Des de finals del 2018, a Espanya hi ha una nova llei de protecció de dades, es tracta de la Llei Orgànica 3/2018, del 5 de desembre, de Protecció de Dades i Garantia dels Drets Digitals. L’objectiu d’aquesta llei és adaptar la legislació espanyola a la normativa europea, definida pel Reglament General de Protecció de Dades (RGPD), vigent des del 25 de maig del 2018.
La nova llei és més pràctica. Segons aquesta, tothom que tracti dades ha de tenir obligatòriament una responsabilitat proactiva. Això significa que l’entitat és responsable des del primer minut de complir amb la protecció de dades. Per fer-ho, s’han d’adoptar una sèrie de mesures tècniques i organitzatives basades en dos grans pilars, la informació i el consentiment:
- El dret a la informació diu que tot usuari, tota persona que cedeix les seves dades, té dret a ser informat de qui les està recollint, perquè les recull, com les farà servir i qui les tractarà.
- La llei, per altra banda, també obliga a obtenir el consentiment de la persona per fer ús d’aquesta informació. Un usuari ha de dir sí de manera explícita i expressa que vol que una determinada persona/entitat tracti les seves dades.
Exemple: un butlletí setmanal. Si una entitat vol enviar una newsletter informant sobre les activitats que farà al llarg del mes, necessita que l’usuari li hagi dit explícitament que la vol rebre. En cas de no ser així, no se li pot enviar res perquè s’entén que l’associació li està fent una comunicació comercial.
El dret a la informació
Per complir amb el dret a la informació, una entitat li ha d’explicar a l’usuari qui és la persona que recull les seves dades i què farà amb aquesta informació. És important incloure en el formulari tots aquests elements:
- Informació de qui recull les dades (identificació)
- Amb quina finalitat
- Durant quant de temps
- Com i on es poden exercir els drets (accés, cancel·lació, portabilitat, etc.)
- Comunicar si se cediran les dades i a qui
Sempre que l’associació reculli dades d’una persona és obligatori que el formulari contingui totes aquestes clàusules. En cas de no ser així, l’entitat pot rebre una sanció. En el següent enllaç es pot descarregar un model d’inscripció.
El consentiment
A la vegada que informem l’usuari sobre què farem amb les seves dades, li demanem el seu consentiment de manera voluntària i inequívoca. Dit d’una altra manera, li demanem el seu permís per poder tractar les seves dades personals en cada un dels casos que especifiquem al formulari.
És important poder demostrar que hem obtingut aquest consentiment. Per fer-ho, sempre s’ha de demanar per escrit: en el paper ha de constar el nom i els cognoms de l’usuari, la seva firma i el dia i l’any en què ha donat aquest permís.
A continuació es pot veure un exemple d’autorització.
Cessió de les dades
De vegades, les federacions, els ajuntaments o altres organismes de l’Administració Pública demanen a les entitats que els cedeixin les dades dels seus socis. En aquests casos posarem a la clàusula informativa que les seves dades no seran cedides a tercers excepte “quan sigui indispensable per a la prestació del servei o a causa d’obligacions legals”.
En el cas que un banc, una empresa o alguna altra entitat privada demani el llistat de socis a canvi d’oferir un descompte o una altra compensació, l’associació no podrà cedir aquestes dades. Només podrà fer-ho si anteriorment ha demanat un consentiment explícit per a cada cas a cadascun dels seus membres.
El contacte (correu electrònic) de l’entitat
És important posar a les clàusules informatives el correu electrònic de l’entitat, perquè els usuaris puguin dirigir-se a algú a l’hora de demanar una rectificació o supressió de les seves dades, així com una limitació pel que fa als seus usos. En el document, a més, cal indicar quina és la web de l’associació i posar un enllaç a una pàgina on es pugui trobar una explicació sobre quina és la seva política de dades.
Els butlletins electrònics i els correus comercials
Per a poder enviar newsletters o correus comercials, amb informació sobre els actes que organitza l’entitat, cal demanar un altre consentiment als socis. En aquest cas, s’hauria d’incloure al formulari d’inscripció una clàusula explícita perquè cada usuari pogués indicar si vol o no rebre aquests correus electrònics.
Els contractes amb tercers
Els tercers són aquells que tracten les nostres dades en nom nostre, com una gestoria. En aquests casos és important fer un contracte de protecció de dades amb ells, per especificar la finalitat per a la qual se cedirà aquella informació.
L’entitat s’ha de protegir davant de situacions en les quals uns tercers puguin fer un ús indegut de les dades cedides. L’associació s’ha de treure aquesta responsabilitat de sobre a través d’un document signat, si no, en el cas que hi hagués algun problema, la culpa seria seva.
Renovació dels consentiments
A partir del 2018 en endavant, a causa del canvi de llei, totes les entitats han de renovar obligatòriament els consentiments dels seus socis per poder fer ús de les seves dades.
Font: Patrícia Julià de SeInProDat Assessors.
(Font de la foto: Pexels)