El pròxim 25 de maig entra en vigor el nou Reglament General de Protecció de dades (RGPD), una normativa que serà d’aplicació directa a tots els països de la Unió Europea, sense que cap norma jurídica d’origen intern o nacional la transposi per completar la seva eficàcia plena. En aquest context, son moltes les organitzacions que es pregunten com els afectarà i quines mesures han de prendre.
La jornada “Riscos i oportunitats del nou Reglament General de Protecció de dades (RGPD) per al sector de Consumer Healthcare” organitzada per l'Instituto Consumer Healthcare i EADA Business School el 12 d’abril a Barcelona, va tractar de donar una resposta davant aquesta inquietud de les empreses i organitzacions del sector. Manuel Alonso, soci del gabinet d’advocats Jausas, va recordar als assistents que aquest reglament “ha vingut per quedar-se” i que “és moment de fer-ho bé”, perquè estem parlant de dades sensibles i delicades que cal tractar amb criteris de qualitat.
Durant la jornada, a la qual va assistir la Federació d’Associacions de Farmàcies de Catalunya (FEFAC), va intervenir Marta Candales, senior Counsel d’Almirall, i va donar la benvinguda a l’acte Juan Carlos Serra, director de Programes àrea de salut d’EADA, i Josep María Adalid, president de l’Institut Consumer Healthcare.
Bases de dades
Una de les grans preocupacions de les empreses és què passarà amb les bases de dades dels usuaris amb l’entrada en vigor d’aquest reglament, ja que, a partir del 25 de maig, les empreses requeriran el consentiment explícit de l’usuari (fins ara era tàcit) i hauran de determinar la finalitat del tractament de les dades, és a dir què volen far amb elles, sense poder ser utlitzades amb cap altra finalitat. Els consentiments lliures no serviran i, per tant, la majoria de bases de dades tampoc.
Moltes empreses han començat a fer campanyes de reconsent per tal de demanar de nou el consentiment als usuaris. Se’ls envia un correu electrònic explicant que el 25 de maig entra en vigor aquest nou reglament i que han de donar el seu consentiment per determinades finalitats. Per fer-ho, cal fer clic en el link del correu electrònic, que porta a l’usuari a un formulari, les caselles del qual no poden estar marcades, com pasava fins ara. Aquest procés difícilment aconsegueix consentiments, segons els experts, i les empreses ja estan treballant noves estratègies que aportin valor, per tal de tornar a construir les seves bases de dades.
Quan es facin noves campanyes, es vulguin promocionar nous serveis, s’organitzin esdeveniments… caldrà tenir en compte quines dades es demanen i les seves finalitats, a més del temps de conservació d’aquestes dades. En aquest sentit, Manuel Alonso va aconsellar dissenyar els "consentiments neutres tecnològicament”, perquè aquest és un món que evoluciona constantment. Finalment, va recordar la importància del dret a revocar aquest consentiment.
Marta Candales va dir que s’ha de veure aquest moment com una oportunitat per començar a treballar amb "una base de dades de qualitat, fiable, de persones interessades en l'empresa i fidelitzar als clients". Manuel va recordar que, a vegades, "és millor iniciar nous processos que posar pegats” i “convertir-se en una empresa emblemàtica” pel que fa al tractament de dades aprofitant aquesta nova oportunitat.
Registre dels tractaments
Durant la jornada es va recordar que, de cara a l’entrada en vigor del nou reglament, és molt important que les empreses i organitzacions analitzin les dades de caràcter personal que tracten. “Quan es demanen dades a un usuari he de saber quins tractaments faig: registro, processo, transfereixo, transformo… i fer un mapeig per identificar en tot moment aquell registre”, va explicar Manuel Alonso.
Anàlisi de riscos
Un cop l’empresa sap quines dades tracta, ha d’analitzar els riscos de treballar amb aquelles dades personals perquè no es produeixin bretxes de seguretat de les dades. Marta Candales va recordar que el nou reglament diu que si es produeix una violació de la seguretat de les dades, cal avaluar el risc per a la seguretat de les persones i comunicar-lo a l’Agència Espanyola de Protecció de Dades en un termini de 72 hores i, si s’escau, a les persones afectades.
Data Protection Officer (DPO)
Marta Candales i Manuel Alonso van parlar també de la figura del Data Protection Officer, DPO, una figura que fins ara no existia però que serà obligatòria per a organismes públics, empreses que tracten dades a gran escala i centres de salut, i recomanable per a la resta.
El DPO ha de ser una persona que entengui de lleis i protecció de dades. En aquest sentit, els experts van recalcar la importància de no deixar que aquesta tasca recaigui en qualsevol persona en l’àmbit intern. Marta Candales va citar algunes possibilitats: que sigui una persona de l’empresa certificada jurídicament i tècnicament, una privacy office formada per diferents professionals amb backgrounds diferents o un advocat extern. "Caldrà esperar l’aprovació de la nova llei per anar definint la millor fórmula per a cada empresa", va concloure Marta Candales.
FONT: Departament de Comunicació de FEFAC.
0 Comments