Com ja probablement coneixereu, el proper dia 25 de maig del 2018 entra en vigor plenament el Reglament Europeu 2016/679 General de Protecció de Dades (GDPR), després dels dos anys de termini que es dona a les empreses per tal d’adaptar els seus processos al nou text legal.
Aquesta normativa és d’aplicació plena a tota la Unió Europea, sense necessitat que sigui transposada per normativa interna de cada estat. Per tant, serà immediatament aplicable el dia 25 de maig.
Sense aprofundir massa al seu contingut, us volem recordar els aspectes principals d’aquesta norma per tal que pugueu anar adaptant les vostres corredories en la mesura que us calgui en cada cas:
1) Per tal de poder tractar dades personals a partir del 25 de maig de 2018, caldrà sempre que existeixi alguna de les anomenades “bases jurídiques” que estableix el GDPR, i informar al client de quina és la d’aplicació al seu cas: si no es dona cap d’elles, no es poden tractar aquelles dades:
a. Consentiment
b. Compliment d’obligació legal
c. Protecció d’interessos vitals
d. Execució de contracte o aplicació de mesures precontractuals
e. Compliment de missió feta en interès públic
f. Interès legítim
2) En general, es prohibeix tractar dades sobre raça, opinions polítiques, conviccions religioses, afiliació sindical, dades genètiques, dades biomètriques, salut i vida sexual.
3) Obligació d’informar sempre en el moment de recollida de les dades sobre:
a. Identitat del responsable, delegat i representant.
b. Destinataris de les dades
c. Base jurídica del tractament
d. Termini de conservació de les dades
e. Transferències de les dades a tercers països
f. Els habituals drets ‘ARCO’, tot i que ampliats amb el de supressió, limitació i portabilitat.
g. Si existeix obligació legal o contractual de facilitar aquestes dades, o si són necessàries per a subscriure el contracte.
4) Per a un perfil determinat d’empreses s’exigirà que designin un Delegat de Protecció de Dades.
5) El responsable del tractament de les dades ha de portar un registre de les activitats de tractament. En general, només serà per a empreses de més de 250 empleats.
6) ‘Data breaches’: quan hi hagi una fuita de dades, s’haurà de notificar aquesta infracció de seguretat en el termini màxim de 72 hores.
7) Encàrrec del tractament: ha de regular-se mitjançant contracte i el responsable ha d’escollir un encarregat que ofereixi suficients garanties.
Des de l’ACCA us recomanem que contacteu amb el vostre assessor o proveïdor habitual en matèria de seguretat de la informació i protecció de dades i actualitzeu els vostres procediments interns abans del maig de 2018.
A més, donada la importància que té l’adequat tractament de les dades personals a un sector sensible com el de les assegurances, l’ACCA està elaborant, conjuntament amb CIAC (Coordinadora Independiente de Asociaciones de Corredores) un Codi Tipus per als seus associats.
Aquest Codi-Tipus serà d’adhesió voluntària per a tots els corredors i corredories membres de l’ACCA, i comportarà rebre un segell d’adhesió a aquest codi com a representació de la voluntat de la corredoria de ser especialment curosos amb el tractament de les dades personals dels seus clients.
Un cop el Codi sigui disponible, probablement a la tardor propera, us ho farem saber per tal de que qui vulgui es pugui adherir un cop el llegeixi i comprovi la seva adequació.
ACCA
-Assessoria Jurídica-
Quant a l'autor