Avui entra en vigor el nou Reglament general de protecció de dades (RGPD), que atorga a les empreses més responsabilitat a l'hora de salvaguardar les dades personals dels seus clients. El RGPD també proposa un règim sancionador més estricte, que inclou sancions de fins a 20 milions d'euros o el 4 % dels ingressos anuals del negoci.

Experts reunits avui pel Grup de Recerca en Gestió de Conflictes (Conflict Management) d’ESADE Law School i ARAG, companyia asseguradora de defensa jurídica, han coincidit a assenyalar que el model legislatiu ha evolucionat i que passem de tenir un sistema formalista a un sistema flexible en el qual cada empresa té més llibertat per decidir com s'organitza, però amb una actitud de “responsabilitat activa”. Els especialistes han explicat que ja no caldran el registre dels fitxers o la classificació de dades en nivells de seguretat, però recomanen a les empreses que prenguin les “mesures necessàries” per salvaguardar les dades segons la sensibilitat d’aquestes (anàlisi de risc, registre d'activitats de tractament, protecció de dades des del disseny, etc.).

No incórrer en sancions

L'aplicació del nou Reglament general de protecció de dades (RGPD) posa en situació d'alerta més del 40 % de les pimes espanyoles, segons dades del sector empresarial i tecnològic del país. L'incompliment d'aquesta llei preveu sancions de fins a 20 milions d'euros o del 4 % de la facturació total, en cas que superi aquesta quantitat. Els experts asseguren que qualsevol empresa que hagi complert fins ara la Llei orgànica de protecció de dades no ha de tenir cap dificultat a adaptar-se al nou RGPD. Tanmateix, adverteixen que determinades empreses, especialment les de serveis adreçades al gran consum, poden trobar-se amb més dificultats.

El delegat de protecció de dades

Entre les novetats principals del RGPD, destaca la designació oficial d’un delegat de protecció de dades (DPO) a moltes empreses. Aquesta nova figura haurà de supervisar l'aplicació de les mesures tècniques i organitzatives adequades per complir amb la normativa i servir d'enllaç amb l'autoritat de control i amb els titulars de les dades. A més, M. Belén Pose, advocada i directora de l'Assessoria Jurídica Corporativa d'ARAG, recomana que aquest perfil tingui “suficients coneixements jurídics per poder treballar de bracet amb l'Agència Espanyola de Protecció de Dades (AEPD), com també coneixements sobre les noves tecnologies”. Pose ha assenyalat que “el nou Reglament també exigeix mantenir un registre de les activitats que impliquin el tractament de dades i fer avaluacions d'impacte en aquells casos que puguin comportar un risc per als drets i llibertats de les persones físiques”.

El dret a la portabilitat de les dades

Els experts han parlat sobre com exercir el nou dret a la portabilitat de les dades entre les empreses sense incórrer en sancions. Per la seva banda, Robert Madge, conseller delegat de Xifrat Datin AG (Suïssa), ha comentat que el dret de cada persona de demanar la portabilitat de les seves dades personals, per tal de trametre-les a d’altres empreses, va més enllà de la protecció de dades i és una disposició per fomentar la competència. “Les empreses que intenten desar les dades dels seus usuaris com a propietat pròpia n’han de prendre nota i les noves empreses disposaran d’una eina per accelerar els seus negocis, oferint serveis especialitzats”, ha assenyalat. Segons Madge, el RGPD introdueix un canvi de concepte: “Els individus tindran el poder de decisió sobre les seves dades.”

Finalment, Pablo Díaz Ortiz, responsable de Protecció de Dades de CaixaBank, ha compartit l'experiència d'implantar una metodologia d'avaluacions d'impacte a l'entitat financera i ha destacat el gran repte que comporta canviar una forma clàssica d'avaluar els aspectes de la protecció de dades, orientada a l'anàlisi jurídica, per una metodologia basada en l'anàlisi global dels riscos, tant legals com tècnics i procedimentals. Així mateix, ha detallat l'experiència i els reptes d'implementar aquesta metodologia a tot el grup.