La protecció de dades personals s’ha convertit en una obligació essencial per a qualsevol organització que tracti informació sobre persones físiques: empreses, autònoms, administracions públiques, associacions o entitats sense ànim de lucre. En un entorn digital on cada acció genera dades —compres en línia, apps, serveis sanitaris, banca, videovigilància o xarxes socials— complir la llei és una responsabilitat jurídica i un factor clau. En aquest article et vam mostrar què exigeix la llei, com complir-la, i quines mesures s’han d’aplicar en la pràctica.

Reglament general de protecció de dades (RGPD)

 Què són les dades personals?

Una dada personal és qualsevol informació que identifiqui o pugui identificar a una persona física. Existeixen categories especials de dades, que requereixen major protecció (salut, etc.)

1. Principis fonamentals

S’han de complir diversos principis bàsics:

1. Licitud, lleialtat i transparència
2. Limitació de la finalitat
3. Minimització de dades
4. Exactitud
5. Limitació del termini de conservació
6. Seguretat, integritat i confidencialitat
7. Responsabilitat proactiva (Accountability)

2. Inventari i registre d’activitats de tractament

El primer pas pràctic per a complir el RGPD és identificar quines dades personals maneja l’organització (clients, proveïdors, etc.)

Amb aquesta informació s’elabora el Registre d’Activitats de Tractament (*RAT), un document obligatori que inclou, entre altres coses, qui és el Responsable del tractament.

Aquest és un dels documents més revisats en auditories de protecció de dades.

3. Informació a l’usuari: obligació de transparència

Cada vegada que es recullen dades personals, l’empresa ha d’informar la persona, indicant quins són els seus drets al respecte, quina és la finalitat del tractament, etc.

4. Consentiment vàlid

El consentiment ha de ser lliure i informat, permetent seleccionar quina informació s’accepta compartir.

5. Contractes amb encarregats del tractament

Si un tercer prestarà un servei al responsable que comporta el tractament de dades personals per compte d’aquest, haurà de signar un contracte per encàrrec de tractament. Aquest contracte ha d’incloure mesures de seguretat aplicables, deure de confidencialitat, i eliminació de dades.

6. Mesures de seguretat obligatòries

El RGPD exigeix aplicar mesures proporcionals al risc, tant a nivell tècnic (xifratge, etc.), com a organitzatiu (procediments, etc.). Referent a això, en JakinCode s’ha desenvolupat una eina d’anàlisi de riscos específica per a complir amb el requerit per la llei de protecció de dades

Aquestes mesures solen alinear-se amb estàndards com a ISO 27001 o l’Esquema Nacional de Seguretat (ENS).

7. Delegat de protecció de dades (DPO)

És una figura que actua com a assessor, supervisor, així com enllaç amb l’Agència Espanyola de Protecció de Dades (AEPD).

8. Gestió d’escletxes de seguretat

Una escletxa és qualsevol incident que comprometi dades personals. Ha de comunicar-se a l’AEPD en un termini de 72 hores posteriors al coneixement d’aquest.

9. Documentació necessària

Per a complir amb el RGPD s’ha de comptar amb una documentació específica. Aquesta inclou, entre altres, el document de registre de tractaments, una anàlisi de riscos, polítiques, procediments, etc.

10. Sancions: un dels règims més durs del món

El RGPD pot imposar multes molt quantioses a infraccions com a escletxes de seguretat, ús indegut de dades, o incompliment de drets,

Complir amb la legislació de protecció de dades no és només un requisit legal, sinó part essencial de la confiança digital.

Les organitzacions que integren la protecció de dades en els seus processos demostren maduresa, professionalitat i respecte per les persones —elements clau en l’economia digital.

En JakinCode comptem amb eines dissenyades específicament per a ajudar al fet que la teva empresa compleixi amb l’exigit per la llei. El nostre equip professional, format per persones especialitzades en la protecció de dades, guia als seus clients en tot el procés d’adequació als requisits establerts.