BarcelonaComença el compte enrere. A partir del 25 de maig serà obligatori aplicar el nou reglament europeu de protecció de dades que va entrar en vigor fa dos anys. És un cop de les autoritats comunitàries contra el mal ús de la informació personal a internet amb l’objectiu que la lletra petita amb què cedim les nostres dades a la xarxa sigui més clara que mai. En cas contrari, les sancions seran més dures i podran arribar a una multa del 4% sobre la facturació anual de l’empresa. La normativa no afecta totes les companyies, però sí totes les que tracten grans volums de dades dels seus clients i usuaris, un negoci cada cop més freqüent a l’era digital. “És independent de la mida o la facturació de l’empresa, tant grans com petites”, apunta Joana Marí, la responsable d’avaluació i estudis tecnològics de l’Autoritat Catalana de Protecció de Dades. En el cas de l’administració pública no hi ha alternativa: tots els seus organismes l’hauran de seguir fil per randa.
Inscriu-te a la newsletter Economia
Informació que afecta la teva butxaca
Inscriu-t’hi
Des de correus electrònics fins a patrons de comportament i gustos, les plataformes online tenen molta informació sobre com som i què volem, però no sempre són prou clares a l’hora de preguntar-nos si volem cedir-los aquestes dades tan valuoses per als seus models de negoci. Un dels punts que introdueix el nou reglament europeu és que aquest consentiment haurà de ser explícit i les empreses hauran d’assumir que no és necessària l’oposició directa dels ciutadans perquè no puguin fer servir les seves dades. “Es vol reforçar la propietat i els drets de qui són aquestes dades”, explica Marí. Això implicaria, per exemple, que una empresa no pugui marcar per defecte la casella amb què acceptem cedir aquesta informació, sinó que ha de ser l’usuari qui faci aquest pas amb una “acció afirmativa”.
A més, amb la nova normativa no es podria tornar a produir el silenci corporatiu que es va generar després del ciberatac global del ransomware WannaCry. L’amenaça cibernètica va afectar empreses d’arreu del món, però no totes van reconèixer haver sigut víctimes d’aquesta vulnerabilitat. Ara Europa estableix que aquestes situacions s’hauran de comunicar amb un màxim de 72 hores a les autoritats de protecció de dades de cada estat membre i, en cas que les seves dades estiguin en risc, també als mateixos usuaris. D’altra banda, introdueix finalment el reconeixement de l’anomenat “dret a l’oblit”.
És per això que el reglament incorpora un nou càrrec dins l’oficina:el delegat de protecció de dades. Aquesta figura haurà de ser un especialista -per exemple, amb coneixements legals i un perfil tècnic- que s’encarregui de vetllar pel compliment de la normativa. De fet, aquest responsable té un punt de delegat sindical, ja que està en constant contacte amb les autoritats, té autoritat per vetar decisions que vulnerin la normativa de protecció de dades i és més complicat acomiadar-lo de manera improcedent. A la tecnològica catalana Tiendeo es dediquen a digitalitzar els tradicionals fullets de publicitat i ja n’han designat un. De moment el càrrec l’ha assumit el director de tecnologia de la companyia, Marc Oliveras, però esperen incorporar al llarg de l’any una persona que s’hi dediqui exclusivament. “Nosaltres treballem molt amb la geolocalització i vam tenir clar que no volíem assumir riscos”, explica el directiu.
Tiendeo fa servir dades com la ubicació dels seus usuaris per fer-los arribar ofertes personalitzades -poden saber si has passat a prop d’un supermercat per dir-te quins productes estan de promoció- i, per tant, el seu negoci cau de ple en la nova directiva de protecció de dades. Des de l’octubre passat la companyia ha arrencat el procés d’adaptació, que ha començat per fer un gran inventari i classificar totes les dades que recull a través de la seva aplicació. “Ens hem adonat que teníem molta informació que realment no necessitàvem i que el client més interessant per a nosaltres és el que sí que vol donar-nos les dades”, explica Oliveras.
Ara l’empresa ha hagut d’actualitzar els formularis amb què els usuaris li donen el consentiment i formar el seu equip en temes com la ciberseguretat. I això que a Espanya hi ha un problema afegit: el Congrés no ha aprovat encara la nova llei de protecció de dades que ha de permetre adaptar-se al reglament europeu. De fet el període d’esmenes s’ha ampliat tres vegades i l’últim expira demà. La no aprovació a temps de la llei pot generar problemes sobretot en l’aplicació de les sancions, ja que el reglament és ampli i el govern central volia concretar les forquilles de gravetat.
Buits en l’adaptació
L’objectiu és adaptar la normativa a situacions que no es produïen fa deu anys, però l’avenç constant de les noves tecnologies també ha fet que en el reglament hi quedin alguns buits. Per a l’experta en protecció de dades i professora de dret civil de la Universitat Oberta de Catalunya Mònica Vilasau, el text de la Comissió Europea no té prou en compte les implicacions per a la nostra empremta digital d’innovacions cada cop més presents, com ara el big data, la intel·ligència artificial o l’internet de les coses.
Fonts del sector tecnològic expliquen que el canvi en el nou reglament ja fa temps que s’ha engegat a grans multinacionals i entitats financeres, però encara hi ha moltes empreses que no saben com adaptar-s’hi.
Tres preguntes a Marc Oliveras, director de Tecnologia de Tiendeo
1. Per què us heu d’adaptar al nou reglament de la Unió Europea?
En una empresa com la nostra, en la qual tractem dades com la geolocalització, tot això és molt sensible. Som conscients que estem molt exposats a l’efecte Gran Germà. Són usuaris anònims, però podem saber quins llocs freqüenta un perfil de persona determinat per donar una oferta de més qualitat, i això els hi hem d’explicar.
2. Quina responsabilitat tens com a delegat de protecció de dades?
A l’octubre vam decidir començar amb aquest tema i com a director de tecnologia vaig assumir el càrrec de delegat de protecció de dades. És una figura amb autoritat i que ha de poder vetar accions i iniciatives que no respectin la normativa. La idea és incorporar algú al maig que s’hi pugui dedicar plenament.
3. És un cost important per a les empreses?
En el nostre cas vam tenir molt clar que no volíem assumir riscos i exposar-nos a les sancions. Al cap i a la fi, temes com formar el nostre equip en ciberseguretat ho veiem més una inversió que una despesa.