Durant el mes de Maig de l’any passat vam rebre un munt de correus i vam haver de preparar-ne per complir amb el nou Reglament Europeu de Protecció de Dades (RGPD). Com és evident aquest canvi va suposar un neguit per a les entitats socials per adaptar-se a aquest nou context degut a les dades sensibles amb les que treballem. Per això des de m4Social vam començar a treballar aquest àmbit amb l’objectiu d’acompanyar a les entitats en aquesta adaptació a les circumstàncise actuals. Per això, en col·laboració amb Barcelona Activa, vam iniciar un curs per formar DPO’s (Data Protection Officer) a les entitats de la Taula.

A partir d’aquí comencem una seria d’articles que vol resoldre dubtes i contribuir a la sensibilització del compliment de la Protecció de Dades per a les entitats del Tercer Sector així com generar debat entorn en quin punt ens trobem en aquest aspecte.

Context: Tot això passa des del maig de 2018?

No, cal tenir present que la normativa que va entrar en vigor al maig havia estat anunciada amb bastants mesos d'antel·lació. Malgrat tot, la capacitat que tenen la majoria d'organitzacions amb i sense ànims de lucre, d'assimilar aquests canvis és molt limitada. Per això es va produïr una situació d'estrés quan la data d'inici de les possibles sancions va arribar.

Però que vol dir Protecció de Dades?

L’àmbit de la Protecció de Dades té una relació directa amb el compliance, ja que es tracta dels mètodes que les organitzacions o entitats de manera proactiva han de seguir per conèixer i complir amb les seves obligacions i mitigar d’aquesta manera els riscos d’incompliment d’obligacions legals.

La Protecció de Dades parla sobre el dret fonamental de les persones, i busca protegir la seva intimitat i la seva privacitat davant de possibles incompliments que procedeixen de la recollida i emmagatzematge per part d’empreses o entitats. Derivat d’aquest dret fonamental el maig del 2018 va entrar en vigor el nou Reglament de Protecció de Dades (RGPD o GDPR), la nova normativa en matèria de protecció de dades. És la primera vegada que s’unifiquen criteris sobre el que es consideren dades personals i com protegir-se davant de possibles vulnerabilitats.

Hi ha moltes formes en què les entitats socials poden preparar-se per al compliment de GDPR. Per a començar, les organitzacions sense finalitats de lucre han de ser capaces d'explicar com i per què processen les dades personals. També han de poder explicar qualsevol informació que comparteixen amb tercers i identificar-los.

Que passa si la meva entitat no compleix la GDPR?

Cal tenir en compte que aquesta nova llei no només afecta a les grans empreses, si no que afecta a petites i mitjanes empreses i a totes les organitzacions del Tercer Sector que treballen amb dades sensibles. Per aquelles organitzacions que incompleixin aquesta llei, pot haver-hi sancions que poden arribar als 20 milions d'euros o el 4% de la facturació global anual.

Quines novetats més inclou la GRPD?

  • Segells i certificacions: es preveu que es creïn segells i certificacions que permetin acreditar el compliment per part de les organitzacions.

  • S'introdueix el concepte de finestreta única, que permetrà a qualsevol ciutadà presentar una reclamació davant l'autoritat de protecció de dades del seu lloc de residència, del seu lloc de treball o del lloc on s'hagués comès la presumpta infracció, independentment del domicili de l'organització denunciada.

  • Serà recomanable i en alguns casos obligatori designar un Delegat de Protecció de Dades (DPO), intern o extern, que assisteix-hi a les organitzacions en el procés del compliment normatiu.