Malgrat que la Llei Orgànica de protecció de dades de caràcter personal data de 1999, les entitats es troben sovint amb dificultats a l’hora de conèixer i interpretar la norma i, per tant, poder-la aplicar correctament.

El Centre d’Estudis de l’Esplai organitza una formació gratuïta per a persones treballadores en actiu on s’abordarà tot allò que té a veure amb la LOPD, drets ARCO, dret a l’oblit, etc.

La formació anirà a càrrec de Sònia Ba Forné, advocada especialista en Protecció de Dades Personals i Tecnologies de la Informació (LOPD i LSSI).

Parlem amb ella per conèixer de la mà d’una experta en què consisteix la normativa i com afecta particularment les entitats.

• Parla’ns de la Llei de protecció de dades personals... quines dades cal protegir? A quina mena d’entitats obliga la Llei?

Les dades subjectes a protecció són aquelles referides a les persones físiques, enregistrades en un suport físic (que pot ser automatitzat o en paper), que les facin susceptibles de tractament i tota mena d´ús posterior que se´n faci, tant pel sector públic com privat. La Llei preveu algunes excepcions, com ara els fitxers mantinguts per les persones físiques en l'exercici d'activitats personals o domèstiques.

El concepte de dada personal inclou informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus (nom i cognoms, DNI, adreça postal i electrònica, telèfon, nif, fotografies, número de seguretat social, empremta digital, vídeos, veu...). És un concepte ampli que pretén fer efectiva la protecció de l'honor i la intimitat personal i familiar.

• Les entitats sovint treballen amb dades especialment sensibles relacionades, per exemple, amb la salut o les creences. Com han d’actuar?

Efectivament hi ha categories de dades que la llei ha volgut protegir especialment i per això els ha atorgat unes garanties específiques. Les més rellevants són la manera d'obtenir el consentiment per al seu tractament (que ha de ser exprés en el cas de dades referides a origen racial, salut i vida sexual, i a més per escrit en el cas de dades referides a ideologia, religió, creences i afiliació sindical) i les mesures de seguretat de nivell alt que es requereixen per mantenir la seva integritat i confidencialitat.

• El proper dia 14 d’abril impartiràs una formació de 15 hores dedicada a la LOPD. Ens pots fer cinc cèntims del que treballareu?

Farem una immersió en la protecció de dades i intentarem enfocar de la manera més pràctica possible els aspectes més importants, és a dir, els principis aplicables en matèria de protecció de dades, les obligacions que suposa per a una entitat i els drets de les persones titulars de les dades.

• Què hauria de fer una entitat que vulgui complir amb la normativa? Per on hauria de començar?

Hauria de fer un anàlisi de les dades personals que manté (tipus de dades, origen, tractaments que en fa, com estan emmagatzemades i protegides, qui hi té accés i per fer què, etc.) i a partir d´aquí dissenyar la seva política de protecció de dades:

• Elaborar un Document de Seguretat i implementar efectivament les mesures de seguretat que li són aplicables.
• Inscriure els fitxers al Registre General de Protecció de Dades de l´Agència Espanyola de Protecció de Dades (treballadors, clients, socis o usuaris, etc.).
• Validar en el seu cas la informació i consentiment que requereix el tractament de les dades.
• Implementar un canal per fer efectius els drets del interessats (drets d´accés, rectificació, cancel·lació i oposició).
• Signar documents de confidencialitat amb les terceres entitats que accedeixin a les dades per prestació de serveis.
• Conèixer si li és d´aplicació alguna normativa sectorial (per exemple, la relativa a comunicacions comercials per via electrònica).

Les entitats que encara no estiguin adaptades a la normativa de protecció de dades han de saber que les sancions per incompliment poden arribar als 600.000€.

Una eina útil desenvolupada per la Agència de Protecció de Dades és EVALUA, que a mode de test gratuït i anònim permet autoavaluar el grau de compliment de la llei, accessible des del web de l´Agència. També recomano la “Guia del Responsable del Fichero”, editada per la mateixa Agència.

• Quin diries que són els principals reptes que ha d’afrontar una entitat que tot just ara vulgui abordar el tema de la LOPD?

A banda de familiaritzar-se amb la normativa, diria que el repte principal, especialment per a les entitats petites, és encabir tota una sèrie de tasques derivades de la protecció de dades dins del funcionament habitual de l´entitat, amb la despesa de recursos (personals i econòmics) que comporta.

• La LOPD afecta transversalment tota l’entitat, oi? No afecta només a com tractem les dades de les persones sòcies o usuàries, sinó també a com les recollim, a la cura que hem de tenir amb les imatges on apareguin persones... és així?

Sí, la LOPD és una filosofia que han de respirar tots els departaments d´una entitat i tot el procés de recollida i tractament de tota mena de dades personals. És important transmetre a tots els treballadors les implicacions que comporta la protecció de dades per a l'entitat i per a la seva feina quotidiana.