Els arquitectes i la protecció de dades personals
Últimament estem sentint parlar de la necessitat que els professionals i empreses s’adaptin al Reglament General de Protecció de Dades, norma europea que serà d’aplicació obligatòria a partir del proper 25 de maig. Amb ell –i amb la nova Llei de protecció de dades que s’està tramitant al Congrés dels Diputats– canviaran algunes coses respecte a l’actual legislació: reduirà algunes càrregues i imposarà algunes altres: ja no haurem de registrar els nostres fitxers a l’Agència de Protecció de Dades o fer un document de seguretat, però haurem de ser molt més curosos i portar un registre dels tractaments i protecció de  les dades personals que ens faciliten clients, proveïdors, empleats, etc, portar  i alhora, respecte a les nostres dades personals, tindrem dret a més informació sobre què es fa amb elles. Mentre arriba aquest moment, pot ser útil refrescar algunes nocions bàsiques de protecció de dades:

- Les empreses i els professionals individuals han de complir amb les obligacions que imposa la legislació sobre protecció de dades (LOPD i normes de desenvolupament), ja que en la seva activitat recullen, tracten i cedeixen dades personals. La llei entén com a dada personal qualsevol informació, ja sigui numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altra mena que es pugui recollir, registrar, tractar o transmetre i que es refereixi a qualsevol persona física (les societats no hi estan incloses, però els seus empleats o responsables sí poden estar-ho), ja estigui aquesta persona identificada o pugui ser identificable a través de la dada (per exemple: un nom, un telèfon, una adreça o un missatge de correu electrònic, una adreça física o postal, una fotografia, un vídeo, un audio, una matrícula de cotxe).

- El professional o empresa que recull, rep o empra aquestes dades és responsable de fer la recollida, tractament, conservació i cessió de les mateixes en la forma prevista legalment, i ha d’obtenir el consentiment informat del titular de les dades per fer aquestes operacions, excepte en uns quants casos contemplats a  la LOPD que el deslliuren del consentiment i que bàsicament son els casos en què les dades s’hagin de comunicar a una administració pública o a un organisme judicial que els demana en exercici de les seves funcions (p. ex. Hisenda us demana informació d’un client), i els casos en que la recollida, tractament o cessió obeeixen a un interès legítim, perquè son necessaris per complir amb un contracte amb el titular de les dades; per exemple, les dades bancàries del vostre empleat per pagar-li la nòmina, o les dades del client que us ha encarregat que tramiteu les llicències en el seu nom o que demaneu pressupostos a industrials, o bé quan passeu les dades del client a l’advocat per què faci la reclamació d’honoraris).

- No es poden recollir més dades que les estrictament necessàries per a la finalitat de què es tracti (per exemple, en un contracte per un habitatge unifamiliar d’ús propi no ens interessa la professió del client, però sí ens interessarà en un contracte en què contractem una col·laboració com a professionals).

- Pot succeir que hàgim de cedir a un tercer dades personals que tenim perquè ens faci un determinat treball (per exemple fer un enviament, o quan tenim contractada una gestoria per portar-nos  nòmines i/o fiscalitat); llavors, amb les persones a les quals cedim aquests dades haurem de subscriure un “contracte d’encarregat del tractament de dades” amb els continguts especificats a la LOPD per assegurar que els drets dels titulars de les dades no s’hi veuen afectats.

- L’empresari o  professional, en decidir sobre la finalitat, ús i contingut del tractament de les dades que reuneix, té el caràcter legal de responsable del tractament o responsable del fitxer o fitxers de dades, i està obligat a conservar degudament protegides les dades personals de què disposa en l’exercici de la seva activitat, tant les dades en suport informàtic com en suport paper.

- Les persones de les quals el professional conserva dades personals tenen dret a saber-ho i a exercitar respecte a les esmentades dades tot un seguit de drets. Per això, quan recollim dades seves, els hem de fer sabedors per escrit en el propi formulari o document en què recollim o a on hi apareixen les seves dades, indicant-hi a quina adreça (física o electrònica) poden dirigir-se per exercitar-los.

Fins que el 25 de maig de 2018 no sigui d’aplicació directa el Reglament General de Protecció de Dades Personals (RGPD), d’àmbit europeu, i s’aprova la nova llei que s’està tramitant al Congrés, les obligacions dels professionals i empreses –tant grans com petits– han de seguir complint la LOPD.

Com hem dit a l’inici, per a les persones que gestionen poques dades i molt bàsiques, tot serà més fàcil de complir amb la nova regulació. Al web de l’Agència Espanyola de Protecció de Dades ja està disponible una eina molt senzilla anomenada FACILITA RGPD que us permetrà, de forma gratuïta, segura i sense riscos, obtenir tant clàusules informatives i contractuals com l’estructura del registre d’activitats de tractament de dades i la relació de mesures de seguretat bàsiques que haurà d’adoptar. Podeu veure un exemple al pdf adjunt, pensat per a un professional sense empleats, que tracta dades únicament de clients, potencials clients, proveïdors i cedeix dades únicament a la gestoria que li porta la fiscalitat.

Per la seva part, L’Autoritat Catalana de Protecció de Dades ha elaborat una guia i un checklist per fer l’adaptació al Reglament que us animem a emprar.
Versió per a imprimirPDF version