În primul rând, ar trebui să știți semnificația acestor acronime, RGPD, deoarece va fi foarte important pentru dezvoltarea modelului dvs. de afaceri digital. Ei bine, este echivalent cu ceea ce este de fapt Regulamentul general privind protecția datelor (RGPD) și care a intrat în vigoare foarte recent. Și dacă aveți un comerț sau magazin online Va trebui să respectați legislația pentru a nu lua o altă surpriză negativă de acum înainte.
Trebuie să fac ceva pentru a-mi adapta magazinul sau afacerea la GDPR? În acest sens, trebuie să știți că RGPD este un regulament aprobat la nivelul Uniunii Europene și obiectivul său este de a asigura protecția informațiilor personale.
De acum înainte, toate companiile vor trebui să pună la dispoziție pe site-ul lor o politică de confidențialitate care să explice cum sunt tratarea datelor care au, fie clienți, asociați, angajați sau pur și simplu interesați să primească informații comerciale.
Noi principii incluse în RGPD
În actualul regulament privind protecția datelor în Europa, sunt avute în vedere noi scenarii pentru proprietarii unei afaceri digitale. Și printre care se numără următoarele aspecte pe care vi le expunem mai jos. În cazul în care este, de asemenea, necesar să luați în considerare faptul că Parlamentul European și Consiliul au aprobat definitiv Regulamentul general privind protecția datelor (RGPD), care, cu aspirația de unifică regimurile a tuturor statelor membre în această privință, a intrat în vigoare la 25 mai 2016, deși respectarea acestuia va fi obligatorie numai după doi ani de la acea dată.
Principiul responsabilității. Trebuie implementate mecanisme pentru a dovedi că au fost adoptate toate măsurile necesare pentru prelucrarea datelor cu caracter personal, conform cerințelor normei. Este o responsabilitate proactivă. Organizațiile trebuie să poată demonstra că îndeplinesc aceste cerințe, ceea ce va necesita elaborarea de politici, proceduri, controale etc.
Principiile de protecție a datelor în mod implicit și prin proiectare. Cu această ocazie, trebuie adoptate măsuri pentru a garanta conformitatea cu standardul din momentul în care este proiectată o companie, produs, serviciu sau activitate care implică prelucrarea datelor, de regulă și de la sursă.
Principiul transparenței. Notificările legale și politicile de confidențialitate ar trebui să fie mai simple și mai inteligibile, facilitând înțelegerea acestora, precum și mai complete. Este chiar prevăzut ca, pentru a informa despre prelucrarea datelor, să poată fi utilizate pictograme standardizate.
Noi obligații pentru companiile digitale
Uneori, va fi obligatoriu desemnarea unui responsabil cu protecția datelor (DPO), intern sau extern, pentru a sprijini organizațiile în procesul de conformitatea normativă. Cu toate acestea, complexitatea noului standard va face această cifră foarte recomandată în marea majoritate a organizațiilor.
În anumite cazuri, trebuie efectuate evaluări ale impactului asupra confidențialității, care vor determina în cele din urmă riscurile specifice implicate în prelucrarea anumitor date cu caracter personal și vor prevedea măsuri de atenuare sau eliminare a riscurilor menționate.
Companiile multinaționale vor avea ca interlocutor o singură autoritate națională de control: cea a sediului principal al entității. Este ceea ce se numește o singură fereastră.
Încălcările de securitate trebuie comunicate autorităților de control și, în cazuri grave, celor afectați, imediat ce sunt cunoscute, stabilind o perioadă maximă de 72 de ore.
Date sensibile: datele protejate special sunt extinse, incluzând acum date genetice și biometrice. Infracțiunile penale și condamnările sunt, de asemenea, incluse în această categorie, deși nu sunt administrative.
Selectarea unei persoane responsabile de tratament este mai dificilă, deoarece va fi necesar să alegeți una care să ofere garanții suficiente de conformitate cu reglementările.
Garanții suplimentare pentru așa-numitele transferuri internaționale de date: prin stabilirea unor garanții mai stricte și mecanisme de monitorizare în legătură cu transferurile internaționale de date în afara Uniunii Europene.
Sigiliile și certificările: se așteaptă crearea sigiliilor și certificărilor de conformitate care să permită acreditarea responsabilității de către organizații.
Dispare obligația de a înregistra fișierele, care este înlocuită de un control intern și, în unele cazuri, un inventar al operațiunilor de prelucrare a datelor care se efectuează, care poate fi văzut ca având un conținut similar cu cel din prezent în formularul în cauză .
sancțiuni: cuantumurile sancțiunilor pentru nerespectarea regulii cresc, ajungând la 20 de milioane de euro sau 4% din cifra de afaceri globală anuală (nu sunt excluse din amenzile către administrațiile publice, deși statele membre pot conveni să o facă).
Noi drepturi prevăzute de regulament
Transparență și informații. Organizațiile, atunci când prelucrează date cu caracter personal, trebuie să furnizeze mai multe informații și într-un mod mai inteligibil, complet și mai simplu, ceea ce va favoriza luarea deciziilor de către cetățean. În acest moment se acordă o atenție specială minorilor.
Consimţământ. Consimțământul pentru a putea prelucra datele cu caracter personal trebuie să fie neechivoc, gratuit și revocabil și trebuie dat printr-un act afirmativ clar. Consimțământul tacit nu este permis.
Dreptul de a fi uitat. Consimțământul dat pentru prelucrarea datelor cu caracter personal poate fi revocat în orice moment, putând solicita ștergerea și eliminarea datelor din rețelele sociale sau motoarele de căutare pe internet.
Dreptul la limitarea tratamentului în cauză. Acesta permite cetățeanului să solicite blocarea temporară a prelucrării datelor lor atunci când există controverse cu privire la legalitatea acesteia.
Portabilitatea datelor. Cetățeanului i se va permite să solicite transferul de date cu caracter personal de la un furnizor de servicii de internet la altul.
Reclamații. Reclamațiile pot fi depuse prin intermediul asociațiilor de utilizatori.
Despăgubiri și penalități pentru nerespectare. Se recunoaște posibilitatea de a solicita despăgubiri pentru daunele derivate din tratarea ilicită a datelor cu caracter personal.
Persoana responsabilă de fișier poate stabili o taxă pentru a răspunde la exercițiile dreptului de acces, ținând seama de costurile administrative pe care le implică acest lucru.
Considerații privind aplicarea corectă a acestuia
Fără a aduce atingere celor de mai sus, există încă multe aspecte care sunt încă în curs de dezvoltare și concretizare, care sunt stipulate în acest regulament. În acest sens, trebuie remarcat faptul că statele membre, autoritățile de control, Comitetul european pentru protecția datelor și Comisia trebuie să specifice o multitudine de elemente care apar în RGPD care sunt prea ambigue sau vagi.
În orice caz, dispozițiile conținute în regulamente se aplică direct în fiecare dintre statele membre, fără a fi necesară transpunerea și obligă companiile private și instituțiile publice să se confrunte cu un proces important de reajustare a reglementărilor.
Cu toate acestea, RGPD nu abrogă automat LOPD și regulamentele sale de punere în aplicare. Pur și simplu le deplasează în măsura în care sunt incompatibile cu aceasta. În acele domenii în care această incompatibilitate nu apare, ambele reglementări vor coexista, ceea ce prevede multe probleme practice și interpretative, a căror soluționare va necesita asistența unor profesioniști specializați care oferă garanții suficiente. Pe de altă parte, procesul de recalificare nu este ușor din punct de vedere tehnic, așa că va fi important ca companiile să aibă consultanță juridică specializată care să ofere garanții suficiente.
Obțineți un serviciu de protecție a datelor
O modalitate bună de a obține un serviciu de protecție a datelor este de a solicita oferte de la Asociația Companiilor de Protecție a Datelor (AEPD.org). În acest sens, AEPD.org are o schimbare oficială între companiile sale asociate. Funcționarea sa este simplă: trebuie să solicitați un buget de la AEPD.org și aceeași asociație îl distribuie între asociații săi, încercând să se asigure că clientul final primește sfaturi bune.
Dacă nu accesați AEPD.org, singura modalitate de a obține cotații este să accesați rând pe rând site-urile web ale companiilor de protecție a datelor. Această procedură este mai lentă, dar și eficientă. În următoarele săptămâni vom face și vom publica o listă a companiilor LOPD, pentru a ușura această operațiune. Pentru moment, poate cea mai bună opțiune este să mergeți la Asociația Companiilor de Protecție a Datelor.
Ultimele concluzii
Consimțământul trebuie dat printr-un act afirmativ clar care să reflecte o manifestare gratuită, specifică, informată și neechivocă a părții interesate de a accepta prelucrarea datelor cu caracter personal care îl privesc, cum ar fi o declarație scrisă, inclusiv prin mijloace electronice, sau o enunț verbal.
Aceasta ar putea include bifarea unei căsuțe de pe un site web pe internet, alegerea parametrilor tehnici pentru utilizarea serviciilor societății informaționale sau orice altă declarație sau conduită care indică în mod clar în acest context că partea interesată acceptă tratamentul propus pentru informațiile lor personale. Prin urmare, tăcerea, casetele bifate sau inacțiunea nu trebuie să constituie consimțământul.
Trebuie acordat acordul pentru toate activitățile de prelucrare desfășurate în același scop sau în aceleași scopuri. Atunci când tratamentul are mai multe scopuri, trebuie să se dea consimțământul pentru toate. În cazul în care consimțământul părții interesate trebuie dat ca urmare a unei cereri prin mijloace electronice, cererea trebuie să fie clară, concisă și să nu perturbe inutil utilizarea serviciului pentru care este furnizat.