Les entitats han de complir amb les mesures més adequades segons el risc que suposen les dades que tracten

Obligació de dur un registre d’activitat del tractament de dades

El Reglament Europeu de Protecció de Dades aposta per la responsabilitat proactiva per part de les organitzacions a l’hora d’implementar les mesures de seguretat adients per a la correcta protecció de les dades de l’entitat.

En base a aquest principi, estableix la necessitat de dur registres d’activitat del tractament de dades amb la finalitat de poder demostrar l’efectiu compliment de la normativa. A més, la legislació recull que, pel que fa a aquests registres, cada entitat els haurà de mantenir sota la seva responsabilitat.

Les principals informacions, entre d’altres, que han de contenir aquests registres d’activitat són les següents:

  • Identificació de les dades de contacte de la persona responsable del tractament i del delegat/da de protecció de dades.
  • Finalitat del tractament.
  • Descripció de les categories dels interessats/des i de les dades que disposa l’entitat.
  • Categories de destinataris/es de les dades.
  • Transferències internacionals de dades, en cas que n’hi hagi.

Relacionat amb aquest registre d’activitat, s’ha de tenir en compte que desapareix l’actual obligació d’inscriure els fitxers a l’Agència de Protecció de Dades, prevista a la Llei 15/1999.

Necessitat de realitzar avaluacions d’impacte

La nova legislació estableix que les entitats realitzin avaluacions d’impacte en matèria de protecció de dades quan es consideri que les operacions de tractament de les mateixes poden suposar un alt risc per als drets i llibertats de les persones.

Aquest risc, sobretot, es refereix a aquelles situacions en què les dades són especialment sensibles i quan s’utilitzen noves tecnologies per al seu tractament.

L’avaluació d’impacte consisteix en una anàlisi dels riscos que es poden derivar del propi tractament de les dades que fa l’entitat i que poden afectar la seva protecció. A més, a conseqüència d’aquesta anàlisi, s’han de prendre les mesures necessàries per eliminar aquests riscos, o almenys, reduir-los.

Les principals qüestions a tenir en compte a l’hora de realitzar l’avaluació d’impacte són les següents:

  • Anàlisi en profunditat del projecte tenint en compte les dades a tractar, els fluxos d’informació i la tecnologia utilitzada per al seu tractament.
  • Identificació dels riscos per a les dades personals i quins danys es produirien.
  • Determinació de les mesures a adoptar per eliminar o disminuir el risc.
  • Elaboració d’un informe final amb els riscos i les mesures a incorporar.
  • Assegurar-se que el tractament compleix amb els requeriments legals establerts.
  • Assignació dels recursos necessaris per implementar les mesures adequades.
  • Revisió dels sistemes de tractament per comprovar l’efectivitat del resultat de l’avaluació d’impacte.

Notificació de les violacions de seguretat

Una altra novetat del Reglament és la notificació a l’Agència de Protecció de Dades de tots aquells errors de seguretat comesos. 

Fins ara, la normativa només requeria portar un control d’incidències intern per poder dur un registre de les escletxes de seguretat que s’haguessin produït i les seves conseqüències.

Actualment, tot i que s’han de seguir establint els procediments interns necessaris per canalitzar les possibles violacions o escletxes de seguretat i establir les mesures adients per a la seva reparació, el Reglament Europeu estableix l’obligació per al o la responsable del tractament de notificar totes les fallades de seguretat a l’AEPD en un termini màxim de 72 hores.

S’ha de tenir en compte que, en el cas que la violació de seguretat afecti o impliqui un risc per a les persones interessades, també se’ls hi haurà de notificar.

Aquesta funció l’haurà d’assumir la figura del delegat/da de protecció de dades (DPO) i, en el seu defecte, la persona encarregada de coordinar el compliment de la normativa de protecció de dades dins de l’entitat.

Disposar d’un delegat/da de protecció de dades

La legislació estableix la figura del delegat/da de protecció de dades, el o la qual té com a funció actuar com a garant del compliment de la normativa de protecció de dades dins de l’entitat.

No totes les entitats han de disposar d’aquesta figura, sinó que està pensada, sobretot, per als organismes o empreses públiques, per a aquelles entitats que facin un tractament de dades a gran escala i requereixin una observació habitual i sistemàtica, i també per a les organitzacions que disposin de dades especialment sensibles o relatives a condemnes o infraccions penals.

El DPO pot ser una persona interna de l’organització o bé es podrà realitzar una contractació externa però, en tot cas, la persona que ha de desenvolupar aquesta tasca ha de tenir coneixements sòlids de dret i de protecció de dades, ja que es tracta d’una persona experta en la matèria que ha de vetllar per a la coordinació i control de la normativa.

Les seves funcions principals són les següents:

  • Informar i assessorar al responsable del tractament de dades de les seves obligacions per complir amb la normativa.
  • Supervisar la implementació i aplicació de la legislació vigent.
  • Dur un control de la documentació i comunicacions de les violacions de seguretat.
  • Gestionar les sol·licituds d’exercici de drets per part dels interessats/des.
  • Supervisar la realització de l’avaluació d’impacte.
  • Ser el punt de contacte amb l’autoritat de control pel que fa al tractament de dades.
  • Realitzar formació al personal de l’entitat.

Noves sancions

La nova legislació preveu diferents tipus de sancions que poden ser: advertències, sol·licituds d’atenció a l’exercici dels drets dels interessats/des, limitacions en el tractament i multes administratives.

Una de les qüestions més rellevants en la regulació europea és la quantia de les sancions econòmiques.

Fins ara, amb l’LOPD 15/1999, les sancions en matèria de protecció de dades podien anar des de 900€ fins a 600.000€.

A partir del 25 de maig del 2018, la quantia de les sancions s’ha elevat substancialment.Poden arribar a 20 milions d’euros o al 4% del volum total de negoci de l’organització que ha incomplert amb la normativa.

Si tens dubtes sobre el reglament de protecció de dades, l’equip jurídic de Suport Associatiu te’ls resol a través del servei en línia d’assessorament.

 

Informació relacionada:

Descobreix les claus del nou reglament de protecció de dades

Sancions i inspeccions en matèria de protecció de dades

 

Autor: Suport Associatiu
Publicat a Xarxanet

 

Ets d'una associació, fundació o cooperativa no lucrativa? No et perdis cap entrada del nostre blog especialitzat en gestió del tercer sector

Política de privacitat *

Segueix-nos!

Subscriu-te ara al nostre butlletí

  • Hidden
  • Aquest camp només és per validació i no s'ha de modificar.

Segueix-nos a les xarxes socials

Som Fundesplai

Som Fundesplai, una entitat sense ànims de lucre amb la missió d'educar els infants i joves, enfortir les entitats de lleure i el Tercer Sector, millorar el medi ambient i promoure la ciutadania i la inclusió social, amb voluntat transformadora.

A través de Suport Tercer Sector recolzem i enfortim les entitats oferint serveis i productes ajustats a les necessitats del món associatiu.

Coneix Fundesplai