El Reglament General de Protecció de Dades (RGPD) és la nova normativa europea de protecció de dades que va entrar en vigor el 24 de maig de 2016 i s’aplica des del 25 de maig de 2018. Aquesta nova normativa comporta canvis significatius. L’RGPD conté noves obligacions que cada empresa ha d’analitzar i aplicar tenint en compte les seves pròpies circumstàncies. L'RGPD és directament aplicable.

1. Adaptació al
Reglament General de
Protecció de Dades
El Reglament General de Protecció de Dades (RGPD) és la nova
normativa europea de protecció de dades que va entrar en vigor el 24 de
maig de 2016 i s’aplica des del 25 de maig de 2018. L'RGPD és d’aplicació
directa.
30/10/2018 www.privadesa.cat 1

2. Innovacions de l’RGPD
Principi de responsabilitat proactiva. Les empreses han d’analitzar els
tractaments de dades personals i aplicar les mesures organitzatives
i tècniques apropiades per tal de garantir i poder demostrar que el
tractament és conforme a l’RGPD. Mesures de responsabilitat proactiva:
• Anàlisi de riscos
• Registre d’activitats de tractament
• Protecció de dades des del disseny i per defecte
• Mesures de seguretat
• Notificació de “violacions de seguretat de les dades”
• Avaluació d’impacte sobre la protecció de dades (tractaments d’alt risc)
• Delegat de protecció de dades (tractament de dades a gran escala)
30/10/2018 www.privadesa.cat 2

3. Innovacions de l’RGPD
L'enfocament de risc. L'aplicació de les mesures previstes per l’RGPD
s'ha d'adaptar a les característiques de les empreses.
D'acord amb aquest enfocament, algunes de les mesures que l’RGPD
estableix només s’han d’aplicar quan hi hagi un alt risc per als drets i
les llibertats, mentre que d’altres s’han de modular d’acord amb el
nivell i tipus de risc que presentin els tractaments.
30/10/2018 www.privadesa.cat 3

4. Tractaments de dades personals
• Clients
• Pacients
• Associats
• Alumnes
• Clients potencials
• Contactes
• Treballadors
• Candidats
• Col·laboradors
• Proveïdors
• Videovigilància
• Publicitat
• Enquestes
• Butlletins de notícies
• Esdeveniments
• Sortejos
30/10/2018 www.privadesa.cat 4

5. Bases de legitimació
Tot tractament de dades necessita recolzar-se en una base que
ho legitimi.
• Consentiment de l’interessat
• Relació contractual
• Interessos vitals de l’interessat o d’altres persones
• Obligació legal per al responsable
• Interès públic o exercici de poders públics
• Interessos legítims del responsable o de tercers
als quals es comuniquen les dades
30/10/2018 www.privadesa.cat 5

6. Què s’ha de fer?
Protegeix els drets de les persones que faciliten les seves dades.
Comunicació. Digues qui ets quan sol·licitis les dades. Digues per què tractaràs les
seves dades, durant quant de temps les guardaràs i qui les rep.
Consentiment. Obté el consentiment inequívoc per al tractament de les dades.
Accés i portabilitat. Deixa que les persones accedeixin a les seves dades i les donin
a altres empreses.
Avisos. Informa les persones de les violacions de dades si hi ha un greu risc per a elles.
Esborra les dades. Respecta el «dret a l'oblit». Esborra les dades personals si t’ho
demanen.
30/10/2018 www.privadesa.cat 6

7. Què s’ha de fer?
Publicitat. Permet que les persones optin a no rebre publicitat.
Protecció de dades sensibles. Utilitza protecció addicional per a la informació
relativa a la salut, la raça, l'orientació sexual, la religió o la ideologia política.
Transferència de dades fora de la UE. Adopta mesures jurídiques quan transfereixis
dades a països que no compten amb l'autorització de les autoritats de la UE.
Protegeix els drets de les persones que faciliten les seves dades.
30/10/2018 www.privadesa.cat 7

8. Què s’ha de fer?
Integra la protecció de dades.
Protecció de dades des del disseny i per defecte. Integra garanties de protecció
de dades en els teus productes i serveis des de les primeres fases del seu
desenvolupament.
Relacions empresa-proveïdor. Assegura't que el proveïdor signa un contracte
sense llacunes que enumera les responsabilitats de cada part. Tria únicament
proveïdors que compleixin amb el requeriments de l’RGPD.
Per demostrar que els proveïdors ofereixen les garanties exigides per l’RGPD,
aquests podran adherir-se a codis de conducta o certificar-se dins dels esquemes
previstos per l’RGPD.
30/10/2018 www.privadesa.cat 8

9. Què s’ha de fer?
Crea un registre de les activitats de tractament.
El registre ha de contenir:
✓ El nom i les dades de contacte de l'empresa
✓ Els motius del tractament de les dades
✓ La descripció de les categories d'interessats i dades personals
✓ Les categories d'organitzacions que reben les dades
✓ La transferència de dades a un altre país o organització
✓ El termini límit per eliminar les dades
✓ La descripció de les mesures de seguretat utilitzades durant el tractament
30/10/2018 www.privadesa.cat 9

10. El cost de l’incompliment
L’autoritat de protecció de dades supervisa el compliment normatiu; el seu treball
es coordina a escala de la UE. El cost d'incomplir la normativa pot ser elevat.
Font: Comissió Europea
30/10/2018 www.privadesa.cat 10