Autor: TecnoLOPD

Fa uns dies va veure la llum una notícia que molt té a veure amb la destrucció de fitxers amb dades de caràcter personal. Concretament, la Agència Espanyola de Protecció de Dades (AEPD), ha sancionat a Institucions Penitenciàries per l’abandonament de fitxers amb dades personals dels reclusos en una antiga presó de Huelva.

Aquesta presó es va tancar l’any 2008 i avui dia l’edifici està en total estat d’abandó. Pel que sembla, pel terra d’algunes de les estances de la presó es van trobar nombrosos documents amb dades i informes sobre reclusos. L’AEPD ha estipulat que es tracta d’una falta greu .

La investigació sobre aquest cas part del passat mes de febrer, quan l’Agència decideix actuar d’ofici per solucionar l’assumpte. Després de realitzar les indagacions pertinents i comprovar la gravetat de l’assumpte, s’ha imposat una sanció a Institucions Penitenciàries per que no torni a succeir un fet d’aquestes característiques. No obstant això, cal destacar que l’AEPD no imposa sanció econòmica a les administracions públiques . Per tant, és merament un toc d’atenció.

Malgrat que Institucions Penitenciàries no estigui obligada a fer front al pagament d’una multa econòmica, no passaria el mateix si la sanció hagués estat interposada a una empresa privada . Per tant, ens sembla important i necessari ressaltar la importància de la destrucció de fitxers amb dades personals antics.

La LOPD sobre la destrucció de fitxers

La Llei Orgànica de Protecció de Dades de Caràcter Personal és clara enfront d’aquest punt. Tots els fitxers, de qualsevol suport, que continguin dades de persones han de ser destruïts de forma eficaç. És a dir, és primordial que la informació sigui irrecuperable .

En aquest sentit, la LOPD estableix diferents tipus de fitxers, concretament 6. Entre ells destaquen els documents en paper , en suports òptics, suports magnètics o electrònics .

En el cas dels documents en paper, com els trobats a la presó de Huelva, deuen ser perfectament destruïts. Per a això, les trituradores de paper són una bona eina. Tot i que en cas de necessitar eliminar quantitats ingents de documents, recórrer a empreses específiques per a això és una bona solució. La crema de papers ens sembla una opció poc pràctica i perillosa, pel que a nosaltres la desaconsellem.

Si estem davant CD amb dades , DVD, discs durs , USBs, etc. És important realitzar un esborrat d’informació. No obstant, en el cas que això no sigui possible, caldrà inutilitzar els dispositius . Un martell és una bona eina per aconseguir-ho.

L’objectiu principal és evitar que un tercer pugui tenir accés a la informació personal emmagatzemada en qualsevol tipus de suport. I, òbviament, evitar les possibles sancions per part de l’Agència Espanyola de Protecció de Dades.

Les xarxes socials formen part de la nostra vida quotidiana i això fa que les grans companyies s’afanyin a buscar noves tècniques i mètodes per treure el màxim rendiment que es pot donar a aquest tipus de serveis. En aquest sentit, des que la gran xarxa social, Facebook , es va fer amb les accions del sistema de missatgeria instantània més utilitzat en el món, WhatsApp , les accions i canvis sobre la privacitat no han deixat de succeir-se.

El cas més recent és l’últim canvi sobre les polítiques de privacitat i termes de servei que tots els usuaris de WhatsApp han hagut d’acceptar per continuar gaudint de l’aplicació. Si bé és cert que la companyia va oferir un termini de trenta dies als usuaris per dir que «NO» als seus noves polítiques , han estat moltíssims els clients d’aquest sistema els que han acceptat les noves bases sense conèixer exactament l’ús que tindran les seves dades.

El que has de conèixer sobre les noves polítiques de privacitat de WhatsApp

A finals del passat mes d’agost, WhatsApp va anunciar un canvi important en els seus termes de servei. El que es pretén és aconseguir una col·laboració més gran i estreta amb Facebook. Això s’aconsegueix connectant el número de telèfon de cada usuari amb la xarxa social. Les explicacions de la companyia de Zuckerberg passen per assegurar que el que es pretén és millorar l’experiència dels usuaris a tots els nivells.

Un dels objectius principals d’aquesta acció és que els usuaris de les dues aplicacions puguin comunicar-se activament amb marques comercials , a més de amb els seus contactes habituals. Òbviament, per aconseguir això ha estat necessari gestionar un important canvi en les polítiques de privacitat de l’empresa.

Segons Facebook, malgrat que WhatsApp col·labori de forma activa amb la xarxa social, les dades dels quals mai es vendran ni seran compartides amb tercers, ni tan sols amb el propi Facebook. El principal ús que es donaran a aquestes dades té la seva explicació en les estadístiques que obtindrà la companyia de cara a oferir una experiència personalitzada . D’aquesta manera, els anuncis que mostren a través de la xarxa social seran molt més acords a les necessitats i gustos de cada client.

D’altra banda, cal destacar que tots els missatges que es difonen a través de WhatsApp compten amb un sistema de xifrat , que evita que cap tercer tingui accés. És a dir, cada missatge és totalment confidencial.

Malgrat totes les explicacions de WhatsApp i Facebook, que asseguren que la confidencialitat de les dades personals dels seus usuaris està totalment garantida, la Agència Espanyola de Protecció de Dades està analitzant tots els canvis en els termes de servei de l’aplicació de missatgeria per conèixer quin impacte tindrà això sobre la seguretat i la privacitat.

Les noves tecnologies evolucionen a passos de gegant. Això fa que moltes de les lleis vigents en matèria de protecció de dades hagin quedat totalment obsoletes. De fet, el nou Reglament Europeu de Protecció de Dades, s’ha dut a terme per poder assumir totes les novetats digitals i tecnològiques. Aquest reglament deroga la directiva europea de l’any 1955, que havia quedat totalment desfasada. Tanmateix, la nova norma no compta amb cap apartat específic per a les dades personals que poden demanar els drons.

Els experts en protecció de dades asseguren que no és el moment de crear lleis més específiques, ja que el nou reglament europeu ja contempla diverses situacions i els drets i obligacions que cada ciutadà té davant de les dades de caràcter personal.

Dades captades per drons

Un dron és una aeronau de mida reduïda, capaç d’obtenir tot tipus de dades. Vídeo, àudio i imatges poden ser arxivades per aquests petits aparells, que són capaços de passar desapercebuts davant l’ull humà. De fet, el que més preocupa les autoritats i als ciutadans és això. En moltes ocasions, un dron pot estar actuant sense que ningú ho hagi detectat i, òbviament, s’estaria generant una intromissió en la intimitat i els drets d’aquells que estiguin sent gravats.

A Espanya ja són gairebé 2.000 els drons registrats. Però el més important és que estem davant xifres que creixen de manera vertiginosa. S’espera que, en menys de quatre anys, les vendes de drons es quadrupliquin. Des de l’Agència Espanyola de Protecció de Dades (AEPD) asseguren que poder protegir les dades dels ciutadans s’ha convertit en una prioritat extrema.

En aquest sentit, des de les autoritats competents en aquesta matèria, s’explica clarament que qualsevol persona que piloti 1 dron a control remot ha d’informar del que està fent. Exactament igual que en tot espai, públic o privat, en el qual hi ha col·locades càmeres de seguretat és imprescindible informar al ciutadà que les seves imatges estan sent preses i gravades, els usuaris de drones haurien de fer el mateix.

El problema, en aquest sentit, recau en la forma en què els responsables han d’informar la ciutadania. Per això, l’AEPD ha establert la necessitat de fer-ho a través de vies com els cartells, les xarxes socials o el lliurament de fullets aclaridors. Si el ciutadà ha estat degudament informat, podrà exercir els seus drets d’accés, cancel·lació o oposició, en el cas que desitgi que les seves dades siguin eliminats de qualsevol arxiu que generin els drons.

Els organismes encarregats de la protecció de dades de caràcter personal asseguren que és molt important que els mateixos ciutadans sàpiguen que s’està realitzant un ús fraudulent d’aquestes aeronaus, ho posin en coneixement de les autoritats competents. Segons l’Agència Espanyola de Protecció de Dades, en poc més d’un any es van denunciar 150 usuaris de drons, que no estaven complint amb la normativa vigent en qüestions de seguretat i protecció de dades.

Amb l’entrada en vigor del nou Reglament Europeu de Protecció de Dades, apareixen algunes novetats d’obligat compliment. Una d’elles és la nova figura del delegat de protecció de dades. Tenint en compte que el Reglament està en aquest període transitori de dos anys perquè totes les empreses i organismes de la UE ho posin en pràctica, és important comprendre quines novetats caldrà anar implementant per evitar futures sancions.

Cal destacar que aquest nou Reglament deroga la directiva europea de 1995 en matèria de protecció de dades. A més, és d’obligat compliment per a totes les empreses, organitzacions i organismes públics de la Unió Europea. De fet, no cal que a escala nacional es redacti una llei per posar-lo en marxa, ja que no es tracta d’una directiva.

En els articles 37 a 39 d’aquest nou Reglament Europeu de Protecció de Dades es detalla la incorporació de la figura del delegat de protecció de dades. Però, sabem realment quines són les seves funcions?
Les funcions del delegat de protecció de dades

El delegat de protecció de dades o DPO (per les seves sigles en anglès) ha d’estar especialitzat en dret de protecció de dades i estarà per sobre del responsable de tractament i l’encarregat de tractament de les dades. Les seves funcions són variades i molt importants:

Assessorament als encarregats del tractament de les dades personals sobre les seves obligacions davant el nou Reglament, així com les que s’esdevenen de la normativa nacional.
En el cas que les dades que es manegen siguin d’alt risc, haurà de realitzar un estudi d’impacte, assessorant els responsables sobre cada qüestió. A més, haurà de comprovar el seu compliment.
Tasques de supervisió a tots els nivells per assegurar-se que s’està posant en pràctica el nou Reglament Europeu en Protecció de Dades (tant en organismes públics com en empreses privades).
Funcionarà com a nexe d’unió entre els organismes públic i empreses amb l’Agència de Protecció de Dades.

A més, el delegat de protecció de dades podrà ser requerit pels titulars de les dades personals per a solucionar qualsevol dubte respecte al tractament de les seves dades.

És obligatori comptar amb aquesta figura?

La resposta és «sí». El delegat de protecció de dades és una nova figura que ha de constar, de forma obligatòria, en tots els organismes públics. A més, les empreses que es dediquin al tractament de dades massiu també hauran d’incorporar a un delegat en el seu organigrama.

D’altra banda, malgrat que el Reglament recomana incorporar aquesta nova figura a totes les empreses, no és obligatori per a aquelles PYMEs i altres organismes que la seva activitat principal no comporti un tractament de dades personals que requereixin un nivell de protecció alt.
Nomenament del delegat

És important tenir en compte que no cal que cada empresa o organització compti amb un delegat de protecció de dades independent. De fet, les administracions públiques poden tenir un mateix delegat per a diversos organismes. El mateix passa amb els grups empresarials. A més, aquells organismes que representin diferents empreses tindran la potestat de nomenar un delegat per a totes.

Òbviament, el delegat de protecció de dades pot formar part o no de la plantilla del negoci. Encara que és important que la independència d’aquesta figura estigui totalment garantida i no podrà ser destituït del seu càrrec per motius que pertoquin a l’acompliment de la seva tasca.