El Reglament General de Protecció de Dades (RGPD) porta en vigor des del maig de 2018, però moltes PIMEs espanyoles encara no saben exactament quines obligacions tenen en matèria de ciberseguretat. L’Agència Espanyola de Protecció de Dades (AEPD) ha imposat multes milionàries no només a grans corporacions, sinó també a empreses mitjanes i petites.
Aquest article resumeix les principals obligacions de ciberseguretat que el RGPD imposa a les PIMEs, en termes comprensibles i amb consells pràctics d’implementació.
El nexe entre RGPD i ciberseguretat
El RGPD no és només una norma de privacitat: és també una norma de seguretat. L’article 32 del RGPD obliga tot responsable o encarregat del tractament a “aplicar mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc”.
Una bretxa de seguretat que exposi dades personals pot generar dos tipus de responsabilitats simultànies:
- Sanció per el RGPD: de l’AEPD.
- Responsabilitat civil: reclamacions dels afectats pels danys patits.
Quines dades tracta la teva PIME i per què importa
Les dades personals inclouen:
- Nom, cognoms, DNI, correu electrònic, telèfon de clients i empleats
- Dades financeres: números de compte, dades de facturació
- Dades de salut (especialment sensibles): baixes mèdiques, al·lèrgies
- Dades de localització
- Imatges de videovigilància
- Perfils de comportament online (cookies, analytics)
Les obligacions clau del RGPD en matèria de ciberseguretat
1. Anàlisi de riscos i mesures de seguretat apropiades (Art. 32)
L’article 32 esmenta específicament:
- Pseudonimització i xifratge de dades personals
- Confidencialitat, integritat, disponibilitat i resiliència dels sistemes
- Capacitat de restaurar la disponibilitat de les dades en cas d’incident
- Procés de verificació regular de l’eficàcia de les mesures
En la pràctica, per a una PIME això implica almenys:
- Xifratge de discos en ordinadors portàtils i dispositius mòbils
- Controls d’accés (contrasenyes fortes + MFA)
- Còpies de seguretat regulars i verificades
- Firewall i antivirus actualitzats
- Formació bàsica als empleats
2. Registre d’Activitats de Tractament (Art. 30)
Aquest registre documenta:
- Quines dades personals tractes
- Amb quina finalitat
- Qui és el responsable
- A quins tercers es comuniquen
- Quant de temps es conserven
- Quines mesures de seguretat s’apliquen
L’AEPD té disponibles plantilles gratuïtes i una eina online (Facilita RGPD) específicament dissenyada per a PIMEs.
3. Notificació de bretxes de seguretat (Art. 33 i 34)
A l’AEPD (Art. 33): Si pateixes una bretxa de seguretat que afecti dades personals, has de notificar-ho a l’AEPD en un termini màxim de 72 hores.
Als afectats (Art. 34): Si la bretxa comporta un risc elevat per als drets dels afectats, també has de comunicar-los-ho sense dilació indeguda.
Exemples freqüents de bretxes en PIMEs:
- Atac de ransomware que xifra dades de clients
- Portàtil amb dades de clients robat o extraviat
- Correu electrònic amb dades personals enviat al destinatari equivocat
- Accés no autoritzat al CRM per un ex-empleat
4. Contractes amb proveïdors (Art. 28): els encarregats del tractament
Si fas servir proveïdors que tracten dades personals en nom teu (empresa d’allotjament, servei d’email marketing, CRM al núvol), has de signar amb ells un contracte d’encàrrec de tractament (DPA, Data Processing Agreement).
5. Delegat de Protecció de Dades (DPD) (Art. 37)
El DPD és obligatori en alguns casos específics. Per a la majoria de PIMEs no és obligatori, però pot ser recomanable comptar amb un assessor extern de protecció de dades.
Les sancions: quant pot costar un incompliment
| Nivell | Import màxim | Infraccions típiques |
|---|---|---|
| Nivell 1 | 10 milions € o 2% facturació anual mundial | Incompliment de l’Art. 32 (mesures de seguretat) |
| Nivell 2 | 20 milions € o 4% facturació anual mundial | Principis bàsics del tractament, drets dels interessats |
Full de ruta pràctica de compliment RGPD + ciberseguretat per a PIMEs
Fase 1: Diagnòstic (1-2 setmanes)
- Identifica totes les dades personals que tracta la teva empresa i on estan emmagatzemades.
- Identifica els proveïdors que tenen accés a aquelles dades.
- Realitza el test de diagnòstic gratuït de l’AEPD a la seva web.
Fase 2: Documentació (2-4 setmanes)
- Elabora el Registre d’Activitats de Tractament (fes servir l’eina Facilita RGPD de l’AEPD).
- Actualitza o crea la Política de Privacitat de la teva web.
- Signa contractes d’encàrrec amb els proveïdors que correspongui.
Fase 3: Mesures tècniques de seguretat (1-3 mesos)
- Activa el xifratge de disc en tots els portàtils (BitLocker a Windows, FileVault a Mac).
- Implementa contrasenyes fortes + MFA en tots els sistemes que tracten dades personals.
- Configura còpies de seguretat regulars i verificades.
Fase 4: Protocol de bretxes (definir abans de necessitar-lo)
- Designa qui és el responsable de gestionar una bretxa de seguretat.
- Documenta el procés: detecció → avaluació → notificació (AEPD en 72h si aplica).
Recursos de l’AEPD per a PIMEs
| Recurs | Descripció | URL |
|---|---|---|
| Facilita RGPD | Eina online per al Registre d’Activitats | aepd.es |
| CLAUDIA | Chatbot de l’AEPD per resoldre dubtes | aepd.es |
| Guies sectorials | Guies específiques per sector | aepd.es/guias |
| Plantilles | Contractes d’encàrrec, clàusules de privacitat | aepd.es |
Conclusió
El RGPD i la ciberseguretat no són dos mons separats: les mesures de ciberseguretat formen part del compliment legal de la teva empresa. La bona notícia és que la majoria de les obligacions de ciberseguretat del RGPD per a PIMEs són les mateixes mesures bàsiques que hauries d’implementar de totes maneres.
Complir el RGPD no és només evitar multes: és protegir els teus clients, els teus empleats i la reputació de la teva empresa.
Aquest article és de caràcter educatiu i no constitueix un servei professional de ciberseguretat ni assessorament jurídic. Consulteu un especialista certificat i un assessor legal per a solucions específiques a la vostra empresa.