El febrer de 2021, l’Agència Catalana de Protecció de Dades va presentar un decàleg que pretén solucionar alguns dels principals dubtes que pot plantejar la normativa sobre aquest tema.
La normativa de protecció de dades ha patit importants modificacions els últims anys. Per facilitar la seva interpretació, l’Autoritat Catalana de Protecció de Dades ha elaborat un decàleg pràctic i intuïtiu sobre la matèria, resolent alguns dels principals dubtes que particulars i organitzacions li plantegen i, alhora, proporcionant alguns consells i recursos addicionals. Tot seguit, s'exposen alguns dels elements més rellevants de cada un dels deu punts.
Menors i protecció de dades
Els i les menors són uns dels subjectes més vulnerables a la protecció de dades, especialment els i les menors de 14 anys. És per això que la normativa en aquesta matèria fa especial èmfasi, com a forma, també, en fer front a situacions greus que s’han anat produint, com ara l’assetjament a través d’internet. Per aquest motiu, facilita algunes eines que poden ajudar a evitar-ho.
En aquelles matèries que calgui atorgament de consentiment, els i les menors poden atorgar-lo a partir dels 14 anys. Abans d’assolir aquesta edat caldrà el consentiment del progenitor/a o tutor/a legal.
Dades mèdiques i especialment sensibles
La normativa recull algunes dades personals que són especialment sensibles i que el seu tractament pot afectar directament els drets i llibertats i, en conseqüència, estan més protegides. Algunes d’aquestes dades són l’afiliació sindical, l’opinió política o les dades de salut, entre d’altres.
Per tractar aquestes dades especialment reservades cal la concurrència d’algun dels supòsits que la mateixa legislació estipula. El decàleg posa especial èmfasi en les dades de salut, sobretot arran de la proliferació d’un gran nombre d’aplicacions que fan un seguiment de l’estat físic i de la salut de les persones i que, per tant, recullen gran part d’aquestes dades.
Xarxes Socials
Les xarxes socials han suposat un gran canvi en la manera d’interactuar amb les amistats, familiars i coneguts/conegudes, facilitant la immediatesa en tot allò que es comparteix, però aquesta manera de relacionar-se també suposa un risc.
Davant d’això, l’Agència recomana tenir molta cura amb la informació que es publica, sempre analitzant amb qui es comparteix, per què i si el contingut és adequat. També fa especial esment al risc de robatori de personalitat i al perill de la geolocalització. Per pal·liar aquests possibles riscos, la guia dona alguns recursos útils.
Intel·ligència artificial i videovigilància
La tecnologia també ha comportat el creixement en l’aplicació de la intel·ligència artificial, que permet que les màquines puguin prendre decisions complexes abans limitades a les persones.
Per evitar molts dels riscos que pot suposar la cada vegada més present intel·ligència artificial cal tenir la màxima cautela, sempre sol·licitant la màxima informació sobre les decisions automatitzades, podent exercir el dret a no ser objecte d’aquest tipus de decisions.
D'altra banda, són molts els entorns que estan sotmesos a videovigilància. La normativa europea i espanyola hi posen èmfasi, determinant quan es pot gravar i quins límits hi ha a la gravació, també tenint en compte la possibilitat de gravar en entorns laborals.
Una qüestió a tenir en compte és que en cas de videovigilància, cal complir amb l'obligació d’informar i, per tant, és necessari un cartell suficientment visible, on consti la identitat del/la responsable i informació de com exercitar els drets que reconeix la llei de protecció de dades.
Teletreball
El teletreball ha passat a ser una modalitat de treball ben estesa arran de la pandèmia provocada per la Covid-19.
En conseqüència, s’han d’adoptar mesures per allunyar els riscos que suposa treballar fora de l’oficina, sovint en núvols i a través de sistemes remots, que poden ser una facilitat per l’entrada de tercers a la informació protegida. Davant d'aquestes possibles situacions de risc, és convenient que les organitzacions estableixin mecanismes i mesures que redueixin aquests riscos per tal de mantenir un entorn de treball segur, tot i dur a terme aquesta activitat en dispositius personals.
Dispositius mòbils
Avui dia tothom disposa de dispositius mòbils i aquests permeten dur a terme tota mena d'accions i activitats, molt més enllà de simplement fer trucades telefòniques. Tot això comporta que aquests dispositius emmagatzemin moltes dades, algunes d'aquestes molt sensibles.
Per tot això, és important adoptar mesures que ens ajudin a evitar la posada en risc de la seguretat del dispositiu, com ara a través de l'ús de claus d’accés o xifratges, sempre analitzant la seguretat de les aplicacions i evitant la connexió a xarxes WiFi públiques, entre altres qüestions a tenir en compte.
Internet de les coses i drets de la protecció de dades
La denominació internet de les coses es refereix a la interconnexió entre diversos dispositius buscant l’increment de la funcionalitat.
Aquesta interrelació entre dispositius suposa una vulnerabilitat i un risc cap a la protecció de dades, especialment davant de sistemes que recullen dades sistemàticament. Per fer-hi front, cal consciència sobre la seguretat i seguir les recomanacions, sobretot sobre manteniment i actualització del programari.
Pel que fa a la protecció de dades, la guia identifica els supòsits, recollits a la normativa, que permeten el tractament de les dades i que són els següents: consentiment, interès legítim, obligació legal i interès públic.
També recorda que totes les persones tenen uns drets davant del tractament de les seves dades, que són els següents: el dret d’accés, el de rectificació, el de supressió, el de portabilitat de dades, el de limitació i el de no ser objecte de decisions automatitzades.
Funcions de la figura de delegat/da de protecció de dades
En alguns casos serà obligatori designar una persona delegada de protecció de dades, que s’encarregui de supervisar que l’organització compleix amb la normativa, informar i assessorar, i cooperar i exercir de punt de contacte amb l’autoritat competent en matèria de protecció de dades.
Aquesta figura és, també, la persona referent per a qualsevol persona interessada que vulgui exercir els seus drets en matèria de protecció de dades.
La guia recorda que, d’acord amb el que s’estableix a la normativa, el delegat/da de protecció de dades és obligatori en els següents supòsits:
- En cas d’organització o autoritat pública.
- Tractament que comporti l’observació sistemàtica a gran escala.
- Tractament a gran escala de categories especials de dades o relatives a condemnes o infraccions penals.