Tot sobre protecció de dades

por merigil@gmail.comen Màrqueting digital per pimesen Publicado el

I tu, com portes això de la protecció de dades?

Digital Marketing & Product Manager per a pimes que volen créixer amb criteri i seguretat

Maig de 2025

A l’empresa, totes les àrees gestionen informació: clients, proveïdors, treballadors… Saber com protegir-la és clau per evitar riscos, garantir la confiança i complir amb la normativa. Però, estàs segur que saps què et toca fer?

Respon aquesta breu enquesta i descobreix si t’afecta i si estàs al dia!

Enquesta ràpida: Estàs protegint bé les dades?

Digues si aquestes afirmacions són veritat o fals:

☐ Puc agafar correus de pàgines web i LinkedIn; si són públics, els puc fer servir per enviar publicitat.

☐ Puc enviar correus no sol·licitats sempre que posi un avís de com et pots donar de baixa al final del missatge.

☐ No cal posar el checkbox de consentiment als formularis: si em contacten, ja accepten rebre informació.

☐ Puc guardar CVs per si algun dia ens interessen, sempre que estiguin en un lloc segur.

☐ Només envio correus a bases de dades comprades, així que no faig res il·legal.

Si has dit que totes o alguna d’elles són veritat… alarma! La llei diu el contrari (totes són falses). Això que et suggerim que llegeix l’article per no rebre una multa de veritat (o una queixa d’un client enfadat amb raó).

Marc legal europeu i espanyol de la protecció de dades

La protecció de dades personals a Europa i a Espanya es fonamenta en un marc jurídic sòlid que busca garantir els drets fonamentals de les persones davant l’ús creixent i potencialment abusiu de la seva informació personal.

A nivell europeu, el punt de partida es troba en el Conveni Europeu de Drets Humans (CEDH), especialment l’article 8, que protegeix el dret a la vida privada. Tot i que no menciona explícitament la protecció de dades, va establir les bases per considerar-la part del dret a la privacitat. Posteriorment, el Conveni 108 del Consell d’Europa (1981) va ser el primer instrument internacional vinculant dedicat específicament al tractament automatitzat de dades personals, obrint pas a una protecció més clara i estructurada.

Amb la creació de la Carta de Drets Fonamentals de la Unió Europea, el dret a la protecció de dades personals es va consolidar com un dret fonamental autònom: l’article 7 garanteix el dret a la vida privada, mentre que l’article 8 estableix explícitament el dret a la protecció de dades. Des del Tractat de Lisboa (2009), aquesta carta té el mateix valor jurídic que els tractats europeus, convertint la protecció de dades en una obligació per a totes les institucions i estats membres.

Per respondre als reptes de la societat digital, el 2016 es va aprovar el Reglament General de Protecció de Dades (RGPD), d’aplicació directa a tots els estats membres des del maig de 2018. Aquest reglament va substituir la Directiva de 1995 i té com a objectiu harmonitzar les lleis europees, reforçar els drets de les persones i imposar obligacions clares a les organitzacions. El RGPD introdueix principis com la responsabilitat proactiva (accountability), el consentiment explícit, el dret a l’oblit, i una forta exigència en matèria de seguretat i transparència.

A l’Estat espanyol, el RGPD es complementa amb la Llei Orgànica 3/2018 de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD), que adapta el reglament europeu a l’ordenament jurídic espanyol. Aquesta llei concreta alguns aspectes del RGPD, com el tractament de dades en l’àmbit laboral, la regulació de les dades de persones difuntes, i el reconeixement dels drets digitals com a part dels drets fonamentals.

Ambdós marcs, europeu i espanyol, s’apliquen tant a empreses com a entitats públiques i privades que tracten dades de ciutadans dins de la UE, amb independència del lloc on es trobi l’organització. A més, el principi d’extraterritorialitat del RGPD implica que qualsevol empresa fora de la UE que ofereixi serveis o monitoritzi el comportament de persones dins la Unió també ha de complir la normativa.

Aquest entorn normatiu estableix les regles del joc per al màrqueting digital amb garanties, promovent una cultura de respecte, transparència i responsabilitat en el tractament de les dades personals.

Principis bàsics i obligacions del tractament de dades personals

Per fer màrqueting amb garanties dins el marc europeu, cal conèixer i aplicar els principis bàsics del tractament de dades establerts pel Reglament General de Protecció de Dades (RGPD). Aquests principis no només són recomanacions: són obligacions legals. A continuació, resumim els punts clau que tota empresa o professional ha de complir quan tracta dades personals:

1. Licitud, lleialtat i transparència: El tractament de dades ha de tenir una base legal clara (com el consentiment, un contracte, obligació legal, interès legítim, etc.), i les persones afectades han d’estar informades de forma clara i comprensible sobre com es tractaran les seves dades i amb quina finalitat.

2. Limitació de la finalitat: Les dades recollides només es poden utilitzar per a les finalitats específiques i legítimes informades a la persona en el moment de la recollida. No es poden reaprofitar per altres usos que no hagin estat autoritzats.

3. Minimització de dades: Només s’han de tractar les dades adequades, pertinents i limitades al que sigui necessari. Això vol dir no recollir dades “per si de cas” o que no siguin essencials per a l’activitat prevista.

4. Exactitud: Les dades han d’estar actualitzades i ser correctes. Si no ho estan, s’han de rectificar o esborrar. Això implica establir mecanismes per revisar i actualitzar les bases de dades.

5. Limitació del termini de conservació: Les dades s’han d’eliminar quan ja no siguin necessàries, a menys que hi hagi una obligació legal de conservar-les durant més temps. No es poden guardar indefinidament.

6. Integritat i confidencialitat: Cal protegir les dades davant accessos no autoritzats, pèrdues o modificacions. Això requereix aplicar mesures tècniques i organitzatives com contrasenyes, xifratge, còpies de seguretat i formació interna.

7. Responsabilitat proactiva (accountability): L’empresa o professional que tracta dades ha de poder demostrar que compleix amb tots els principis anteriors. No n’hi ha prou amb dir que ho fa: cal documentar polítiques, procediments, contractes i accions.

Aquestes obligacions no són només per a grans empreses o departaments legals. Afecten qualsevol activitat de màrqueting que impliqui dades personals, com formularis web, newsletters, campanyes d’e-mail màrqueting, xarxes socials, etc. Complir amb aquests principis és clau per evitar sancions, però també per guanyar la confiança de les persones a qui ens adrecem.

Privacitat vs. protecció de dades: implicacions per al màrqueting

En el món del màrqueting digital, és habitual utilitzar indistintament els termes «privacitat» i «protecció de dades», però cal entendre que, tot i estar relacionats, no són el mateix ni tenen les mateixes implicacions legals. Diferenciar-los és essencial per desenvolupar estratègies comercials que siguin efectives i alhora respectuoses amb els drets de les persones.

Privacitat: l’espai personal

La privacitat fa referència al dret de les persones a mantenir el seu espai personal, familiar i íntim lliure d’intrusions. Aquest dret està reconegut per l’article 7 de la Carta de Drets Fonamentals de la UE i, en l’àmbit digital, inclou aspectes com la navegació anònima, la no interferència en comunicacions privades i la capacitat de controlar qui accedeix a certa informació personal.

Per exemple, un usuari pot decidir no voler rebre correus comercials, tot i haver facilitat el seu email en un formulari, perquè interpreta que això vulnera el seu espai privat. Això ja ens dona una pista: la privacitat és més subjectiva, més centrada en la percepció personal de control i intimitat.

Protecció de dades: normes concretes sobre l’ús de la informació

La protecció de dades, en canvi, és un conjunt de normes jurídiques que regulen com es pot recollir, emmagatzemar, tractar i compartir la informació personal. Aquestes normes estableixen els drets de les persones i les obligacions de les empreses que gestionen dades.

El Reglament General de Protecció de Dades (RGPD) i la Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD) defineixen amb detall què es pot fer amb les dades personals —incloent el consentiment, el dret d’accés, rectificació, supressió, etc.— i sota quines condicions es pot fer màrqueting.

Així, per exemple, si recollim adreces de correu electrònic per enviar newsletters, hem d’informar clarament sobre la finalitat, obtenir el consentiment previ i oferir la possibilitat de cancel·lar la subscripció fàcilment.

Implicacions per al màrqueting

1. Recollida i ús de dades amb base legal: Tot ús de dades personals en una campanya de màrqueting (fins i tot per a empreses B2B, si s’identifica una persona física) ha de tenir una base jurídica: consentiment explícit, interès legítim justificat, obligació legal, etc.

2. Respectar la voluntat i la confiança de l’usuari: Encara que una acció sigui legal segons la normativa de protecció de dades, si l’usuari la percep com una invasió de la seva privacitat, pot afectar negativament la imatge de marca. La confiança és clau en qualsevol relació comercial.

3. Dissenyar accions des de la perspectiva de la privacitat: El concepte de “privacitat des del disseny” implica que les accions de màrqueting han de tenir en compte des de l’inici la protecció de dades i la percepció de l’usuari. Cal evitar recopilar més informació de la necessària (minimització de dades) i assegurar-se que els sistemes i canals utilitzats siguin segurs.

4. Diferenciació de dades i canals: No és el mateix enviar una campanya a un correu funcional (com info@empresa.com) que a un correu personalitzat (com laura.gomez@empresa.com). El primer, generalment, no es considera dada personal, però l’enviament massiu pot infringir la Llei de Serveis de la Societat de la Informació (LSSI) si no es fa correctament.

En resum, la privacitat és un dret subjectiu vinculat a la percepció de l’usuari, mentre que la protecció de dades és un marc legal concret que estableix com s’ha de tractar la informació personal. Per fer màrqueting amb garanties, no n’hi ha prou amb complir el RGPD: cal també tenir sensibilitat envers la privacitat de les persones. Quan s’actua amb transparència i respecte, es genera confiança, i aquesta és la base de qualsevol estratègia comercial reeixida.

Rols i responsabilitats: qui fa què en el tractament de dades

Quan una organització recull i utilitza dades personals, és fonamental entendre quins rols hi intervenen i qui és responsable de què. El Reglament General de Protecció de Dades (RGPD) estableix clarament dues figures clau en aquest àmbit: el responsable del tractament, l’encarregat del tractament, i el delegat de protecció de dades.

El responsable del tractament és la persona física (que pot ser alhora el DPO, en parlem a continuació) o jurídica —normalment una empresa o entitat— que determina per què i com es tracten les dades. És qui decideix les finalitats (els objectius) i els mitjans (les eines o processos) del tractament. Aquest rol comporta una gran responsabilitat legal: ha de garantir que el tractament de dades sigui lícit, transparent i segur. També és qui ha d’informar les persones afectades, establir polítiques de privacitat, documentar el compliment de la normativa i poder rendir comptes davant d’auditories o inspeccions.

Per exemple, una empresa que fa una campanya de màrqueting decideix què fer amb les dades dels seus clients (enviar newsletters, segmentar per interessos, analitzar resultats…). Aquesta empresa és la responsable del tractament.

L’encarregat del tractament, en canvi, és un tercer que tracta dades en nom del responsable i sota les seves instruccions. No decideix finalitats ni mitjans, sinó que executa tasques específiques. Per exemple, una empresa externa que gestiona l’enviament de correus electrònics o una agència de màrqueting subcontractada per fer campanyes digitals. Aquest encarregat ha d’oferir garanties suficients de seguretat i complir la normativa, però sempre sota la supervisió del responsable.

Per formalitzar aquesta relació, el RGPD exigeix un contracte entre les dues parts, que especifiqui quines dades es tracten, amb quina finalitat i quines mesures de seguretat s’han d’aplicar. Aquest contracte s’ajusta al que estableix l’article 28 del RGPD.

Cal remarcar que l’encarregat no pot subcontractar a una altra empresa sense autorització prèvia del responsable. I si alguna de les parts es troba fora de la Unió Europea, cal designar un representant legal dins la UE que vetlli pel compliment del reglament europeu.

En definitiva, identificar correctament qui és responsable i qui és encarregat en cada cas és bàsic per complir amb la normativa i evitar riscos legals. A més, aquesta claredat facilita la gestió de dades de manera més eficient i alineada amb els drets de les persones.

Què és i què fa el Delegat de Protecció de Dades (DPO)?

El DPO (Data Protection Officer), o Delegat de Protecció de Dades, és la persona responsable dins d’una organització de supervisar el compliment de les lleis de protecció de dades, com el RGPD (Reglament General de Protecció de Dades) a Europa. És una figura clau per garantir que la teva empresa gestiona les dades personals de manera legal i segura. Com ja t’hem dit abans, pot ser el mateix que el responsable del tractament si recau sobre una sola persona.

Aquí tens algunes de les seves funcions:

  1. Vigilància del compliment de les lleis de protecció de dades: Assegura’t que l’empresa compleixi les normatives de protecció de dades, incloent la revisió de les polítiques internes, procediments i la formació dels empleats.
  2. Consell i assessorament: El DPO assessora la direcció i altres membres de l’equip sobre com recollir, processar i emmagatzemar dades personals d’acord amb la llei. A més, ajuda a identificar possibles riscos relacionats amb la protecció de dades.
  3. Control de les sol·licituds de drets individuals: S’encarrega de gestionar les peticions dels usuaris relacionades amb els seus drets (com el dret a l’oblit, dret d’accés, etc.).
  4. Auditories i informes: Realitza auditories internes per identificar possibles incompliments de la normativa i genera informes que demostrin el compliment de les lleis de protecció de dades.
  5. Gestió de les violacions de seguretat: Si es produeix una violació de seguretat (com una filtració de dades), el DPO ha de notificar les autoritats pertinents i les persones afectades, segons les condicions del RGPD.

És important destacar que totes les empreses no estan obligades a tenir un DPO. L’obligació de designar un DPO aplica principalment a:

  • Organitzacions públiques (excepte tribunals i altres autoritats judicials).
  • Empreses que tracten dades sensibles a gran escala (com dades de salut, orientació sexual, etc.).
  • Empreses que realitzen seguiment regular i sistemàtic de persones.

Tot i que no sigui obligatori, tenir un DPO pot ser una bona pràctica per a garantir el compliment legal i la seguretat de les dades en la teva empresa. T’ho recomanem, encara que només sigui qui es miri de tant el tant aquestes webs i comprovi que encara esteu dins de la normativa:

Agència Catalana de Protecció de Dades (APDCAT)

Agencia Española de Protección de Datos (AEPD)

European Data Protection Board (EDPB)

Àmbit d’aplicació i estratègia per complir el RGPD en una pime

En el context d’una petita i mitjana empresa (PIME), l’aplicació del Reglament General de Protecció de Dades (RGPD) és fonamental per garantir la seguretat i privacitat de les dades personals dels clients i treballadors. Tot i que el RGPD aplica a totes les empreses que operen a la Unió Europea, les PIMEs han de prendre mesures concretes per adaptar-se a la normativa de manera eficient i proporcional a la seva mida i recursos. A continuació, es presenten les principals estratègies per complir amb el RGPD en una PIME*.

  • Quines dades tens? Primer de tot, identifica quines dades personals reculls, per què i com les fas servir. Sense això, no pots començar a complir el RGPD.
  • Tens algú que s’hi fixi? Un DPO potser no és obligatori, però sí molt útil. Et guia i evita problemes. És com tenir un GPS per al RGPD.
  • Seguretat digital bàsica: Posa contrasenyes fortes, forma l’equip i limita l’accés. La protecció de dades no és només tècnica, és cultura interna.
  • Has demanat permís? El consentiment ha de ser clar i explícit. Res d’ambigüitats. Informa bé i guanya la confiança de l’usuari.
  • Privacitat clara i humana: La política de privacitat ha de ser entenedora i accessible. Res de textos eterns. Que tothom ho pugui entendre i trobar fàcilment.
  • Pots atendre peticions? L’usuari ha de poder accedir, modificar o esborrar les seves dades fàcilment. Fes-ho senzill i àgil, com voldries per tu.
  • Demanes massa dades? No recullis dades perquè sí. Menys és més. Agafa només el que necessites per a la finalitat concreta.
  • Revises com ho fas? Fer auditories internes ajuda a detectar errors i millorar. Revisar processos és clau per no patir problemes legals o tècnics.
  • Compte amb els proveïdors: Si un tercer tracta dades per tu, que quedi tot per escrit. Signa acords clars i assegura’t que compleixen el RGPD.
  • On van les dades? Si envies dades fora de la UE, assegura’t que el destí sigui segur. No tot el que és digital és automàticament legal.

Implementant aquestes estratègies, les PIMEs poden garantir que compleixen amb el RGPD de manera proporcional a la seva mida i recursos. És important tenir en compte que el compliment del RGPD no és només una obligació legal, sinó també una oportunitat per a les empreses de millorar la confiança dels usuaris i protegir les seves dades personals en un entorn cada vegada més digitalitzat.

*Mica en mica t’anirem donant idees pràctiques de com aplicar aquests punts, què et sembla? I gratis, eh? Volem que donis un gir i comencis a fer les coses bé, això ens beneficia a tots! I si algun dia necessites una mica més d’ajuda, ja saps, pots comptar amb nosaltres per un mòdic preu! 😊

Normativa i textos legals

  1. Carta de Drets Fonamentals de la Unió Europea
    https://eur-lex.europa.eu/legal-content/CA/TXT/?uri=CELEX:12012P/TXT
  2. Article 8 del Conveni Europeu de Drets Humans (CEDH)
    https://www.coe.int/ca/web/conventions/full-list/-/conventions/treaty/005
  3. Conveni 108 del Consell d’Europa sobre protecció de dades (1981)
    https://www.coe.int/en/web/data-protection/convention108-and-protocol
  4. Reglament General de Protecció de Dades (RGPD) – Reglament (UE) 2016/679
    https://eur-lex.europa.eu/legal-content/CA/TXT/?uri=CELEX%3A32016R0679
  5. Llei Orgànica 3/2018 de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD)
    https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673

Organismes i recursos oficials

  1. Agència Espanyola de Protecció de Dades (AEPD)
    https://www.aepd.es
  2. European Data Protection Board (EDPB)
    https://edpb.europa.eu
  3. Comissió Europea – Protecció de dades
    https://commission.europa.eu/law/law-topic/data-protection_en

Digital Marketing & Product Manager per a pimes que volen créixer amb criteri i seguretat

Deja un comentario