El Reglament General de Protecció de Dades i la Prevenció de Riscos Laborals
Com ja sabem, fa uns mesos que ha entrat en vigor el Reglament Europeu de Protecció de Dades (RGPD), encara que és obligatori des dels dos anys de la seva entrada en vigor, és a dir, el 25 de maig de 2018.
Les empreses i entitats han d’adoptar mesures que garanteixin de manera suficient que estiguin en condicions de complir amb les normes, drets i garanties que estableix el Reglament. El RGPD entén que actuar únicament quan ja ha tingut lloc la infracció no és suficient com a estratègia, degut a que aquesta infracció pot ocasionar danys als interessats que que poden ser molt complicats de compensar o reparar. Per aquesta raó, es converteix en imprescindible realitzar una bona prevenció i, totes les organitzacions que tracten dades han de fer una anàlisi de risc dels seus tractaments per poder establir quines mesures han d’aplicar i com fer-ho.
Quins passos cal seguir i on entra la prevenció?
1. Designar un delegat de Protecció de Dades. Més informació a sedeagdp.
2. Les organitzacions de més de 250 empleats han d’elaborar un Registre d’Activitats de Tractament.
3. Realitzar un Anàlisi de Riscos derivats del tractament de dades i establir mesures de control de seguretat com a prevenció.
Per determinar si és necessari realitzar una anàlisi de risc, les organitzacions poden utilitzar la nova eina Facilita RGPD, dissenyada per l’Agència Espanyola de Protecció de Dades. Aquest portal està destinat a aquelles organitzacions que realitzen tractaments de dades personals que, a priori, implicarien un escàs nivell de riscos com per exemple: tractaments de dades de contacte, o el tractament dels dades dels seus empleats amb l’objectiu del manteniment d’una relació laboral.
El responsable de realitzar una anàlisi de riscos és el delegat de Protecció de Dades en coordinació amb tots aquells que estiguin involucrats amb el tractament de dades. Aquesta anàlisi ha de tenir en compte múltiples aspectes:
¿Es guarden dades de caràcter personal?
- El nom.
- L’adreça i el número de telèfon.
- Els registres sanitaris.
- Els ingressos i la informació bancària, etc.
Aquestes dades poden estar en diversos documents:
- Aptos de vigilància de la Salut i expedients mèdics (en cas d’assumir la VS).
- Història clínica del treballador (en cas d’assumir la especialitat de Medicina en el Treball).
- Títols de formació.
- Investigació d’accidents.
- Avaluacions de riscos, treballadors sensibles, embarazades.
- Registres de lliurament d’EPIs.
- Documentació de Coordinació d’Activitat Empresarial de diferents empreses (títols de formació, aptes, i fins i tot TC!).
- Documentació de PRL de les ETT (contracte de posada a disposició, certificats d’aptitud, i de formació).
I, amb aquestes dades personals, què ens acostumem fer?
- Aquestes dades es comuniquen amb tercers?
- Es usa tecnologia invasiva per a la privacitat en el tractament?
- Es tracten dades considerades especialment protegides?
- ¿Les dades que s’han recollit es van a utilitzar de forma massiva per a accions de màrqueting?
Una vegada realitzada aquesta anàlisi, l’organització pot procedir amb els següents passos:
4. Revisar les mesures de seguretat. Per això, cal tenir coneixement de les següents novetats:
El gran canvi és que desapareix la tipificació actual de nivells de dades (baix, mitjà i alt) i les mesures de seguretat específiques a aplicar per a cada nivell. Els responsables i encarregats hauran d’establir les mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequada en funció dels riscs detectats en l’anàlisi prèvia, per això es tindran en compte mesures tècniques i organitzatives.
S’incorporen dos drets més als que ja tenim sobre les nostres dades personals (accés, rectificació, cancel·lació i oposició). S’afegeix el dret a l’oblit i el dret a la portabilitat.
Una altra important novetat és com es recull el nostre consentiment per a l’ús de les nostres dades personals. Abans era un consentiment tàcit, és a dir “si vostè no fa res entén que ens dóna el consentiment”. Amb el nou reglament no, ha de tenir un consentiment explícit i per escrit per a què vulguin utilitzar les nostres dades.
5. Posteriorment s’ha d’establir el Procediment de notificació de brechas de seguretat
6. Finalment cal realitzar una avaluació d’Impacte en Protecció de Dades
Finalment, cal tenir coneixement d’un altre gran canvi que ha fet el nou RGPD referent a les multes. Abans arribaven als sis cent milers d’euros, ara es pot arribar al 4% de la facturació anual de l’empresa infractora, amb un límit de vint milions d’euros.
Fonts d’informació:
Alex Rodríguez
Tècnic en Prevenció de Riscos Laborals i professor del Màster Oficial en Prevenció de Riscos Laborals