La nova normativa europea de protecció de dades personals va començar a aplicar-se el 25 de maig de 2018. Les empreses i entitats han d'implantar aquesta nova normativa per protegir els drets del ciutadans respecte a les seves dades personals.

1. Adaptació al
Reglament General de
Protecció de Dades
El Reglament General de Protecció de Dades (RGPD) és la nova
normativa europea de protecció de dades que va entrar en vigor el 24 de
maig de 2016 i s’aplica des del 25 de maig de 2018. L'RGPD és d’aplicació
directa.
www.privadesa.cat 1

2. Innovacions de l’RGPD
Principi de responsabilitat proactiva. Les empreses han d’analitzar els
tractaments de dades personals i aplicar les mesures organitzatives
i tècniques apropiades per tal de garantir i poder demostrar que el
tractament és conforme a l’RGPD. Mesures de responsabilitat proactiva:
• Anàlisi de riscos
• Registre d’activitats de tractament
• Protecció de dades des del disseny i per defecte
• Mesures de seguretat
• Notificació de “violacions de seguretat de les dades”
• Avaluació d’impacte sobre la protecció de dades (tractaments d’alt risc)
• Delegat de protecció de dades (tractament de dades a gran escala)
www.privadesa.cat 2

3. Innovacions de l’RGPD
L'enfocament de risc. L'aplicació de les mesures previstes per l’RGPD
s'ha d'adaptar a les característiques de les empreses.
D'acord amb aquest enfocament, algunes de les mesures que l’RGPD
estableix només s’han d’aplicar quan hi hagi un alt risc per als drets i
les llibertats, mentre que d’altres s’han de modular d’acord amb el
nivell i tipus de risc que presentin els tractaments.
www.privadesa.cat 3

4. Tractaments de dades personals
• Clients
• Pacients
• Associats
• Alumnes
• Clients potencials
• Contactes
• Treballadors
• Candidats
• Col·laboradors
• Proveïdors
• Videovigilància
• Publicitat
• Enquestes
• Butlletins de notícies
• Esdeveniments
• Sortejos
www.privadesa.cat 4

5. Bases de legitimació
Tot tractament de dades necessita recolzar-se en una base que
ho legitimi.
• Consentiment de l’interessat
• Relació contractual
• Interessos vitals de l’interessat o d’altres persones
• Obligació legal per al responsable
• Interès públic o exercici de poders públics
• Interessos legítims del responsable o de tercers
als quals es comuniquen les dades
www.privadesa.cat 5

6. Què s’ha de fer?
Protegeix els drets de les persones que faciliten les seves dades.
Comunicació. Digues qui ets quan sol·licitis les dades. Digues per què tractaràs les
seves dades, durant quant de temps les guardaràs i qui les rep.
Consentiment. Obté el consentiment inequívoc per al tractament de les dades.
Accés i portabilitat. Deixa que les persones accedeixin a les seves dades i les donin
a altres empreses.
Avisos. Informa les persones de les violacions de dades si hi ha un greu risc per a elles.
Esborra les dades. Respecta el «dret a l'oblit». Esborra les dades personals si t’ho
demanen.
www.privadesa.cat 6

7. Què s’ha de fer?
Publicitat. Permet que les persones optin a no rebre publicitat.
Protecció de dades sensibles. Utilitza protecció addicional per a la informació
relativa a la salut, la raça, l'orientació sexual, la religió o la ideologia política.
Transferència de dades fora de la UE. Adopta mesures jurídiques quan transfereixis
dades a països que no compten amb l'autorització de les autoritats de la UE.
Protegeix els drets de les persones que faciliten les seves dades.
www.privadesa.cat 7

8. Què s’ha de fer?
Integra la protecció de dades.
Protecció de dades des del disseny i per defecte. Integra garanties de protecció
de dades en els teus productes i serveis des de les primeres fases del seu
desenvolupament.
Relacions empresa-proveïdor. Assegura't que el proveïdor signa un contracte
sense llacunes que enumera les responsabilitats de cada part. Tria únicament
proveïdors que compleixin amb el requeriments de l’RGPD.
Per demostrar que els proveïdors ofereixen les garanties exigides per l’RGPD,
aquests podran adherir-se a codis de conducta o certificar-se dins dels esquemes
previstos per l’RGPD.
www.privadesa.cat 8

9. Què s’ha de fer?
Crea un registre de les activitats de tractament.
El registre ha de contenir:
✓ El nom i les dades de contacte de l'empresa
✓ Els motius del tractament de les dades
✓ La descripció de les categories d'interessats i dades personals
✓ Les categories d'organitzacions que reben les dades
✓ La transferència de dades a un altre país o organització
✓ El termini límit per eliminar les dades
✓ La descripció de les mesures de seguretat utilitzades durant el tractament
www.privadesa.cat 9

10. El cost de l’incompliment
L’autoritat de protecció de dades supervisa el compliment normatiu; el seu treball
es coordina a escala de la UE. El cost d'incomplir la normativa pot ser elevat.
Font: Comissió Europea
www.privadesa.cat 10