Diverses patronals i Cambres de Comerç europees han emès un comunicat per demanar una moratòria per les sancions del Nou Reglament de Protecció de Dades. La patronal Pimec va ser la primera en demanar aquesta moratòria la setmana passada, al·legant que "un 75% de les pimes catalanes encara no han adoptat les mesures necessàries per complir amb el nou Reglament General de Protecció de Dades (RGPD)", que entra en vigor el pròxim 25 de maig.
Amb aquest nou comunicat, Pimec assegura que fa encara més palès el raonament de PIMEC d’ajornar l’aplicació de la nova normativa europea. Tot i que fa ja 2 anys que està anunciada la posada en vigor d'aquest nou Reglament, des de Pimec diuen que tres de cada quatre empreses no tenen "el tema resolt".
Pimec ha demanat una moratòria de 6 mesos. Segons Josep Gonzàlez, president de Pimec, "aquesta llei no deixa de ser un canvi cultural com tants altres, i aquests canvis culturals costen d'entrar". Alhora, també cal tenir en compte que només en la totalitat d'empreses que hi ha sota el paraigües de la Pimec, la introducció dels canvis per aquesta nova llei es calcula que tindrà un cost de 30 milions d'euros, repartit en totes les empreses, segons dades de Pimec.
L'empresariat europeu també vol més temps
A aquesta demanda de moratòria per part de la Pimec s'hi han afegit diverses patronals i cambres de comerç europees, com UEAPME (de la qual Pimec ostenta la vicepresidència), Hotrec o Eurochambres.
Les organitzacions consideren, segons expliquen en el comunicat, que l'anomenat "Working Party" o Grup de Treball de l’article 29 del Reglament, que aplega els reguladors de protecció de dades dels diferents Estats membres, ha començat molt recentment a emetre guies i notes interpretatives, i per tant no hi ha hagut prou temps a estudiar-les.
Alhora, tant Pimec com les organitzacions europees "es comprometen a continuar informant les pimes sobre com aplicar el nou reglament, però demanen un període de temps perquè aquestes es posin al dia amb l’aplicació de la normativa" i demanen també que durant aquest temps no s’imposin sancions monetàries sinó que es facin avisos de l’incompliment de la llei.
Què comporta l'RGPD?
Segons l'Autoritat Catalana de Protecció de Dades, la innovació més gran de l'RGPD per als responsables la constitueixen dos elements de caràcter general, que són, d'una banda, el principi de “responsabilitat proactiva” i de l'altra, "l'enfocament del risc". En aquest sentit, el que canvia és que es requereix que les organitzacions analitzin quines dades tracten, amb quines finalitats ho fan i quin tipus d'operacions per tractar-les duen a terme. A partir d'aquest coneixement, han de determinar de manera explícita com aplicaran les mesures que preveu l’RGPD. En síntesi, "aquest principi exigeix que les organitzacions tinguin una actitud conscient, diligent i proactiva davant de tots els tractaments de dades personals que duguin a terme".
A més, l’RGPD assenyala que "les mesures adreçades a garantir-ne el compliment han de tenir en compte la naturalesa, l'àmbit, el context i les finalitats del tractament, així com el risc per als drets i les llibertats de les persones". Així doncs, algunes de les mesures que l’RGPD estableix només s’han d’aplicar quan hi hagi un alt risc per als drets i les llibertats, mentre que d’altres s’han de modular d’acord amb el nivell i tipus de risc que presentin els tractaments. Per tant, l'aplicació de les mesures previstes per l’RGPD s’ha d'adaptar a les característiques de les organitzacions.
És per aquest motiu que les empreses més exposades als riscos de sanció de l'RGPD són les empreses que tracten amb un volum més gran de dades, generalment empreses de serveis.