COL·LABORACIÓ
La protecció de dades personals: dret fonamental
Doctor en Dret. Professor de l’Escola Universitària de Relacions Laborals de Lleida.
El Reglament General de Protecció de Dades ja es va aprovar l’any 2016, però és el proper dia 25 de maig quan passa a ser d’obligat compliment, ja que substitueix l’actual normativa. A partir d’aquesta data els errors en les empreses poden resultar molt cars, si s’incompleix aquest Pla de protecció de dades. Existeix, en l’actual era digital, una necessitat urgent i evident de protegir i salvaguardar la informació personal i professional dels ciutadans, clients i proveïdors. Però què s’entén per dades personals? És tota la informació relacionada amb una persona que pugui usar per identificar-la, incloent el nom, fotos, direcció de correu electrònic, dades bancàries, publicacions a les xarxes socials, informació mèdica, orientació sexual o dades biomètriques.
Amb aquesta norma es pretén evitar que la nostra informació i les dades personals circulin sense control per internet i amb una total impunitat, a més aquest Reglament introdueix un marc regulador bàsic i igual per a tots els països de la UE. Aquesta norma és molt adient i necessària, entre altres coses, per raons de seguretat, perquè tots sabem i coneixem empreses que han patit un ciberatac i, per aquest motiu, és important saber què és el que cal fer i quines mesures s’han de prendre en aquest cas. Warren Buffet va dir que els ciberatacs són l’amenaça més gran a què s’enfronta la humanitat, més gran inclús que les armes nuclears.
En aquest nou marc reglamentari cal tenir present que independentment que l’empresa sigui una gran corporació o un petit autònom, si aquest recopila o guarda dades sensibles, haurà de complir el reglament i per tant adaptar-s’hi. Sembla que actualment hi ha més d’1,2 milions de petites i mitjanes empreses espanyoles que no han adoptat encara les mesures previstes en aquest Reglament (a Catalunya, 370.000 pimes) i encara la situació és pitjor pel que fa als autònoms, possiblement, a causa d’una falta de consciència clara o d’un desconeixement de la gravetat de la situació (moltes persones desconeixen el que és la protecció de dades personals) o per una manca de recursos econòmics. Les grans corporacions, per contra, fa molt de temps que executen aquest procés d’adaptació.
De forma resumida farem constar els aspectes més rellevants de la norma:
a) Davant de l’increment de les exigències respecte a com les empreses tracten les dades de tercers, el Reglament decideix professionalitzar la tasca que fins ara realitzava, en la majoria dels casos, el responsable de dades. Per aquest motiu es crea la figura del delegat de protecció de dades, així doncs la presència d’aquest professional serà obligatòria tant en els organismes públics com en els privats (sempre que realitzin una observació habitual i sistemàtica de dades personals a gran escala). b) Principi de responsabilitat proactiva de les empreses en l’adaptació i adequació de les dades que gestionin i els tractaments que realitzin. c) Ja no és possible el tractament de dades basades en consentiments tàcits, sinó que serà necessari disposar de consentiments efectius, informats, explícits i previs dels interessats. d) Una empresa, davant de la situació de risc i crisi de seguretat i a l’objecte de ser menys vulnerable i més forta, hauria de prendre mesures preventives i de seguretat. En cas que hagi patit un incident de seguretat, s’ha de comunicar a l’Agència Espanyola de Protecció de Dades i a tots els afectats, en un termini de 72 hores. Un incident de seguretat podria ser, per exemple, un ciberatac en el qual s’hagi produït un robatori de dades personals, els hackers fan 4.000 atacs diaris, accedint i aprofitant-se, en el 32% dels casos (segons un informe de Sirama Consulting del 2017), d’un error de l’empleat, a l’intentar implementar una aplicació informàtica. Aquests hackers acaben demanant posteriorment un rescat econòmic a les víctimes, la qual cosa molts empresaris ja han patit. e) El reglament estableix una escala de sancions importants en cas d’incompliment de la nova normativa. Les multes poden ser del 4% de la facturació o bé vint milions d’euros, independentment de les possibles reclamacions dels clients per danys morals, patrimonials i de reputació. f) En l’ús genuïnament domèstic de dades no caldrà l’aplicació del reglament, un exemple d’aquest ús seria la possibilitat d’enviar un correu en la celebració d’una festa d’aniversari o pujar a la xarxa les fotos d’un casament; sense oblidar que cadascú ha de ser conscient de la responsabilitat d’ús que fa d’aquest material a les xarxes socials. g) És important informar els treballadors i formar-los, perquè després es pugui demanar responsabilitats. h) S’hauria de tenir protocols de conducta digital i crec que seria necessari incloure’ls en els contractes laborals, com una obligació més. i) La norma garanteix el dret a l’oblit, que consisteix a impedir la difusió de dades personals a internet si han estat tractades il·lícitament o si una persona retira el consentiment d’ús de dades a una empresa, aquesta les haurà d’eliminar. j) Respecte als menors de 16 anys, WhatsApp haurà d’obtenir el consentiment dels seus pares perquè els menors puguin utilitzar l’aplicació. Encara que cal dir que aquesta mesura serà difícilment aplicable per la complicació d’establir mecanismes que puguin permetre saber amb certesa l’edat d’una persona. Tenint en compte la dificultat que comporta l’adaptació de les empreses al Reglament, no caldria mobilitzar-se i demanar una moratòria al Govern? No seria convenient que totes les administracions públiques intensifiquessin campanyes d’informació, sensibilització i conscienciació?
Vivim en una societat contradictòria, ja que, per una part, el Reglament de Protecció de Dades Personals intenta protegir i preservar la nostra informació personal i, per l’altra, nosaltres, cada vegada més i de forma voluntària i a vegades inconscient, estem sobreexposant més la nostra intimitat a internet i a les xarxes socials. Com es pot protegir la privacitat de les dades si quan s’accedeix a centenars d’aplicacions des de l’ordinador o el mòbil es dipositen a la xarxa dades personals i es dóna informació que és fonamental per als que la poden utilitzar en el seu benefici?