de Protecció de Dades (AEPD), encara que hi n’ha dues més, a Catalunya i Euskadi. A cada Estat membre de la UE hi ha d’haver una autoritat i han de cooperar entre si i amb la Comissió Europea. A més, es crea el Comitè Europeu de Protecció de Dades, que s’ocuparà de que el reglament s’apliqui de forma coherent en tota la UE i les decisions són vinculants. Els ciutadans tenen dret a presentar una reclamació davant l’autoritat del seu país, a anar a judici i a ser indemnitzats.
Sancions milionàries
Es contemplen advertències, prevencions, mesures concretes i multes administratives de fins a 10 milions d’euros o, si no, de fins al 2% del volum de negoci anual si es tracta d’una empresa. Les determinarà l’autoritat de control, és a dir, l’AEPD, que ha avançat que centrarà les seves inspeccions en el sector salut, les telecomunicacions i les institucions financeres. Cada cas s’estudiarà de forma individual. Els Estats, per la seva banda, poden determinar sancions penals i són els que decidiran, a més, si es poden posar multes administratives a les autoritats i els organismes públics: és una de les coses que l’GDPR deixa en mans dels Governs i les seves lleis . Si els ciutadans, en tot cas, reclamen primer a l’empresa o autoritat pública i es soluciona l’assumpte entre tots dos, s’evitarà la sanció.