Aplicacions informàtiques per al GDPR: cultura de legalidad o cultura de privacidad?


Josep Aragonés Salvat     23/05/2016

Contingut complet de la ponència de Josep Aragonès Salvat presentada al IV Congrés Nacional de Privacitat APEP de Barcelona, el 20 març de 2016



Resum: Exposició sobre el canvi de mentalitat que els professionals de privacitat hem d'adoptar a conseqüència de la substitució de la LOPD pel GDPR. Visió de les pràctiques actuals d'adaptació a la normativa i desenvolupament de procediments per a una nova interpretació de la protecció de dades basada en la cultura de privacitat. Disseny de noves aplicacions informàtiques que ajudin al consultor a configurar el compliment del nou Reglament Europeu de Protecció de dades.

 

Les pràctiques del consultor: adaptar o conscienciar

La normativa de protecció de dades es basa fonamentalment en la relació entre les empreses que tracten dades personals i les persones afectades per aquest tractament.

El primer que es troba el consultor quan realitza una adaptació de protecció de dades és com transmetre l'objectiu del servei que va a prestar al responsable de l'empresa: si es realitza per una obligació legal per evitar sancions, o per una conscienciació de privacitat on el rellevant és protegir les dades personals i no les sancions.

El primer cas és el més comú actualment, s'adapta l'empresa perquè compleixi la normativa i se l'informa amb multitud de documents ¡de paper! on està tot el que la llei determina. A això se li diu compliment però el significat real és compleixo i menteixo. A partir del moment en què una empresa està adaptada i ha passat pel tràmit reglamentari, el responsable es queda amb la consciència tranquil·la perquè l'empresa està complint i no es preocupa més de la protecció de dades. Què passa llavors ?, que s'oblida de signar contractes, que realitza un tractament nou i ni se'n recorda que ha de dissenyar un procediment per a l'obtenció de dades i la comunicació a l'interessat, etc., perquè pensa que ja està complint la normativa. Any rere any el consultor li va recordant les seves obligacions i li actualitza el document de seguretat. I l'empresari continua tenint la consciència tranquil·la i la sensació que s'està complint. Això és la cultura de legalitat: Adaptar.

Si per contra optem per conscienciar el responsable de la protecció de dades, haurem de començar per identificar l'interessat. Més fàcil introducció impossible, perquè estem parlant amb una persona i a aquesta li estan tractant les seves dades altres empreses. Quan l'interlocutor (encara que responsable de l'empresa) es posa a la pell de l'interessat, és quan comencem a crear cultura de privacitat. Si a cada operació de tractament s'incorpora una visió com a interessat, estarem donant sentit a la protecció de dades i el responsable de l'empresa estarà predisposat a pensar-hi abans de dissenyar un nou tractament, no per una obligació legal, que també, sinó per què està conscienciat d'això. Això és la cultura de privacitat: Conscienciar.
 

Què hem d'oblidar de la LOPD


A Espanya hi ha més de 3 milions d'empreses actives i probablement un terç estan adaptades a la LOPD, un altre terç sap que ha d'adaptar però no ho ha fet i les restants o pensen que no els afecta o ni saben que existeix.

La LOPD estableix l'obligació de notificar els fitxers en un registre públic per a la consulta general i així poder discernir quines empreses estan o no adaptades a la normativa. En el considerant del GDPR ja s'adverteix que aquesta mesura no ha donat el fruit esperat, ja que l'adaptació a la LOPD s'ha basat principalment en el registre d'aquests fitxers a l'autoritat de control.

Encara que l'objectiu final que es pretenia amb aquest registre no s'ha aconseguit, el que sí s'ha aconseguit és que la majoria d'empreses s'hagin assabentat que hi ha una legislació de protecció de dades que han de complir i que, de no fer-ho, els pugui afectar amb sancions econòmiques. Això sí, a desgràcia de les males pràctiques de comercials, dits per si mateixos consultors, que revisen aquest registre habitualment per amenaçar les empreses que no tenen els fitxers degudament inscrits. Amb el nou Reglament això ja no serà possible. Aprofitarem aquesta oportunitat perquè aquestes pràctiques no tinguin lloc i els serveis de privacitat només estiguin en mans de professionals.

Aprofito aquesta circumstància per fer un incís de mea culpa. Els professionals de privacitat, en els quals m'incloc, encara que no amenacem a ningú també ens hem beneficiat d'això, recolzant-nos en aquest registre per identificar la vulnerabilitat de l'empresa i advertir-los del seu incompliment. I si no, només cal mirar les clàusules informatives del tractament on sembla que el més important a informar és que el fitxer està inscrit al Registre General de Protecció de Dades. I per si fos poc, també cal esmentar i reflexionar sobre la preocupació del sector en el fet que ja no sigui obligatòria la notificació de fitxers perquè disminuirà notablement els seus recursos comercials.

A partir d'ara, no es podrà sancionar per la notificació de fitxers o per no disposar d'un document de seguretat, o per no fer inventaris de suports o programari o per la infinitat de disposicions burocràtiques que estableix la LOPD. El nou GDPR prima l'efectivitat de la protecció de dades i la transparència en la informació que es transmet a l'interessat.

Per això estarem els consultors, per conscienciar els responsables de les empreses que han de protegir les dades i donar una informació clara del tractament de la mateixa manera que ells desitjarien que altres empreses fessin amb si mateix. La conscienciació és la millor garantia de protecció de dades i fomentar-la és sembrar cultura de privacitat.
 

Què hem d'aprofitar de la LOPD

Molt. El nou Reglament recull l'esperit de la LOPD i la majoria de les disposicions en ella establertes. No és un canvi radical, és un canvi conceptual.

Encara que hi ha nous preceptes adaptats a l'actualitat com l'àmbit territorial, el consentiment explícit, nous drets per als interessats, l'avaluació d'impacte, etc. i noves figures com el corresponsable del tractament o el delegat de protecció de dades, la base fonamental segueix sent la mateixa i tot l'esforç realitzat fins ara no ha estat en va. Serà més fàcil adaptar-se al GDPR si ja s'està complint amb la LOPD.

Vist això, hem d'aprofitar la publicitat que generarà la vigència del nou Reglament mitjançant notícies en els mitjans de comunicació, que segurament generaran preocupacions a les empreses per saber en quina mesura els afecta. L'oportunitat ens ve donada ¡ara !, no dins d'un any. Aquest és el moment per diferenciar-nos dels altres realitzant adaptacions a la nova normativa.

Les aplicacions informàtiques que fins ara estaven destinades al compliment de la LOPD han fet el seu paper perquè han estat de gran ajuda per als consultors, però ¡ara! també hauran de canviar el xip i adaptar-se el més aviat possible al GPDR. No caiguem en la temptació d'esgotar la vigència de 2 anys que té la LOPD, per què els consultors no esperaran aquest temps per adaptar als seus clients a la nova normativa.

La màxima per a qualsevol professional que es dediqui a la privacitat, sigui consultor o desenvolupador d'aplicacions, ha de ser oblidar-se tan aviat com sigui possible de la LOPD i substituir-la pel GPDR. I sobretot, fer bandera d'això transmetent-ho a les empreses que presten els seus serveis perquè participin d'aquest esdeveniment i s'ocupin del mateix.
 

GDPR, la nova cultura de privacitat

Per realitzar una adaptació al GDPR primer que res haurem de conèixer a fons la normativa, fer-nos una idea general de les noves disposicions i de les que ja no té sentit complir perquè no les recull el Reglament. A partir d'aquí es podran dissenyar procediments d'adequació per migrar de la LOPD al GDPR, o directament fer noves adaptacions al GDPR per no caure en la temptació de transmetre a les empreses que la nova normativa només inclou alguns canvis amb els mateixos procediments. Com he dit anteriorment, no hem de perdre de vista el canvi de mentalitat d'obligació legal per conscienciació.

Per a això, és imprescindible la formació. Si el responsable de l'empresa comprèn i es consciencia de l'objectiu serà molt més fàcil que entengui el procediment. La formació transmesa a l'interlocutor no pot ser genèrica, ha de ser clara, senzilla, específica i ajustada a les particularitats de cada empresa, només així el responsable s'interessarà per les propostes que li plantegem, només així entendrà que ha de dissenyar la seva organització per protegir les dades personals. Si aconseguim això, haurem aconseguit que compleixi el 50% del Reglament perquè el seu principal objectiu és conscienciar al responsable perquè transmeti al personal i encarregats del tractament que han de protegir les dades personals i mantenir la seva confidencialitat. Aquest procediment confereix a l'interlocutor un sentit lògic del Reglament i una actitud proactiva per adoptar les seves disposicions.

El 50% restant vindrà donat per la implementació dels processos de protecció de dades que obliga la normativa, que un cop compartides i enteses pel responsable de l'empresa, també haurien d'imposar-se per garantir la licitud del tractament i la seguretat de les dades.

Hem de tenir en compte que no totes les empreses són iguals i que la majoria pensen que ja estan protegint les dades, però hi ha infinitat d'eventualitats, de les quals no tenen coneixement, que poden ocasionar violacions de seguretat que afectin les dades i conseqüentment la intimitat de les persones. És aquí on haurem de posar l'èmfasi, en la conscienciació per elaborar protocols personalitzats de polítiques d'informació i de seguretat que garanteixin la protecció de dades.

Aquesta serà la gran tasca del consultor, conscienciar, formar i escodrinyar en les operacions de tractament que realitza l'empresa per establir una correspondència entre els procediments usats i l'aplicació de la normativa. No valdran documents automatitzats generalitzats per a tot tipus d'empreses, el que realment valdrà serà la professionalitat del consultor per a avaluar les intencions del responsable i assessorar adequadament per tal que el tractament s'ajusti a la legalitat.

De la mateixa manera, les aplicacions informàtiques dedicades al GDPR, s'haurien de dissenyar amb aquest objectiu perquè realment ajudin els consultors a realitzar-la. Però això no és tot, també haurien de dissenyar-se per a ser usades pel responsable de l'empresa, per incorporar l'aplicació al seu sistema organitzatiu com una eina més d'ús habitual com la facturació, comptabilitat, etc. Només així tindrà la percepció que no és una obligació legal sinó que la protecció de dades va inclosa en la gestió quotidiana de l'empresa.
 

Les aplicacions informàtiques, una gran ajuda per al consultor

Tornem a recuperar l'enunciat d'aquest article, "Aplicacions informàtiques per al GDPR: ¿adaptar empreses o crear una cultura de privacitat?". Tal com hem descrit anteriorment, la resposta és crear una cultura de privacitat. I, com dissenyar una aplicació que afavoreixi la conscienciació? Anem a fer-ho.

Actualment hi ha infinitat d'aplicacions que els consultors fan servir per realitzar adaptacions a la LOPD i que han fet la seva funció molt dignament. Aquestes aplicacions basen el seu disseny en l'aplicació de la LOPD, o sigui en la notificació de fitxers i la seva estructura de dades, en l'inventari de suports i mobiliari on s'emmagatzemen dades, en la identificació de mecanismes de seguretat, etc. Tot això sense menyscabar la gran utilitat per al registre de personal i empreses externes amb els seus corresponents contractes i per generar la documentació que obliga la LOPD, entre ella el tan cobejat document de seguretat, que dit a part gairebé ningú es llegeix.

Les noves aplicacions per al GDPR ho tenen més fàcil que amb la LOPD. No caldrà notificar fitxers, ni inventariar res, ni identificar mecanismes de seguretat, ni portar registres d'accessos o d'entrades i sortides de suports, etc. A res d'això obliga la nova normativa. Però això no vol dir que ja no s'haurà de documentar ni registrar res, al contrari, el Reglament imposa uns eixos principals que s'han de complir perquè el tractament sigui lícit, la informació i transparència amb l'interessat i l'adopció de mesures adequades de protecció de dades. I no menys important, exigeix ??que el responsable sigui capaç de poder demostrar-ho.

Les aplicacions informàtiques haurien de recollir l'esperit del Reglament i oferir mecanismes per a una actualització instantània de qualsevol operació de tractament que pugui realitzar el responsable com a documentació probatòria de compliment.
 

Aplicar la normativa mitjançant una aplicació informàtica

El Reglament europeu ens obliga a dissenyar el tractament perquè per defecte estiguin protegides les dades i l'interessat pugui obtenir el govern de les mateixes, per això les aplicacions han de tenir en compte aquest procediment, és a dir definir els fitxers i aplicar-los la normativa a cada un d'ells. El primer i més important, reitero, és la formació. Un cop el responsable del tractament sigui conscient de l'abast i la finalitat del GDPR podrà configurar i classificar les dades personals que està tractant en fitxers i assignar-los les categories de dades i de tractament que els afecti la normativa.

El Reglament disposa d'una normativa específica per a diferents categories de dades o de tractament. Per aquesta raó l'aplicació hauria de contenir una tecnologia per aplicar aquesta classificació al fitxer abans d'aplicar-li la normativa que li correspongui.

Quan l'empresa tingui definits els fitxers i les categories que tracta, ha de determinar quins dades són de la seva responsabilitat i quins són per encàrrec d'una altra empresa. La diferència és imprescindible detallar-la perquè amb les dades que som responsables determinem els mitjans i els fins del tractament i amb les dades que ens han encarregat tractar-les, els mitjans i els fins ens vindran donats per les instruccions rebudes en l'encàrrec.

La LOPD només distingia els fitxers com a responsable (els que es notificaven a l'AEPD) i l'encarregat era un autoritzat per tractar-los. El GDPR obliga l'encarregat a oferir garanties suficients per implementar polítiques tècniques i organitzatives apropiades per complir les disposicions del Reglament i també a ser capaç de demostrar-ho. Per aquest motiu el més aconsellable és afegir al tractament els fitxers d'encarregat i aplicar-los la normativa que els correspongui com a tal. L'empresa es conscienciarà més de la magnitud de la protecció de dades si té detallats tots els fitxers que està tractant, siguin o no de la seva responsabilitat.

Un cop creats els fitxers, amb les seves categories de dades i de tractament, se'ls han d'aplicar els principis del tractament, determinant els fins, la minimització, l'exactitud i els criteris de conservació per a cada un d'ells, excepte per als fitxers de encarregat que ens vindran donats per les instruccions del responsable. Per a tractaments existents, aquesta operació servirà com auditoria de compliment. Per a futurs fitxers s'ha de dissenyar el tractament perquè els compleixin per defecte.

Existeixen altres disposicions que afecten a totes les dades en general i l'aplicació hauria de poder determinar el seu compliment, com són el disseny d'una política d'informació per assegurar la lleialtat i transparència amb l'interessat i la creació d'una política de seguretat per garantir la integritat i confidencialitat de les dades.

Amb aquestes funcions ja tindrem l'estructura del tractament i li haurem aplicat la normativa que l'afecta. A partir d'aquí s'han de registrar les persones autoritzades a tractar dades i assignar-los els permisos d'accés als fitxers per realitzar el tractament que li ha estat encomanat. De la mateixa manera procedirem amb les empreses externes, registrant-les i assignant-los-hi els fitxers que els hem encarregat per tractar dades. Per descomptat també hauran de generar els contractes pertinents a cadascuna de les figures que intervinguin en el tractament i poder realitzar un control eficient de les seves signatures per poder demostrar la responsabilitat proactiva a què obliga el Reglament.

Les empreses externes s'han de diferenciar, com en la LOPD, per la seva responsabilitat en el tractament com a encarregats, destinataris o sense permís d'accés a dades, i en cas de tractar dades d'altres empreses com a responsables o cessionaris. També haurem de tenir en compte la nova figura de corresponsable del tractament quan diversos responsables determinen separadament els fins o els mitjans de tractament.

A causa de l'auge d'aplicacions d'internet per tractar dades mereix capital importància la licitud de les transferències internacionals de dades. La normativa detalla disposicions específiques que s'han d'implantar perquè aquests tractaments es reflecteixin en els contractes i en les polítiques d'informació i de seguretat abans esmentades.

Igual que les transferències internacionals de dades, s'haurà de poder assignar a cada fitxer les diverses categories de tractament, per aplicar-los les disposicions específiques que estableix el Reglament, per exemple en l'elaboració automatitzada de perfils, el tractament de dades a gran escala i els tractaments que prevegin un alt risc per als drets i llibertats dels interessats.

També haurà de disposar de mecanismes per a portar un registre d'activitats i aplicar-lo com a responsable o encarregat del tractament segons compleixi els requisits que estableix el Reglament.

Només queda la documentació. L'aplicació ha de contenir un apartat amb les clàusules generals a aplicar per a la informació del tractament i l'obtenció del consentiment, però també per personalitzar la política d'informació d'acord amb el tractament i poder personalitzar documents específics per a transferències internacionals o elaboració de perfils. No n'hi ha prou només amb facilitar una documentació generalitzada sinó que ha de poder adaptar-se a la particularitat de cada operació de tractament.

De la mateixa manera ha de poder dissenyar una política de seguretat personalitzada a cada empresa per analitzar des del disseny i per defecte els riscos del tractament i, si és el cas, dur a terme una avaluació de l'impacte per poder mitigar aquests riscos.

Tota la documentació que generi l'aplicació ha d'estar dissenyada per a ser útil al responsable d'empresa. Ha de contenir informació clara i precisa. Estar organitzada tipus informe perquè li doni un valor afegit al receptor. Amb només reportar la documentació que obliga el GDPR no serà suficient, perquè són documents necessaris però no específics. El mateix que passa amb la facturació o la comptabilitat, els documents legals no aporten informació afegida, s'ha de filtrar i establir conceptes comercials perquè reportin la informació que realment interessa al responsable de l'empresa. El mateix ha de procurar l'aplicació, generar documentació que doni sentit a tot aquesta comesa i que aporti un valor afegit al destinatari.

I finalment, les garanties de compliment que estableix el Reglament seran vitals per fomentar la cultura de privacitat. Qualsevol empresa que vulgui garantir el compliment hauria d'obtenir un certificat que li servís per demostrar la transparència del tractament davant els interessats (persones clients) i garantir el compliment en cas de tractar dades per encàrrec (empreses clients).

Tot el aquí reflectit hauria de formar part d'un informe de protecció de dades que contingui un resum sintetitzat i exposat de forma clara i concisa de la informació més rellevant del tractament i la protecció de dades, perquè el responsable de l'empresa s'adoni que el que està duent a terme té una importància vital per a la seva empresa i per la seva repercussió en la societat.
 

Conclusions

Com a resum de l'adaptació al GDPR detallem els procediments mínims que hauria de disposar una aplicació informàtica que es dediqui a això:
 
  • Disseny agradable i senzill per a promoure la conscienciació de privacitat.
  • Formació sintetitzada i personalitzada per a cada tipus de categoria de dades o de tractament.
  • Identificació de les dades personals que tracta l'empresa (selecció de fitxers de responsable i d'encarregat).
  • Assignació de la normativa per a cada fitxer segons la seva categoria de dades i de tractament.
  • Revisió de la normativa que afecta l'empresa en general segons els fitxers que utilitza.
  • Registre de personal i empreses externes amb la generació de contractes personalitzats per a cada tipus responsabilitat i control de signatures.
  • Selecció de documents informatius vinculats al tractament específic de l'empresa: consentiments, clàusules, avisos legals, certificats, logos, etc.
  • Creació dels informes que obliga la normativa per personalitzar al tractament: responsabilitat proactiva, registre d'activitats, avaluacions d'impacte, etc.
  • Estat general de la protecció de dades amb informació clara i específica de les faltes de compliment: normativa, informes, registres, contractes, etc.
  • Accés directe de les empreses responsables a la seva protecció de dades.

El nou Reglament europeu de protecció de dades ens brinda una oportunitat única i hem de aprofitar-la. Oblidem-nos de la LOPD i apostem pel GDPR. Aconseguirem que la conscienciació imperi sobre la sanció. De nosaltres depèn canviar la cultura de la legalitat per la de privadesa.

Animo a tots els professionals de privacitat a esforçar-se per assolir aquest objectiu. Si ho aconseguim, el nostre treball serà valorat i la nostra professió respectada.