On és el teu jedi de la privacitat?

9 juliol 2019

Temps de lectura 4 minuts

Google, Facebook, Amazon i Microsoft van haver de claudicar. No és habitual que les grans corporacions que controlen de forma completa la vida digital de milions de persones hagin de respondre a les peticions de les administracions públiques. De fet, aquests gegants empresarials estan acostumats a precisament el contrari. Tenint en compte que han nascut en un país ultraliberal on les empreses tenen la llibertat de fer i desfer amb molta màniga àmplia, operar en un entorn molt més intervencionista com el mercat europeu els enxampa sempre a contrapeu. Això també és la globalització, amics.

Va ser el 25 de maig de 2018 quan el nou Reglament General de Protecció de Dades (RGPD) va entrar en efecte en tots els països membres de la Unió Europea. Sota l’amenaça de multes de fins el 4% dels ingressos de les empreses, amb el límit en els 20 milions d’euros, la Unió va realitzar un important pas en favor de la protecció de la privacitat i la seguretat de les dades de tota la seva ciutadania.

Google va haver de deixar molt més clares les seves polítiques de privacitat (vídeo). Facebook va decidir moure els milions de dades dels seus usuaris no europeus fora d’Irlanda per evitar aplicar-hi les mateixes restrictives normes que en garantien els drets, i es va veure obligada a protegir molt més els dels ciutadans comunitaris. Accions similars van haver de seguir Amazon, Microsoft, Apple… Des d’aleshores, tota organització que treballés amb informació d’usuaris europeus hauria d’haver implementat diferents mètodes per assegurar que eren els propis usuaris els que estaven en control de les dades que generaven i compartien.

L’objectiu era el d’empoderar de nou els usuaris. Retornar aquest control de la informació personal a qui la genera i no limitar-se a cedir-la a qui se’n beneficia. El període d’adaptació va durar dos anys, des de que el reglament va ser adoptat l’abril de 2016. Durant aquest període, les empreses i institucions han tingut temps d’adaptar-s’hi. Entre les imposicions, s’obliga a que les empreses a:

Sol·licitar permís als usuaris abans d’extreure’n les seves dades.
Advertir de quina informació dels usuaris es recull i s’emmagatzema.
Explicar com i qui tracta la informació recollida i amb quines finalitats.
Permetre i facilitar l’accés, la cancel·lació i l’extracció de les dades personals de què es disposi a cada usuari que les generi.
Notificar qualsevol filtració de dades personals abans de que transcorrin 72 hores.
Instaurar el perfil del Data Protection Officer (DPO) en l’organització, ja sigui formant-lo i promovent-lo des de dins de l’empresa o contractant-lo externament si no es disposa d’un professional que s’hi pugui convertir. El DPO és el o la responsable d’assegurar el compliment del RGPD en cada entitat.

Són les grans empreses les que han hagut de fer els canvis més grans i els que s’han endut els titulars, i de fet han estat les més vigilades en aquesta transició. Però la llei RGPD afecta a tota empresa i entitat que treballi amb informació de ciutadans europeus, sigui gran o petita.
Entitats i organitzacions amb menys pressupost s’han hagut d’adaptar a aquesta normativa en un procés que els ha comportat grans reptes i que, de fet, moltes encara no han arribat a assimilar ni complir.

Qui ha de disposar d’un DPO?

Avui en dia, per exemple, no totes les entitats disposen d’un Data Protection Officer (DPO) tot i treballar amb informació personal sensible dels seus usuaris, treballadors o socis. En les primeres versions del RGPD es mencionaven el mínim de “250 treballadors” com la xifra màgica que comportava l’obligació d’incorporar un DPO a la plantilla. En el reglament aprovat, però, desapareix aquesta característica quantitativa i es reemplaça amb una apreciació qualitativa, és a dir, amb diferents criteris que han de complir aquelles entitats obligades a comptar amb un DPO. A grans trets, ha de comptar amb un o una DPO tota aquella empresa que treballi amb dades personals de ciutadania europea i:

Sigui un organisme públic (o)
Quan les seves activitats principals siguin operacions de processament que requereixin un seguiment regular i sistemàtic de les persones afectades a gran escala (o)
Quan les seves activitats principals consisteixen en processar dades a gran escala que entren en dades especials (definides en l’article 9 del RGPD, entre elles origen ètnic, opinions polítiques, dades genètiques, de salut…) o referides a condemnes penals i delictes. https://easygdpr.eu/gdpr-article/9/

Què és un DPO, el Jedi de la privacitat?

Evidentment, tot i no complir amb aquests requisits, tota organització es pot beneficiar del rol d’un DPO, una persona capaç d’identificar el nivell de compliment amb el RGPD que ja compta amb més d’un any d’aplicació i que treballa en favor de la privacitat d’usuaris i treballadors.

El rol i perfil professional del o la DPO té unes característiques molt concretes que li permeten un funcionament independent dins de l’empresa i l’hi asseguren una neutralitat necessària per denunciar internament les deficiències de l’empresa en matèria de protecció de dades.

Entre altres responsabilitats, un DPO s’assegura que la seva organització compleix amb la llei, i comprova que responsables i interessats estan informats de drets i obligacions en relació a la privacitat i protecció de dades, aconsella sobre bones pràctiques i dóna recomanacions, coneix, controla i registra les operacions de tractament de dades de dins l’organització, col·labora en la implementació de sistemes per complir amb la RGPD, coopera en les investigacions de l’autoritat de protecció de dades (el Supervisor Europeu de Protecció de Dades, el SEPD) i està atent/a a qualsevol queixa sobre deficiències en el tractament o emmagatzament de les dades.

Projectes com el DPO training d’m4Social treballen per formar les entitats socials del Tercer Sector i facilitar la presència de DPO en totes elles per ajudar a que compleixin amb la nova regulació i facilitin la garantia a la protecció de dades de treballadors, socis i usuaris dels serveis.

Per accedir a la formació de DPO o rebre materials que ajudin la vostra entitat a fer la transició i complir amb el RGPD, podeu contactar m4Social a través del correu electrònic hola@m4social.org.

Altres notícies relaciondes

3 experiències d’entitats que estan utilitzant SinergiaCRM22 de juliol de 2024
La Taula participa al debat “Co-production for digital inclusion” en el marc del congrés anual de la European Social Network16 de juliol de 2024
Millora les teves competències digitals amb els cursos de digitalització d’Ilunion11 de juliol de 2024
m4Social i la Taula participen en el primer Col·laboratori de la regió metropolitana5 de juliol de 2024

Galeta	Durada	Descripció
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.