Anna Riasol, consultora d’Aplicacions, Solucions i Serveis, SL (ASSPlus) i Miquel Serrano, delegat de Protecció de Dades (DPD) de la Fundació Salut i Comunitat (FSC), ens traslladen en aquesta entrevista qüestions cabdals sobre la protecció de dades que hem de conèixer al nostre acompliment professional, perquè d’aquesta manera siguin garantits els drets de les persones a les que atenem sobre el control de la seva informació personal, així com sobre la confidencialitat, integritat i disponibilitat d’aquesta, entre moltes altres qüestions de gran interès que ens expliquen.
– En primer lloc, ens agradaria que us presentéssiu i que ens comentéssiu una mica les funcions que feu, en relació a la tasca encomanada per la nostra entitat.
Sí, per la naturalesa dels tractaments de dades que realitza la Fundació Salut i Comunitat, és obligatori complir amb les normatives vigents en protecció de dades.
Aplicacions, Solucions i Serveis, SL (ASSPlus), que és la consultoria que realitza aquesta tasca, està especialitzada en Protecció de Dades, comptem amb més de 25 anys d’experiència, i ha estat contractada per FSC per prestar el servei d’assessorament i de delegat de Protecció de Dades.
En el meu cas, Anna Riasol, sóc la consultora designada perquè us acompanyi i ajudi al correcte compliment de les normatives.
Per la tipologia de dades de FSC, és obligatori disposar d’un delegat de Protecció de Dades (DPD), per això es va designar a J. Miquel Serrano com DPD d’FSC. Les seves principals funcions són informar i assessorar, supervisar, formar-se, cooperar i actuar com a punt de contacte amb l’autoritat competent, intervenir en cas de reclamació, entre d’altres.
– Quins considereu que són els aspectes fonamentals que hauria de saber un empleat/da de FSC sobre protecció de dades, en relació a la normativa més recent?
És fonamental que els equips de professionals de FSC que fan tractaments de dades de caràcter personal coneguin les normatives vigents, com es va traslladar a la sessió formativa que vam fer a través de videotrucada, ja fa algunes setmanes.
Per aquest motiu, s’impartiran diferents sessions formatives per a divulgar i difondre les normatives que ens apliquen.
És complicat descriure uns aspectes clau; depenent de la tasca que desenvolupa cada empleat/da, ha de tenir més en compte uns aspectes o altres de la normativa.
– En què es diferencia el RGPD de la legislació actual de protecció de dades de la legislació anterior?
Algunes de les diferències més rellevants són:
Deixa de tenir validesa l’acceptació implícita a l’hora de donar el consentiment a l’ús de les seves dades. En aquest cas, ara cal que l’autorització sigui explícita i inequívoca per a cada tipologia de tractament.
El RGPD canvia substancialment el ventall de drets dels ciutadans/es que existien a l’antiga LOPD i els amplia.
D’altra banda, trobem diferències en l’apartat de les sancions. Pel que fa a l’antiga normativa, apreciem un enduriment important.
El RGPD estableix en els seus articles 33 i 34 l’obligació per a les organitzacions (públiques i privades) que actuïn com a responsables de tractament de notificar a l’Autoritat de Control competent les bretxes de seguretat que puguin ocasionar danys i perjudicis sobre les persones i, si aquests danys són greus, comunicar la bretxa a les persones les dades de les quals s’hagin vist afectats per tal que puguin prendre les seves pròpies mesures. El termini per notificar a l’Autoritat de Control és de màxim 72 hores des que l’organització és coneixedora de la bretxa.
El RGPD introdueix la figura del Delegat de Protecció de Dades.
– Quins drets reconeix el RGDP a les persones afectades?
El Reglament Europeu de Protecció de Dades (RGPD) conté una sèrie de drets dels usuaris/es i/o els seus representants legals que poden exercir davant FSC, davant l’encarregat de el tractament, segons correspongui, o també davant el delegat de Protecció de Dades .
Dret d’accés, rectificació, supressió o oblit, limitació, oposició, portabilitat i no ser objecte de decisions individuals automatitzades. També, pot retirar el consentiment prestat.
Aquests drets es poden exercir directament o per mitjà de representant i el seu exercici té caràcter gratuït.
Si FSC rep una sol·licitud d’exercici de drets, el delegat de Protecció de Dades ha de respondre a la sol·licitud sense demores indegudes i, en qualsevol cas, en el termini d’un mes a partir de la recepció de la sol·licitud.
– D’acord a l’RGPD, com s’ha de sol·licitar el consentiment dels interessats/des per tractar les seves dades personals?
El RGPD aplica normes estrictes per al tractament de dades basades en el consentiment. L’objectiu d’aquestes normes és garantir que l’interessat/a comprengui el que està consentint. Això vol dir que el consentiment s’ha de donar de manera lliure, específica, informada i inequívoca, mitjançant una sol·licitud presentada en un llenguatge clar i senzill. El consentiment expressar-se mitjançant un acte afirmatiu, com marcar una casella en línia o signar un formulari.
Quan una persona consenti el tractament de les seves dades personals, només es podran tractar per als fins per als quals hagi donat el seu consentiment.
També ha de oferir-se-la possibilitat de retirar el seu consentiment.
– Podria comportar algun tipus de sanció a l’empleat/a l’incompliment de la LOPD per la seva activitat realitzada en l’entorn laboral ?, ¿de quin tipus?
Depèn de la infracció i de la intencionalitat de la mateixa.
– En quin cas o casos podria recaure sobre l’empleat/a?
Si una persona treballadora de FSC, obra fraudulentament, obtenint benefici econòmic, o no, tractant dades de forma il·lícita, el més probable és que la sanció recaigui sobre la persona emprada.
– En la seva opinió, hi ha les entitats espanyoles preparades per instaurar el RGDP?
Haurien, però no totes s’han posat a això, aquesta irregularitat els pot comportar sancions econòmiques i els pot perjudicar greument la imatge corporativa, la reputació i el valor de l’entitat.
– En el cas de FSC, ¿en quin moment consideren que es troba la tasca d’adaptació a l’RGPD?
FSC està realitzant una feina important en aquest sentit, és una tasca del dia a dia complir correctament amb les normatives.
– Com s’ha d’acreditar que es compleix amb el RGPD i davant quina entitat/entitats?
En aquest moment, a les administracions públiques que sol·liciten evidències o en projectes o serveis que es realitzen auditories sobre el compliment de les normatives que ens apliquen, ja estem acreditant i demostrant que FSC i els seus empleats/des compleixen amb les normatives vigents.