Àngela Lleixà i Alsina és advocada especialista en protecció de dades i en ciberseguretat. Forma part de l'equip de Prodat, una firma de consultoria, auditoria, formació i assessoria legal i informàtica. Entre la clientela, tenen federacions de l'àmbit del tercer sector i entitats socials.

Deixa clar que les entitats socials tenen deures legals en protecció de dades, remarca que és una feina que involucra tot l'equip i, com a element positiu, subratlla que, malgrat la falta de recursos habitual, és un sector conscienciat de com un mal ús de les dades i la informació pot afectar, i molt, la vida de les persones usuàries.

Com afecta la llei de protecció de dades a les entitats socials?

La normativa de protecció de dades afecta a tot tipus d'entitat per igual, tant a les botigues de barri com a les grans multinacionals passant per l'administració pública o entitats del tercer sector. En totes hi ha un denominador comú: en totes hi podem trobar dades referent a una persona física. Tot i així cada una ho fa des d'una perspectiva diferent.

Quines particularitats té en aquest àmbit?

En el meu parer, una de les peculiaritats més evident dins del tercer sector és la tipologia de dades que es poden arribar a tractar per portar a terme les prestacions, ja que en molts casos estarem parlant de dades sensibles que afecten col·lectius vulnerables. Per tant, les haurem de guardar amb molta cura amb l'objectiu de protegir-ne la privacitat. Cal entendre que l'ús de les dades d'una persona comporta conseqüències per a la seva vida, incloent perjudicis importants si no es fa correctament.

Potser per desconeixement, es veu com un tema pesat i complicat. Hi ha tres elements clau que s’hagin de tenir clars i siguin fàcils d’entendre?

Molta gent m’ho diu, però en el fons el compliment en matèria de protecció de dades és el que sempre hem fet: no donar la informació a terceres persones externes a l'entitat i protegir les dades per poder continuar amb la nostre prestació.

Elements clau: document de confidencialitat i comunicació de les mesures de seguretat a aplicar per a persones treballadores i col·laboradores; la signatura de contractes amb els encarregats de tractament amb menció a la nova normativa RGPD /LOPDGDD (l’encarregat de tractament és aquell proveïdor extern a qui voluntàriament cedim dades) i el dret d'informació i obtenció de consentiment de la persona. Això és on informem l'usuari del que farem amb les seves dades, com ara la fitxa d'usuari o quan sol·licitem autorització per ús de la imatge.

Com a experta, insisteixes sobretot en la necessitat de prevenir i protegir la informació de possibles riscos en un futur. Com es fa això?

És molt simple, cada entitat posarà les mesures que tingui al seu abast per protegir el seu principal actiu, la informació d'un tercer extern a l'entitat. Una vegada establert això es tracta de netejar sobre net i anar millorant en aquells aspectes que haguem pogut detectar que hi pot haver una filtració d'informació. És el que es diu un pla de millora continu.

Com ho podem fer?

Fàcil: limitant la informació per àrees, fent signar els contractes en matèria de protecció de dades als nostres proveïdors, canviant les contrasenyes mínim una vegada a l'any i no deixar-les amb un post-it enganxada als ordinadors. També cal que utilitzem programes autoritzats, no deixar la informació a la vista i utilitzar un internet amb contrasenya. En el fons, cada entitat, dins dels seus recursos, ha d’utilitzar tot allò que tingui al seu abast per salvaguardar la informació.

I si tenim un incident que afecta la seguretat de les nostres dades?

És important informar a la persona en matèria de protecció de dades referent a l'entitat i valorar si s'ha de notificar a l'autoritat competent en aquesta matèria i també a les persones usuàries. El termini que tenim és de setanta-dues hores per analitzar i valorar des del descobriment de l'incident.

En aquests casos és important tenir l'assessorament d'una persona experta en matèria de protecció de dades. Una persona que també ens pot ajudar fent les auditories periòdiques de protecció de dades que estableix la normativa. Són cada un o cada dos anys.

Aquesta prevenció i protecció semblen clares en les empreses… Al tercer sector social ens n’oblidem?

No depèn del volum de l'entitat o del sector, sinó de la voluntat de cada entitat de complir amb la normativa de protecció de dades. En molts casos, podem pensar que no ho podem fer perquè no tenim els recursos econòmics suficients, però no és veritat, la normativa deixa oberta la porta al fet que cadascú usi les mesures que tingui al seu abast per salvaguardar el principal actiu, és a dir, les dades.

Al tercer sector no és fàcil arribar a un equilibri adequat entre risc de les dades i garantir la seva seguretat, perquè no es tenen els mateixos mitjans que a altres sectors. Per altra banda, al sector social existeix un alt grau de conscienciació i sensibilitat davant d’aquesta matèria i això és un punt fort de molta ajuda.

Què pot comportar per a una entitat no fer bé la protecció?

Pot comportar des de multes per part de AEPD (si enviem publicitat a gent que ni són usuaris nostres ni ens han autoritzat), fins a la pèrdua completa de l'entitat si patim un atac ransomware i no teníem còpia de seguretat feta correctament.

Els últims mesos s’han conegut molts segrestos de webs i d’informació d’empreses. Demanen un rescat. Això també passa al tercer sector?

Amb l'augment de l'ús de les noves tecnologies els ciberatacs han augmentat. En aquests moments els més famosos, però no els únics, són aquests tres: ‘Ransomware’, “frau del CEO” i recepció de SMS/correu electrònic o trucada dient que el banc a patit un atac.

I com actuen?

El ‘Ransomware’ ens encripta la informació i ens demana un rescat. És fonamental tenir dues còpies de seguretat separades i que es facin periòdicament. Millor que siguin diàries. A l’entitat tenim dades personals, però també comptables i de coneixement. En el cas que ens encriptin tota la informació un dia abans de presentar impostos o una subvenció la bona còpia ens salva.

En el “frau del CEO”, els delinqüents suplanten el correu electrònic d’un membre de l’entitat i sol·liciten a la persona de comptabilitat que faci un pagament en un compte bancari nou d’un proveïdor. Sempre que es rebi un correu amb un canvi de compte bancari cal confirmar-ho amb el remitent. El tercer cas, és la recepció de SMS, correus o trucades dient que el banc ha patit un atac i hem de donar les dades bancàries per un d'aquest canals. També que hem rebut un paquet a Correus i hem d’entrar a un enllaç. Sempre cal confirmar-ho.

Què aconsella?

Per prevenir aquest atacs és fonamental la implicació de tots els membres de l'entitat en matèria de protecció de dades i fer seguiment de les instruccions de l'entitat per poder portar a terme el control de la informació.

Per tant, amb tenir còpies de la informació no n’hi ha prou?

Absolutament no. És important que tots els membres de l'entitat, tant persones treballadores com col·laboradores, estiguin implicades i formades en matèria de protecció de dades (confidencialitat i mesures de seguretat). Per què? Perquè tota entitat no deixa de ser una activitat en equip. És fonamental que tota entitat tingui sempre el control de la seva informació.