El Reglament europeu de protecció de dades (RGPD) va entrar en vigor el 2016, però no va ser d’obligat compliment fins el 25 de maig del 2018. Tot i el marge de dos anys per complir amb la normativa, moltes entitats no s’hi han adaptat fins fa pocs mesos. Algunes encara tenen en compte la norma desfasada del 1999.
Glòria Freixa i Joana Marí, expertes de l’Autoritat Catalana de Protecció de Dades (APDCAT), van resoldre els dubtes de les entitats al voltant de la nova llei durant la jornada que va organitzar Suport Tercer Sector el 24 d’octubre al Centre d’Estudis Jurídics, a Barcelona. Més de 150 representants d’associacions i fundacions van assistir a la conferència.
Glòria Freixa: “No es tracta d’incloure una clàusula informativa i llestos”
Quins són els principals neguits de les entitats al voltant de la protecció de dades?
Primer de tot, complir amb la norma. És com si la regulació del 2016 fos nova i no hi hagués hagut res abans sobre protecció de dades. De cop, tothom s’està posant nerviós per complir amb la normativa, i ja és una bona cosa que s’hagi creat aquesta consciència de compliment. Estan preocupats sobretot pel tema de les xarxes, per l’ús de les imatges, i per si el compliment els suposarà una quantitat de diners important en la gestió, o si ho podran fer ells mateixos sense l’ajut de ningú.
Quins són els principals errors que es cometen?
No acaben de ser conscients de la importància d’aquest dret fonamental. Moltes entitats s’ho prenen com una llei que només obliga a posar una clàusula informativa perquè els usuaris la signin, i llestos. L’error més gran és no veure que és un còmput global. Cal fer-se una fotografia de les característiques i necessitats de l’entitat per veure quines obligacions ha de complir i quines no. Moltes entitats es queden amb una petita obligació que seria com la façana. La protecció de dades no és només donar aquesta informació.
Quines entitats han de complir amb més obligacions?
Les entitats que treballen amb dades de categoria especial. Per exemple, les que utilitzen moltes dades pel seu funcionament, les que tracten dades de menors, salut, religió, ideologia…
On s’han de dirigir les entitats que tinguin dubtes sobre com tractar les seves dades?
A l’Autoritat Catalana de Protecció de Dades tenim un servei d’atenció al públic que atén totes les consultes i, a més, hi ha un servei de consultoria per a les entitats que prefereixin fer les consultes de manera presencial. En aquest cas s’ha de fer demanant hora prèviament.
Joana Marí: “Cal un compromís actiu de les entitats amb el dret a la protecció de dades”
Quins són els principals neguits de les entitats al voltant de la llei de protecció de dades?
Els neguits de les entitats venen derivats, normalment, del fet que es tracta d’una norma molt especialitzada. Per tant, de vegades, la terminologia és difícil d’entendre. Un cop identificats els conceptes, l’aplicació pràctica de la normativa no té perquè suposar majors dificultats.
Quines són les principals diferències de la nova normativa respecte a l’anterior?
La nova normativa ha canviat d’enfocament i es basa en dos eixos. Un d’aquests és que exigeix la determinació dels riscos concrets per a les persones derivats dels tractaments que es realitzen per cada entitat. Quan l’entitat ja sap quin és el grau de risc pels drets de les persones, han de determinar quines mesures han d’implantar.
Quines són les entitats que gestionen dades amb més riscos?
Per exemple, les que gestionen dades de salut, orientació sexual, ètnia … o tracten un gran volum d’informació. També les dades de col·lectius vulnerables com infantso persones amb discapacitat, o les entitats que fan perfils de persones per prendre decisions sobre elles. Les associacions que tracten dades que poden ser més invasives han de complir amb més obligacions.
I el segon eix?
La responsabilitat proactiva, l’anomenada ‘accountability’. Això suposa que les entitats no només han de complir amb la protecció de dades, sinó que, a més, han de triar les millors mesures per protegir les persones i han d’estar en disposició de demostrar-ho. Abans era més formal i menys flexible, perquè tothom havia de complir amb les mateixes obligacions. Per exemple, les mesures de seguretat eren les mateixes per a un hospital que per a una clínica dental. El que ho definia eren el tipus de dades tractades (salut), no els riscos.
Hi ha entitats que encara no s’han adaptat a la normativa.
Fa dos anys que fem formació específica i actes de sensibilització. Hem posat a disposició de les entitats guies i eines per adaptar-se al RGPD a través de la nostra pàgina web (www.apdcat.cat). Esperem que, les entitats, en la mesura del possible, estiguin complint amb les seves obligacions. El nou reglament, tot i el seu canvi d’enfocament, continua basant-se en els mateixos principis (limitació de la finalitat, minimització, i manté obligacions tant importants com l’obligació d’informar les persones, o de tenir una base jurídica per tractar les dades: consentiment, contracte, obligació legal,…
On s’han de dirigir per assessorar-se?
Es poden dirigir al servei d’atenció al públic de l’Autoritat Catalana de Protecció de Dades, al servei de consultoria de les entitats que entren dins el nostre àmbit competencial i, si són qüestions jurídiques més complexes el responsable del tractament, també, pot presentar una consulta per escrit a l’Autoritat. El que volem és prevenir que es vulnerin els drets de les persones.
Quins són els errors més freqüents que cometen les entitats en relació a l’RGPD?
La major dificultat es no entendre el canvi de paradigma del reglament. El que vol la norma és, per exemple, que quan es redactin les clàusules informatives no es centrin només en la informació a donar sinó que, també, tinguin en compte les persones a qui s’adrecen i la millor manera de facilitar-los la informació perquè la puguin entendre i conèixer quines poden ser les conseqüències derivades del tractament. Encara tenim el xip de posar molta informació i no tant la idea de pensar a qui ens adrecem i quin és el millor mecanisme perquè la gent entengui què és el que farem amb la seva informació.
En general, és una millora respecte a l’anterior norma?
És una norma amb perspectiva de futur, que es va redactar amb la idea que fos “tecnològicament resistent”; és a dir, està pensada perquè es pugui aplicar independentment de les tecnologies que vagin sortint. Inclou moltes millores, com la responsabilitat proactiva, la voluntat de compromís de les entitats i que siguin les entitats que tracten les dades qui determinin les mesures que cal aplicar. A més, dona més control als titulars sobre les pròpies dades, ampliant drets com el d’accés o supressió, i creant-ne de nous com el de portabilitat o limitació del tractament.