Ens hem adonat del perillós que pot ser per a la llibertat que algú acumuli poder per a controlar individualitzada i massivament a la gent. ¿Ens adonarem també que fa ja anys que ens vam dotar amb l’RGPD, amb institucions i una nova professió per a contrarestar, precisament, aquest perill?
El maig del 2018 la Unió Europea va alterar els plans de transformació digital d’empreses i Estats. Aquest dia la UE va imposar noves i revolucionaries obligacions a tot el món respecte al que es pot i no es pot fer amb les dades que donen informació de tu – del que fas, del que tens, del que saps, del que ets, …-. No va ser per casualitat, ni aquestes noves obligacions són per temps limitat o es poden obviar en temps de crisis.
El maig de 2018 va entrar en vigor l’RGPD (o GDPR, per les seves sigles en anglès), i no només a la Unió Europea. Té la mateixa capacitat normativa a tot arreu del món sota certes condicions que són molt freqüents (sobretot, als països que, com Andorra, treballen molt amb les persones de la UE).
Amb l’RGPD, la UE va dotar al món amb drets i obligacions per tal que ningú faci res amb les teves dades personals sense que tu tinguis:
- ple coneixement del què s’està fent,
- gran control sobre el què s’està fent,
- seguretat de que el que s’està fent és legal, i el que al meu judici és el més important,
- gent que vetlla perquè el que s’està fent és “lleial” amb tu. Gent que té com a professió el vetllar pel compliment de l’RGPD.
De què ens protegeix l’RGPD?
L’RGPD defineix obligacions perquè qui treballi amb les teves dades personals hagi de respectar 6 principis fonamentals. Ens agrada especialment l’últim per ser el que més mou a l’acció als responsables de les teves dades personals. Sense ànim de ser rigorós amb les definicions, aquests 6 principis es podrien resumir així:
Principi de transparència
Que bàsicament diu dues coses:
- que has de ser plenament conscient de tot el que es fa amb les teves dades personals, i
- que el que es fa amb les teves dades personals ha de ser «legal» i «lleial» amb tu. Sense que t’enganyin. Sense que t’expliquin només la meitat, i sense lletra petita. O en altres paraules, “que tot sigui legal, que t’ho expliquin tot, i que ho entenguis”.
Principi de limitació de la finalitat
Que bàsicament diu que les teves dades personals només poden recollir-se (i utilitzar-se) quan es tenen intencions molt concretes. No es poden fer servir per altres coses que aquestes intencions. No es poden recollir “per si un cas” o “per al futur” o “pel seu valor de mercat”. No es poden utilitzar per a res que no sigui la intenció amb la qual es van recollir o que no sigui compatible amb aquesta.
Principi de minimització de dades
Que bàsicament diu que no es poden acumular més dades que les estrictament necessàries per aconseguir aquesta finalitat que, a més de ser tan precisa, coneixes tan bé.
Principi d’exactitud de les dades
Que bàsicament diu que si una de les dades que s’estan utilitzant és important per a una de les finalitats a les quals serveix (com podria arribar a ser, per posar un exemple, el mal anomenat “passaport immunològic”) es deu assegurar la seva exactitud en tot moment. O en altres paraules, que el fet que les teves dades no estiguin correctament actualitzades dintre del termini i en la forma escaient, no et perjudiqui.
Principi de confidencialitat i integritat
Que bàsicament obliga a qui treballa amb les teves dades a què s’asseguri que el que fa amb les teves dades, o fins i tot el que qualsevol pugui arribar a fer sense el seu permís, no et pugui causar dany o perjudici. O en altres paraules, que ha de “preveure” quines mesures de seguretat tècniques i organitzacionals ha d’adoptar preventivament perquè la seva activitat no arribi a perjudicar-te mai.
Principi de responsabilitat proactiva (accountability, en anglès)
Que impregna tota la normativa, i que bàsicament fa responsable a l’organització que vol usar les teves dades personals a què es responsabilitzi de tot el que qualsevol faci en el seu nom, i s’ocupi de què en cap cas es puguin violar els anteriors principis. I si no ho compleix de manera proactiva, o no és capaç de “demostrar” que s’ha preocupat molt per complir-ho, les Autoritats de Control de l’RGPD (a Andorra, l’APDA, i en cada Estat membre de la Unió Europea una autoritat a escala nacional i tantes com autonomies o altres circumscripcions s’hagin autoritzat, sota la coordinació i representació a la UE de l’autoritat nacional), sancionaran a l’organització que infligeix l’RGPD i exigiran, si convé, que t’indemnitzin pels danys i perjudicis que aquesta organització hagi pogut causar-te directa o indirectament -fins i tot si aquests perjudicis són totalment subjectius, com “el dany moral” o “l’estrès que et causa el que s’ha fet o el que podria haver-te passat-
… Fins i tot quan només hagis hagut de dir això de “per a haver-nos matat”.
Recolzament d’institucions i nova professió pel assegurament del compliment de l’RGPD
L’RGPD no és “foc d’encenalls”, sinó que s’assegura que hi hagi Autoritats de Control i que aquestes tinguin INDEPENDÈNCIA SANCIONADORA. Un nou Poder del qual es doten els Estats perquè la societat no es pugui destruir, ni ningú pugui intentar-ho a títol personal.
Un nou mandat: revolucionar la cultura de la privacitat a les organitzacions, … sota amenaça de fallida per sanció
L’RGPD autoritza, i que fins i tot anima a posar i publicar massivament, sancions a les organitzacions que violen algú dels seus principis. Aquestes sancions són “immenses” i, a diferència del que succeïa amb les normatives anteriors, estan “dissenyades per a ser dissuasives”. Això significa que si et sancionen, has de tenir molta liquiditat (tresoreria) i molta solidesa empresarial per a no fer fallida. No només tindràs que fer font a la quantia de la multa, altíssima. Hauràs d’indemnitzar els afectats, si així ho reclamen, i hauràs de lidiar amb la perduda de clients i valor de marca. S’ha acabat això de sortir guanyant si incompleixes i pagues «a toro passat» amb els beneficis de l’incompliment.
Una redefinició del que veritablement es la “responsabilitat”
Aquestes noves regles del joc i aquestes noves institucions que controlen el seu compliment, es van crear per destrossar als “llestos”. És per aquesta raó que les regles s’han definit amb tanta precisió quant al seu propòsit, i tanta flexibilitat (que no ambigüitat) quant al com complir-ne. Són les organitzacions les qui millor saben el que estan fent les dades personals i quines conseqüències poden implicar per a les persones. I és precisament per això que L’RGPD deixa al bon criteri de cada organització el que ha de fer per complir amb la normativa.
I la certificació d’una nova professió: El Protector de les Dades Personals
Per últim, l’RGPD va definir el que penso que és una nova “professió titulada”, o un nou rol certificat: el Delegat de Protecció de Dades (DPD, o DPO en anglès). Encara que avui dia i per raons pràctiques, de temps d’establiment de les noves regles, no s’exigeixi el certificat per a exercir.
AQUESTS SÓN ELS MITJANS DELS QUE ENS HEM DOTAT, JA FA TEMPS, PER GARANTIR LA CONFIANÇA DE LES PERSONES I DE LA SOCIETAT EN TOT EL QUE TINGUI A VEURE AMB LA PRIVACITAT I L’ÚS QUE PERSONES I INSTITUCIONS PUGUIN FER AMB LES DADES PERSONALS.
No seria dolent, doncs, que, ja que la societat va preveure amb temps i sensatesa com defensar-se dels abusos que podien arribar a passar durant i després del procés de digitalització d’empreses i institucions (abans poc probables, i ara tan accessibles com les bosses de patates fregides en els bars), deixem de reinventar la roda precipitadament i, en general, sense criteri, i exigim a aquestes noves institucions i professionals facin el seu treball.
Conclusions
En resum, i per a ser del tot transparent amb el lector, en la meva humil opinió no s’hauria de continuar preguntant als enginyers, informàtics, epidemiològics, biòlegs, científics, polítics, etc. -fins i tot, als advocats no especialitzats en protecció de dades-, si “el que s’està fent respecte a la COVID19 ens llevarà o no privacitat, drets i llibertats”. Aquestes preguntes s’haurien de dirigir als Delegats de Protecció de Dades o directament a les Autoritats de Control (de professió “RGPD”). Hauríem de començar a confiar en el que vam crear precisament per ocasions com aquesta (sense improvisacions).
Andrés López Alonso
DPD certificat amb el número CP-X3-0306/2020
Li recordo que té dret a posar-me una reclamació mitjançant el nostre formulari de contacte per l’efecte que aquest post pugui causar-li. El Codi Ètic del DPD Certificat m’obliga a atendre la seva reclamació, a registrar-la, i enviar aquest registre regularment a l’Autoritat Certificadora.