Llei de Protecció de Dades

Com afecta la nova Llei de Protecció de Dades 2018

El 25 de maig de 2018 entra en vigor amb caràcter obligatori el nou reglament europeu que afecta Llei de Protecció de Dades o LOPD (per Llei Orgànica de Protecció de Dades) encara que la versió definitiva d'aquesta llei encara s'està tramitant al parlament espanyol .

A qui afecta la nova llei: A totes les entitats que tractin dades de caràcter personal i estiguin dins de la Unió Europea. És a dir, si estàs a Europa i disposes d'un lloc web en el que ofereixes subscripció a un butlletí i per tant recabas el nom i l'email de les teves subscriptors, t'afecta. Si tens clients, empleats i proveïdors ... llavors ja ni ho dubtis, t'afecta directament.

La major part de clients i alumnes em fan preguntes sobre això, així que aquí he preparat un breu resum dels 7 punts més importants que cal saber sobre la nova llei.

Quines són les noves obligacions de la Llei de Protecció de Dades

1. Rendició de comptes: has de notificar a l'Agència Espanyola de Protecció de Dades, abans de 72 hores qualsevol bretxa de seguretat que afecti les dades personals. I si les dades són de caràcter sensible (orientació sexual, salut, religió, etc.) també has de notificar-ho als usuaris afectats. Però ja no cal inscriure els fitxers al lloc web de l'Agència.

2. Responsabilitat proactiva: has de prevenir qualsevol tipus d'incidència que pugui comportar una bretxa en la seguretat de les teves dades. Per exemple, les màquines en què hi ha les dades han de tenir login i password, han de tenir el sistema operatiu actualitzat, han de disposar d'antivirus, etc. Si tens més de 250 empleats cal portar un registre d'activitats de tractament (el meu consell és que si aquest és el teu cas, et posis en mans d'un especialista).

3. El Delegat de Protecció de Dades: si tens dades sensibles (el meu consell és que no els tinguis) necessites a un responsable de seguretat en la teva empresa que serà l'encarregat o encarregada de supervisar el compliment de la normativa. Això ja era així amb l'antic reglament, però ara li han posat el nom de "Delegat de Protecció de Dades".

4. El Dret a l'Oblit: 5. Dret a la Portabilitat:

5. Dret a la Portabilitat: ¡Aquesta és nova i és una bona idea! Els usuaris que hagin proporcionat les seves dades a algú que els tracta digitalment poden demanar recobrar aquestes dades en un format que permeti el seu trasllat ... serà pràctic en canviar de metge!

6. Canvis en l'obtenció del consentiment: el reglamento indica que el consentimiento debe ser libre, informado, específico e inequívoco. Aquí es cuando empiezan los problemas… porque en la Agencia de Protección de Datos indican que en todos los formularios de captación de datos hay que poner una parrafada de 150 palabras. Y debes poder demostrar que los usuarios te han cedido los datos libremente e inequívocamente. No te preocupes, en el menú de administración de los programas de gestión de emails tipo Mailchimp te indican la fuente de los datos y la fecha en la que se incorporaron y por lo tanto, tienes un registro y una prueba de su suscripción. Además, como los usuarios deben confirmar su email (doble opt-in) no hay posibilidad de que se suscriban sin darse cuenta. Esto está pensado para los que compran datos personales. Sobre las coockies, la normativa sigue igual, necesitas el consentimiento del usuario la no acción no puede ser considerada una aceptación.

7. Tractament de dades per part de tercers: si utilitzes una gestoria per pagar nòmines o bé una empresa de màrqueting realitza teu butlletí, necessites un certificat per part d'aquesta empresa en què t'indiqui que compleix la normativa. Abans necessitaves un contracte ... un certificat és més fàcil d'obtenir.

Per facilitar la feina i tenir tota la documentació en regla, la Agència Espanyola de Protecció de Dades ha creat un lloc web que et genera automàticament tota la documentació que necessites (inclou els paràgrafs dels formularis, els certificats per a la teva gestoria, etc.). La veritat és que l'eina està molt bé. Aquest és l'enllaç: Facilita RGPD. Et recomano que el facis servir.

Com pots veure no és tan drama com el pinten, assegura't que compleixes amb els requisits, guarda't la documentació de l'Agència per si alguna vegada la necessites i segueix treballant com sempre.

He citat Mailchimp perquè és el programa d'enviament de butlletí que jo faig servir i el que ensenyo a classe de emailmarketing, però la major part de programes funcionen igual, així que comprova què fa el teu, per a més tranquil • litat.

Espero que aquest article t'hagi estat d'utilitat.

12 respostes
  1. àngel
    àngel diu:

    Hola Montse,
    Em dic Àngel Ivanov i participo en el curs SEO POSICIONAMENT natural Web de Miríada. Tinc dos llocs web a través de WordPress en els quals no tinc com a part recopilar i processar dades personals. Els vaig fer per practicar en el procés de formació. No tinc empresa ni sóc autònom.
    Si us plau, em podries indicar si tinc obligacions al respecte de la nova normativa GDPR? La política de cookies sempre haurem de notificar i avisaria?
    Quant em va entrar el pànic tregui les pàgines de contacte i vaig canviar la privacitat a privada en lloc de pública encara que els dos llocs web estan indexats.
    gràcies
    Una salutació,
    àngel Ivanov

  2. Montserrat Peñarroya
    Montserrat Peñarroya diu:

    Angel, disculpa la demora, no vaig veure el missatge.
    Oye, sí tienes obligaciones… en la web debe quedar claro que tu (con nombre, apellidos y DNI) eres el propietario del sitio web. Si recoges emails para una suscripción a un posible boletín, también debe quedar claro que te harás responsable de la base de datos y que tus usuarios pueden ejercer sus derechos ARCO. Sobre las cookies, igual… necesitas comunicar que las utilizas (pon el plugin para wordpress Cookie Low). Si utilizas Google Analytics o tu web está hecha con un gestor de contenidos siempre tendrás cookies de terceros así que sí, siempre tienes que notificarlo.
    No et preocupis, tampoc és tan complicat tenir obligacions d'aquest tipus ... només assegura't que notifiques tot el que cal notificar als usuaris.
    Que vagi tot bé
    una abraçada
    Montse.

  3. Juan Antonio Castro
    Juan Antonio Castro diu:

    Hola Montserrat,
    Somos un grupo de trabajadores autonomos y pretendemos montar una asociación sin animo de lucro para poder gestionar demandas a la administración, mi pregunta es, la asociación tambien tiene obligaciones respecto a la protecón de datos con sus asociados?
    Gracias, un saludo.

  4. TELMA
    TELMA diu:

    Bon dia.
    sóc autònom i tinc una acadèmia i cap treballador al meu càrrec.
    Cal que ho faci?

  5. Elisabeth Martínez Escala
    Elisabeth Martínez Escala diu:

    Amb aquesta nova llei, és lícit que surti el teu nom i cognoms en oposicions i concursos per a llocs de treball de l'administració als quals t'inscrius, així com els resultats, veient que en altres llocs només posa el DNI?

  6. Montserrat Peñarroya
    Montserrat Peñarroya diu:

    Sí, ja que tens dades personals dels alumnes… no cal que tinguis segons quin paper, com per exemple un contracte de gestió de dades per part d’un tercer (que seria el que necessitaries si algú extern et gestionés les nòmines), però tens les dades dels alumnes i per tant les mateixes obligacions que qualsevol organització, encara que siguis autònom.

  7. Montserrat Peñarroya
    Montserrat Peñarroya diu:

    Ummmm aquesta és complicada de respondre. Jo crec que no haurien. Les dades que comentes són de nivell bàsic però el fet que sigui per a un concurs públic i per tant estiguis aplicant per a un lloc de treball (cosa que pot afectar-te en el teu lloc actual) jo diria que els converteix en dades de nivell mitjà ... així que no, jo crec que només haurien d'indicar el DNI com a màxim ... però dit això, jo no sóc cap experta aquest tipus de dret, millor pregunta a algú especialista en gestió de dades.
    Petons Elisabeth.

  8. Montserrat Peñarroya
    Montserrat Peñarroya diu:

    Sorry Angel, se me pasó tu comentario. Si no recopilas datos no tienes ninguna obligación respecto a la Agencia de Protección de Datos. Con un formulario de contacto, mientras no los suscribas a nada, la única obligación es a mantener a salvo esos datos y que ni te los vendas ni dejes que te los roben. No importa si eres autónomo, empresa o persona sin más. Sobre las cookies, sí es obligatorio notificarlas. Siempre. Es muy pesado y es tonto porqué todas las webs las utilizan (menos la web de la Agencia de Protección de Datos)… pero así son las cosas.
    petons
    Montse

  9. consultoria LOPD
    consultoria LOPD diu:

    Molt important que les dades recollides siguin només els necessaris per als fins que vinguin ben especificats abans que la persona els confiï. Gràcies per tots aquests consells. La veritat és que cal estar al tant constantment

  10. Anna
    Anna diu:

    Bon dia, sóc metge i començaré a treballar per compte propi i necessito algun formulari per oferir als meus pacients quan vinguin a visitar-se però l’enllaç que has passat em diu que no hi ha cap formulari per sanitat. om ho he de fer????
    Gràcies

  11. Montserrat Peñarroya
    Montserrat Peñarroya diu:

    Hola Anna, qualsevol formulari et pot anar bé mentre no demanis dades de salud a la gent que l’ompli. Si és per demanar hora o directament és un motor automàtic de donar cites, només pregunta per coses bàsiques com el nom, el cognom, l’email i el telèfon (com a molt). Si demanes quelcom relacionat amb salud, llavors passes a nivell alt de seguretat i ja calen un munt de coses (com les auditories cada dos anys, controls especials als servidors, control físic d’accés on hi ha les màquines amb les dades…un lío vaja… val més no demanar-ho).

Deixa una resposta

Vols unir-te a la conversa?
No dubtis a contribuir!

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *