La nova regulació europea imposa una sèrie d’obligacions a les empreses. Totes les companyies que realitzin algun tipus de tractament de dades hauran d’executar importants canvis abans de 2018.
El Reglament General de Protecció de Dades (RGPD), que ha imposat un nou marc normatiu per al conjunt de països europeus, ha atorgat un major grau de control als ciutadans sobre la seva informació privada al món 2.0. Aquest text, que entrarà en vigor al maig de 2018, també imposa canvis radicals per a les empreses i aquestes han de posar-se a treballar des d’avui per adaptar els seus protocols i estructures a la nova regulació.
Consentiment
Al no permetre’s ja el consentiment tàcit, el reglament obliga a totes les empreses a revisar el conjunt de clàusules i refer-les. És necessari comunicar d’una manera nova, clara i simple amb l’usuari. Passem a un model més amable, en el qual es pretén que l’usuari es llegeixi els termes i condicions. El consentiment ha de ser revocable a qualsevol moment. Les empreses han d’assegurar-se que les dades només estan sent emprats per a les finalitats pel que van ser recaptats.
Estudi de riscos
El privacy impact assesment (PIA) o estudi de riscos és una tasca primordial que cal tenir ja pensat per tots els nous tractaments en els quals existeixi un alt risc per a la protecció de dades. El millor que pot fer una empresa és automatitzar aquest procés. Han de desenvolupar una eina eficient que identifiqui quan és necessari fer un anàlisi.
Comunicació de errors
És una nova obligació imposada pel RGPD. El responsable de tractament haurà de notificar els errors de seguretat a l’Agència Espanyola de Protecció de Dades (AGPD) en un termini de 72 hores.
DPO
El data protection officer o delegat de protecció de dades és una figura essencial en el reglament. Haurà d’identificar els riscos i buscar solucions per solucionar-los. Les empreses hauran de comptar amb aquest delegat, intern o extern, atorgar-li total independència i aportar-li les eines que necessiti quan les sol·liciti.
Formació
Educació i sensibilització, això és el que ha de fer una companyia respecte a la protecció de dades. Habitualment, en casos de tractaments inadequats, la qual cosa falla no són les pròpies tecnologies, sinó l’ésser humà, ja sigui per no seguir les regles, per negligència o, en certs casos, intencionalment. El factor humà és la baula feble i, per això, l’única mesura adequada és la formació i que l’empresa generi activitats per prendre consciència de la importància de la protecció de dades.
Sector sanitari i les dades relatives a la salut
El sector sanitari és un dels àmbits més exposats i afectats per la nova normativa de protecció de dades europea. Les dades especials, fins ara coneguts com a dades sensibles -salut, origen racial, religió-, compten amb obligacions reforçades. A més, el Reglament General de Protecció de Dades amplia el llistat de dades especials els genètics i els biomètrics. Les entitats l’activitat principal de les quals consisteixi en el tractament a gran escala de categories especials de dades personals -hospitals, clíniques, asseguradores metgesses, mútues i, eventualment, laboratoris i empreses farmacèutiques- estaran obligades a nomenar un delegat de protecció de dades.
