El Reglament europeu de protecció de dades va entrar en vigor el 2016, però no va ser d’obligat compliment fins el 25 de maig d’aquest any. Tot i el marge de dos anys per complir amb la normativa, moltes entitats no s’hi han adaptat fins fa pocs mesos.

Entrevistem Joana Marí, la delegada de protecció de dades i responsable d’avaluació i estudis tecnològics de l’Autoritat Catalana de Protecció de Dades (APDCAT). És una de les ponents a la jornada sobre protecció de dades que va organitzar Suport Associatiu el dimecres 24 d’octubre.

Quins són els principals neguits de les entitats al voltant de la llei de protecció de dades?

Els neguits de les entitats venen derivats, normalment, del fet que es tracta d’una norma molt especialitzada. Per tant, de vegades, la terminologia és difícil d’entendre. Un cop identificats els conceptes, l’aplicació pràctica de la normativa no té perquè suposar majors dificultats.

Quines són les principals diferències de la nova normativa respecte a l’anterior?

La nova normativa ha canviat d’enfocament i es basa en dos eixos. Un d’aquests és que exigeix la determinació dels riscos concrets per a les persones derivats dels tractaments que es realitzen per cada entitat. Quan l’entitat ja sap quin és el grau de risc pels drets de les persones, han de determinar quines mesures han d’implantar.

Quines són les entitats que gestionen dades amb més riscos?

Per exemple, les que gestionen dades de salut, orientació sexual, ètnia … o tracten un gran volum d’informació. També les dades de col·lectius vulnerables com infants o persones amb discapacitat, o les entitats que fan perfils de persones per prendre decisions sobre elles. Les associacions que tracten dades que poden ser més invasives han de complir amb més obligacions.

I el segon eix?

La responsabilitat proactiva, l’anomenada ‘accountability’. Això suposa que les entitats no només han de complir amb la protecció de dades, sinó que, a més, han de triar les millors mesures per protegir les persones i han d’estar en disposició de demostrar-ho. Abans era més formal i menys flexible, perquè tothom havia de complir amb les mateixes obligacions. Per exemple, les mesures de seguretat eren les mateixes per a un hospital que per a una clínica dental. El que ho definia eren el tipus de dades tractades (salut), no els riscos.

Hi ha entitats que encara no s’han adaptat a la normativa.

Fa dos anys que fem formació específica i actes de sensibilització. Hem posat a disposició de les entitats guies i eines per adaptar-se al RGPD a través de la nostra pàgina web (www.apdcat.cat). Esperem que, les entitats, en la mesura del possible, estiguin complint amb les seves obligacions. El nou reglament, tot i el seu canvi d’enfocament, continua basant-se en els mateixos principis (limitació de la finalitat, minimització, i manté obligacions tant importants com l’obligació d’informar les persones, o de tenir una base jurídica per tractar les dades: consentiment, contracte, obligació legal,...

On s’han de dirigir per assessorar-se?

Es poden dirigir al servei d’atenció al públic de l’Autoritat Catalana de Protecció de Dades, al servei de consultoria de les entitats que entren dins el nostre àmbit competencial i, si són qüestions jurídiques més complexes el responsable del tractament, també, pot presentar una consulta per escrit a l’Autoritat. El que volem és prevenir que es vulnerin els drets de les persones.

Quins són els errors més freqüents que cometen les entitats en relació a l’RGPD?

La major dificultat es no entendre el canvi de paradigma del reglament. El que vol la norma és, per exemple, que quan es redactin les clàusules informatives no es centrin només en la informació a donar sinó que, també, tinguin en compte les persones a qui s’adrecen i la millor manera de facilitar-los la informació perquè la puguin entendre i conèixer quines poden ser les conseqüències derivades del tractament. Encara tenim el xip de posar molta informació i no tant la idea de pensar a qui ens adrecem i quin és el millor mecanisme perquè la gent entengui què és el que farem amb la seva informació.

En general, és una millora respecte a l’anterior norma?

És una norma amb perspectiva de futur, que es va redactar amb la idea que fos “tecnològicament resistent”; és a dir, està pensada perquè es pugui aplicar independentment de les tecnologies que vagin sortint. Inclou moltes millores, com la responsabilitat proactiva, la voluntat de compromís de les entitats i que siguin les entitats que tracten les dades qui determinin les mesures que cal aplicar. A més, dona més control als titulars sobre les pròpies dades, ampliant drets com el d’accés o supressió, i creant-ne de nous com el de portabilitat o limitació del tractament.