Google, Facebook, Amazon i Microsoft van haver de claudicar. No és habitual que les grans corporacions que controlen de forma completa la vida digital de milions de persones hagin de respondre a les peticions de les administracions públiques. De fet, aquests gegants empresarials estan acostumats a precisament el contrari. Tenint en compte que han nascut en un país ultraliberal on les empreses tenen la llibertat de fer i desfer amb molta màniga àmplia, operar en un entorn molt més intervencionista com el mercat europeu els enxampa sempre a contrapeu. Això també és la globalització, amics.
Va ser el 25 de maig de 2018 quan el nou Reglament General de Protecció de Dades (RGPD) va entrar en efecte en tots els països membres de la Unió Europea. Sota l’amenaça de multes de fins el 4% dels ingressos de les empreses, amb el límit en els 20 milions d’euros, la Unió va realitzar un important pas en favor de la protecció de la privacitat i la seguretat de les dades de tota la seva ciutadania.
Google va haver de deixar molt més clares les seves polítiques de privacitat (vídeo). Facebook va decidir moure els milions de dades dels seus usuaris no europeus fora d’Irlanda per evitar aplicar-hi les mateixes restrictives normes que en garantien els drets, i es va veure obligada a protegir molt més els dels ciutadans comunitaris. Accions similars van haver de seguir Amazon, Microsoft, Apple… Des d’aleshores, tota organització que treballés amb informació d’usuaris europeus hauria d’haver implementat diferents mètodes per assegurar que eren els propis usuaris els que estaven en control de les dades que generaven i compartien.
L’objectiu era el d’empoderar de nou els usuaris. Retornar aquest control de la informació personal a qui la genera i no limitar-se a cedir-la a qui se’n beneficia. El període d’adaptació va durar dos anys, des de que el reglament va ser adoptat l’abril de 2016. Durant aquest període, les empreses i institucions han tingut temps d’adaptar-s’hi. Entre les imposicions, s’obliga a que les empreses a:
- Sol·licitar permís als usuaris abans d’extreure’n les seves dades.
- Advertir de quina informació dels usuaris es recull i s’emmagatzema.
- Explicar com i qui tracta la informació recollida i amb quines finalitats.
- Permetre i facilitar l’accés, la cancel·lació i l’extracció de les dades personals de què es disposi a cada usuari que les generi.
- Notificar qualsevol filtració de dades personals abans de que transcorrin 72 hores.
- Instaurar el perfil del Data Protection Officer (DPO) en l’organització, ja sigui formant-lo i promovent-lo des de dins de l’empresa o contractant-lo externament si no es disposa d’un professional que s’hi pugui convertir. El DPO és el o la responsable d’assegurar el compliment del RGPD en cada entitat.
Són les grans empreses les que han hagut de fer els canvis més grans i els que s’han endut els titulars, i de fet han estat les més vigilades en aquesta transició. Però la llei RGPD afecta a tota empresa i entitat que treballi amb informació de ciutadans europeus, sigui gran o petita.
Entitats i organitzacions amb menys pressupost s’han hagut d’adaptar a aquesta normativa en un procés que els ha comportat grans reptes i que, de fet, moltes encara no han arribat a assimilar ni complir.
Qui ha de disposar d’un DPO?
Avui en dia, per exemple, no totes les entitats disposen d’un Data Protection Officer (DPO) tot i treballar amb informació personal sensible dels seus usuaris, treballadors o socis. En les primeres versions del RGPD es mencionaven el mínim de “250 treballadors” com la xifra màgica que comportava l’obligació d’incorporar un DPO a la plantilla. En el reglament aprovat, però, desapareix aquesta característica quantitativa i es reemplaça amb una apreciació qualitativa, és a dir, amb diferents criteris que han de complir aquelles entitats obligades a comptar amb un DPO. A grans trets, ha de comptar amb un o una DPO tota aquella empresa que treballi amb dades personals de ciutadania europea i:
- Sigui un organisme públic (o)
- Quan les seves activitats principals siguin operacions de processament que requereixin un seguiment regular i sistemàtic de les persones afectades a gran escala (o)
- Quan les seves activitats principals consisteixen en processar dades a gran escala que entren en dades especials (definides en l’article 9 del RGPD, entre elles origen ètnic, opinions polítiques, dades genètiques, de salut…) o referides a condemnes penals i delictes. https://easygdpr.eu/gdpr-article/9/
Què és un DPO, el Jedi de la privacitat?
Evidentment, tot i no complir amb aquests requisits, tota organització es pot beneficiar del rol d’un DPO, una persona capaç d’identificar el nivell de compliment amb el RGPD que ja compta amb més d’un any d’aplicació i que treballa en favor de la privacitat d’usuaris i treballadors.
El rol i perfil professional del o la DPO té unes característiques molt concretes que li permeten un funcionament independent dins de l’empresa i l’hi asseguren una neutralitat necessària per denunciar internament les deficiències de l’empresa en matèria de protecció de dades.
Entre altres responsabilitats, un DPO s’assegura que la seva organització compleix amb la llei, i comprova que responsables i interessats estan informats de drets i obligacions en relació a la privacitat i protecció de dades, aconsella sobre bones pràctiques i dóna recomanacions, coneix, controla i registra les operacions de tractament de dades de dins l’organització, col·labora en la implementació de sistemes per complir amb la RGPD, coopera en les investigacions de l’autoritat de protecció de dades (el Supervisor Europeu de Protecció de Dades, el SEPD) i està atent/a a qualsevol queixa sobre deficiències en el tractament o emmagatzament de les dades.
Projectes com el DPO training d’m4Social treballen per formar les entitats socials del Tercer Sector i facilitar la presència de DPO en totes elles per ajudar a que compleixin amb la nova regulació i facilitin la garantia a la protecció de dades de treballadors, socis i usuaris dels serveis.
Per accedir a la formació de DPO o rebre materials que ajudin la vostra entitat a fer la transició i complir amb el RGPD, podeu contactar m4Social a través del correu electrònic hola@m4social.org.