PROTECCIÓ DE DADES: QUÈ, QUI I COM?
Què és la protecció de dades i per a què serveix?
És el conjunt de normatives que regulen com s’han de tractar les dades personals per garantir la privacitat de les persones. Serveix per evitar-ne un ús indegut o no autoritzat.
Quines dades personals estan protegides per llei?
Qualsevol informació que permeti identificar directament o indirectament una persona. Per exemple: nom, DNI, correu electrònic, telèfon, adreça, imatge, IP, veu, dades bancàries, dades de salut, orientació sexual, etc.
Qui està obligat a complir amb la llei de protecció de dades?
Qualsevol empresa, autònom, professional o entitat que recopili, gestioni o tracti dades personals de persones físiques, inclosos clients, treballadors o usuaris web. També les associacions, fundacions, administradors de finques i comunitats de propietaris.
Quan és obligatòria la llei de protecció de dades?
Si ets un subjecte obligat i estàs ubicat a la UE, o fora però tractes dades de ciutadans europeus amb relació a serveis, ofertes o control de comportament, has de complir amb el RGPD i la LOPDGDD des del moment en què reculls qualsevol dada personal.
Qui està obligat a protegir les dades personals?
El responsable del tractament (qui decideix com i per a què s’utilitzen les dades) i l’encarregat del tractament (qui les gestiona per compte del responsable), segons la normativa.
Quins drets són obligatoris per complir amb la protecció de dades?
Dret d’informació, accés, rectificació, supressió, oposició, limitació del tractament, portabilitat i a no ser objecte de decisions automatitzades.
Què estableix la llei de protecció de dades?
Estableix com s’han de recollir, tractar, emmagatzemar i eliminar les dades personals, garantint transparència, seguretat, confidencialitat i respecte pels drets de l’usuari.
Quan es vulnera la llei de protecció de dades?
Quan no es compleixen les obligacions legals, no s’informa adequadament, no s’obté consentiment, es comparteixen dades sense autorització o no s’apliquen mesures de seguretat suficients.
Qui necessita una política de protecció de dades?
Tota organització que tracti dades personals. Aquesta política ha d’explicar com es recullen, tracten i protegeixen les dades.
Quines sancions hi ha per incompliment?
Des d’advertiments fins a multes que poden anar des dels 300 € fins als 20 milions d’euros o el 4% de la facturació anual, segons la gravetat.
NORMATIVA DIGITAL: RGPD, LOPDGDD I LSSICE
Què és el Reglament General de Protecció de Dades (RGPD) i a qui afecta?
El RGPD, vigent des del 25 de maig del 2018, regula el tractament de dades personals de residents a la UE i afecta empreses dins i fora de la UE que ofereixen serveis a ciutadans europeus.
Quan és obligatori complir amb el RGPD i la LOPDGDD?
Sempre que una persona física o jurídica (autònom, empresa, entitat, associació, comunitat…) tracti dades personals de tercers en la seva activitat.
Qui està obligat a complir amb el RGPD?
Totes les organitzacions públiques o privades que tractin dades dins la UE o ofereixin serveis a ciutadans europeus.
És obligatori complir encara que sigui una petita empresa o un autònom?
Sí. El RGPD no distingeix segons la mida. Només cal tractar dades personals per estar obligat a complir-lo.
Quins són els principis bàsics del RGPD?
Legalitat, transparència, minimització, exactitud, seguretat i responsabilitat proactiva.
Necessito consentiment per recollir les dades dels meus clients?
Sí, i ha de ser clar, informat i documentat. Tot i així, hi ha altres bases legals com l’obligació legal, el contracte o l’interès legítim.
Què passa si hi ha una filtració de dades a la meva empresa?
S’ha de notificar a l’AEPD en un màxim de 72 hores si hi ha risc per als drets i llibertats dels afectats. Si el risc és alt, també als propis afectats.
Quina diferència hi ha entre responsable i encarregat del tractament?
El responsable decideix què es recull i com. L’encarregat només tracta les dades per encàrrec. Cal un contracte entre ambdós.
Què és un contracte d’encarregat de tractament?
És obligatori quan un tercer (assessoria, agència de màrqueting, informàtic…) accedeix a dades que tu gestiones.
Puc compartir fotos o vídeos d’empleats o clients?
Sí, però només amb el seu consentiment informat.
Es poden enviar dades a països fora de la Unió Europea?
Sí, però calen garanties adequades segons el RGPD (decisió d’adequació, clàusules tipus, normes corporatives vinculants…).
És obligatori tenir un registre intern d’activitats de tractament?
Sí, excepte empreses amb menys de 250 empleats que no tractin dades sensibles ni de forma habitual ni amb risc elevat.
La LSSICE m’afecta si tinc una web?
Sí. Si ofereixes serveis o productes online, has de complir aquesta llei: cookies, informació legal, comunicacions comercials…
Quina normativa ha de complir el meu web o ecommerce?
El RGPD, la LOPDGDD i la LSSICE, més la normativa sectorial de consumidors i usuaris.
Qui necessita uns avisos legals al seu web?
Tothom amb pàgina web, subdomini, blog, landing page o ecommerce. Ha de tenir avís legal, política de privacitat, cookies i condicions generals si és ecommerce.
Les comunitats de propietaris han de complir el RGPD?
Sí, ja que gestionen dades personals (llistes de veïns, càmeres, personal, morosos…).
Puc enviar correus electrònics o WhatsApps amb promocions sense consentiment?
No. Cal consentiment previ, excepte si ja és client i és una promoció de productes o serveis similars. Sempre cal oferir opció d’oposar-s’hi.
PROPIETAT INTEL·LECTUAL I INDUSTRIAL
Quina diferència hi ha entre nom comercial i marca?
El nom comercial identifica una empresa. La marca protegeix productes o serveis. Cal registrar-les per protegir-les legalment.
Què protegeix la propietat intel·lectual?
Textos, imatges, vídeos, dissenys, formacions, logos, obres digitals o qualsevol creació original.
Per què registrar una marca?
Perquè només si està registrada tens drets exclusius sobre el seu ús. Així pots evitar que una altra empresa utilitzi un nom similar, o que altres facin servir el teu nom, logotip o identitat de marca, i et podràs defensar legalment en cas de conflicte.
Si tinc un web o una app, l’he de protegir també?
Sí. És important protegir el disseny, els textos, les imatges, l’estructura i el desenvolupament.
Puc protegir un programari que he desenvolupat?
Sí, el programari es pot protegir com a obra de propietat intel·lectual des del moment en què el crees.
Es pot protegir el codi font?
Sí, forma part del software i també està protegit per propietat intel·lectual.
Puc protegir una idea d’app encara que no l’hagi desenvolupat?
No. Les idees no es poden protegir, només el desenvolupament o documentació que les materialitza.
Necessito un contracte de cessió de drets si desenvolupo una app per a un tercer?
Sí, per deixar clar a qui pertanyen els drets d’ús, explotació o modificació.
Puc registrar les meves formacions online com a propietat intel·lectual?
Sí. Pots registrar vídeos, presentacions, textos o qualsevol contingut formatiu original.
He de registrar cada versió actualitzada de les meves presentacions o formacions?
No és obligatori, però sí recomanable si has fet canvis importants.
DELEGAT DE PROTECCIÓ DE DADES (DPD)
Què és un Delegat de Protecció de Dades (DPD)?
És la figura encarregada de garantir el compliment de la normativa. Pot ser obligatori o voluntari.
Quan és obligatori nomenar un Delegat de Protecció de Dades?
Quan ho estableix l’article 37 del RGPD i el 34 de la LOPDGDD. Exemples: col·legis professionals, centres sanitaris, docents, entitats públiques, empreses amb tractaments a gran escala, asseguradores, operadors de joc, etc.
Quines funcions té el DPD?
Assessora, supervisa el compliment, coopera amb l’AEPD i és el punt de contacte amb els usuaris.
Puc externalitzar el servei de DPD?
Sí, moltes pimes opten per contractar un DPD extern amb experiència legal i tècnica. Pots comptar amb un DPD extern, acreditat i especialitzat, que supervisi el compliment de la normativa a la teva entitat. A PymeLegal tenim diverses advocades certificades com a DPD que poden ser les teves DPD externes.
I si no el tinc i hauria de tenir-lo?
Podries rebre una sanció si l’AEPD considera que estàs obligat a tenir-lo i no l’has designat ni notificat.
Si tinc un canal de denúncies, estic obligat a tenir un Delegat de Protecció de Dades (DPD)?
Sí, si tens més de 50 treballadors. Ho estableix la Llei 2/2023 de protecció dels denunciants.