Et resolem qualsevol dubte. Escriu-nos a info@fisdat.com o envian’s un whatsapp al +34 681.342.022

FISDAT ASSESSORS

ASSESSORIA LABORAL, FISCAL I COMPTABLE

Protecció de Dades i LOPDGDD

Protecció de Dades i LOPDGDD: Compliment i Obligacions

PinLinkedIn

La protecció de dades és un aspecte fonamental en l’àmbit digital i empresarial, especialment des de l’entrada en vigor de la Llei Orgànica de Protecció de Dades Personals i Garantia dels Drets Digitals (LOPDGDD, Llei Orgànica 3/2018), que complementa el Reglament General de Protecció de Dades (RGPD, Reglament UE 2016/679). Aquesta normativa garanteix els drets de les persones en relació amb la recopilació, emmagatzematge i tractament de les seves dades personals.

Qui està obligat a complir la LOPDGDD?

Totes les entitats que gestionen dades personals han de complir la normativa de protecció de dades. Això inclou:

  • Empreses i autònoms: Tant si operen en l’entorn digital com si no, han de garantir la seguretat de les dades dels seus clients, treballadors i proveïdors.
  • Associacions i entitats sense ànim de lucre: Si gestionen dades de socis o usuaris, estan obligades a respectar la normativa.
  • Comunitats de propietaris: Han de complir la LOPDGDD si gestionen dades de propietaris o residents per a comunicacions internes.
  • Administracions públiques: Han d’assegurar un tractament adequat de les dades que recullen dels ciutadans.
  • Empreses fora de la UE: Qualsevol empresa, encara que no estigui a la Unió Europea, ha de complir el RGPD si tracta dades de ciutadans europeus.

Obligacions principals segons la LOPDGDD

1. Obtenció del consentiment i bases legals per al tractament

Qualsevol entitat que reculli dades personals ha d’obtenir el consentiment lliure, específic, informat i inequívoc de la persona afectada, excepte en casos en què hi hagi una base legal alternativa, com ara:

  • L’execució d’un contracte.
  • El compliment d’una obligació legal.
  • L’interès legítim de l’empresa o entitat (sempre que no vulneri els drets dels afectats).
  • Protegir interessos vitals de la persona.
  • Complir una missió d’interès públic o l’exercici de poders públics.

En el cas de dades sensibles (salut, religioses, biomètriques, etc.), el consentiment ha de ser explícit i registrat amb mecanismes verificables.

2. Informar sobre el tractament de dades

L’interessat ha de ser informat sobre:

  • Qui recopila les seves dades.
  • Amb quina finalitat es tractaran.
  • Durant quant de temps es conservaran.
  • Quins drets té i com pot exercir-los.

3. Registre d’activitats de tractament (RAT)

Les empreses i entitats han de mantenir un registre intern de les activitats de tractament de dades, excepte si:

  • Tenen menys de 250 treballadors i el tractament de dades no suposa un risc per als drets i llibertats dels afectats.
  • No tracten dades sensibles o de risc.
  • El tractament de dades no és habitual.

Es recomana mantenir aquest registre per transparència i seguretat, encara que no sigui obligatori en tots els casos.

4. Mesures de seguretat

S’han d’implementar mesures de seguretat adequades per evitar l’accés no autoritzat, la pèrdua o la modificació de dades. Això inclou:

  • Ús de sistemes de xifrat.
  • Contrasenyes robustes i autenticació de doble factor.
  • Accés restringit només a personal autoritzat.
  • Pseudonimització i anonimització de dades quan sigui possible.

5. Designació d’un Delegat de Protecció de Dades (DPD)

Només és obligatori nomenar un Delegat de Protecció de Dades (DPO o DPD) en determinats casos, com ara:

  • Administracions públiques.
  • Empreses que realitzen monitorització sistemàtica de dades o tractaments a gran escala.
  • Empreses que gestionin categories especials de dades (salut, biomètriques, creences religioses, etc.).
  • Empreses que realitzen avaluació sistemàtica de persones (crèdit, asseguradores, perfils de consumidors, etc.).

Drets dels ciutadans

Les empreses i entitats han de facilitar als usuaris l’exercici dels seus drets de protecció de dades:

  • Dret d’accés: Conèixer quines dades es tenen sobre ell.
  • Dret de rectificació: Modificar dades incorrectes o incompletes.
  • Dret de supressió (dret a l’oblit): Sol·licitar l’eliminació de les dades quan ja no siguin necessàries.
  • Dret d’oposició: Evitar el tractament de les seves dades en determinades situacions.
  • Dret a la portabilitat: Rebre les seves dades en un format estructurat per transferir-les a un altre responsable.
  • Dret a la limitació del tractament: Restringir temporalment l’ús de les seves dades en determinats casos.
  • Dret a no ser objecte de decisions automatitzades, especialment si afecten aspectes legals o similars.

Contractes amb tercers

Quan una empresa subcontracta serveis que impliquen el tractament de dades (per exemple, serveis de correu electrònic o emmagatzematge al núbol), ha de signar contractes de protecció de dades amb aquests proveïdors. Aquests contractes han d’incloure clàusules sobre:

  • Seguretat i confidencialitat.
  • Obligacions específiques del proveïdor.
  • Terminis de conservació de les dades.

Notificació de bretxes de seguretat

En cas de filtració o pèrdua de dades personals, s’ha d’informar l’Agència Espanyola de Protecció de Dades (AEPD) en un termini de 72 hores si la bretxa suposa un risc per als drets i llibertats dels afectats.

Sancions per incompliment

L’incompliment de la LOPDGDD pot comportar sancions econòmiques severes, que es divideixen en tres nivells:

  • Infraccions lleus: Fins a 40.000 euros.
  • Infraccions greus: Fins a 300.000 euros.
  • Infraccions molt greus: Fins a 20 milions d’euros o el 4% de la facturació anual global de l’empresa (segons el RGPD).

Conclusió

La protecció de dades és una responsabilitat essencial per a qualsevol empresa o entitat que gestioni informació personal. Adoptar bones pràctiques millora la seguretat i la confiança dels usuaris.

Categoria: Etiqueta:
PinLinkedIn

Reader Interactions

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

two + four =