Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/03/2013
6 Novetats que portarà el Reglament Europeu de Protecció de Dades a l'empresa
Les mesures més rellevants i significatives que el nou reglament europeu obligarà a adoptar a les empreses i institucions dels 27 estats membres
La proposta de Reglament Europeu de Protecció de Dades, que van publicar al gener de 2012 el Parlament Europeu juntament amb el Consell, relativa a la protecció de les persones físiques, pel que fa al tractament de dades personals i a la lliure circulació de dades, tindrà repercussions no sols a nivell europeu sinó a nivell nacional, amb un grau d’impacte prou elevat en les nostres empreses.
A continuació, analitzem els principals canvis legislatius que, a l’entrada en vigor del reglament (la data límit per a aprovar-los és al maig de 2014), s'aplicaran directament i de manera prevalent sobre el nostre actual sistema de protecció de dades personals (Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal, i Reial Decret 1720/2007, de 21 de desembre, que aprova el reglament de desplegament de la llei).
1. Aplicació de nous principis: si fins al moment comptàvem amb principis bàsics com els de qualitat, informació, deure de secret i consentiment, per al tractament de dades personals, la norma europea afig nous principis com el de rendició de comptes o “accountability”, que al·ludix a la responsabilitat de les companyies en la implantació de mecanismes que garantisquen el compliment dels principis i obligacions en matèria de protecció de dades, així com als mètodes de validació que garantisquen la seua fiabilitat.
Esta responsabilitat serà igualment aplicable per a empreses tant xicotetes com grans, si bé és cert que resulta més senzill implantar polítiques i mètodes de control en multinacionals que operen a escala mundial, per mitjà de l’establiment de mecanismes interns i externs per a avaluar la seua fiabilitat i demostrar la seua efectivitat quan ho sol·liciten les autoritats de control. A més, els mitjans i recursos de què disposen permeten realitzar periòdicament programes de conscienciació en la matèria.
D’altra banda, apareix el principi de transparència, centrat a facilitar les relacions entre el responsable de les dades i l’interessat, així com entre el responsable de les dades i les autoritats de control.
Este principi es materialitza en quatre conceptes:
a) Eliminació de l’obligació de notificar i registrar els fitxers que contenen dades personals davant de l’autoritat de control (Agència Espanyola de Protecció de Dades, AEPD).
b) Conservació de la documentació de totes les operacions de tractament de dades efectuades sota la seua responsabilitat. La responsabilitat de conservar la documentació, a partir de l’entrada en vigor del nou reglament, recau tant en el responsable com en l’encarregat del tractament.
c) Establiment de mecanismes senzills per a l’exercici dels drets. Un exemple n'és la possibilitat d’exercir els drets per via electrònica (tant per a enviament com per a resposta), i l’obligació d’informar els sol·licitants de la possibilitat de presentar una reclamació davant de l’autoritat de control i de recórrer als tribunals. Així mateix, la comissió podrà establir formularis i procediments normalitzats per a les comunicacions a les persones interessades, inclòs el format electrònic, i adoptar mesures específiques per a les microempreses i les xicotetes i mitjanes empreses.
d) Cooperació amb autoritats de control. Amb el canvi normatiu, els responsables i encarregats del tractament no sols hauran de col·laborar amb l'autoritat de control nacional (en el nostre cas, l'AEPD), sinó que ara també entrarà en joc “retre comptes” davant de la comissió i el consell europeu de protecció de dades. Si bé açò dota de transparència les activitats que impliquen tractament de dades personals, també genera un estricte deure de compliment per als agents.
Llegiu la notícia completa en CRYPTEX.