“Quan vam veure que s'aprovaria un nou reglament en aquesta direcció vam convocar el primer Premi de Privacitat en el Disseny”. M. Àngels Barbarà, directora de l’Autoritat Catalana de Protecció de Dades (APDCAT), ha entregat aquest dilluns a la University College London la 5a edició d’un guardó on “cada any s'hi presenta més gent, s'ha internacionalitzat”. La idea dels Premis va en la línia de la nova normativa europea sobre protecció de dades, que finalment entrarà en vigor el proper mes de maig. El Reglament es posa al dia tecnològicament per protegir especialment les dades d’alt risc: les que es refereixen a la salut, l’orientació sexual, la raça o la religió.
El proper mes de maig entra en vigor el nou reglament europeu de protecció de dades, amb un important canvi de mentalitat. Amb la digitalització les nostres dades corren més perill que abans?
Això és una realitat. La protecció de dades és un dret fonamental però no està recollit com a tal a la Constitució. Ha estat posteriorment quan el Tribunal Constitucional ho va reconèixer així creant jurisprudència, no s'esperava que hi pogués haver aquest tipus d'agressió. L'origen de tot això es planteja a Alemanya després de la 2a Guerra Mundial quan veuen que era possible tenir una recol·lecció d'informació amb finalitats racistes. Per això hi ha determinades dades com la raça o la religió que són especialment sensibles i s’han de tractar amb molta cura.
Ara anem repartint dades per tot arreu...
Sí, tenim fins i tot televisions intel·ligents que et poden escoltar per després decidir. Si algú ho vol fer, magnífic; però a mi que la tele m'escolti o em gravi quan sóc a casa no em fa cap il·lusió. Cadascú que faci el que vulgui, però que en sigui conscient.
De totes maneres, una cosa és el que fas amb les teves dades i l'altra tractar les de terceres persones...
És un tema molt important i el nou reglament canvia l'apartat del consentiment, que fins ara era tàcit. Però la nova normativa obliga que sigui explícit, t'ho han de demanar i ho has d'acceptar. A més, la informació ha de ser molt clara. La gent ha de saber per què està cedint les seves dades, per què s'utilitzaran. I si un cop recollides es pensa que es poden utilitzar per altres coses que no són la finalitat per la qual s'han cedit, s'ha de comunicar i la persona s'hi pot oposar. Ara resulta que tenim tanta informació que et perfilen d'una determinada manera amb un algoritme i pot acabar decidint si et donen o no una feina, si et donen o no un crèdit...
Precisament la tasca d’analista i intèrpret de dades és un perfil a l’alça...
Més enllà que en qualsevol negoci has de tenir les dades adequades per poder expandir-te; aquest tema avui ja és tan important que supera la pròpia anàlisi de dades. Nosaltres ja estem enfocant-nos cap a temes de consum i competència. Comprar o vendre una empresa ja no es fa només amb una anàlisi econòmica. Si vens una empresa amb determinada quantitat de dades inclosa, pot afectar el mercat de la competència. Estem jugant amb unes altres normes. A més a més, l'anàlisi de dades pot afectar els drets i les llibertats de les persones. Per no parlar de dades genètiques. Ara et demanen l'ADN per fer un tractament de pell per dir-te quina crema t'anirà millor. Amb això estàs donant un ADN que t'afecta a tu, a la teva família i als teus successors. Amb aquest perfil que et poden fer amb les teves dades t’adeqüen en un context. Et diuen que et fan la vida més fàcil segmentant les ofertes que t'interessaran. Però et faran unes ofertes determinades, perds la capacitat d'escollir. A qui li vagi bé, que doni totes les dades; però moltes persones volen decidir per elles mateixes.
Què canviarà amb el nou reglament de protecció de dades?
Una de les noves eines del reglament és la privacitat en el disseny. La normativa anterior és estandarditzada, et diu tot el que has de fer, que el nivell de seguretat depèn del tipus de dades, etc. En canvi, la nova normativa fa un canvi radical. Els principis bàsics són els mateixos, però s'estableix un nou plantejament: el principi de l'accountability. Tenim l'obligació d'avaluar els riscos que afecten els drets i les llibertats de les persones. I prendre les decisions oportunes per fer-ho bé i estar en disposició de demostrar-ho. Per fer això el reglament et dóna unes eines perquè totes les decisions que hagis de prendre depenen de tu.
“Ara el reglament és d'obligat compliment a tots els països de la UE”
Quines són aquestes eines?
La primera és la privacitat en el disseny. Des del principi de qualsevol projecte, quan dissenyes una app o un servei, cal que pensis en la privacitat.
A l'hora de crear qualsevol projecte, hi ha consciència d'aquesta necessitat de prestar atenció a la protecció de dades?
A escala d'autoritats i gent coneixedora en són conscients. Ara falta fer aquesta difusió perquè en sigui conscient tota la gent que ho ha d'aplicar. Des d'una petita empresa fins a una gran companyia, els responsables de les dades seran també els responsables que tot això es faci bé. Fins ara cada país tenia una llei, però ara el reglament és d'obligat compliment a tots els països de la UE. Això dóna unes garanties als ciutadans.
Com ara?
Fins ara les grans empreses que no tenen la seva seu principal a Europa, com Google o Amazon, podien discutir la normativa. Ara sempre que prestin serveis a Europa hauran de complir aquest reglament i això ja queda fora de qualsevol dubte. Un altre avantatge que aporta és la relació amb les autoritats. Si has de fer una reclamació la resolució la fa el país del ciutadà, el que et garanteix que pots recórrer en els teus tribunals. Si havies d'anar als tribunals d'un altre país sempre és més complicat. És un reglament pensat amb l'evolució que ha fet el món en aquests anys; la situació és molt diferent a quan es va fer la directiva el 1995 o la LOPD. El món va molt de pressa i les tecnologies avancen exponencialment. Aporta grans avantatges però també pot afectar molt directament els drets i llibertats de les persones.
Des de l'APDCAT també heu presentat una Guia per a l'avaluació d'impacte relativa a la protecció de dades. Per què és necessària?
Perquè canvia la manera de fer i el tractament de les dades és un procés integral que hem de conèixer i controlar. A cada moment hem de valorar els riscos que tenim i prendre les mesures adequades perquè no afectin els drets i llibertats de les persones. Això a Espanya no s'ha fet mai. Per exemple, vigilar que el disseny d'un algoritme no produeixi un efecte discriminatori. La primera valoració dels riscos és l'avaluació d'impacte sobre la protecció de dades d'alt risc. Has d'analitzar les maneres d'eliminar i minimitzar aquest impacte. Un grup d'experts han donat una orientació de com fer-ho i ho hem incorporat en aquesta guia. És una bona orientació perquè la gent sàpiga per on anar davant d'aquest gran canvi.
A qui va dirigida?
Nosaltres ho dirigim més cap a les administracions públiques perquè són el nostre públic majoritari; però totes les empreses hauran de fer-ho. Qualsevol persona que hagi de tractar dades haurà de comptar-hi.
“Si vens una empresa amb determinada quantitat de dades inclosa, pot afectar el mercat de la competència”
La nova normativa també crea la figura del Delegat de Protecció de Dades (DPO). Quines característiques ha de tenir?
Sóc partidària que el mercat sigui lliure i s'autogestioni. Les característiques que ha de tenir aquesta persona dependran del tipus d'empresa. Però bàsicament ha de ser un coneixedor del tema de protecció de dades. Evidentment, no serà el mateix fer aquesta feina en una petita empresa que en un gran hospital o en un banc. Potser hauran de tenir uns coneixements diferents, però suficients per controlar l'aplicació del reglament i per assumir la responsabilitat que es faci bé en la seva empresa. Ha de ser algú vinculat a la cúpula de la companyia perquè ha de controlar qui fa les tasques. Que traslladi l'aplicació del reglament com una responsabilitat corporativa. Un advocat? Un informàtic? És igual, ha de ser algú amb coneixements. Hi ha molta gent que ja fa anys que fa aquesta tasca sense una titulació concreta.
És una feina a jornada completa?
Depèn de l'organització. Pot ser una persona física o pot ser una empresa a qui s'externalitzi. Una persona que faci un curs de 10 o 30 hores no tindrà capacitat per fer-ho. Calen uns coneixements substancials.