NOVA POLÍTICA DE PRIVACITAT

Fernando Lacaba Sánchez

27·05·18 | 00:55

0
Notícia guardada al teu perfil
Veure notícies guardades

Divendres passat, dia 25 de maig de 2018, va entrar en vigor el Reglament General de Protecció de Dades que canvia la forma en què es recull i tracten totes les dades personals, per això estem rebent nombrosos avisos de «nova política de privacitat». El destí ha volgut que aquesta nova norma hagi coincidit amb la «fuga» de dades per part de Facebook, de manera que aquesta cobra tot el seu sentit i necessitat.

Què és una dada personal?: Qualsevol informació relacionada amb una persona física que es pot utilitzar per identificar-la directament o indirectament. Pot ser qualsevol cosa: des d´un nom, una foto, una adreça de correu electrònic, dades bancàries, publicacions en llocs web de xarxes socials, informació mèdica o una adreça IP d´un ordinador.

Fins ara, cada país tenia la seva legislació, amb el nou Reglament europeu s´unifiquen els criteris sobre què es considera «dada personal» i com ha de protegir-se. De fet, durant anys va ser una reivindicació de moltes empreses i sectors, com el tecnològic, els quals havien de fer front a 28 legislacions diferents sobre l´ús i tractament de dades personals per poder oferir els seus serveis a Europa.

Es tracta d´una normativa europea que obliga les empreses a adaptar-se en matèria de recopilació, ús, divulgació, retenció i protecció de dades personals. La mateixa Agència Espanyola de Protecció de Dades (AEPD) és l´encarregada de vetllar pel seu compliment. Aquesta nova normativa involucra tota l´empresa, no només els departaments tecnològics. Afecta com i on es registren les persones que passen per recepció, fins als papers que es deixen a sobre de la taula. Però, a grans trets, les àrees més afectades són les relacionades amb la gestió directa de dades personals: vendes, màrqueting, recursos humans, atenció al client, legal i administració, depenent de l´estructura i la dimensió de l´empresa. De no complir amb aquesta llei, les empreses s´enfronten a multes i sancions.

Aquest Reglament modifica l´actual Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD) i afecta tant empresaris com treballadors que manegen dades d´índole personal.

L´actual LOPD exigeix ??el consentiment inequívoc, lliure i informat dels interessats per al tractament de les seves dades. Per poder considerar que el consentiment és inequívoc, hi ha d´haver una declaració de l´interessat o una acció positiva que manifesti la seva conformitat. El consentiment no pot deduir-se del silenci o de la inacció dels ciutadans. Quan demanin autorització per tractar aquesta informació, s´ha d´especificar quin ús es farà de les dades personals i incloure la informació de contacte de l´empresa que les tracta. El consentiment ha de donar-se lliurement i ser una manifestació específica, informada i inequívoca.

Les empreses o entitats han d´informar clarament del tipus de dades que recolliran i amb quina finalitat, què faran amb elles, i sol·licitar el consentiment de forma clara, usant un llenguatge senzill i comprensible. A canvi, el ciutadà haurà, si està d´acord amb això, de prestar el seu consentiment amb claredat, afirmant que autoritzas (consenteix) això.

Les empreses estan obligades a informar si han patit un atac o una bretxa de seguretat que hagi exposat les dades personals que guardin dels ciutadans de la Unió Europea. El Reglament exigeix ??als responsables del tractament de les dades de les empreses que, si han patit un incident que impliqui, per exemple, robatori d´identitat o violació de la seguretat de les dades personals, s´ha d´avisar l´Agència de Protecció de Dades en un termini de 72 hores. Si s´ha superat el termini, s´han d´explicar els motius d´aquesta demora.

Tant pimes com empreses han d´incorporar a les seves infraestructures la tecnologia necessària per a una correcta gestió de les dades. En aquest sentit, aquestes solucions tecnològiques, a més d´aportar la seguretat necessària, també hauran de ser capaces d´extreure la informació i evidències del compliment de la normativa que han de presentar davant les autoritats.

Les empreses, a més, hauran de tenir un Responsable de les Dades si processen dades personals per dirigir publicitat a través de motors de cerca basats en el comportament a Internet de les persones o si tracten dades especialment sensibles, com de salut.

Respecte dels menors, s´estableixen condicions específiques per obtenir el consentiment dels mateixos: no podran oferir-se serveis de la societat de la informació a menors de 16 anys sense el consentiment patern o del tutor legal, llevat que una llei nacional estableixi una edat inferior que, en cap cas, serà menys de 13 anys. Així mateix, en relació amb el tractament de dades de menors, es recomana aplicar els requisits d´edat establerts en el Reglament.

És per això aconsellable que les empreses i organismes revisin la forma en què demanen el consentiment i eliminin les pràctiques que s´enquadren en l´anomenat «consentiment tàcit» i que són acceptades sota l´actual normativa però que deixen de ser-ho per l´aplicació d´aquest Reglament.

Com a novetats més rellevants, aquest reglament recull i reconeix drets com l´oblit i el dret a la portabilitat.

El primer (dret a l´oblit) estableix que els ciutadans podem demanar i aconseguir que les nostres dades personals siguin eliminades quan, entre altres casos, aquestes ja no siguin necessàries per a la finalitat amb la qual van ser recollides, quan s´hagi retirat el consentiment o quan aquests s´hagin recollit de forma il·lícita.

És cert que el dret a l´oblit existeix des de la Sentència del Tribunal de Justícia de la Unió Europea, de 9 de març de 2017, però ara es recull en aquest reglament. El problema és que no és un dret absolut, hi ha confrontació amb altres drets (llibertat d´informació, per exemple) de manera que cal ponderar cada cas concret segons uns criteris.

El dret a la portabilitat, permet que, si les nostres dades s´estan tractant de manera automatitzada, puguem recuperar-les en un format per cedir-les a un altre responsable. Aquestes dades han d´estar en un format estructurat, d´ús comú i lectura mecànica (per exemple, un Excel) perquè pugui transmetre-les fàcilment a un altre responsable i facilitar així un canvi de proveïdor.

Un altre dels nous drets que preveu és el d´accés; d´aquesta manera, podem demanar a les empreses que ens confirmin si les nostres dades s´estan processant, on i amb quin propòsit. Si ho fem, podem demanar també una còpia de les nostres dades personals sense que se´ns cobri per això.

Finalment, la nova normativa reforça així mateix el dret de revocació (recuperació de les dades), és a dir, el dret de l´usuari per a, en qualsevol moment, revocar el consentiment atorgat per a la utilització de les seves dades. Aquesta revocació ha de poder ser total o d´una finalitat en concret. Això implica que s´ha de facilitar que l´usuari pugui desestimar l´ús de les seves dades sense més complicacions.

La protecció i la defensa dels drets dels consumidors és la finalitat última d´aquest nou Reglament. Que així sigui.