La protecció de les dades de les persones físiques és un dret fonamental, reconegut com a tal tant a la Carta de Drets Fonamentals de la Unió Europea com al Tractat de Funcionament de la Unió Europea. Per això, i malgrat que a la normativa espanyola ja teniem una Llei Orgànica i un Reglament de Protecció de Dades, la Comunitat Europea ha legislat sobre el tema per garantir que tots els Estats Membres de la Unió garanteixen el tractament correcte de les dades de les persones.
De fet, el Reglament Europeu de Protecció de Dades (RGPD o GDPR, per les seves sigles en Anglès) va ser aprovat l'any 2016, però la seva entrada en vigor es va retardar fins l'any 2018, a fi de garantir que les empreses tenien temps d'adaptació suficient.
Perquè el canvi que implica el RGPD és substancial: es passa d'una regulació més formalista, pròpia de la nostra cultura legislativa, a una normativa més conceptual: el RGPD no es pot reconduir al compliment d'unes obligacions formals o a la signatura d'uns formularis, sinó que parteix de tres conceptes força innovadors.
El principal concepte és l'establiment d'una responsabilitat proactiva del titular de les dades ("accountability"), atès que la protecció de les dades ha de formar part de la planificació de l'activitat de l'organització. El titular de les dades ha de tenir una actitud conscient, diligent i proactiva respecte dels tractaments de les dades que efectúa i ha de triar les mesures adequades per demostrar que els tractaments són conformes als requeriments del RGPD.
Aquesta responsabilitat proactiva es basa en dos elements clau. D'una banda, en la protecció de dades des del disseny ("Privacy by design"), atès que les entitats han d'adoptar les mesures tècniques i organitzatives adequades, tant en el moment de determinar els mitjans de tractament com durant el tractament, per tal de complir amb el RGPD i protegir els drets dels interessats. D'altra banda, en la protecció de dades per defecte ("Privacy by default"), que serveix per garantir que, per defecte, només es tractaran les dades personals necessàries per a cada finalitat específica del tractament.
La nova regulació presenta nombroses diferències respecte de l'actualment vigent. Per exemple, d'ara endavant es suprimeix l'obligació d'inscriure els fitxers en el Registre de l'Agència de Protecció de Dades. Però ambdues normatives també tenen punts de coincidència. Serveixi com a exemple el fet que es ratifica el criteri que no és necessari disposar del consentiment del titular de les dades, quan és aquest mateix titular qui ha facilitat les seves dades, i el seu tractament és necessari per a l'execució d'un contracte en el qual l'interessat és part o destinatari dels serveis.
Respecte del consentiment cal destacar, però, que el denominat consentiment tàcit és difícilment compatible amb la nova normativa. Fins ara, s'admetia el consentiment tàcit com a mecanisme vàlid per legitimar el tractament, quan aquest consentiment era necessari. Amb el nou model, quan el tractament es basi en el consentiment de l'interessat, el responsable haurà de ser capaç de demostrar aquest consentiment. Què vol dir això? Que el consentiment ha de ser prestat mitjançant una clara acció afirmativa d'acceptació d'un tractament concret. Cal, per tant, una declaració que no podrà ser verbal, atès que serà necessari que consti en qualsevol suport que ens permeti acreditar-lo.
Hi ha altres novetats, com l'obligació de designar un delegat de protecció de dades en alguns casos, o l'obligació de comunicar la violació de la seguretat de les dades, o l'obligació de realitzar una avaluació d'impacte relativa a la protecció de dades en cas que hi hagi un tractament que impliqui risc en la seguretat de les dades. Totes elles van orientades a que les entitats i empreses tinguin les mesures necessàries per garantir la seguretat de les dades.
Nosaltres entenem la protecció de les dades com una forma més de respecte als clients. Si el principal actiu de l'empresa són els seus clients, no hi ha cap dubte que les seves dades també són un actiu i un element a protegir.
Si l'empresa té una orientació a client, segurament ja proveïrà als clients d'una atenció adequada, probablement disposarà d'un entorn en que els clients es trobin còmodes i, en definitiva, optimitzarà l'atenció al client en tots els aspectes. Doncs el fet de tractar adequadament les dades del client és una forma més d'atendre adequadament el client. Perquè les dades personals dels clients formen part de la seva espera patrimonial i, per tant, gestionar adequadament les seves dades és una forma més de vetllar pels seus interessos i d'actuar amb orientació a client.
És des d'aquesta perspectiva que la responsabilitat proactiva o accountability adquireix tot el seu sentit. Perquè gestionar adequadament les dades dels nostres clients és una forma més de protegir-los.
Àrea client
TORNAR AL LLISTAT
