És noticia des de fa setmanes en diferents mitjans de comunicació. Després de la seva entrada en vigor al maig de 2016, a partir del 25 de maig de 2018 serà d’obligat compliment el nou reglament europeu en protecció de dades (RGPD).
El RGPD representa la nova normativa de protecció de dades, única per a tota la Unió Europea. Va entrar en vigor el 25 de maig de 2016, amb dos anys d’adaptació (per tant, a partir del 25 de maig de 2018 serà de compliment obligatori). Aquest nou reglament sorgeix per la necessitat d’adaptar-se a les noves realitats de telèfons intel·ligents, xarxes socials, operatives de banca per internet… Vol donar un major poder a les persones sobre les seves dades personals i un major control sobre les seves dades facilitades a tercers. Les seves principals novetats són:
- Compliment: serà d’obligat compliment per a qui tracti dades de caràcter personal a la UE; o per a qui no tingui seu a la UE però tracti dades per a bens o serveis dirigits a ciutadans de la UE (fins ara era possible gestionar dades i legislar-se per lleis d’altres països amb normatives més permissives).
- Tractament i conservació de les dades: caldrà informar sobre la procedència i tractament de les dades, així com del temps que les empreses les tindran en el seu poder. Aquesta informació ha de ser de fàcil comprensió, explicada en un llenguatge clar.
- Nova finestreta única: qui tracti dades en diversos estats de la UE, o des d’un sol estat treballi amb dades de ciutadans de varis estats, pot tenir una única Autoritat de Protecció de Dades.
- Responsabilitat activa: no es poden dur a terme les accions pertinents una vegada comesa la infracció, ja que els danys als interessats ja s’han produït. S’han de prendre precaucions prèvies, com ara el registre de tractament o l’assignació d’un Delegat de Protecció de Dades.
- Dret a l’oblit: una persona pot demanar que les seves dades siguin eliminades quan ja no es necessitin per a la finalitat per a la que foren cedides, quan es revoqui el seu consentiment, o quan hi hagi una obtenció il·legal de les dades.
- Dret a la portabilitat: la persona que hagi cedit les seves dades a un responsable que els estigui tractant de forma digitalitzada, podrà sol·licitar recuperar les seves dades en un format adequat per a la cessió a un altre responsable.
- En relació a la finalitat: les dades han de ser limitades, adequades, pertinents, actualitzades i exactes.
- En relació a l’interessat: les dades s’han de tractar de forma lleial, lícita i transparent.
- El temps de conservació NO és il·limitat: les dades no es poden guardar més temps del necessari per al tractament a realitzar.
- Nou consentiment: ha de ser lliure, informat, específic i inequívoc. El consentiment tàcit ja no es acceptat (les caselles marcades per endavant, el silenci o la no acció ja no constitueixen consentiment). Té que ser verificable i demostrable: qui reculli dades personals ha de poder provar el consentiment de l’afectat.
- Profiling: serà necessari demanar el consentiment dels usuaris i usuàries d’un equipament cultural per a la realització de perfils (quan s’analitzen les preferències dels clients o aspectes sociodemogràfics, i s’envien comunicacions comercials conforme les mateixes).
- DPO: nova figura per a determinades empreses, és qui ha de vetllar pel correcte compliment de la nova normativa. Les seves obligacions són informar al personal sobre la normativa i les obligacions del RGPD i supervisar que s’aplica correctament a l’empresa; ser la persona de contacte per als tractaments realitzats i ser responsable de l’avaluació i dels riscos.
Revisades les principals novetats, quines implicacions té el nou reglament per als teatres, auditoris i altres projectes culturals?
- Reviseu que tots els softwares i programes amb els que treballeu, i on emmagatzemeu dades personals, estan actualitzant les seves condicions legals i polítiques de privacitat per adaptar-se al nou reglament.
- Si disposeu de sistema de ticketing, poseu-vos en contacte amb els seus responsables i confirmeu com s’estan adaptant a la nova llei i quines novetats implicarà en el registre de dades.
- Definiu processos per oferir garanties als vostres clients al respecte de les seves dades personals. Com poden contactar amb vosaltres per a revisar de quines dades disposen? Si un client demana recuperar les seves dades o que siguin eliminades, com ho feu? La vostra base de dades està preparada per registrar a qui no accepta la realització de perfils o l’enviament de comunicacions comercials?
- Estudieu si cal que envieu un email a la vostra base de dades informant de les novetats en les vostres condicions legals o política de privacitat. Cal aprofitar per demanar algun consentiment explícit que no s’havia demanat fins al moment? Teniu un registre de la IP, dia i hora en que els vostres usuaris i usuàries han donat el seu consentiment?
- Reviseu que disposeu de tota la documentació necessària segons el tractament de dades que realitzeu: carpeta de seguretat, registres de tractament i conservació…
- Reviseu les polítiques de privacitat del vostre web, check box de consentiment per rebre les vostres comunicacions comercials, disclaimer a les campanyes d’email que envieu…
- Assessoreu-vos amb els vostres responsables legals i jurídics sobre si la figura del DPO és necessària a la vostra empresa.
Com ja hem explicat en d’altres articles, les dades són un gran aliat per als projectes culturals i com a tal, és molt recomanable comptar amb un assessorament expert per garantir que tot es fa correctament. Nosaltres, per exemple, treballem des de fa més de 3 anys amb Datax, una consultoria especialitzada en Protecció de Dades i Seguretat en la Informació, qui també assumirà el rol de DPO de Teknecultura amb l’entrada en vigor del nou reglament. I es que el tema protecció i privacitat de les dades és per a nosaltres de vital importància. Com a ciutadans i ciutadanes, hem d’estar segurs de que les dades que anem deixant no siguin mai utilitzades en contra nostra. Només així podrem confiar, i només així les dades ajudaran a les organitzacions a millorar.
