El passat dissabte 25 de maig es va complir un any de l’aplicació del Reglament europeu General de Protecció de Dades (RGPD). Aquest fet ha suposat un autèntic tsunami normatiu a tota la Unió Europea i noves obligacions per a les empreses que pertanyen a la mateixa.

En aquests moments les empreses es troben davant de la necessitat d’analitzar i revisar els nous requeriments en relació a la protecció de la informació de caràcter personal. Parlem tant de protegir les dades no automatitzades (paper) com de dades automatitzades (informàtiques/digitals).

La informació personal no és propietat de l’empresa. Encara que les dades estiguin als nostres arxius, calaixos, ordinadors o servidors informàtics, només tenim la possessió temporal de les mateixes per aconseguir una finalitat específica. No podem disposar de les dades segons les nostres necessitats sense demanar permís. S’ha d’informar i recollir el consentiment dels afectats per poder tractar-les legalment sense exposar-nos a ser sancionats.

Internament, existeix un efecte positiu col·lateral a l’implementar la normativa. El fet de configurar nous protocols al nostre negoci per adaptar-nos a la normativa de protecció de dades personals, ens servirà per ser més eficients en la defensa i protecció d’actius intangibles fonamentals de la nostra mercantil. Per exemple, em refereixo al fons de comerç, creacions intel·lectuals, know-how, etc.

A nivell extern, la bona imatge que reben els tercers que es relacionen amb la nostra entitat quan perceben que estem adaptats a la LOPDGDD i al RGPD, és un valor afegit. De fet, ja apareix aquesta obligació com un requisit per poder optar a adjudicar-se en algunes licitacions públiques.

Per tractar legítimament les dades, minimitzar el risc de sanció, augmentar la qualitat de la nostra imatge empresarial i protegir amb més seguretat els actius intangibles, és recomanable que la seva entitat realitzi una valoració de l’aplicació de les obligacions de protecció de dades requerides per la normativa europea i espanyola, entre les quals destaquem:

  • Auditoria i anàlisi de riscos dels tractaments duts a terme per la seva entitat.
  • Legitimació dels tractaments de dades personals.
  • Anàlisi de les “fonts” de recollida de dades efectuada per la seva entitat.
  • Elaboració de documentació interna de protecció de dades, com per exemple, el Manual de Protecció de Dades amb les normes de seguretat de privacitat que han de conèixer tots els treballadors.
  • Redacció dels annexos contractuals de protecció de dades amb proveïdors.
  • Anàlisi sobre la necessitat de nominar un Delegat de Protecció de Dades.
  • Estudi i anàlisi en relació amb les seves BBDD i comunicacions comercials.

Alberto Cuesta.
Advocat i auditor d’entorns tecnològics URECA-Legal.