Aplicacions informàtiques per al GDPR, adaptar empreses o crear una cultura de privacitat

23/05/2016 | Josep Aragonés Salvat


Comunicació realitzada per Josep Aragonès Salvat en el IV Congrés Nacional de Privacitat APEP de Barcelona, el 20 de març 2016


Durant aquest congrés hem escoltat cosas molt interessants sobre privacitat, però en la meva intervenció vull centrar-me en el treball quotidià que tenim nosaltres, els consultors, i en el canvi que ens ve a sobre a conseqüència de la substitució de la LOPD pel nou reglament europeu. Primer que res parlaré de les pràctiques utilitzades per realitzar adaptacions a la LOPD i de la nova interpretació de la protecció de dades basada en la cultura de privacitat.

Quan anem a realitzar una adaptació, el primer que hem d'analitzar és com transmetem el servei a l'empresari, si és per una obligació legal, per evitar sancions, o és per una conscienciació de privacitat, on el més important és la protecció de dades.

Fins ara s'adaptava per complir la normativa i s'informava a l'empresari amb multitud de documents que reflectien l'obligació legal com són la notificació de fitxers, el document de seguretat, etc. A partir d'ara, com ja no existiran aquestes obligacions, haurem de conscienciar l'empresari de la protecció de dades, i per a això, el millor, és que s'identifiqui com un interessat.

Quan l'empresari es posa a la pell de l'interessat, és quan comencem a crear cultura de privacitat. Si a cada operació de tractament incorporem la visió com a interessat, estarem donant sentit a la protecció de dades i l'empresari estarà predisposat a pensar-hi abans de dissenyar un nou tractament ... no per una obligació legal, que també, sinó perquè està conscienciat d'això. Això és cultura de privacitat: la conscienciació.
 

Què hem d'aprofitar de la LOPD?


Doncs molt. El nou reglament recull l'esperit de la LOPD i la majoria de disposicions en ella establertes. No és un canvi radical, és un canvi de concepte. Encara que hi ha nous preceptes adaptats a l'actualitat, la base fonamental segueix sent la mateixa i tot l'esforç realitzat fins ara no haurà estat en va.
 

L'oportunitat del GDPR


L'oportunitat ens ve donada ¡ara!, no dins d'un any o de dos. Com a consultors, hem d'aprofitar la publicitat que generarà l'entrada en vigor del nou reglament perquè crearà una preocupació a les empreses per saber en quina mesura els afecta. Aquest és el moment per diferenciar-nos dels altres i començar a adaptar ja a la nova normativa. Per a això, i no menys important, és que els desenvolupadors d'aplicacions informàtiques també canviïn de xip per adaptar-se el més aviat possible al nou reglament.

D'aquestes aplicacions depèn que, a nosaltres els consultors, ens sigui més fàcil conscienciar als nostres clients del canvi entre ... adaptar empreses, com venim fent fins ara, o conscienciar-les de la protecció de dades.


Les aplicacions informàtiques


Com a membre d'una empresa que desenvolupa aplicacions de privacitat vaig a compartir amb vosaltres la nostra manera de veure el disseny d'una aplicació per a adaptar-se a la nova normativa. Per a nosaltres hi ha tres principis fonamentals que han d'estar presents en tota aplicació:
 
  • La formació.
  • El compliment de la normativa.
  • La conscienciació.


La formació


La formació és imprescindible. Les aplicacions informàtiques han de poder transmetre a l'empresari la formació que necessita, de forma clara, senzilla i ajustada a la singularitat de la seva empresa. Només així entendrà que ha de dissenyar la seva organització per a la protecció de dades. Si l'empresari comprèn i es consciencia de l'objectiu, adoptarà una actitud proactiva per aplicar el reglament. Aquesta serà la nostra gran tasca:
 
  • Conscienciar l'empresari.
  • Contribuir a la seva formació.
  • I revisar les operacions de tractament que realitza per establir una correspondència entre els procediments usats i el compliment de la normativa.


El compliment de la normativa


L'aplicació ha de poder assignar a cada fitxer les categories de dades i de tractament que els corresponguin, ja que el reglament disposa de normes específiques per a cadascuna d'elles.

Ha de poder aplicar a cada fitxer els principis del tractament i revisar el seu compliment.

Ha de poder dissenyar una política d'informació que asseguri la transparència amb l'interessat i crear una política de seguretat personalitzada per cada empresa.

I també ha de disposar de mecanismes per aplicar normes específiques relatives a transferències internacionals, elaboració de perfils i tractaments a gran escala o amb un alt risc que necessitin una avaluació d'impacte.

I el més important, ha de generar informes que ofereixin una informació útil a l'empresari, perquè s'adoni que el que està duent a terme té una importància vital per a la seva empresa i que repercutirà en la societat.


La conscienciació


L'aplicació hauria de propiciar la implicació directa de l'empresari, possibilitant el seu accés a la mateixa per a incorporar-la al seu sistema organitzatiu com una eina d'ús habitual com ho són la facturació o la comptabilitat. Només així tindrà la percepció que no és una obligació legal sinó que la protecció de dades va inclosa en la gestió quotidiana de l'empresa.
 

Conclusions


Reiterar-que el nou reglament ens brinda una oportunitat única que hem d'aprofitar. Comencem a oblidar-nos de la LOPD, apostem ja pel GDPR i així aconseguirem que la conscienciació imperi sobre l'obligació.

De nosaltres depèn canviar la cultura de la legalitat per la de privacitat, pel que us animo a esforçar per assolir aquest objectiu. Si ho aconseguim, el nostre treball serà valorat i la nostra professió respectada.


Pot consultar-se el contingut complet de la ponència a: http://ateneu.eu/ca/aplicacions-informatiques-gdpr-cultura-legalidad-o-cultura-privacitat-c226