En els darrers temps, ha guanyat molta importància el tractament de les nostres dades i n'exigim un control més gran del seu ús. Això també afecta les entitats, que han de complir una normativa més estricta pel que fa a la seguretat de les dades personals. Avui parlem de tot plegat amb el Jordi Mir, la persona que duu a terme aquesta tasca a la fundació AMPANS, una entitat que fa més de 50 anys que treballa per afavorir la plena integració de les persones amb discapacitat intel•lectual.

Quina és, a grans trets, la funció d’una persona delegada de protecció de dades en una entitat?

Les lleis i reglaments que regulen la protecció de dades volen protegir a les persones per tal que la informació relativa a la seva persona, de la que disposen altres entitats o persones, estigui protegida i no es pugi vulnerar el seu honor, intimitat i privacitat. El delegat de protecció de dades és la persona dins de l’organització que vetlla perquè les dades personals que tenen recollides es gestionin de manera adequada.

Totes les dades són importants, però n’hi ha algunes de més sensibles on s’ha de tenir especial cura, com són les relatives a la salut, religió, orientació sexual, ètnia, etc.

Quins consideres que són els aspectes fonamentals que hauria de saber una persona que desenvolupa aquesta tasca?

El responsable de protecció de dades ha de conèixer el marc normatiu d’aplicació, especialment el Reglament 2016/679 de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel què fa al tractament de dades personals i a la lliure circulació d'aquestes. També és important que aquesta persona, per a la protecció de dades, tingui coneixement de l’entitat, de les seves persones i les formes de treball.

La formació és indispensable per a una persona delegada de protecció de dades?

Per desenvolupar les tasques de delgat de protecció de dades no cal una formació específica. Malgrat això l’Agencia Española de protecció de Dades (AEPD) ha promogut un Esquema de Certificació de delegats que garanteix la qualificació professional i els coneixements requerits per a exercir la professió.

Tanmateix, existeixen empreses dedicades a la consultoria que t’ajuden a avaluar el grau de compliment de la protecció de dades, identifiquen les vulnerabilitats a les que estàs exposat i detecten tots aquells procediments que siguin necessaris, ajudant-nos en la seva implantació.

En què es diferencia la normativa actual de protecció de dades amb relació a l’anterior?

La llei que va entrar en vigor el 25 de maig de 2018 pretenia adaptar-se al reglament europeu de protecció de dades, amb la finalitat de protegir els drets de les persones usuàries en l’univers digital, evitant l’exposició i vulnerabilitat de les nostres dades com a ciutadans, i els abusos publicitaris o amb finalitats comercials. El Reglament General de Protecció de Dades (RGPD) regula a nivell europeu els drets i les obligacions dels ciutadans en matèria de protecció de dades.

Entre d’altres mesures, la llei obliga a recollir documents de consentiment verificables de totes les persones de qui manegem les seves dades personals. La persona ha d’estar informada, de forma clara i senzilla, del tractament que farem de les seves dades. La política de privacitat ha de ser entenedora i accessible i hem posat un correu electrònic específic que és públic a la nostra pàgina web.

Qualsevol persona que entra a formar part de la comunitat AMPANS com a usuària de serveis, familiar, professional, client, voluntari, etc. ha de saber com tractarem les seves dades i perquè, i ha d’acceptar la política de privacitat i autoritzar-nos o no a la publicació de la seva imatge per raons de difusió o divulgació de la tasca que duem a terme des de l’entitat, i respectar en tot moment la seva voluntat.

Quan és obligatori comptar amb aquesta figura?

L’obligatorietat de disposar d’un delegat de protecció de dades queda recollida en l’article 37 del Reglament Europeu i en l’article 34 de la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.

La fundació AMPANS queda obligada perquè disposa d’una escola, l’escola Jeroni de Moragas, i pel fet de recollir i mantenir les històries clíniques de les persones usuàries de centres residencials, malgrat no siguem un centre sanitari.

Suposo que s’ha d’acreditar que es compleix amb la legislació respecte a la protecció de dades.

Són diverses passes: S’ha de comunicar (donar d’alta) a l’Agència Espanyola o a l’Autoritat Catalana de Protecció de dades, els arxius que se’n disposin i quina informació contenen.

A banda, mitjançant la documentació acreditativa de cessió i ús de dades s'ha de comunicar a l'Autoritat de Protecció de Dades, la figura del delegat, així com a tot el personal de la organització, i donar-lo a conèixer a les persones usuàries. També s’ha de comunicar qualsevol fuga de dades i respondre a les inspeccions i denúncies que hi pugui haver.

A què s’exposa una entitat/fundació que no compleixi amb la normativa sobre protecció de dades?

Des d’una advertència fins a sancions econòmiques que poden variar molt en funció de la gravetat de la infracció.

Quines són les principals dificultats que t’has trobat en la teva tasca?

El compliment de la llei demanda d’un ampli conjunt documental que demanda una constant actualització. En el nostre cas, a AMPANS realitzem tasques i activitats molt diverses i diferenciades, i cada una d’elles genera una tipologia de dades diferents, que alhora requereixen tractaments diferents. Aquesta variabilitat és també un condicionant important en la gestió.

Creus que, en general, a les entitats encara existeix poca cultura sobre la protecció i privacitat de les dades?

No disposo de prou dades en aquest sentit per parlar de forma generalitzada al nostre sector, però donades les seves característiques, l'alt volum de dades que tracta, la categoria sensible de moltes de les dades, i la intervenció de voluntaris en les seves activitats, podríem aventurar que el desconeixement i la manca de formació de les organitzacions i dels usuaris de les dades podria ser un obstacle per la sensibilització i compliment de la normativa.