Destacat »

30 juliol 2018 – 9:00

L’harmonització de la regulació de les professions a nivell europeu es formalitza per fi arribant al Diari Oficial de la Comissió Europea (DOUE) que per fi s’ha publicat la Directiva europea relativa al test de …

Read the full story »
Col·legi

el Col·legi, informació rellevant sobre el COEINF, activitats, relacions i varis

Formació

formació continuada i orientació professional, convenis de formació amb altres entitats

Esdeveniments

tots els esdeveniments rellevants del sector TIC

Informes

informes, estudis, enquestes, … relacionats amb les tecnologies de la informació

Professió

món laboral, emprenedors, enginyers en informàtica, entrevistes, certificacions, deontologia, carreres professionals, …

Home » Opinió

Mar España: “Hi ha consultores que estan enganyant a les empreses davant el nou reglament de dades”

Submitted by on 17 maig 2018 – 9:00No Comment
Share Button

“M’agradaria que fins a l’últim autònom o pime conegui l’eina gratuïta Facilita per complir la nova normativa” – “A l’agència hi ha 15 inspectors, però caldria incrementar els mitjans humans amb l’arribada del GDPR”

a directora general de l’Agència Espanyola de Protecció de Dades, Mar España, fa mesos d’intensa activitat. El proper 25 de maig entrarà en vigor el nou Reglament General de Protecció de Dades (GDPR, per les sigles en anglès) i no per d’assistir a diferents fòrums per sensibilitzar sobre aquesta normativa que canvia totalment la forma en què seran protegides les dades personals.

P- Quins canvis porta el nou reglament?

R- Suposa un canvi radical en la configuració de la protecció d’aquest dret fonamental, ja que passem d’un règim reactiu, on les autoritats reguladores actuàvem en base a denúncies, a un altre de responsabilitat activa. Això implica que abans d’oferir un producte o servei, les administracions públiques i les empreses que fan ús de dades sensibles han d’haver analitzat i aplicat totes les mesures tècniques, organitzatives i de seguretat per assegurar-se que les dades que tractin de clients, empleats o ciutadans tenen aplicats la privacitat per defecte i la privacitat des del disseny.

I per al ciutadà?

Hi ha un avanç terrible. És molt més garantista, ja que no només s’aplica a les empreses establertes a Europa, també a aquelles de fora sempre que ofereixin productes i serveis als ciutadans a Europa o facin perfilat del seu comportament, i això és un plus de tranquil·litat per a tots nosaltres com a consumidors. A més, els ciutadans tindran molt més control de les seves dades. Ja no val tractar-los basant-se en el consentiment tàcit, ara hem de donar el consentiment explícit, i les empreses i administracions públiques ens han de dir d’on han obtingut les nostres dades, per a què els van a tractar, a qui se’ls van a cedir, durant quant de temps els van a conservar i quina és la base jurídica que els dóna la legitimitat per tractar-los. Finalment, es recullen 3 drets nous: el dret a la limitació del tractament.

Estaran les empreses llistes per complir la normativa el dia 25? Què ha conclòs l’estudi que estaven fent amb Cepime?

Encara no ha conclòs i només tenim un avanç provisional, però veiem que més de la meitat de les pimes coneix ja la nova normativa i el 85% dóna molt valor a la protecció de les dades personals, el que em tranquil·litza, ja que coincideix amb els dades de l’INE pel que fa a la preocupació dels ciutadans. En qualsevol cas, el que estem fent des de l’agència és dur a terme diferents accions perquè les empreses i organismes públics estiguin llestos.

I quines són?

Estem treballant intensament amb CEOE i Cepime, amb les cambres de comerç, amb els col·legis professionals, amb el Consell General de Gestors, amb l’Associació Espanyola de Banca i la CECA perquè ens ajudin a conscienciar les pimes de la importància de complir amb la normativa. També estem celebrant tallers estratègics amb els grans sectors (turístic, grans superfícies de consum, publicitat, telecos i finances), que tenen un plus d’obligacions per complir. Pel que fa al grau de compliment, a mi m’agradaria que l’últim autònom o pime d’aquest país conegués l’eina gratuïta que hem posat a la seva disposició per ajudar-les. Es diu Facilita i en només 15-20 minuts els ajuda en el compliment de les noves obligacions. Els va a donar descarregades les clàusules informatives adaptades al seu negoci. No volem que per a una pime que tracti dades bàsiques, el nou reglament suposi una càrrega burocràtica. Ja hi ha hagut 140.000 descàrregues.

No veu risc que l’aplicació del RGPD pugui resultar un infern per a empreses i ciutadans, que es van a passar el dia donant a consentir en múltiples caselles?

Jo sóc optimista per naturalesa i sempre defenso que els canvis han de considerar-se una oportunitat. També crec que és molt important que nosaltres com a consumidors puguem donar el consentiment per a cada finalitat de cada tractament. Precisament, nosaltres sancionem a Facebook perquè estava tractant dades ideològics sense donar un consentiment clar de per a quina finalitat obtenien les dades dels seus usuaris. Dit això, és cert que les grans empreses i les pimes que tenen més obligacions pel tipus de dades que tracten estan havent de dedicar uns recursos importants per adaptar-se a la normativa, però moltes empreses em diuen que els ha vingut bé perquè al fer les seves anàlisis han vist debilitats i han aprofitat per millorar internament tots els seus processos de tractament de dades.

Es parla molt de les empreses, però què passa amb les administracions públiques. Estaran preparades per al 25 de maig?

La dada que puc facilitar té a veure amb la notificació dels delegats de protecció de dades a l’agència. Estem parlant que hi ha uns 20.000 organismes públics i hem rebut fins ara unes 1.300 notificacions, de les quals gairebé 1.000 són del sector privat. És cert que fins al 25 de maig no estan obligades, però són xifres molt millorables. Em preocupen especialment els municipis de menys de 20.000 habitants, i per això estem treballant amb la FEMP perquè siguin les diputacions provincials les que ofereixin els serveis d’assessorament com estan obligades per la llei de bases de règim local, i hem posat en marxa accions formatives en totes les comunitats autònomes.

El GDPR obliga les empreses a comunicar les seves bretxes de seguretat en 72 hores, però moltíssimes empreses no tenen plans de ciberseguretat. Com van a complir-ho?

Certament, hi ha aquesta obligació. El problema és que tenim un model empresarial molt atomitzat, on més del 90% de les pimes són de menys de 10 empleats, i per això estem treballant amb Red.es perquè en els punts d’activació empresarial es vagi assessorant a l’empresari en la cultura de protecció de dades i de seguretat. És cert que queda molt per fer, però a mi em sembla molt fort demanar-li a una botiga que em presenti un pla de ciberseguretat, per això insisteixo que Facilita, l’eina que abans comentava, ofereix a les pimes consells molt bàsics en matèria de seguretat i en matèria organitzativa perquè puguin utilitzar les dades amb rigor.

Vostè ja ha dit que no hi haurà moratòria, que el 25 es posa en marxa el rellotge, però ¿quins mecanismes tenen vostès per controlar que el reglament es compleix?

No hi haurà moratòria perquè no pot haver-la, no perquè nosaltres siguem els més radicals d’Europa. Pel que fa als mecanismes, tenim els anomenats plans sectorials d’ofici. Actualment tenim en marxa tres inspeccions d’aquest tipus, una sobre contractació a distància, una altra a entitats financeres i una altra en l’àmbit sociosanitari, i portarem a terme una altra relacionada amb el tema dels visats i l’Espai Schengen. És a dir, anem identificant sectors i realitzant inspeccions. Després hi ha la informació qualitativa que ens donen les 10.000 denúncies que tramitem al llarg de l’any, que moltes impliquen actuacions presencials dels nostres inspectors, que només són 15.

Esperen que ara amb el canvi normatiu s’ampliï el nombre d’inspectors?

No és una cosa que depengui de l’AEPD, que s’enfronta a reptes creixents derivats del nou escenari que estableix el reglament. Malgrat l’augment en el nombre de llocs produït en 2017, cal sol·licitar un increment substancial pel que fa als mitjans humans de què disposem.

Abans parlava de delegats de dades. Quina empresa o organismes han de tenir-lo?

El reglament marca tres supòsits. És obligatori en tots els organismes públics i per a les entitats que tracten dades a gran escala o tracten dades a gran escala especialment sensibles, com les d’assegurances i banca, telecos, les de serveis de societat de la informació o les que fan publicitat a gran escala. Però som flexibles i en el cas dels organismes públics no cal que els 20.000 tinguin un delegat, poden compartir. Igualment passa amb les pimes que manegen dades sensibles, que en molts casos no té sentit contractar un delegat en exclusiva. Penseu en un farmacèutic rural per exemple. Per això, estem parlant amb la Unió Professional perquè ofereixin voluntàriament aquest servei, de manera piramidal i amb economia d’escala. En qualsevol cas, vull denunciar per donar seguretat al mercat que hi ha algunes consultores, entre cometes, que ofereixen serveis a cost zero utilitzant fons de formació de la Fundació Tripartita i suposen un engany a l’empresari. És a dir, els signen que els han realitzat un curs de formació, utilitzant fons d’aquesta formació ia canvi els signen un paper que han complert amb la normativa de protecció de dades. A part que és un desviament de fons públics, a aquest empresari no li estan salvaguardant si després té una denúncia d’un client o un empleat. utilitzant fons d’aquesta formació ia canvi els signen un paper que han complert amb la normativa de protecció de dades. A part que és un desviament de fons públics, a aquest empresari no li estan salvaguardant si després té una denúncia d’un client o un empleat. utilitzant fons d’aquesta formació ia canvi els signen un paper que han complert amb la normativa de protecció de dades. A part que és un desviament de fons públics, a aquest empresari no li estan salvaguardant si després té una denúncia d’un client o un empleat.

Hi ha suficient professionals per atendre la demanda de delegats de dades?

Nosaltres hem posat en marxa un esquema de certificat de delegats de protecció de dades per garantir que hi ha un mínim de formació i d’experiència, i que a més han passat un examen de 150 preguntes que custodia l’agència i que l’han aprovat. Els primers exàmens es faran abans de l’estiu.

Incomplir ara la normativa portarà multes més altes, però serà suficient per a les empreses amb molt múscul financer? I una altra qüestió: Per què la gent sembla penalitzar tan poc a les empreses que se salten les lleis de protecció de dades, perquè en el cas de Facebook, per exemple, una enquesta als Estats Units diu que gairebé no s’ha notat l’abandó de la plataforma després de l’última crisi? 

Incomplir la normativa també té un dany reputacional, que no és un tema menor, i l’exemple més clar va ser la forta caiguda en Borsa que va tenir Facebook després de l’escàndol de Cambridge Analytica. Però, a més, la multa màxima passa de 600.000 euros a 20 milions o el 4% del volum de facturació mundial. I si es cometen diverses infraccions, les sumes podrien ser molt importants. Pel que fa al segon tema que comenta, potser als EUA per la política dels governs nord-americans no hi ha aquesta cultura de protecció a la privacitat que hi ha a Europa i per això igual els ciutadans estan menys sensibilitzats. Però el que sí és important és que els usuaris siguem els primers responsables de quines dades donem ia qui permetem l’accés a ells, i en aquesta línia, també crec que ja és moment que les comunitats autònomes [que tenen transferides les competències en educació] regulin en el currículum l’ús responsable a internet, que ara mateix no està regulat. Pel que fa a les empreses, és important que entenguin que complir amb la normativa els permetrà guanyar en fidelitat i confiança dels clients, el que li farà més competitiva.

Marimar Jiménez – Cinco Días

MÉS INFORMACIÓ

 

Etiquetes:

Aquesta web utilitza 'cookies' pròpies i de tercers per oferir-te una millor experiència i servei. Al navegar o utilitzar els nostres serveis, acceptes l'ús que fem de les 'cookies'. De tota manera, pots canviar la configuració de 'cookies' en qualsevol moment ACEPTAR
Aviso de cookies
Check Our FeedVisit Us On LinkedinVisit Us On TwitterVisit Us On Facebook