La protecció de dades encara és una assignatura pendent

Suport Associatiu - Jurídic
Autor/a: 
Júlia Hinojo
Maria Àngels Barberà, directora de l'Autoritat Catalana de Protecció de Dades (ACPD). Font: ACPD. Font: ACPD
Maria Àngels Barberà, directora de l'Autoritat Catalana de Protecció de Dades (ACPD). Font: ACPD.
El debat de l'ACPD es va organitzar el 15 de maig al Conservatori Municipal de Música de Barcelona. Font: ACPD. Font: ACPD
El debat de l'ACPD es va organitzar el 15 de maig al Conservatori Municipal de Música de Barcelona. Font: ACPD.

La protecció de dades encara és una assignatura pendent

Autor/a: 
Júlia Hinojo
Suport Associatiu - Jurídic

Resum: 

Un any després de l’entrada en vigor de la nova normativa europea, l’Autoritat Catalana de Protecció de Dades reconeix que les entitats encara “no han canviat el xip”.

Fa just un any que va entrar en vigor el Reglament General de Protecció de Dades (RGPD), una normativa europea més estricta pel que fa a la seguretat de les dades personals.

La llei va començar a ser d’obligat compliment el 25 de maig del 2018, tot i que es va aprovar dos anys abans. Des de llavors, les entitats han avançat, però encara n’hi ha moltes que no compleixen amb els requisits de la nova norma.

Així ho va reconèixer la directora de l’Autoritat Catalana de Protecció de Dades (ACPD), Maria Àngels Barberà, a la jornada ‘Un any de RGPD’, que es va organitzar aquest 15 de maig al Conservatori de Música Municipal de Barcelona.

“Moltes empreses i entitats encara no han canviat el xip cap a l’’accountability’”, va afegir Barberà. El terme ‘accountability’, de difícil traducció, té a veure amb la responsabilitat proactiva de les entitats, que són les que han d’analitzar els riscos que generen les dades de què disposen, i escollir les mesures de seguretat que millor s’hi adaptin. Aquest enfocament en el risc és una novetat respecte l’anterior Llei Orgànica de Protecció de Dades, del 1999.

Explicació clara i fàcil d’entendre

Redactar contractes o clàusules informatives, delimitar bases jurídiques... Encara costa canviar la manera d’afrontar el compliment de les obligacions”, va apuntar la directora.

L’ACPD remarca que cal tenir clar l’objectiu final del RGPD: dotar les persones usuàries de més control sobre les seves dades personals. “Hem de pensar en el tipus de públic a qui ens adrecem, triar la millor manera d’explicar-los els seus drets, perquè així ho entenguin fàcilment, puguin defensar-se de manera eficient i se sentin còmplices de l’activitat o el servei que els estem oferint”, va assenyalar Barberà.

Excés de dades

L’ACPD ha detectat altres accions que contradiuen la normativa. Concretament, la publicació de dades innecessàries i excessives, documents en què consten signatures inadequadament i la conservació de dades personals més enllà del termini necessari. Les entitats també s'equivoquen quan publiquen formularis i obvien la informació específica sobre la publicació de les dades als portals de transparència.

Aquestes són les principals deficiències que constata la primera auditoria efectuada des de l’aplicació plena de l’RGPD, relativa als portals de la transparència. L’informe es va presentar a la mateixa jornada i es va basar en l’anàlisi de 107 entitats públiques, segons va explicar el cap d’inspecció de l’APDCAT, Carles San José.

Comptar amb delegats/des de protecció de dades

Joana Martí, delegada de protecció de dades de l’organisme català, anima les entitats a comptar amb un delegat/da de protecció de dades, una figura que no existia en l’anterior normativa i que cada vegada pren més pes.

El delegat/da és la persona treballadora de l’entitat experta en protecció de dades, a qui ha d’acudir qualsevol empleat/da quan tracti aspectes relacionats amb dades personals.

No totes les entitats estan obligades a tenir un/a delegat. Només en els casos que enumera l’APDC en aquesta llista.

Més formació interna

Martí proposa fomentar la formació interna perquè tots els nivells de l’organització coneguin la figura del delegat/da. Aquesta persona experta en protecció de dades ha de ser accessible i, per tant, calen mecanismes que la posin en contacte amb la resta de la plantilla.

A banda d’una mínima formació en protecció de dades per a tot el personal, l’APDCAT aposta per formar les persones delegades. “Els delegats no només han de participar en cursos i tallers, sinó que han d’anar “més enllà”. Han de tenir una actitud activa perquè les persones usuàries puguin veure garantits els seus drets”, segons va comentar Martí.

Temps i independència

Els delegats/des han de participar des del primer moment en qualsevol reunió que pugui afectar la normativa de protecció de dades. Han d’actuar amb responsabilitat i han d’opinar amb llibertat i independència sobre tot el que tingui un impacte en el reglament.

“Cal generar complicitat, fer-lo partícip en aquestes reunions i dotar-lo dels mitjans necessaris perquè pugui complir amb la seva missió”, va remarcar Martí, fent referència no només als recursos materials i als formatius, sinó a les hores destinades a treballar en la matèria. “Ens trobem que una de les principals queixes que reclamen els delegats de protecció de dades és la falta de temps”.

Més consultes des del tercer sector

Tot i admetre que encara falta molt a fer perquè la llei de protecció de dades s’apliqui a totes les organitzacions, Glòria Freixas, experta de l’ACPD, va assegurar que hi ha un interès creixent entre el sector per adaptar-se al nou marc jurídic.

Freixas constata un augment del nombre de consultes rebudes d’entitats del tercer sector. “En el nostre dia a dia ens arriben molts dubtes d’entitats. Cada vegada són preguntes més complexes perquè la figura del delegat de protecció de dades s’està fent més present a les organitzacions”, afirma Freixas.

Informacions relacionades:

Les 8 novetats de la nova Llei Orgànica de protecció de dades

5 recursos per apropar la nova Llei de Protecció de Dades a les entitats

Les 10 claus sobre el nou Reglament de Protecció de Dades (I)

Les 10 claus sobre el nou Reglament de Protecció de Dades (II)

Afegeix un comentari nou