Compleix amb el reglament europeu d’adequació RGPD
T’expliquem les novetats de l’RGPD que ha d’adoptar tota empresa
El Reglament Europeu 2016/679 de Protecció de Dades de Caràcter Personal (RGPD) incorpora importants modificacions en el tractament d’informació de dades personals pel que fa a la LOPD.
Tota empresa catalana ha de complir amb l'RGPD.
No n'hi ha prou amb complir la Llei de Protecció de Dades espanyola.
Actualitza't amb Edorteam i compleix amb la LOPD i RGPD.
La LOPD és la llei espanyola de protecció de dades, mentre que l’RGPD és la llei europea. Totes dues s’han d’aplicar a Catalunya, mentre no es publiqui una actualització de la LOPD que inclogui les novetats de l’RGPD.
Està la meva empresa obligada a complir amb l’RGPD?
El RGPD resulta d’obligat compliment des del 25 de maig de 2018, i s’aplica al tractament total o parcial de dades personals per part de responsables o encarregats de tractament establerts a la UE, així com també els no establerts a la UE, si realitzen tractaments destinats a ciutadans de la UE.
Les empreses nacionals que tractin dades de caràcter personal són subjectes obligats d’aquest nou reglament i s’han d’adequar correctament a les novetats i obligacions que el mateix estableix.
Encara que a l’estat ja existís la Llei Orgànica de Protecció de Dades, l’RGPD introdueix algunes obligacions noves i, per tant, actualment s’han d’aplicar les dues normes.
La nostra experiència amb clients que tracten dades de nivell de protecció alt, ens permet oferir la millor i més completa solució per adaptar-se de forma senzilla a la legislació vigent.
Quines són les sancions per incomplir l’RGPD?
Com una de les novetats clau, el Reglament enforteix el règim sancionador, establint multes de fins al 4% de la facturació global de l’empresa o 20 milions d’euros, aplicant com multa, la quantitat més elevada de les dues.
Les multes poden poden arribar als 20 milions d’euros o el 4% de la facturació global de l’empresa, si suposa una xifra més gran.
Necessites assessoria personalitzada?
Explica'ns la situació actual de la teva empresa i els dubtes legals que puguis tenir. Us trucarem i analitzarem el cas per a valorar si la teva empresa està en risc d'incompliment jurídic.
En què consisteix el nostre servei de consultoria i adequació a l’RGPD
Revisió i actualització dels documents que formen el Document de Seguretat de la companyia
El primer pas és revisar la política de protecció de dades que té actualment l’empresa. Després de l’estudi, tan sols es realitzaran les tasques imprescindibles d’actualització a la llei vigent, perquè suposi la mínima inversió a l’empresa.
establir les clàusules legals a incorporar en els documents en què la societat demana dades
A l’efecte d’adequar-los a l’obligació de demanar el consentiment de l’afectat (clients i personal de l’entitat). Analitzarem, des d’un punt de vista jurídic, les operacions que puguin constituir cessió de dades i incorporació de clàusules de confidencialitat i finalitat amb els externs amb accés a dades de la societat que limitin l’ús i tractament d’aquestes dades d’acord amb les indicacions i usos autoritzats per l’empresa.
Implantació de les Mesures de Seguretat
Pels nostres serveis tècnics o assessorant a l’administrador de sistema, per a la correcta implantació de les mesures oportunes per a millorar la seguretat i complir la llei.
Formació del Responsable de Tractament de Dades
Formem, si així ho sol·liciten, els responsables de seguretat de l’empresa i altres treballadors implicats en la gestió de la implantació de les mesures relacionades amb el Document de Seguretat, per garantir el compliment de tots els requisits de la normativa en protecció de dades per part de la companyia.
Designació, si s’escau, del Delegat de Protecció de Dades (DPO)
L’RGPD permet que la figura del DPO sigui interna o externa de l’empresa, podent-se contractar el servei amb persones físiques o jurídiques alienes a l’organització. a Edorteam estem acreditats per a exercir de DPO, figura obligatòria per a autoritats i organismes públics o segons el tipus o volum de dades que tracta una empresa.
Realització de la DPIA (Data Privacy Impact Assessments)
També coneguda com a avaluacions d’impacte sobre la protecció de dades, la seva funció és avaluar l’origen, la naturalesa, les particularitats i el risc en què es troben exposats les dades personals.
Després de l’adaptació a l’RGPD, gestiona-ho tot online
LOPD Online és un programari de gestió al núvol des d’on administraràs tota la documentació referent a la protecció de dades de la teva empresa:
Funcions destacades
Gestiona el Document de Seguretat
Genera acords de confidencialitat i altres contractes
Registra incidències de seguretat ràpidament
Mantingues sempre al dia el registre de suports E/S
Avantatges d’un software RGPD per al teu negoci
Servei 100% online, documentació sempre actualitzada i disponible
Comunicació directa amb el teu consultor expert d'LOPD d'Edorteam
Auditories periòdiques i formació a càrrec dels nostres especialistes
La tranquil·litat de complir amb les obligacions de la LOPD i RGPD
Articles clau de la normativa RGPD i com complir-los
A continuació, trobaràs una selecció dels articles de l’RGPD més importants i què proposem per complir les seves obligacions.
Article 7
El consentiment obtingut amb anterioritat a la data d’aplicació de l’Reglament Europeu (2018.05.25) tan sols seguirà sent vàlid si s’hagués obtingut respectant els criteris fixats en el propi Reglament (lliure, informat, específic i inequívoc).
Acció d'Edorteam
Canvi dels consentiments i revisió dels contractes per compte de tercers i d’encarregat de tractament per adaptar-los a la nova normativa.
Article 28
Contractar amb encarregats de tractament que s’hagin adherit a certificacions, mecanismes o codis de conducta conformes a la protecció de dades.
Acció d'Edorteam
Realització de codis de conducta especialitzats en normativa de protecció de dades.
Article 31.1.d
Verificació, avaluació i valoració regular de l’eficàcia de les mesures tècniques i organitzatives per garantir la seguretat en la protecció de dades.
Acció d'Edorteam
Realització d’auditories que verifiquin el correcte compliment de les mesures implantades.
Articles 30 i 32
Gestió i administració d’usuaris, control dels equips i manteniment d’un registre d’activitats.
Disposar de sistemes de recuperació de dades i còpies de seguretat periòdiques dels equips.
Acció d'Edorteam
Dotar els equips informàtics dels programaris ET Seguridad i ET Backup, si no disposen d’altres solucions amb les mateixes funcions.
Article 32.2
Avaluació dels riscos que presenten els tractaments de dades, en particular com a conseqüència de la destrucció, pèrdua o alteració accidental o il·lícita de dades, o la comunicació o accés no autoritzats a les esmentades dades.
Acció d'Edorteam
Estudi i realització de les valoracions de risc en els tractaments mitjançant avaluacions des d’un punt de vista personalitzat, atenent les diferents especificacions.
Article 34
Obligació de les empreses d’informar si es produeix alguna filtració de dades personals en el termini de 72 hores.
Acció d'Edorteam
Xifrat preventiu de carpetes i documents amb el programari ET Encrypt o similar. La utilització del xifrat en la informació personal elimina l’obligació de notificar als afectats que s’ha produït una violació de seguretat.
Registra l’accés als teus equips informàtics amb ET Seguridad
Protegeix la informació emmagatzemada amb el registre d’accessos i evita un ús no autoritzat dels equips informàtics.
Xifra fitxers i dispositius extraïbles USB amb ET Encrypt
ET Encrypt és una eina de xifrat amb un algorisme pràcticament impenetrable, protegeix les dades tot i que enviïs arxius per correu electrònic.
Quines novetats introdueix l’RGPD respecte a la LOPD?
Consentiment inequívoc
El consentiment ha de ser lliure, informat, específic i inequívoc. Es reforça l’exigència de consentiment mitjançant una manifestació inequívoca o una acció positiva, no podent deduir-se de el silenci o de la inacció. Això estableix l’obligació de disposar de sistemes de registre de l’consentiment perquè sigui possible la seva verificació en cas de produir-se una auditoria.
Dades especialment protegides
El consentiment serà explícit per al tractament de dades sensibles.
Dades especialment protegides o sensibles:
- Ideologia
- Religió i creences
- Afiliació sindical
- Relatius a: creences, origen racial, salut i / o la vida sexual.
- Relatives a la comissió d’infraccions penals o administratius
Amb el nou reglament s’afegeix:
- Dades genètiques (anàlisi ADN)
- Dades biomètriques (empremta dactilar o de Sant Martí ocular)
Avisos de privacitat
S’ha d’explicar la base legal per al tractament de dades, el temps en què es retindran aquestes dades, així com informar els interessats que poden dirigir les seves reclamacions a les autoritats de protecció de dades. Tota aquesta informació s’ha d’incloure en les pàgines webs o en els canals de comunicació de què es disposi.
Drets de tutela
- Dret a la portabilitat, a l’oblit i de transparència.
responsabilitat activa
Les empreses han d’adoptar mesures que assegurin raonablement que estan en condicions de complir els principis, els drets i les garanties de el nou reglament. S’entén que actuar tan sols quan ja s’ha produït una infracció és insuficient com a estratègia, per això es preveuen un conjunt de mesures:
- Protecció de dades des del punt de vista de l’anàlisi de risc en els tractaments de dades
- Protecció de dades per defecte (des d’un inici)
- Mesures de seguretat
- Manteniment d’un registre de tractaments
- Realització d’avaluacions d’impacte sobre protecció de dades (DPIA)
- Nomenament d’un delegat de protecció de dades (DPO)
- Promoció de codis de conducta i d’esquemes de certificació
Realització d'avaluacions d'impacte en les dades personals (DPIA)
S’està obligat a realitzar avaluacions d’impacte en protecció de dades només quan l’ús de tecnologies avançades, el volum o el tipus de dades tractades (especialment protegides) puguin comportar un risc en els drets i llibertats de les persones afectades.
El Reglament considera que s’ha de dur a terme una DPIA per avaluar l’origen, la naturalesa, les particularitats i el risc en què es troben exposats les dades personals. El responsable de l’tractament buscarà assessorament en el Delegat de Protecció de Dades per a la realització de la DPIA.
L’Agència Espanyola de Protecció de Dades és l’encarregada de publicar les llistes amb els tipus d’operacions de tractament que requereixen d’avaluacions d’impacte.
Nomenament d'un delegat de Protecció de Dades (DPD)
D’entre les funcions de l’DPD, trobem el control de la correcta implantació de les mesures destinades a reduir els riscos i l’assessorament a l’responsable de l’tractament de dades de caràcter personal.
L’RGPD permet que la figura del DPO sigui interna o externa de l’empresa, podent-se contractar el servei a persones físiques o jurídiques alienes a l’organització.
Aquesta figura resulta obligatòria a:
- Organitzacions i institucions públiques.
- Responsables o encarregats que tinguin entre les seves activitats principals les operacions de tractament que requereixin una observació habitual i sistemàtica d’interessats a gran escala.
- Responsables o encarregats que tinguin entre les seves activitats principals el tractament a gran escala de dades sensibles.
Notificacions de bretxes de seguretat en les dades
Obligació en les empreses d’informar si es produeix alguna filtració de dades personals en el termini de 72 hores a l’autoritat nacional (Agència Espanyola de Protecció de Dades) i també als propis afectats.
La utilització de l’xifrat en la informació personal elimina l’obligació de notificar als afectats que ha tingut lloc una bretxa en la seguretat, en la qual s’han vist exposats els seus dades personals.
Enfortiment del règim sancionador
El Reglament enforteix el règim sancionador: les multes poden arribar fins al 4% de la facturació global de l’empresa o els 20 milions d’euros, aplicant com a multa, la major quantitat de les dues.
Finestreta única
El “One-Stop-Shop” o finestreta única pretén reduir els obstacles burocràtics fent que tots els tràmits que afectin la protecció de dades es puguin adreçar a una finestreta única que resolgui els casos a nivell europeu.
La gestió la realitzarà l’autoritat nacional (desenvolupant un paper d’intermediària), havent d’informar l’interessat del resultat final de la reclamació o denúncia.
Encarregat i responsable de l'tractament
El responsable ha d’extremar les precaucions i regularitzar els contractes d’acord amb les exigències i la documentació necessària.
Dret d’indemnització i de responsabilitat i ampliació als danys i perjudicis que s’hagin pogut ocasionar pels encarregats de l’tractament, establint una responsabilitat solidària entre responsable i encarregat de l’tractament.
Mesures de seguretat
- Seudonimización i xifrat de dades personals.
- Garantir la confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament.
- Capacitat de restaurar la disponibilitat i l’accés a les dades personals de forma ràpida en cas d’incident físic o tècnic.
- Procés de verificació, avaluació i valoració regulars de l’eficàcia de les mesures tècniques i organitzatives per garantir la seguretat de l’tractament.
- Avaluació dels riscos que presenten els tractaments de dades, en particular com a conseqüència de la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservats o tractats d’una altra manera, o la comunicació o accés no autoritzats a les esmentades dades.
- Contractar amb encarregats de el tractament que s’hagin adherit a certificacions, mecanismes o codis de conducta conformes a la protecció de dades.
- Notificar a l’autoritat de control, en cas que succeeixi, la violació de la seguretat de les dades personals.
