Tot i haver entrat en vigor fa gairebé dos anys, el Reglament General de Protecció de Dades (RGPD) de la Unió Europea ha passat a ser d’obligat compliment des del darrer 25 de maig. Val a dir que des del conegut com “Efecte 2000” no ens enfrontàvem a una fita en tecnologies de la informació i tractament de dades que generés tanta revolada i desconcert, i és que ara no hi ha cap excepció: si la seva empresa recapta i/o tracta dades personals (és a dir, de persones físiques), aleshores s’està obligat a complir amb l’RGPD.
L’objectiu del nou reglament és la salvaguarda de les dades de caràcter personal dels interessats i la preservació de la intimitat de les persones. En essència, es tracta de simplificar les regles i de crear un regulador comú a nivell europeu.
En concret, amb la iniciativa es pretén: ampliar l’àmbit d’aplicació a les empreses no establertes a la Unió Europea que realitzin tractaments derivats d’una oferta de béns o serveis destinats a ciutadans que es trobin en la UE; regular el tractament de dades, que haurà de basar-se en el consentiment “inequívoc” de l’interessat mitjançant una clara acció afirmativa sense que s’admeti el consentiment tàcit o per omissió (en casos específics, com per exemple en el tractament de dades sensibles, el consentiment haurà de ser explícit); regular dos nous drets: el dret a l’oblit (dret de cancel·lació o oposició en l’entorn online) i el dret a la portabilitat (proporcionar la còpia de les dades en un format estructurat que permeti el seu trasllat a un altre responsable); fixar les condicions concretes sobre el procediment a seguir per atendre els interessats en l’exercici dels seus drets, atorgant especial importància a la transparència cap a l’interessat: la informació als interessats haurà de proporcionar-se de forma concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, i establir algunes novetats respecte als encàrrecs de tractament, un catàleg de mesures de responsabilitat activa, així com la introducció de la nova figura del delegat de protecció de dades.
Finalment, i això és molt rellevant, l’RGPD preveu sancions vinculades al seu incompliment. Aquestes poden assolir fins als vint milions d’euros o fins a un 4% del volum de negoci de l’infractor. Aquests dies en què l’aplicació de l’RGPD ha esdevingut obligatòria estan sent intensos, però el món no s’acaba, no s’amoïnin. Hi ha temps per abordar les qüestions més peremptòries i importants, i sobretot per adaptar els protocols interns al tractament de dades. Un procés de canvi tan profund com aquest no pot afrontar-se de la nit al dia; més quan el mateix Consell de la UE va publicar a un mes del començament de l’obligatorietat una correcció a l’esmentat reglament que no només inclou canvis menors, sinó també modificacions que afecten la interpretació i significat d’algunes de les principals disposicions contingudes.
* L’autora és directora del Departament d’IP & IT de Bellavista
