Material que resumeix el curs de formació de Protecció de dades que vam dur a terme amb Barcelona Activa. Document elaborat amb la col·laboració de Borja Ramón, director TIC de la Fundació Habitatge Social. Els materials exposen la necessitat que en cada entitat social hi hagi una persona encarregada de la protecció de dades.
2. La protecció de dades constitueix una extensió del compliance: sense bon govern no hi
pot haver una protecció de dades adequada.
El compliance és un conjunt de procediments i bones pràctiques adoptats per les
organitzacions per identificar i classificar els riscos operatius i legals als quals s'enfronten i
establir mecanismes interns de prevenció, gestió, control i reacció davant d'aquests.
La protecció de dades comença per especificar en tot detall els tractaments de dades que
fa l’empresa: cal conèixer què es fa amb la informació i descriure’n els processos i tasques
(RAT).
Sense sensibilització, formació i pro-activitat per part de tothom és impossible complir
amb les premises legals i ètiques actuals.
PROTECCIÓ DE DADES
Què vol dir Protecció de Dades?
3. ● Ha d’avaluar-se el risc del tractament de dades sensibles que, en cas del Tercer
Sector, són gairebé totes. Qualsevol dada relativa a situacions socio-econòmiques o
de l’àmbit de la salut es troben en els nivells més alts de protecció.
● El més important és definir una política de protecció de dades realista i començar a
aplicar-la, per delimitada que sigui inicialment. Aquesta política ha de ser escalable i
anar-se adaptant tant ràpidament com les possibilitats ho permetin.
PROTECCIÓ DE DADES
Protecció de Dades: consideracions
4. El nou Reglament Europeu de Protecció de Dades introdueix la figura del Delegat de
Protecció de Dades o Data Protection Officer (DPO).
Serà l’encarregat de garantir el compliment de la normativa de protecció de dades a
l’organització. Haurà de tenir coneixements especialitzats de legislació i pràctica en matèria
de protecció de dades. No serà necessària una titulació específica. Podrà ser intern o
extern, i persona física o jurídica especialitzada en protecció de dades.
Pràcticament totes les entitats del Tercer Sector, pels col·lectius que atenen, estan
obligades a tenir un DPO. La llei no marca la dedicació ni la relació, però sí la feina que ha
de fer.
PROTECCIÓ DE DADES
Què és un DPO?
5. ● Informar i assessorar a tots aquells que tractin dades.
● Supervisar el compliment del que disposa la legislació espanyola i
europea en matèria de protecció de dades personals.
● Oferir assessorament sobre l’avaluació d’impacte relativa a la protecció
de dades i supervisar la seva aplicació.
● Cooperar amb les autoritats de control i actuar com a punt de contacte
amb aquestes.
PROTECCIÓ DE DADES
Les funcions del DPO
6. ● El DPO hauria de ser una figura interna. El coneixement de l’activitat, del sector,
de l’estructura i normativa d l’organització són essencials.
● El DPO ha de ser independent, disposar de recursos i poder accedir a la
informació del què ha de valorar.
● El DPO no elabora documents ni estableix les polítiques; les revisa,
assessora, valora i vigila el seu compliment.
● El DPO ha de poder consultar fonts especialistes (tècniques, financeres,
jurídiques, informàtiques, etc.) per conèixer el detall de les operacions que ha
de valorar.
PROTECCIÓ DE DADES
Recomanacions per definir un DPO
7. ● En els intercanvis d’informació amb altres entitats/ professionals, l’acreditació
inequívoca de la identitat de l’interlocutor és indispensable.
● L’exercici de drets de l’usuari és un àmbit encara inprevisible, perquè no s’ha
donat, i gairebé ningú sembla preparat per a respondre-hi. Cal tenir un pla,
perquè té terminis de resposta, i un cop iniciat és difícil de resoldre.
● Cal analitzar bé quan de temps s’ha de guardar la informació; les lleis ens
indiquen la conservació mínima, i l’RGPD, no allargar-ho més del que cal.
PROTECCIÓ DE DADES
Aspectes clau
8. ● La millor manera de comprovar i demostrar l’adequació de les mesures és
posar-les en pràctica: fer simulacres. També facilita que la gent se n’adoni.
● És obligació del responsable del tractament fer el que calgui per assegurar la
qualitat de les dades: que són fidedignes, completes i actualitzades.
PROTECCIÓ DE DADES
Aspectes clau
9. 1. Què cal publicar a la web? els TRACTAMENTS DE DADES, la informació del
DPO, dels DRETS DELS CIUTADANS, i la POLÍTICA DE PRIVACITAT.
2. Cal saber com tracten la informació els proveïdors principals. És necessari
disposar dels RAT (Registres d'Activitats de Tractament de dades personals) en
aquests casos.
3. Cal anonimitzar tota la informació possible.
4. Cal atendre edat i maduresa. El material utilitzat exigeix consentiment de
representant legal, i explicar molt bé als menors què implica acceptar la cessió
de dades.
PROTECCIÓ DE DADES
Aspectes concrets
10. 5. Cal tenir un pla d’actuació previst en cas d’una petició d’exercici dels drets
d’accés, amb temps de resposta, actuacions, contingències i material que es
lliurarà.
6. Com avançar en la formació i conscienciació?
Només amb la complicitat de l’equip directiu i tècnic de les organitzacions. Amb
estratègies que no es vegin com culpabilitzadores o repressives.
PROTECCIÓ DE DADES
Aspectes concrets
11. Un aspecte és la sensibilització, abans fins i tot de la formació. I no només del
treballador, sinó de gerents, responsables de departaments, etc. (que acostumen a
ser responsables del tractament). Cal promoure la difusió en cascada.
Propostes:
1. Sessions de sensibilització/ formatives a les entitats, amb actuacions prèvies
basades en simulacres.
2. Curs DPO per a directius (breu i enfocat a promoure la creació d’aquest perfil
laboral).
PROTECCIÓ DE DADES
Idees d’actuació
12. La legislació i la casuística particular són força complexes. Per a facilitar el
compliment en les entitats del tercer sector, podríem:
Propostes:
1. Generar un codi de conducta sectorial, que faciliti la implementació, generació
de guies, fer revisions i aconseguir compliment.
PROTECCIÓ DE DADES
Idees d’actuació
13. Les auditories (tot i no ser obligatòries) s’han de fer. Cal comprovar l’adequació i
funcionament dels mecanismes de protecció de dades. La llei no especifica, però,
cada quant s’han de fer, ni qui les ha de fer, ni qui les ha de pagar:
Propostes:
1. Muntar un "grup d’auditors itinerants d’intercanvi", DPO’s de les pròpies entitats
que coneixen activitats, casuístiques, sensibilitats, que ens són pròpies. Es
podria fer en forma de borsa d’hores o de banc de temps, etc.
PROTECCIÓ DE DADES
Idees d’actuació
14. El dret a la privacitat és un extrem específic i molt influït per la bona governança.
Propostes:
1. Curs de compliance per a les entitats.
PROTECCIÓ DE DADES
Idees d’actuació
15. Informació a partir de les notes de Borja Ramon, de la Fundació Foment de
l’Habitatge Social, a partir dels coneixements obtinguts en el curs: Com ser el DPO
d’una entitat del Tercer Sector? organitzat per BarcelonaActiva i m4Social.
PROTECCIÓ DE DADES