Pot ser que ja tinguis la teva política de privacitat al web, i això és fantàstic. Però si creus que amb això ja compleixis amb el RGPD… ho sento: només estàs rascat la superfície.
Article escrit per
Abigail Sked
Assessora legal mercantil
Abigail Sked és assessora legal a Conesa Legal, especialitzada en dret mercantil i protecció de dades. Acompanya empreses en la redacció i negociació de contractes i en el compliment normatiu.
El Reglament General de Protecció de Dades (RGPD) no és una casella que marques i oblides. Regula una cultura, una manera de treballar amb les dades personals que exigeix implicació, coherència i, sobretot, responsabilitat. I sí, també pot comportar sancions força severes si s'ignora.
Si ets empresa o autònom a Espanya, i també tractes dades personals (spoiler: segur que sí), aquest article és per a tu. T'explicarem per què el compliment del RGPD és molt més que una formalitat i quins punts hauries de revisar.
Complir amb el RGPD: Molt més que la política de privacitat
Abigail Sked, Especialista en protecció de dades (Subtítols disponibles en castellà i anglès)
1. No es tracta només del "què", sinó del "com"
La teva política de privacitat és l'expressió externa i pública de com tractes les dades personals, la qual cosa significa que:
-
La política de privacitat no ha de (i no hauria de, per raons de seguretat) detallar minuciosament totes les mesures que prens per protegir les dades personals, i
-
Si no poses en pràctica la política de privacitat, perd tot el seu sentit.
Pel que fa als protocols interns, has de plantejar-te certes preguntes, com ara: Com gestiones les dades internament? Com les reculls? Qui hi té accés? Durant quant de temps les guardes?
El RGPD exigeix una traçabilitat real de tot el cicle de vida de la dada: des que entra a la teva empresa fins que s'elimina o s'anonimitza. Això inclou:
- Consentiments clars i verificables.
- Registre d'activitats de tractament.
- Avaluacions d'impacte si tractes dades sensibles.
- Procediments per atendre els drets dels usuaris (accés, rectificació, supressió…).
Si no tens tot això ben lligat, el teu compliment és incomplet, i els riscos són reals.
Es pot utilitzar la biometria per fitxar a l'empresa?
2. Has revisat els teus contractes amb proveïdors?
Un altre gran oblidat: la relació amb tercers. Si treballes amb proveïdors que tracten dades per compte teu (per exemple, un gestor, una empresa de mailing o un proveïdor de programari al núvol), necessites tenir signats contractes d'encàrrec del tractament.
I no val qualsevol plantilla que hagis trobat a Google. Aquests contractes han de reflectir responsabilitats concretes i garantir que el proveïdor també compleix amb el RGPD.
3. El teu equip també forma part del compliment
Tot i que no és obligatori fer un curs específic, formar el teu equip en protecció de dades és gairebé imprescindible si vols complir amb el RGPD de debò.
El Reglament exigeix "responsabilitat proactiva" a qui tracta dades personals, i la formació és una eina clau per reforçar la seguretat en els processos interns.
Si el teu equip no entén els riscos associats al tractament de dades, és més probable que cometi errors que derivin en bretxes de seguretat. Amb unes nocions bàsiques, sabran com actuar, què han de protegir i com fer-ho. Així, el compliment deixa de ser una tasca exclusiva del responsable de protecció de dades (tu) i es converteix en una pràctica compartida i constant dins de la empresa.
4. I si hi ha una bretxa? Saps què has de fer?
La pèrdua o l'accés no autoritzat a dades personals pot suposar un risc greu per a les persones afectades. Quan sigui probable que la bretxa comporti un risc per als drets i les llibertats de les persones físiques, has de notificar-ho a l'Agència Espanyola de Protecció de Dades (Agència Espanyola de Protecció de Dades (AEPD)) en un termini màxim de 72 hores.
Però atenció: totes les bretxes han de documentar-se, fins i tot si no requereixen notificació. Això és essencial per poder demostrar responsabilitat i diligència en cas d'una inspecció o reclamació.
A més, és clau tenir un protocol clar d'actuació: detecció, contenció, anàlisi i comunicació. Aquest tipus d'incidents no només perjudiquen la teva reputació; també poden comportar multes importants.
Lliçons de 23andMe: Com protegir la teva empresa de vulneracions de dades personals
5. La privadesa des del disseny (i per defecte)
Un altre concepte clau del RGPD que sovint es passa per alt. Cada nou projecte, producte o eina que utilitzis a la teva empresa hauria de tenir la protecció de dades en el seu ADN.
Això significa configurar les teves eines per minimitzar la recollida de dades, limitar l'accés i aplicar mesures de seguretat des de l'inici. I, molt important: has d'assegurar-te que els interessats quedin adequadament informats de com i per què es tractaran les seves dades. La transparència no és només una recomanació, és una obligació legal.
I ara, què?
Si després de llegir tot això t'adones que el teu intent de complir amb el RGPD es limita a la teva política de privadesa, com abans prenguis mesures, millor.
A CONESA LEGAL, t'ajudem a fer una revisió global de la protecció de dades a la teva empresa. Anem més enllà del paper: analitzem la teva realitat, els teus processos i els teus riscos. I ho fem de manera clara, pràctica i adaptada al teu negoci. Et parlem en el teu idioma, sense tecnicismes innecessaris.
A més, som a Barcelona, però treballem amb empreses de tot Espanya.
Vols complir de debò amb el RGPD i deixar de preocupar-te per sancions i sorpreses desagradables? Escriu-nos. Som aquí per ajudar-te.
Protecció de Dades: Serveis de Compliment Normatiu per a Empreses a Espanya
