Preparats per donar resposta al RGPD

Preparats per donar resposta al RGPD

 

El passat divendres 23 de febrer vam celebrar una interessantíssima jornada sobre el Reglament General de Protecció de Dades (RGPD) i com afecta les direccions de Recursos Humans de les organitzacions

 

Amb la data del 25 de maig en ment, moment en que entrarà en vigor el RGPD, Aedipe Catalunya va voler apropar als seus associats i professionals del sector els principals riscos per als departaments de recursos humans a l’hora d’adaptar-se als canvis en la normativa que suposarà el nou reglament europeu. L’interès suscitat per la convocatòria va fer que s’omplís l’auditori de la Torre Banc Sabadell per donar tota l’atenció a l’excel·lent exposició del ponent.

La jornada la va iniciar el president de l’Associació Catalana de Direcció de Recursos Humans – Aedipe Catalunya-, en Pere Ribes que va agrair especialment la presència de Xavier Ribas i el suport que donen a l’Associació els patrocinadors, sense els quals no seria possible realitzar jornades de tanta qualitat.

Xavier Ribas, soci fundador de Ribas y Asociados, va iniciar la seva ponència indicant els punts claus a tenir en compte de forma prioritària: els principals canvis del RGPD, el cicle de vida de la relació laboral, les principals dades que es tenen a RH, les principals finalitats de les dades, l’avaluació de l’impacte del tractament de les dades, l’acreditació del consentiment, els proveïdors encarregats del tractament de dades, les mesures de seguretat i la prova de compliment. Sobre aquests punts va estendre la seva exposició.

El RGPD presenta una sèrie de canvis respecte a la LOPD, com són el registre de les activitats de tractament, les avaluacions d’impacte, la desaparició del consentiment tàcit, l’ampliació de drets dels interessats o un major control, entre d’altres.

És important atendre a totes aquestes modificacions ja que les sancions per incompliment seran realment molt quantioses: de fins a 20 milions per infraccions molt greus (com el tractament il·lícit o la resposta inadequada a l’exercici dels drets…), o de fins a 10 milions per infraccions greus (com la inexistència de registre de tractaments o la no realització de l’avaluació d’impacte…).

Les empreses hauran de subministrar informació continuada als treballadors sobre la identitat i les dades de contacte dels responsables del tractament, de les finalitats del tractament a que es destinen les dades personals, la seva base jurídica, els interessos legítims del responsable, els destinataris de les dades personal, els terminis de conservació, els drets d’aplicació, etc.

Les dades tenen un cicle de vida relacionat amb la relació laboral, de manera que cal tenir present els diferents riscos de tractar dades segons el moment de la relació (abans, durant o després).

Caldrà tenir molt clars quines dades són necessàries, quines innecessàries i quines excessives, i en quins casos es poden tractar sense consentiment, amb consentiment o són intractables (excepte justificació i consentiment exprés).

Les empreses hauran d’avaluar mitjançant eines PIA (Privacy Impact Assessment), i de forma anticipada, les vicissituds a les que es veuran sotmeses les dades personals en funció dels tractaments previstos, així com les mesures de control i de seguiment.

Les organitzacions hauran de tenir identificat l’interès legítim per l’enregistrament de les dades i els tractaments declarats lícits per llei. El protocol d’actuació passarà per la identificació d’aquest interès legítim, l’avaluació de la necessitat i l’avaluació de l’equilibri (riscos, tipus d’impacte, equilibri amb drets i llibertats, necessitat de garanties especial…)

Respecte als proveïdors, cal estar ben segur que el proveïdor que s’encarregui del tractament de les nostres dades ofereixi garanties suficients per aplicar mesures tècniques i organitzatives apropiades, de manera que el tractament sigui conforme amb els requisits del nou Reglament i garanteixi la protecció de drets de l’interessat.

L’encarregat del tractament i qualsevol persona que actuï sota l’autoritat del responsable o de l’encarregat i tingui accés a dades personals només podrà tractar aquestes dades seguint instruccions del responsable.

Altres aspectes sobre els que va posar l’atenció són els riscos en la divulgació d’informació, la ciberdelinqüència i els sistemes de destrucció.

Tot i la importància i complexitat del tema, Xavier Ribas va saber fer una exposició àgil i molt aclaridora, que va arrodonir atenent personalment a tots aquells assistents que van voler plantejar-li els seus dubtes.

Per acabar la jornada es va habilitar un espai de networking tot gaudint d’un cafè i un refrigeri.

 

Compartir a:
FacebookTwitterLinkedInGoogle GmailOutlook.comGoogle+MeneamePrintFriendly

Deixar comentari

*

Empresas Asociadas Aedipe Catalunya
Banner Nos hacemos de Aedipe Catalunya
Informació Aedipe Catalunya