Tout d'abord, vous devez connaître la signification de ces acronymes, RGPD, car ils seront très importants pour le développement de votre business model numérique. Eh bien, cela équivaut à ce qui est en fait le règlement général sur la protection des données (RGPD) et qui est entré en vigueur très récemment. Et si vous avez un commerce ou boutique en ligne Vous devrez vous conformer à la législation afin de ne plus avoir d’autres surprises négatives à partir de maintenant.
Dois-je faire quelque chose pour adapter mon magasin ou mon entreprise au RGPD? En ce sens, il faut savoir que le RGPD est un règlement approuvé au niveau de l'Union européenne et son objectif est d'assurer la protection des informations personnelles.
Désormais, toutes les entreprises devront mettre à disposition sur leur site Web une politique de confidentialité expliquant comment elles sont traiter les données qui ont, soit des clients, des associés, des employés ou simplement intéressés à recevoir des informations commerciales.
Nouveaux principes inclus dans le RGPD
Dans la réglementation actuelle sur la protection des données en Europe, de nouveaux scénarios sont envisagés pour les propriétaires d'une entreprise numérique. Et parmi lesquels se trouvent les aspects suivants que nous vous exposons ci-dessous. Là où il est également nécessaire que vous teniez compte du fait que le Parlement européen et le Conseil ont finalement approuvé le règlement général sur la protection des données (RGPD), qui, avec l'aspiration de unifier les régimes de tous les États membres en la matière, est entrée en vigueur le 25 mai 2016, bien que sa mise en conformité ne soit obligatoire qu'après deux ans à compter de cette date.
Principe de responsabilité. Des mécanismes devront être mis en place pour prouver que toutes les mesures nécessaires ont été adoptées pour traiter les données personnelles comme l'exige la norme. C'est une responsabilité proactive. Les organisations doivent être en mesure de démontrer qu'elles satisfont à ces exigences, ce qui nécessitera l'élaboration de politiques, de procédures, de contrôles, etc.
Principes de protection des données par défaut et par conception. A cette occasion, des mesures doivent être adoptées pour garantir le respect de la norme à partir du moment où une entreprise, un produit, un service ou une activité impliquant un traitement de données est conçu, en règle générale et à la source.
Principe de transparence. Les mentions légales et les politiques de confidentialité devraient être plus simples et plus intelligibles, facilitant leur compréhension, ainsi que plus complètes. Il est même prévu que, pour informer sur le traitement des données, des icônes standardisées puissent être utilisées.
De nouvelles obligations pour les entreprises numériques
À l'occasion, il sera obligatoire de désigner un délégué à la protection des données (DPD), interne ou externe, pour assister les organisations dans le processus de conformité normative. Cependant, la complexité de la nouvelle norme rendra ce chiffre hautement recommandé dans la grande majorité des organisations.
Dans certains cas, des évaluations de l'impact sur la vie privée doivent être effectuées, qui détermineront en fin de compte les risques spécifiques impliqués dans le traitement de certaines données à caractère personnel et prévoiront des mesures pour atténuer ou éliminer ces risques.
Les entreprises multinationales auront pour interlocuteur une seule autorité nationale de contrôle: celle de l'établissement principal de l'entité. C'est ce que l'on appelle une fenêtre unique.
Les failles de sécurité doivent être communiquées aux autorités de contrôle et, dans les cas graves, aux personnes concernées, dès qu'elles sont connues, en fixant un délai maximum de 72 heures.
Données sensibles: Les données spécialement protégées sont étendues, y compris désormais les données génétiques et biométriques. Les infractions pénales et les condamnations sont également incluses dans cette catégorie, bien que non administratives.
La sélection d'une personne en charge du traitement est plus difficile, car il faudra en choisir une qui offre des garanties suffisantes de conformité réglementaire.
Garanties supplémentaires pour les transferts de données dits internationaux: avec la mise en place de garanties et de mécanismes de contrôle plus stricts en ce qui concerne les transferts internationaux de données en dehors de l'Union européenne.
Sceaux et certifications: il est prévu que des sceaux et des certifications de conformité seront créés pour permettre d'accréditer la responsabilité de la part des organisations.
L'obligation d'enregistrer les fichiers disparaît, qui est remplacée par un contrôle interne et, dans certains cas, un inventaire des traitements de données qui sont effectués, qui est intuitif à partir d'un contenu similaire à celui actuellement sous la forme en question.
sanctions: les montants des sanctions pour infraction à la règle augmentent pour atteindre 20 millions d'euros soit 4% du chiffre d'affaires annuel global (non exclus des amendes aux administrations publiques, bien que les États membres puissent accepter de le faire).
Nouveaux droits prévus par la réglementation
Transparence et information. Les organisations, lors du traitement des données personnelles, doivent fournir plus d'informations et de manière plus intelligible, complète et simple, ce qui favorisera la prise de décision par le citoyen. Une attention particulière est accordée aux mineurs à ce stade.
Consentement. Le consentement pour pouvoir traiter des données personnelles doit être sans équivoque, libre et révocable et doit être donné au moyen d'un acte affirmatif clair. Le consentement tacite n'est pas autorisé.
Droit à l'oubli. Le consentement donné pour le traitement des données personnelles peut être révoqué à tout moment, pouvant exiger la suppression et l'élimination des données dans les réseaux sociaux ou les moteurs de recherche Internet.
Droit à la limitation du traitement en question. Il permet au citoyen de demander le blocage temporaire du traitement de ses données en cas de controverse sur sa légalité.
Portabilité des données. Le citoyen sera autorisé à demander le transfert de données personnelles d'un fournisseur d'accès Internet à un autre.
Plaintes. Les plaintes peuvent être déposées par le biais d'associations d'utilisateurs.
Compensation et sanctions en cas de non-conformité. La possibilité d'exiger une indemnisation pour les dommages résultant du traitement illicite des données personnelles est reconnue.
Le responsable du dossier peut établir une redevance pour répondre aux exercices du droit d'accès, en tenant compte des frais administratifs que cela entraîne.
Considérations sur son application correcte
Nonobstant ce qui précède, de nombreux aspects sont encore en suspens sur leur développement et leur concrétisation qui sont stipulés dans ce règlement. En ce sens, il convient de noter que les États membres, les autorités de contrôle, le comité européen de la protection des données et la Commission doivent préciser une multitude d'éléments apparaissant dans le RGPD trop ambigus ou trop vagues.
En tout état de cause, les dispositions contenues dans les règlements sont directement applicables dans chacun des États membres, sans nécessité de transposition, et obligent les entreprises privées et les institutions publiques à faire face à un important processus de réajustement réglementaire.
Cependant, le RGPD n'abroge pas automatiquement la LOPD et ses règlements d'application. Il les déplace simplement dans la mesure où ils sont incompatibles avec lui. Dans les domaines où cette incompatibilité ne se produit pas, les deux réglementations coexisteront, ce qui laisse prévoir de nombreux problèmes pratiques et d'interprétation, dont la résolution nécessitera l'assistance de professionnels spécialisés offrant des garanties suffisantes. Alors que d'un autre côté, le processus de recyclage n'est pas techniquement facile, il sera donc important pour les entreprises de disposer de conseils juridiques spécialisés offrant des garanties suffisantes.
Obtenez un service de protection des données
Un bon moyen d'obtenir un service de protection des données est de demander des devis au Association des entreprises de protection des données (AEPD.org). En ce sens, l'AEPD.org a un changement officiel parmi ses entreprises associées. Son fonctionnement est simple: vous devez demander un budget à AEPD.org et cette même association le répartit entre ses associés, en essayant de faire en sorte que le client final reçoive de bons conseils.
Si vous ne vous rendez pas sur AEPD.org, le seul moyen d'obtenir des devis est de vous rendre un par un sur les sites Internet des sociétés de protection des données. Cette procédure est plus lente, mais également efficace. Dans les semaines à venir, nous ferons et publierons une liste des sociétés LOPD, pour faciliter cette opération. Pour le moment, la meilleure option est peut-être de s'adresser à l'Association des entreprises de protection des données.
Dernières conclusions
Le consentement doit être donné par un acte affirmatif clair qui reflète une manifestation libre, spécifique, éclairée et sans équivoque de l'intéressé d'accepter le traitement des données personnelles le concernant, comme une déclaration écrite, y compris par voie électronique, ou une déclaration verbale. .
Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus Informations personnelles. Par conséquent, le silence, les cases cochées ou l'inaction ne doivent pas constituer un consentement.
Le consentement doit être donné pour toutes les activités de traitement effectuées aux mêmes fins ou aux mêmes fins. Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour tous. Si le consentement de l'intéressé doit être donné à la suite d'une demande par voie électronique, la demande doit être claire, concise et ne pas perturber inutilement l'utilisation du service pour lequel elle est fournie.