Vés al contingut

Reglament General de Protecció de Dades

De la Viquipèdia, l'enciclopèdia lliure

El Reglament General de Protecció de Dades (GDPR) (Control (UE) 2016/679) és un reglament europeu mitjançant el qual l'Eurocambra, el Consell de la Unió europea i la Comissió europea pretenen enfortir i unificar la protecció de dades a tots els països de la Unió europea (UE), controlant també la transferència de dades fora de la Unió. Els seus principals objectius són retornar als ciutadans el control sobre la seva informació personal i unificar el marc regulador per a les multinacionals.[1] Suposa una llei més estricta que altres normes i es tracta de la primera norma sobre aquesta matèria que afecta tots els països de la Unió Europea i unifica tant els drets com les obligacions.[2] Substitueix la Directiva de Protecció de Dades 95/46/EC de 1995.[3]

Adoptada a l'abril de 2016, va entrar en vigor el 25 de maig de 2018, després d'un període de transició de dos anys. A diferència de les directives, no requereix incorporació a la legislació nacional, sent directament aplicable.[4]

Pel caràcter global de l'Internet, moltes empreses començaren a canviar les polítiques de privacitat per a tots els usuaris, fent que els esforços per complir les lleis de la Unió Europea afecten els usuaris estranys a aquesta.[2]

Disposicions generals

[modifica]

El Reglament s'aplica si el responsable del tractament de dades (organització que recull informació sobre persones vives, independentment de si es troben a la UE o no), o l'encarregat del tractament de dades (organització que processa dades en nom del responsable del tractament, per exemple, proveïdors de serveis al núvol), o el subjecte de les dades (persona física) es troben a la UE.[5][6][7] En certes circumstàncies, el reglament també s'aplica a organitzacions fora de la UE si recullen o processen dades personals de persones físiques que es troben a la UE. El reglament no s'aplica al tractament de dades per part d'una persona física «exclusivament en l'àmbit privat o domèstic, i per tant, sense cap relació amb una activitat professional o comercial» (paràgraf 18).[8][9]

Segons la Comissió Europea, «les dades personals són informació que es refereix a una persona física identificada o identificable».[10][11] Si no es pot identificar directament una persona mitjançant aquesta informació, cal considerar si és possible identificar-la. Cal tenir en compte la informació que es processa juntament amb tots els mitjans que poden ser utilitzats per vostè o per qualsevol altra persona per identificar aquesta persona. Les definicions exactes de termes com "dades personals", "tractament", "subjecte de les dades", "responsable" i "encarregat" es troben a l'article 4.

Els responsables del tractament de dades han de divulgar clarament qualsevol recollida de dades, indicar la base legal i la finalitat del tractament de dades, així com informar sobre la durada de la conservació de les dades i si es transfereixen a tercers o fora de l'EEE.[12][13] Les empreses estan obligades a protegir les dades dels treballadors i dels consumidors de manera que només s'extreguin les dades necessàries amb una mínima intrusió a la privadesa de les dades dels treballadors, consumidors o tercers. Les empreses han de tenir control intern i normes per a diferents departaments, com ara auditoria, control intern i operacions.[14]

Característiques de la norma

[modifica]

Quan una organització vulgui agafar dades personals d'un ciutadà de la Unió Europea necessita el permís explícit d'aquest. El consentiment deurà ser revocat per aquest ciutadà quan aquest ho desitgi, facilitant-li una via per fer-ho. Les empreses hauran de dir quines dades utilitzem, com les tracten, per a quina finalitat i qui n'és la persona responsable.[15] Els ciutadans també podran demanar les dades que les organitzacions tenen d'ell.

Aquesta nova normativa afecta totes les organitzacions que tracten amb dades de ciutadans europeus, amb independència de la seva situació geogràfica.[2] Introdueix la figura del delegat de protecció de dades, una figura ja introduïda a la legislació federal d'Alemanya des del 1977.[16]

Sancions

[modifica]

La GDPR preveu sancions de fins a 20 milions d'euros o el 4% de la facturació anual.[17]

Problemes per a la implementació

[modifica]

Un dels problemes per a la seva implementació és que la política de comerç internacional europea no està adaptada al GDPR.[18]

Conseqüències

[modifica]

És la llei sobre privacitat més estricta en la història d'Internet. Destaca el seu impacte sobre la direcció de les campanyes de publicitat en línia i la possible dificultat afegida per a competir contra Google i Facebook en l'àmbit empresarial de les dades massives.[2]

Aplicabilitat fora de la Unió Europea

[modifica]

El RGPD també s’aplica als responsables i als encarregats del tractament de dades fora de l’Espai Econòmic Europeu (EEE) si es dediquen a «oferir béns o serveis» (independentment de si es requereix pagament) als interessats dins de l’EEE o si en fan el seguiment del comportament dins de l’EEE (article 3(2)).[19] El Reglament s’aplica independentment d’on es dugui a terme el tractament. Tota empresa que recopili o utilitzi dades de contacte està obligada a complir íntegrament l’obligació d’informar.[20] Això s’ha interpretat com una concessió deliberada al RGPD de jurisdicció extraterritorial sobre organitzacions no pertanyents a la UE, si fan negocis amb persones que es troben a la UE. És dubtós que la UE o els seus estats membres, a la pràctica, puguin fer complir el RGPD respecte d’organitzacions que no tinguin establiments a la UE.

D’acord amb l’article 27, les empreses no pertanyents a la UE que estiguin subjectes al RGPD estan obligades a disposar d’un representant designat a la Unió Europea, el «representant de la UE», que actuarà com a punt de contacte pel que fa al compliment de les obligacions d’acord amb el Reglament.[21][22][23]

Mercat únic digital de la UE

[modifica]

L’estratègia de la UE per crear un mercat únic digital[24] fa referència a activitats dins de l’«economia digital», relacionades amb les empreses i les persones a la UE. En el marc d’aquesta estratègia, el RGPD i la Directiva NIS entren en vigor el 25 de maig de 2018.[25][26] També es preveia que el Reglament ePrivacy proposat entrés en vigor el 25 de maig de 2018,[27] però la seva entrada en vigor s’endarrerirà uns quants mesos. El Reglament eIDAS també forma part de l’estratègia.

En una avaluació preliminar, el Consell Europeu va afirmar que el RGPD s’ha de considerar una «condició prèvia per al desenvolupament de futures iniciatives en l’àmbit de la política digital».

Referències

[modifica]
  1. Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex.", 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf
  2. 2,0 2,1 2,2 2,3 Brandom, Russell «How Europe’s new privacy rule is reshaping the internet». The Verge, 28-03-2018 [Consulta: 10 abril 2018].
  3. "Directive 95/46/EC"
  4. «GDPR: Getting Ready for the New EU General Data Protection Regulation Arxivat 2018-05-14 a Wayback Machine.». InfoLawGroup LLP, 05-05-2016. [Consulta: 22 juny 2016].
  5. «GDPR data controllers and data processors». www.gdpreu.org. [Consulta: 13 març 2025].
  6. «GDPR FAQ for App developers». blog.back4app.com. [Consulta: 13 març 2025].
  7. «The Beginner’s Guide To The GDPR». adprofs.co. [Consulta: 13 març 2025].
  8. «Regulation (EU) 2016/679 Of The European Parliament And Of The Council». gdpr.eu.org. [Consulta: 13 març 2025].
  9. «GDPR Overview: Complying with EU Laws for Personal Data». www.progress.com. [Consulta: 13 març 2025].
  10. «Personal Data». gdpr-info.eu. [Consulta: 13 març 2025].
  11. «GDPR: What Exactly Is Personal Data?». www.itgovernance.eu. [Consulta: 13 març 2025].
  12. «GDPR Basics: Are you a Controller or a Processor?». www.gdprregister.eu. [Consulta: 13 març 2025].
  13. «The Six Privacy Principles of the GDPR». www.freeprivacypolicy.com. [Consulta: 13 març 2025].
  14. «GDPR Internal Audit Procedure Template». www.itgov-docs.com. [Consulta: 13 març 2025].
  15. Herranz, Arantxa «GDPR/RGPD: qué es y cómo va a cambiar internet la nueva ley de protección de datos» (en castellà). Xataka, 07-03-2018 [Consulta: 25 abril 2018].
  16. Recio Gayo, Miguel «Hacia el estatuto jurídico del delegado de protección de datos». Trabajo y Derecho, 55-56, 2019. ISSN: 2386-8090.
  17. «GDPR: Ten things you need to know about GDPR». Eureka.eu.com, 07-09-2017. Arxivat de l'original el 2017-12-22. [Consulta: 8 febrer 2018].
  18. Irion, K.; Yakovleva, S.; Bartl, M. Trade and Privacy: Complicated Bedfellows? How to achieve data protection-proof free trade agreements. Institute for Information Law (IViR), University of Amsterdam, 2016, p. 12 [Consulta: 8 febrer 2018].  Arxivat 2017-12-01 a Wayback Machine.
  19. «Validate User». academic.oup.com. [Consulta: 19 gener 2026].
  20. «RGPD Prospection B2B : guide complet et pratique». datapult.ai. [Consulta: 19 gener 2026].
  21. «EU GDPR Representative Services». www.dpo-consulting.com. [Consulta: 19 gener 2026].
  22. «Representatives under Art. 27 of the GDPR: All your questions answered». iapp.org. [Consulta: 19 gener 2026].
  23. «GDPR Article 27 Explained: EU Representative Requirement for Non-EU Controllers and Processors (With Practical Examples)». gdprinfo.eu. [Consulta: 19 gener 2026].
  24. «EU Digital Strategy». eufordigital.eu. [Consulta: 19 gener 2026].
  25. «One year of GDPR: GDPR enforcement and awareness». techgdpr.com. [Consulta: 19 gener 2026].
  26. «What is GDPR, the EU’s new data protection law?». gdpr.eu. [Consulta: 19 gener 2026].
  27. «ePrivacy Regulation: What Is It & How Does It Affect Cookies?». www.cookieyes.com. [Consulta: 19 gener 2026].
Obtingut de «https://ca.wikipedia.org/w/index.php?title=Reglament_General_de_Protecció_de_Dades&oldid=36727796»