Centre de Recursos sobre Protecció de Dades al Tercer Sector - Preguntes, plantilles i molt més


 

En entorns com el Tercer Sector, on les persones estan al centre de l’atenció, és especialment important que es garanteixin els drets dels usuaris. Aprendre de les dades que es generen ha de permetre millorar la qualitat de vida de les persones, i això converteix en indispensable demostrar que les dades s’utilitzen en els contextos adequats i amb objectius legítims.

A efecte d’abordar aquests plantejaments i com a conseqüència del desplegament del nou Reglament de Protecció de Dades des del maig del 2018, la Taula, a través del programa m4Social i en col·laboració amb amb la Direcció General d'Economia Social, el Tercer Sector, les Cooperatives i l'Autoempresa, de la Generalitat de Catalunya, Barcelona Activa i Centralip, han definit un programa en matèria de protecció de dades pel Tercer Sector que ha inclòs:

  • Un Curs per formar Delegats de Protecció de Dades (DPD) per a entitats.
  • Dues sessions de sensibilització per directius d’entitats per fomentar els canvis organitzatius.
  • El disseny d'aquest espai de Recursos per a entitats en matèria de protecció de dades.

La informació i recursos que trobareu aquí vol servir com a suport i referència per aquelles persones que s'encarreguen de la protecció de dades a la seva entitat. Cal que s'utilitzin com a elements d'inspiració i suport i que es contrastin amb els experts legals de cada organització, la Taula d'entitats no es fa responsable de qualsevol mal ús que se'n pugui derivar.

Protecció de dades al Tercer Sector. Exemples, bones i males pràctiques

Descarregat l'arxiu

 

Preguntes freqüents

Perquè ens ha de preocupar la protecció de dades? 

Perquè ens ha de preocupar la protecció de dades?

Les entitats del tercer sector són expertes i estan experimentades en protegir les persones. Un dels àmbits que ha de protegir és la seva intimitat.
El compliment del marc legal en protecció de dades ajuda a revisar si totes les mesures que es porten a terme són suficients.
Seria molt incoherent que una entitat del tercer sector, que té com a objectiu principal ajudar a les persones, posi en perill les seves dades.

A més, la possible pèrdua d'aquesta informació perjudicaria moltíssim a les persones afectades. Perquè posaria al descobert la seva dignitat i molts aspectes de la seva vida privada.
La privadesa aplicada als aspectes socials de les persones és inclús més prioritari que no pas les seves dades: professionals, educatives o comercials.
Els serveis socials, conjuntament amb els serveis sanitaris, han d'esforçar-se especialment a desenvolupar els millors nivells de seguretat dels quals siguin capaços.

Les entitats del tercer sector tenen un factor bàsic a favor seu per respectar la vida privada de les persones usuàries. Per desenvolupar la seva activitat no necessiten comercialitzar les dades personals ni intentar obtenir-ne algun profit. Tampoc han de realitzar campanyes de màrqueting agressives, per cercar més persones interessades en els seus serveis. Ni tampoc, de moment, iniciar grans projectes de recollida massiva de dades, per aplicar protocols d'intel·ligència artificial que puguin automatitzar decisions sobre les persones.

Així doncs, com que la relació amb els interessats sempre parteix de l'ètica, sense subterfugis amagats, no hi hauria d'haver dificultats per seguir el fil que ens marca la legislació. Més enllà de l'òbvia manca de temps i recursos.

Per qui ho fem?

Hi ha el perill de confondre el nom de la llei: Protecció de dades. Amb el seu objectiu: Protegir les persones.
Protegint les dades dels usuaris dels serveis de les entitats del tercer sector no s'està simplement protegint una base de dades. Si no tot el conjunt de persones que són part (temporalment o no) d'un col·lectiu vulnerable.

És l'entitat del tercer sector qui es responsabilitza, quan inicia la seva activitat, de protegir les persones en tot allò que estigui al seu abast.

Les persones no només han de rebre un document de protecció de dades de l'entitat on es sol·liciti el seu consentiment. Si no que la clàusula informativa compromet precisament, a l'entitat, en invertir els màxims esforços per protegir la informació.

Qui ens pot demanar o exigir-ne el compliment?

 

Qui ens pot demanar o exigir-ne el compliment?

A vegades una entitat no es motiva fins que no se n'adona que hi ha persones que els hi poden exigir que demostrin com compleixen correctament.

Entre aquestes persones, podrien haver-hi per exemple: els usuaris d'un servei, entitats col·laboradores d'un projecte, administracions públiques i les autoritats de protecció de dades.

Qui són els usuaris del servei?

L'usuari d'un servei no només té dret a ser informat de per què se li demanen les dades personals. Si no que també pot sol·licitar que se li demostri si es disposa de les mesures de seguretat oportunes.

És cert que la bona fe i la confiança que tenen les persones en les bones pràctiques del tercer sector, ho fan menys probable que no pas en una empresa de campanyes comercials.

Aquesta confiança predeterminada, que dipositen en l'entitat, encara reforça més l'obligació de ser el màxim de diligent possible.
Tanmateix, s'ha de posar a disposició de totes les persones un canal on puguin obtenir respostes a tots els seus dubtes en protecció de dades. Per això, és necessari disposar d'un protocol d'atenció a l'interessat. I algú de l'entitat que com interlocutor vàlid que ajudi sense vacil·lacions.

Qui són les entitats col·laboradores?

Molts dels projectes que es realitzen des del tercer sector són mitjançant la participació i col·laboració de diverses entitats (fins i tot de persones voluntàries). Això crea una cadena de dependència entre elles. Perquè només que una de les entitats no protegís les dades, generarien una amenaça en tot el circuit.

Així doncs, és cada vegada més habitual (i seria una pràctica molt aconsellable), que en els acords de col·laboració entre entitats, totes acreditessin el coneixement i compliment de les mesures necessàries.

En aquest punt, també seria el moment ideal per establir els protocols de seguretat que seguirien les entitats per intercanviar-se la informació. Evitant mecanismes insegurs com, per exemple, el correu electrònic o els documents ofimàtics convencionals.

Qui són les entitats clients?

Si l'entitat client, que vol contractar una del tercer sector, fa un llistat dels requeriments que es comprovaran un d'ells serà el compliment amb les obligacions de protecció de dades.

És en aquest moment on protegir les dades personals també significa un avantatge competitiu.

Per exemple, avui dia la majoria de concursos públics i licitacions (des dels ens locals fins als governs i passant per les diputacions), sol·liciten en els seus plecs que els futurs proveïdors certifiquin el compliment amb les mesures de seguretat de protecció de dades adequades.

Qui són les autoritats de control?

El legislador va regular, fa dècades, la creació d'autoritats de control que vetllessin per la seguretat de la privadesa de les persones. A la unió europea hi ha la EDPS, a Espanya la AEPD i a Catalunya la APDCAT.

Una de les seves feines fonamentals és la d'aconseguir que tothom compleixi el marc legal. I en cas d'incompliment tenen l'encàrrec d'inspeccionar les causes i raons.

Les quantitats de les sancions estan en funció de la gravetat de l'incompliment. Podent arribar a quantitats molt significatives.
Alhora però, les autoritats també són col·laboradores per conèixer quins són els millors camins a seguir per acomplir. Disposen d'un canal de consultes obert als dubtes que puguin tenir les entitats. I així mateix, són el lloc on s'han de notificar les violacions de seguretat.

 

A quines dificultats s'enfronta una entitat del tercer sector quan intenta protegir les dades?

 

A quines dificultats s'enfronta una entitat del tercer sector quan intenta protegir les dades?

Malauradament són molts els motius, pels quals les obligacions de protegir les dades personals puguin endarrerir-se o ajornar-se.

És evident que cap entitat del tercer sector té com a principal activitat la protecció de les dades personals dels interessats. Ans el contrari, els màxims esforços s'han d'orientar sempre per enfortir l'acció social principal.

L'anterior circumstància pot provocar la comprensible sensació, que derivar recursos cap a la protecció de dades és un malbaratament. Per això, cal que l'entitat decideixi amb sinceritat les seves intencions reals.
És molt temptador arribar a una conclusió de l'estil - Complir amb el 100% és impossible i ens sortiria per un ull de la cara! -. L'anterior reflexió desanima i crea la temptació de desistir. Seria una opinió comprensible per part dels òrgans de govern de l'entitat.

Però alhora, també s'hauria de rebatre amb alguna opinió de l'estil – Els nostres usuaris no es mereixen que posem en risc, en cap concepte, les dades que ens confien! -.

L'equilibri entre les dues dicotomies anteriors serà un treball de debat que ha d'abordar cada entitat.

Perquè la protecció de dades hauria de ser una prioritat per nosaltres?

Si els responsables d'una entitat no veuen com a prioritat bàsica la protecció de dades de les persones. Aleshores haurien de començar per decidir en quin ordre de prioritats ho situen.

Hi ha molta distància entre no donar-li la màxima importància, o no donar-li l'atenció mínima necessària.

Una bona postura, que compensi els anteriors extrems, ha d'evitar que s'ignori o és confií que mai es patirà cap incidència.

Quants recursos són necessaris per protegir les dades?

Protegir les dades personals no és només signar un contracte de confidencialitat o tenir un consentiment de l'usuari. Aquestes només són mesures protocol·làries d'assumpció d'obligacions.

Protegir les dades personals és dotar-se dels recursos proporcionats que aconsegueixin assegurar efectivament el control de la informació.

Recursos transversals que van des dels recursos humans (amb persones de l'entitat que treballin pel compliment i se n'encarreguin d'esforçar-se constantment), fins als recursos materials (com per exemple: arxius segurs, sales de reunions que permetin intimitat, mobiliari amb sistemes de tancament, etc.).

L'ajuda externa significa una despesa molt elevada?

La protecció de dades, com moltes altres activitats, s'ha mercantilitzat. Si una entitat del tercer sector cerca assessorament extern, es trobarà una quantitat innumerable d'empreses consultores que els hi oferiran els seus serveis.

Més enllà de valorar quins honoraris són els justos i adequats. Una entitat hauria de reflexionar sobre dos assumptes.

El primer, dotar-se de personal intern que pugui especialitzar-se en la matèria i així poder coordinar-ne el compliment. D'aquesta manera només s'hauria de recórrer a l'ajuda externa en moments puntuals (quan l'especialització legal o tecnològica ho fes necessari).

El segon, adonar-se que moltes entitats del tercer sector comparteixen necessitats. Que la redacció d'un contracte o la millora d'un programa informàtic pot ser un benefici comú. I per tant una despesa compartida.
Tenir uns protocols de tractament de les dades personals excessivament singulars dificulten l'estandardització de les mesures de seguretat. I per tant no es pot dividir esforços amb la resta de col·legues.

Complir totalment amb la protecció de dades és impossible?

Una entitat del tercer sector ha de portar a terme moltes obligacions en protecció de dades, per això necessita un pla d'acció. Si no hi ha un pla que marqui objectius cronològicament, aleshores s'observa el compliment com una fita que estarà sempre fora de l'abast.

S'hauria de començar per aquelles mesures més urgents i fàcils d'assolir. I així anar evolucionant fins a les més dificultoses.

És cert que potser algunes mesures poden significar un esforç desmesurat. Per exemple, el canvi d'un programa informàtic de gestió de l'entitat. Però en aquests casos, és important tenir les mancances identificades. I debatre internament les raons per les quals no es pot resoldre a curt termini.

Si els problemes que sorgeixen no es poden resoldre. Aleshores s'ha de cercar la forma menys complicada per esquivar els problemes i fer-los evitables.

Quines persones ha d'escollir l'entitat per coordinar la protecció de dades?

 

Quines persones ha d'escollir l'entitat per coordinar la protecció de dades?

Com en tots els altres aspectes, on l'entitat es responsabilitza de funcions i obligacions, l'entitat ha d'escollir a quines persones delegar la feina.
Les tasques que s'han d'abordar necessiten hores i esforços. I persones que estiguin formades, però sobretot predisposades a millorar el compliment.

Si internament no hi ha ningú amb els coneixements oportuns, sempre es pot promocionar o cercar la persona amb les aptituds i qualitats suficients. I decidir formar-se, per exemple a m4Social ja s'han realitzat dues edicions de cursos d'especialització de 120 hores i nombrosos tallers en protecció de dades.

Sempre és millor disposar d'una persona interna que no subcontractar l'assessorament. Perquè segueix millor el batec de l'entitat en el seu dia a dia. A més coneix la forma de pensar dels seus treballadors, col·laboradors i voluntaris. Tot això la dota d'uns valors intangibles que generen moltíssim benefici.

Però atenció! Perquè no només s'ha de seleccionar algú. Si no que se li han de respectar les hores que necessitarà per desenvolupar les seves funcions. Si el que acaba sent és una càrrega afegida i una feina que s'acumula sobre l'anterior, el més probable és que no s'acabi fent per falta de temps.

Què ha de fer la persona Responsable de Seguretat?

L'entitat ha de nomenar una persona responsable de seguretat perquè s'encarregui de la posada en marxa de totes les mesures de seguretat que siguin necessàries.

Posar-les en marxa sobretot significa que aconsegueixi coordinar tots els agents necessaris. I que s'implementin els protocols que s'hagin decidit.

Per exemple, el responsable de seguretat es reunirà amb els informàtics per validar que les mesures tecnològiques són les adequades. Però també participaria en l'elecció del nou mobiliari o el disseny dels nous despatxos, per assegurar que l'arxiu de la documentació és segur.

La quantitat de feina i d'interlocutors podria ser massa per una entitat gran. En aquests casos, s'aconsella crear un comitè on diverses persones es puguin repartir les tasques de coordinació.

La persona responsable de seguretat també és el contacte amb les persones treballadores. Està a disposició de les persones treballadores davant de qualsevol incidència o dubte relacionat amb la protecció de dades. I fa d'interlocutor amb la direcció.
Com a bona persona interlocutora, és indispensable que la direcció li reconegui el criteri i tingui suficient ascendència per seguir-ne les indicacions.

Què ha de fer la persona Delegada de Protecció de Dades?

La persona Delegada de Protecció de Dades és l'encarregada de supervisar el correcte compliment de la legislació en protecció de dades.

Mentre que el Responsable de Seguretat té unes funcions executives de protegir, la figura del Delegat té unes funcions d'avaluar els nivells de compliment.

Així doncs, qui assumeix el rol de Delegat de Protecció de Dades ha d'estar en contacte permanent i periòdic amb la direcció i el Responsable de Seguretat. Per intercanviar opinions sobre allò que es pot millorar.

És obvi que si les funcions de Responsable i Delegat s'aglutinen en una única persona, aleshores hi ha una falta d'imparcialitat per avaluar tasques que desenvolupa un mateix.

Quina és la documentació “mínima” que necessita l'entitat?

 

Quina és la documentació "mínima" que necessita l'entitat?

Disposar de la documentació inicial en protecció de dades és un factor clau per començar a complir les mesures més bàsiques.

Si l'entitat no disposa per exemple de les clàusules informatives correctes, tindrà una sensació d'incompliment, malgrat que internament realitzi tots els esforços per assegurar la seva informació.

És per això, que en la posada en marxa interessa tenir: clàusula informativa, deure de secret professional, cartells de videovigilància, nomenaments de Responsable de Seguretat i Delegat de Protecció de Dades i política de privacitat de la web.

Tanmateix, malgrat que és comprensible que aquests documents ofereixen una seguretat, si més no estètica, de cara a la societat. Són completament insuficients si no s'acompanyen d'uns mecanismes de protecció reals.

Malauradament són masses les entitats responsables que es queden cofoies amb disposar d'aquests escrits. I confonen aquest fet amb què ja ho tenen tot enllestit.

Com s'ha d'utilitzar la clàusula informativa?

La clàusula informativa és l'escrit on s'informa, a la persona usuària del servei, del motiu pel qual es volen recollir les seves dades. I se li trasllada el compromís de guardar-ne el secret.

Però en la clàusula informativa també s'ha d'oferir un canal de contacte amb l'entitat. On es poden resoldre els dubtes que sorgeixin.

Una de les circumstàncies més transcendents de la clàusula informativa és que la seva comprensió s'ha d'adequar al lector. No s'ha d'utilitzar un llenguatge tècnic que dificulti la comprensió o provoqui traves. Al contrari! Com més planer, sincer i comprensible més fàcil serà que l'interessat obtingui confiança.

Per altra banda, la clàusula informativa ha d'oferir-se en el moment embrionari del contacte. Ha de ser abans de rebre o sol·licitar dades.

Com s'ha d'utilitzar el deure de secret professional?

El deure de secret professional és el document on s'expliquen les obligacions de totes les persones treballadores.

No han de ser les mateixes les obligacions per tothom. Si no que depenen d'un organigrama. En funció de les dades a les quals hagin de tenir accés se'ls hi demanaran més o menys obligacions.

És important que, gràcies a aquest document, quedi ben especificat que el deure de secret no s'esgota malgrat que s'acabi la relació laboral.
I també és el moment ideal per informar amb quina persona s'han de posar en contacte si tenen alguna incidència (Responsable de Seguretat i/o Delegat de Protecció de Dades).

En aquest document no és el moment més adequat per encabir-hi altres problemes laborals.

Si per exemple, hi ha treballadors que enlloc de treballar amb l'ordinador ho aprofiten per jugar a Internet, i es vol aprofitar aquest document per incloure prohibicions. Aleshores és córrer el risc de trobar-se amb el rebuig dels treballadors i que considerin que les seves obligacions en protecció de dades els hi provoca un excés de control laboral.

Com s'han d'utilitzar els cartells de videovigilància?

Les entitats que per raons de seguretat hagin instal·lat càmeres de videovigilància, hauran de col·locar cartells informatius que estiguin visibles en totes les àrees.

Els cartells s'han de col·locar en una ubicació que s'anticipi a la gravació. Si per exemple, es posa una càmera al vestíbul, aleshores s'inclouria el cartell a l'entrada del vestíbul. D'aquesta manera la persona afectada de la gravació seria lliure de no accedir-hi.

És important rebre un certificat per part de l'empresa instal·ladora. On s'indiqui que el sistema tecnològic que instal·len i el suport tècnic estan certificats i compleixen amb la legislació en Protecció de Dades.

Com s'han d'utilitzar els nomenaments?

En preguntes anteriors s'han identificat les figures del Responsable de Seguretat i el Delegat de Protecció de Dades. Un cop escollides les persones més oportunes, hauran de signar els seus documents de nomenament.

Aquests nomenaments serveixen per assumir els compromisos. I com que desenvoluparan la responsabilitat més elevada en protecció de dades, s'ha d'acompanyar amb seguir les seves opinions.

Així mateix, l'entitat ha de notificar a les Autoritats de Protecció de Dades la identitat de la persona Delegada de Protecció de Dades. Les autoritats contactarien amb aquesta si es produís alguna incidència greu (com per exemple la denúncia d'un ciutadà envers l'entitat).

Com s'ha d'utilitzar la política de privacitat?

La política de privacitat és un document públic que serveix perquè l'entitat traslladi a la societat la seva idea sobre la privacitat i el compromís que vol assolir. Així doncs, interessa defugir escrits genèrics que tothom es copia. Segur que l'entitat té les seves peculiaritats i la seva opinió genuïna sobre el dret a la intimitat dels seus usuaris. Així doncs, s'ha d'aprofitar la política de privacitat perquè es conegui la vostra opinió, interès i virtuts.

La política de privacitat és bo publicar-la a la web de l'entitat, en un lloc digne i accessible des de tots els racons on es sol·licitin dades (com per exemple els apartats de «contacte amb nosaltres»).

La política de privacitat també és el lloc ideal per presentar la persona Delegada de Protecció de Dades i els canals per resoldre i atendre els seus dubtes.

Quina és la documentació més “complicada”?

 

Quina és la documentació més "complicada"?

L'esforç que significa l'adaptació a les mesures de seguretat no només és degut a l'elecció de les tecnologies més adequades. Si no també a la realització d'un conjunt de documents que requereixen una profunda investigació de com es tracten.

Tot aquest esforç després obté la recompensa. Perquè gràcies a això es descobreixen els circuits exactes que realitzen les dades i, si s'escau, s'identifiquen les millores que podrien aplicar-se.

Tampoc s'ha d'oblidar que a causa de les característiques de les entitats del tercer sector, on es tracten dades especialment sensibles de les persones, disposar d'aquesta documentació «actualitzada» és primordial.

Per tant, el repte és doble. Perquè primer es necessita confeccionar la documentació i posteriorment que reflecteixi un contingut que no estigui obsolet.

Perquè serveixen els contractes d'encarregat del tractament?

Els contractes d'encarregat del tractament són els pactes de protecció de dades que s'han de signar amb els proveïdors, empreses o autònoms, que prestin un servei o producte que involucri el tractament de dades personals.

Per exemple, una empresa de serveis informàtics que faci un manteniment dels ordinadors o proveeixi d'un programa on hi haurà dades personals, ha de subscriure un contracte d'encarregat del tractament.

També s'hauria de signar un contracte d'encarregat del tractament si l'entitat del tercer sector subcontracte un tècnic especialista, per exemple un psicòleg, per assistir a les persones.

Els contractes d'encarregat han d'incloure les dades de les dues parts i una descripció on s'indiqui quines dades personals es tractaran i per quin motiu. Alhora el contracte d'encarregat ha d'especificar si s'autoritza a què existeixi una subcontractació per part del proveïdor. I en cas afirmatiu, indicar quines són les identitats de les empreses o persones sub-subcontractades.

En canvi, si una empresa ofereix un servei on té només un accés potencial a les dades però no necessita accedir-hi per prestar els seus serveis. Aleshores hauria de signar només un compromís de confidencialitat (un contracte simplificat).

Per exemple, un servei de neteja segurament té les claus de les instal·lacions i accedeix a tots els despatxos i racons. Pot veure documents o tenir accés a ordinadors. Però com que la neteja la podria realitzar sense tractar dades, aleshores només necessita un contracte de compromís de confidencialitat.

Cal destacar la col·laboració que sovint pot existir entre entitats del tercer sector, per participar conjuntament en l'assistència a les persones, i l'intercanvi d'informació que aquests projectes impliquen. Provocant que les entitats siguin encarregades del tractament mútuament i, que per tant, s'hagin de signar aquests contractes entre elles.
I per últim, el moment més interessant és quan una entitat del tercer sector es converteixi en encarregada del tractament d'algun client seu. Per exemple, si un Ajuntament contracte una entitat del tercer sector. Aleshores l'entitat és encarregada del tractament de l'Ajuntament. Disposar, per avançat, d'aquest contracte li demostraria en el client (en aquest exemple l'Ajuntament) el compromís en el compliment de les obligacions.

Perquè serveix el Registre d'Activitats del Tractament?

El Registre d'Activitats del Tractament (RAT) és un inventari detallat de tots els tipus de tractament de dades personals que realitza l'entitat.
Segur que el tractament més crític i important és el de les dades personals dels usuaris dels serveis socials.

Però probablement, també es tracten dades personals dels: treballadors, persones de contacte, col·laboradors, lectors de revistes, voluntaris, etc.

En el RAT s'han d'indicar, un per un, tots els anteriors tractaments. I realitzar una descripció resumida i esquemàtica de com es tracten les dades personals.

Des del punt de vista pràctic és el document nuclear de la protecció de dades. Perquè amb un cop d'ull es pot descobrir quines són les dades personals que l'entitat tracta, de quins tipus de persones tracta les dades, quines dades sol·licita i quin circuit segueixen les dades dintre de l'entitat.

Cal remarcar que en el RAT han d'aparèixer no només els tractaments de dades personals, on l'entitat sigui responsable, sinó també encarregada. Per exemple, si l'entitat està tractant dades en un servei d'un ens públic. Aleshores en el RAT el tractament de les dades d'aquest projecte concret també hi han d'aparèixer (indicant que l'ens públic és: responsable, i l'entitat del tercer sector: encarregada).

Perquè serveix el Pla de Seguretat?

Com en totes les facetes d'organització i gestió, planificar-se és fonamental. El Pla de Seguretat, que el coordina la persona Responsable de Seguretat, és el full de ruta de l'entitat. Ideal per saber en quin punt es troba en l'assoliment de les fites necessàries en protecció de dades.

Aquest document ha de permetre entendre el perquè s'han pres certes decisions en el passat. Per exemple, és on es justificaria perquè es va escollir i implementar un sistema de còpies de seguretat.
I també descobrir les feines que encara resten per portar a terme. Com per exemple, proposar una proposta de millora en el mobiliari dels despatxos on s'arxiva la documentació, si actualment no es pogués tancar amb clau.

La redacció del pla de seguretat potser recau sobre la persona responsable, però aquesta ha de rebre informació de tothom. Això vol dir, que totes les persones involucrades poden ajudar moltíssim si el revisen i aporten la seva opinió. Un debat i diàleg entre les persones treballadores i la responsable, permet que s'hi reflecteixi millor la realitat i es planifiquin les mesures correctores més adequades.

Perquè serveix l'Avaluació d'Impacte de Protecció de Dades?

Les entitats del tercer sector és molt probable que necessitin tractar dades que es consideren «especials»: origen ètnic o racial, opinions polítiques, conviccions religioses o filosòfiques, dades relatives a la salut o dades relatives a la vida sexual o les orientacions sexuals.

També és molt probable que es tractin dades de col·lectius vulnerables: menors, persones amb malalties mentals, sol·licitants d'asil, persones ancianes, pacients, immigrants, persones en situació de pobresa, etc.
Les anteriors circumstàncies impliquen que s'hagi de realitzar un estudi que es coneix com una Avaluació d'Impacte de Protecció de Dades (AIPD).
Una AIPD és una avaluació on l'entitat ha de revisar tots els seus protocols, el camí que seguiran les dades en tot moment i trobar-ne tots els possibles riscs.

En teoria l'avaluació seria necessari realitzar-la abans de que l'entitat iniciés la seva activitat i comences a recollir dades. Un avaluació preventiva permetria que l'entitat, abans d'iniciar la seva activitat, ja recapaciti sobre les potencials amenaces que implicaria algun mètode en concret. I aleshores es replantejaria i corregiria a priori.

A la pràctica, com que la majoria d'entitats del tercer sector ja estan realitzant els tractaments de dades, des de fa temps, la AIPD es converteix en un estudi que repassa les formes de treballar actuals i planteja com millorar-les.
Evidentment, corregir unes pràctiques que ja s'hagin adquirit per costum és més difícil que redreçar-se des de l'inici. En aquesta situació les conclusions de l'avaluació han d'impulsar-se des dels màxims òrgans de govern.

Quins protocols, hàbits i costums ens poden ser més útils?

 

Quins protocols, hàbits i costums ens poden ser més útils?

Per protegir les dades de les persones no només es pot confiar en certes mesures tècniques i legals. Tot i que l'entitat tingués els millors documents legals i les millors mesures informàtiques... serien inútils si les persones que accedissin a la informació no fossin geloses de protegir-la especialment.

La millor manera de protegir la informació, encara que no es disposi de les millors instal·lacions o infraestructura tècnica, és el compromís de qui tracta les dades. Que les protegirà i s'esforça per guardar-les secretes.

La millor inversió, que l'entitat pot fer, és definir quins són els codis de conducte que internament implementaran les persones autoritzades a accedir a les dades personals.

Quant temps i esforç necessiten les persones Responsables de Seguretat o Delegades de Protecció de Dades?

El temps exacte fa de mal dir, perquè depèn de la complicació dels tractaments de dades personals de cada entitat.
No s'ha de confondre entre la complicació i la magnitud. Una persona Responsable de Seguretat que tingui uns tractaments més crítics, amb un sistema d'informació més enrevessat i uns protocols més complicats, haurà d'invertir més temps. Sense ser tan primordial la quantitat de dades i/o persones.

Així doncs, la simplificació en el tractament permet reduir el temps necessari, malgrat que l'entitat fos de les més grans de Catalunya.
Tanmateix, hi ha uns mínims que seran comuns en tots els casos. Les persones que coordinen la protecció de dades han de confeccionar la documentació. Per exemple: el registre d'activitat del tractament, l'avaluació d'impacte i el pla de seguretat. Que consumeixen suficient temps per a necessitar, com a mínim, 2 hores setmanals.

Per altra banda, també hauran d'atendre el canal d'incidències dels treballadors i consultes de les persones usuàries. Que pel cap baix pot requerir 2 hores setmanals (considerant que la majoria de consultes o incidències seran comunes a les anteriors ja resoltes).
I per últim, els Responsables i els Delegats de Protecció de Dades han de programar-se reunions periòdiques de revisió (d'una durada aproximada de 2 hores). I el seguiment del compliment amb els òrgans de direcció que també signifiquen, com a mínim, de 2 hores de dedicació mensual.

Amb tot això, queda clar que assumir aquestes funcions és una sobrecàrrega que ha de contemplar-se. I ha d'assegurar-se que les persones disposin del temps necessari. Si no en lloc de millorar, pot acabar provocant una falsa sensació de seguretat.

Com es poden formar a les persones treballadores?

La protecció de dades personals comença per la implicació de les persones que les tracten.

Oi que seria ridícul fer un esforç en mesures de seguretat, si després els tècnics fessin safareig amb parents i amics sobre les persones que tracten a la seva feina?
Per això, s'ha de concentrar l'esforç en una política de recursos humans que vetlli per la serietat, compromís i vàlua de les persones que hi participin.
Durant la selecció del personal s'ha d'incloure uns indicadors que permetin verificar la capacitat de mantenir el secret professional.

Hi ha característiques humanes que han de ser una condició inicial. Un treballador que pengi al «Instagram» fotografies intimitats dels seus amics i familiars, és possible que també ho faci amb persones que conegui a la feina.

La responsabilitat no només és del treballador quan incompleix el deure de secret. Sinó també de l'entitat, per haver-li donat la confiança d'ocupar aquell lloc de treball. Així doncs, la premissa seria seleccionar només persones amb una especial sensibilitat per la privacitat i dignitat.

Posteriorment és cert, que també són útils els plans de formació i sensibilització de benvinguda. On les persones treballadores poden conèixer, quins protocols s'han establert a l'entitat que els ajuden a protegir la informació (tant aspectes organitzatius com informàtics).

I sobretot que sàpiguen on poden dirigir qualsevol dubte. I coneguin com rebre ajuda del Responsables de Seguretat i del Delegat de Protecció de Dades.

Com es pot millorar l'interès dels treballadors?

Habitualment les treballadores i treballadors del tercer sector tenen una especial sensibilitat per protegir a les persones.

Aquest aspecte es pot aprofitar, molt fàcilment, per fer néixer i créixer el seu interès amb el dret a la intimitat. Seran, sense dubtes, els primers a reconèixer que detecten un excés en l'explotació de dades personals que afecten la llibertat.

Aquesta situació general s'ha produït amb l'esclat de les xarxes socials i l'ús massiu de la telefonia mòbil. I de ben segur, afecta també a les entitats del tercer sector. Les treballadores i treballadors haurien de vetllar perquè l'entitat fos un oasi de respecte i compromís sobre la privacitat. On ningú pel fet de rebre ajuda del tercer sector pugui perdre ni un bri d'intimitat.

Sempre hi haurà l'espai a l'error, és comprensible. Però una falta d'ètica en protecció de dades hauria de comportar que internament, les companyes o companys de feina sabessin que s'ha de notificar la incidència. Una persona que identifiqui una incidència i no la notifiqui, no només seria còmplice, sinó que iniciaria un deteriorament en el dret a la intimitat de les persones usuàries. Protegir les dades personals és una feina d'equip.

És una necessitat fonamental de l'entitat aconseguir un entorn de confiança suficient. I si algú detecta una mala pràctica professional pugui notificar-la. Només d'aquesta manera els Responsables de Seguretat poden decidir la millor manera d'evitar la reiteració de l'error.

Quines són les mancances de seguretat reals?

Una bona feina de conscienciació amb les persones treballadores de l'entitat, assegura que notificaran incidències cada vegada que es produeixin. Una incidència és una situació que pot empitjorar o arriscar la dignitat i privacitat d'una persona usuària.
Així doncs, si les incidències arriben a través del canal escollit (trucada, e-mail, missatge curt, etc.), és fonamental donar-li la màxima importància per estudiar-la.

Seria desencoratjador que s'adonessin que després d'haver avisat sobre una situació d'amenaça finalment no es corregís res. De fet el que provocaria seria un deteriorament en la relació de confiança, i una desmotivació per notificar incidències en el futur.

Un bon indicador de salut en protecció de dades és que l'entitat es pregunti quantes incidències han notificat les seves treballadores i treballadors en l'últim any. Si la resposta és que poques, o cap, aleshores hi ha molta feina a fer.

Algú es pot creure que les persones tècniques de l'entitat no pateixen incidències o dubtes sovint? Si aquests dubtes no es vehiculen, ni es coneixen, acaben significant una amenaça potencial que convé evitar.

Com es certifica el compliment?

 

Com es certifica el compliment?

Quan es realitza un esforç és magnífic poder-ne lluir el resultat.
Igual que un alumne s'enorgulleix de les seves notes. Una entitat, que compleixi amb la protecció de dades, també ha de tenir un document que ho demostri.

Hi ha diferents camins per certificar el compliment. I tots ells són de màxima utilitat per transmetre el grau de confiança que les persones usuàries busquen quan s'apropen a l'entitat.

Però també implica un avantatge davant la inevitable comparació amb altres entitats.

Qui creieu que aconsellaria escollir el Responsable de Seguretat, d'un Ens Local, si s'ha d'iniciar un projecte del tercer sector i es busca una entitat o fundació col·laboradora? Sens dubte, una certificació sempre suma i juga a favor.

S'han patit violacions de seguretat anteriorment?

Una entitat del tercer sector pot acreditar que en tots els seus anys d'existència no ha patit cap violació de seguretat ni fuga d'informació. Aquesta informació es pot destacar i posar a disposició dels agents que l'envolten.

És potser una fórmula poc objectiva de certificar el compliment. Perquè l'absència de fugues d'informació pot haver estat causada per la sort, o fins i tot desconèixer si s'ha produït.

Però malgrat tractar-se d'una informació subjectiva, i originada per part de l'entitat, sí que és rellevant. De fet les entitats tenen l'obligació de notificar una violació de seguretat a les Autoritats de Protecció de Dades, com a màxim, 72 hores després de detectar-la.

Els camps en els quals es pot produir una violació de seguretat són molt variats. Des d'un virus informàtic, fins a un treballador que s'emporta informació, etc.
No haver-ne patit revela que l'entitat es preocupa de la protecció en molts aspectes diferents.

La Delegada de Protecció de Dades pot realitzar un informe favorable?

La persona escollida per realitzar les funcions de Delegat de Protecció de Dades té l'obligació principal de supervisar el nivell de compliment en matèria de protecció de dades.

La feina de supervisió inclou l'elaboració d'informes sobre l'estat de compliment de l'entitat. Així doncs, els informes són una eina ideal per poder rendir comptes amb qui ho sol·licités i posar-li a disposició aquesta documentació.

A més, com que la supervisió es continua i evolutiva, l'històric d'informes emesos pel Delegat aporten dades sobre els passos i decisions que s'han pres al llarg del temps. I per tant, es demostra el grau de compromís i diligència per millorar o corregir les mancances i nous requeriments que apareixen.

Per altra banda, entre les funcions del Delegat també hi ha les d'atendre a la societat i les Autoritats. La seva opinió, que necessàriament ha d'evitar el conflicte d'interessos, és altament valorada.

L'entitat ha de defensar la independència del Delegat. I permetre que obtingui informació sense limitacions i doni opinions sense pressions.

És necessària una auditoria?

Una eina útil per demostrar el nivell de compliment en protecció de dades és la realització d'una auditoria.

Les auditories poden plantejar-se internes (realitzades per personal propi de l'entitat), o externes (realitzades per auditors externs).

Cada opció té els seus avantatges. Mentre que un auditor intern coneix millor les interioritats de l'entitat, l'auditor extern és menys influenciable.

Fos com fos, el resultat final d'una auditoria és un resum executiu on s'identifica el seu abast i els incompliments que s'han detectat.

Malgrat que l'auditoria no surti del tot favorable. El propi esforç, de la seva realització periòdica, demostra una preocupació pro-activa i és percebuda com un interès de millora continua.

S'està adherit a un codi de conducte?

Les entitats del tercer sector tenen una alta tradició d'unir-se i coordinar-se per compartir objectius, visions i missions.

El codi de conducte en permet disposar d'un document que presenta les mesures comunes entre totes les entitats adherides.

Un cop publicat, la societat pot corroborar quin és el comú denominador i el grau d'exigència que s'han marcat.

Quan s'acaba la feina?

 

Quan s'acaba la feina?

El compliment en protecció de dades no és una excursió que té uns punts d'inici i final. No s'ha d'enfocar com un projecte delimitat en el temps, ha d'implementar-se com un procés continuo dintre de l'entitat.

Igual que l'entitat mai deixarà de realitzar les tasques fiscal, que siguin necessàries, tampoc oblidarà les relacionades amb protegir les dades.

Algunes de les tasques contínues més rellevants són: la revisió d'incidències, els simulacres de consultes d'usuaris (per veure com se'ls atendria), o l'actualització del pla de seguretat (per revisar si han aparegut millores que pugui incrementar la protecció les dades).