La llei de protecció de dades: un maldecap per a les pimes
Tot i que els índexs d’aplicació han estat satisfactoris, per a les petites i mitjanes empreses el nou reglament suposa despeses i formació contínua
Segurament deveu haver notat que durant l’últim any, cada vegada que entreu en una nova pàgina web, us apareix una finestra emergent en la qual se us demana la confirmació explícita, mitjançant un clic de ratolí, per acceptar les cookies que la pàgina us instal·larà al navegador. La reiteració pot semblar pesada, però heu de saber que abans de l’entrada en vigor del reglament general de protecció de dades (RGPD), el 25 de maig del 2018, amb validesa a tota la Unió Europea, les cookies, petits programes informàtics que identifiquen el navegador, s’instal·laven igual però sense demanar-vos permís.
La setmana passada, la llei europea de protecció de dades va complir un any de vida i el balanç que es fa des de l’Agència Espanyola de Protecció de Dades (AEPD), l’autoritat estatal que vetlla per la seguretat de les nostres dades personals, és molt positiu. Jesús Rubí, coordinador de la unitat de suport i relacions institucionals de l’AEPD, destaca que l’aplicació del reglament ha estat general, però també que ha suposat un considerable esforç formatiu i informatiu per a les empreses.
“L’RGPD suposa un canvi en el model normatiu -exposa Rubí-. Es passa d’un model basat en el compliment de requisits administratius a un altre on cada empresa ha de ser proactiva i veure quines mesures haurà d’adoptar en funció de la sensibilitat de les dades personals que emmagatzema”. Rubí explica que el primer que l’empresa ha de fer és un estudi de riscos, i després ha de proposar un protocol d’actuació. “Però a més el reglament suposa estar al corrent de les evolucions tecnològiques i actualitzar el protocol de gestió de les dades cada vegada que hi hagi una novetat”, afegeix per exposar la seva complexitat. I posa els següents exemples: “L’últim que hem fet és actualitzar les guies amb els casos del registre obligatori dels horaris de treball i l’ús de dades biomètriques, i ara estem amb el tema dels drons”. El coordinador de l’AEPD assegura que durant aquest any han realitzat “una tasca molt intensa per facilitar informació a les empreses” sobre com avaluar els riscos i planificar els protocols: “Hem posat a la seva disposició eines com Facilita i Informa, dues aplicacions que permeten simplificar operacions i aclarir dubtes; però, a més, presencialment hem fet infinitat de reunions informatives”.
Finalment, Rubí es permet presumir de la norma europea perquè personalitats com Mark Zuckerberg (Facebook) o Tim Cook (Apple) van recomanar que s’apliqués a nivell global, especialment als EUA: “És la norma més ben adaptada al que és avui internet, i com que l’han d’aplicar a tots els ciutadans de la UE, un dels seus mercats principals, és normal que les grans empreses proposin estendre-la a la resta de territoris per generar un clima de seguretat global en el tractament de dades”.
Això no obstant, per a les empreses aquest ha sigut un any de maldecaps i de despeses extraordinàries a causa de l’aplicació. Anna Sallés, advocada especialitzada en noves tecnologies i protecció de dades, és l’assessora principal en aquest camp de la Cecot, una de les patronals catalanes de més pes entre les pimes. Sallés confirma les paraules de Rubí: ha sigut un any de contínues reunions amb les empreses per informar-les. “Abans de l’entrada en vigor de l’RGPD vam oferir una sèrie de sessions mensuals de formació a les quals van assistir més de 500 empreses, i en l’última, el 29 de maig del 2018, hi van acudir 157 responsables, la qual cosa demostra l’interès i la preocupació que suscita”.
Per a Sallés, cal distingir el que és una gran empresa i el que és una pime, “perquè en el primer cas l’aplicació no va més enllà de contractar un nou professional que s’encarregui de la implementació, però en les pimes, sobretot en aquelles que treballen amb dades personals sensibles, com pot ser una consulta mèdica o un bufet d’advocats, l’aplicació ha suposat hores extres de formació dels treballadors i la contractació d’un nou tipus de professional”.
Sallés es refereix al fet que l’RGPD implica des del xifrat dels servidors fins al control perquè els empleats canviïn periòdicament les contrasenyes dels seus ordinadors o aplicacions en el núvol en l’àmbit laboral. Però també destaca el sorgiment d’una nova figura, el delegat de protecció de dades, una persona amb coneixements jurídics que s’encarrega de tractar els assumptes amb l’AEPD. “És una nova funció en les empreses que es pot crear o contractar fora -explica Sallés-, però que en tot cas ha suposat una despesa addicional per a les pimes, a vegades amb un benefici no gaire gran”. Un altre aspecte que segons Sallés ha generat certa polèmica és el del consentiment inequívoc per enviar comunicacions electròniques per llistes de correu, SMS, etc. Fins a la data d’aplicació de l’RGPD n’hi havia prou amb tenir el telèfon d’un client o una targeta per poder incloure’l en una llista de correu, però ara es necessita un permís explícit.
“Això ha obligat moltes empreses a un ingent treball de neteja de fitxers per quedar-se només amb les dades dels clients que sí que van donar aquest permís”, explica Sallés, que de totes maneres destaca que l’RGPD “ha anat molt bé per posar ordre a les bases de dades de moltes companyies, de manera que el nivell de compliment ja és més gran que en la llei anterior”.