Un nou marc legal pel Big Data?

Per Esperanza Jordà

ekon Data Protection Lawyer

Ja a cavall entre els segles XVI i XVII, el filòsof anglès Francis Bacon avançava que “el coneixement és poder”, i immersos en plena Transformació Digital aquest concepte no ha fet més que afermar-se. La informació és un recurs estratègic a nivell empresarial i les noves tecnologies, entre elles les solucions de gestió empresarial,  han possibilitat l’aprofitament de grans quantitats de dades, traduint-se en una major intel·ligència de negoci.

Però el control d’aquesta informació era més senzill abans. Quan les nostres dades estaven únicament en format paper era molt més fàcil protegir-les. L’evolució de les noves tecnologies ha facilitat la incorporació de les nostres dades a fitxers informàtics de fàcil còpia i distribució. És cert que el tractament de dades en l’empresa compta amb infinitat de possibilitats; però també amb algunes incerteses que en moltes ocasions ens porten a no saber qui té o qui tracten les nostres dades personals o professionals, ni què fan amb elles.

Per aquest motiu, al maig de 2016 va entrar en vigor el Reglament General de Protecció de Dades (RGPD), una nova normativa de caràcter europeu i d’efecte directe en cada estat membre que suposa una gestió completament diferent a la qual es ve implementant actualment i a la qual és imprescindible que les empreses i organitzacions vagin adaptant els seus processos de gestió empresarial. No complir correctament amb el RGDP, que serà d’aplicació obligatòria a partir del 24 de maig de 2018, pot comportar sancions de fins a un 4% del volum de facturació anual global d’una empresa o fins a multes de 20 milions d’euros, en funció de la infracció. Sota el meu punt de vista, els aspectes  més rellevants  del RGPD són els que presento a continuació:

• Fi de Consentiment tàcit. El Reglament General de Protecció de Dades requereix que les persones prestin el seu consentiment mitjançant una manifestació inequívoca o una clara acció afirmativa. Això exclou la utilització de l’anomenat consentiment tàcit que permetia la normativa espanyola. Per tant els consentiments obtinguts amb anterioritat a la data d’aplicació del RGPD només seguiran sent vàlids si es van obtenir respectant els criteris d’aquest nou Reglament.

• Obligació a donar més informació. En matèria d’informació, el RGPD inclou qüestions addicionals que actualment no són requerides per la normativa espanyola. Així doncs, durant aquest període transitori les organitzacions haurien de començar a proporcionar la informació addicional a les seves pàgines web o aprofitant els canals de comunicació regulars que puguin mantenir amb els seus clients. Aquestes bones pràctiques contribuirien a reduir el nombre de casos en què les clàusules informatives presentin mancances quan el Reglament sigui aplicable. Al mateix temps, és aconsellable que les organitzacions vagin adaptant les seves polítiques informatives al que es disposa pel Reglament, com per exemple proporcionar les dades del Delegat de Protecció de Dades en els casos en què sigui obligatori o quan les organitzacions decideixin voluntàriament nomenar-ho.

• Mesures Tecnològiques per a la Privadesa des del disseny i per defecte. Tot projecte, ja sigui comercial, de creació d’una pàgina web, de desenvolupament d’entorn tecnològic, etc. ha d’avaluar des de l’inici del seu disseny i per defecte — Privacy by design & by default— els riscos que poden comportar per a la privadesa de les dades personals que incorporarà. A més ha de verificar que s’han engegat les mesures necessàries per eliminar-los o mitigar-los i, finalment, que a tot moment els tractaments de dades s’ajustin a la normativa de protecció de dades en vigor

• Avaluacions prèvies d’impacte sobre la protecció de dades. La realització d’Avaluacions d’Impacte sobre la protecció de dades, aplicables de forma obligatòria en certs tractaments — a gran escala, de dades d’especial protecció, en entitats públiques, etc.,— té caràcter previ a l’inici dels mateixos. El seu objectiu és minimitzar els riscos que un tractament de dades planteja per als ciutadans amb la finalitat d’evitar vulneració de drets i llibertats de les persones físiques. Començar a incorporar aquest sistema a l’actuació d’empreses i organitzacions no només va a permetre’ls ser més competitives i eficients al moment en què resulti obligatori sinó que també els permetrà assegurar el compliment no ja del futur Reglament, sinó fins i tot de l’actual normativa.

• Certificacions. El Reglament concedeix una atenció especial a la implantació d’esquemes de certificació i obre diverses possibilitats per a la seva gestió. Les certificacions poden ser atorgades per les Autoritats de protecció de dades, tant individual com col·lectivament des del Comitè Europeu, o per entitats degudament acreditades. Al mateix temps, en el cas d’optar-se per aquesta última alternativa, l’acreditació poden dur-la a terme les pròpies Autoritats o encarregar-la a les entitats d’acreditació previstes en la normativa europea sobre normalització i certificació.

• Una nova figura: El Delegat de Protecció de Dades (DPO). El Reglament impulsa una nova figura professional, el Data Protection Officer, la responsabilitat del qual és garantir el seu compliment. Els Delegats de Protecció de Dades (DPO) es nomenaran en funció de les seves qualificacions professionals. Especialment pel seu coneixement en matèria de protecció de dades, i la seva capacitat per a l’acompliment de les seves funcions. La valoració d’aquestes aptituds i coneixements haurà de realitzar-se no tant en funció de criteris externs com de les necessitats dels tractaments concrets que cada organització dugui a terme, valorant-se els professionals del dret i amb experiència en les auditories de protecció de dades actuals. El DPO podrà ser intern o extern.

• Revisar contractes i afegir noves clàusules. El Reglament descriu un contingut mínim en els contractes per encàrrec de tractament que excedeix les previsions contemplades en la normativa actual. En la nostra legislació ja es contemplava la inclusió d’alguns d’aquests continguts en els contractes, encara que hi ha diferències entre la LOPD actual i el RGPD en relació als requisits fixats. Aquest moment de transició entre l’entrada en vigor i l’aplicació del RGPD hauria d’aprofitar-se per dur a terme dues accions paral·leles: en primer lloc, abordar la revisió dels contractes ja existents i que es refereixin a encàrrecs amb vocació de perllongar-se en el temps, de manera que al maig de 2018 siguin compatibles amb les disposicions del Reglament, i en segon lloc, començar a incloure en les noves clàusules contractuals tots els elements que el Reglament considera necessaris.

Sancions a part, cap empresa que vulgui ser competitiva pot quedar fora del nou marc legal, i per tant totes elles han de començar a treballar immediatament en l’adaptació de tots els seus processos a les múltiples novetats que porta amb si el nou reglament. Han de revisar tots els processos i sistemes de tractament de dades de l’empresa que tinguin un impacte per a la privadesa d’usuaris, clients i treballadors. Al costat d’això és important l’aposta per eines que els facilitin les avaluacions Privacy by Design & by Default abans citades; l’elaboració dels registres de tractament i sistemes de seguiment i que els serveixin de suport en la implementació de processos de responsabilitat proactiva per part de l’empresa.

I com a colofó, no oblidar l’obligat compliment dels deures d’informació i consentiment de les dades dels usuaris; permetent exercici de drets contemplats per aquest RGPD com el dret a l’oblit o a la portabilitat de les dades, així com els anteriors drets d’accés, rectificació, cancel·lació i oposició al tractament de dades. En definitiva a partir del 25 de maig de 2018 sabrem si tenim un bon marc organitzatiu i tècnic  per als reptes, obligacions i oportunitats que va a suposar el Big Data dins del compliment de la protecció de dades.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *