Víctor Roselló: “El ciutadà no és conscient dels drets i deures amb les dades”

La Llei de protecció de dades incorpora l’estàndard europeu. Com s’hi estan adaptant les empreses andorranes?

En general, a bon ritme, però queda molta feina per fer. Estan més sensibilitzades les que es mouen en un món exclusivament digital (apps, e-commerce, etc.), les més tradicionals en procés de digitalització o les que tracten dades sensibles (per exemple de salut). Cada empresa ha de tractar-se com un cas diferent, fugint de solucions globals.

Quins riscos corre una empresa que no hagi fet els deures?

La llei estableix un règim sancionador, però la veritat és que amb els darrers canvis a l’Agència de Protecció de Dades (APD) implementar la norma només per sancionar, és una mala idea. Hauria de servir per posar ordre a l’empresa identificant les dades que es tracten, inventariant els proveïdors, formant el personal, etcètera.

Hi ha cultura de la protecció de dades més enllà de la llei?

No gaire, i passa a molts llocs. Lamentablement no es té gaire consciència del que són les dades personals i se’n fa ús sense complir la normativa. A vegades es pensa que només són les íntimes de les persones: salut, creences religioses, etcètera, quan són molt més que això. El teixit empresarial està format bàsicament per pimes.

Poden assumir el cost de la correcta gestió de les dades?

A part del cost econòmic si el servei s’externalitza (òbviament hi ha de tot), cal valorar el cost organitzatiu. L’empresa ha d’assumir que la correcta implementació de la norma pot implicar canvis interns i això a vegades és el que més costa. Veiem massa sovint que la documentació de protecció de dades es queda en un calaix acumulant pols.

Dades i ciberseguretat van de la mà. Estan prou protegides les empreses andorranes?

En general, no, tot i que hi ha de tot. Les petites han de ser conscients que també poden ser un objectiu dels atacants, que a vegades s’aprofiten de mesures menys estrictes. Hem vist situacions de tot tipus i sense gaire complexitat tècnica. Enviar un correu normal a un treballador amb un enllaç o document adjunt i en obrir-lo l’atacant té accés als servidors de l’empresa i hi pot fer el que vulgui.

Són dels ciutadans conscients dels seus drets?

No. El ciutadà a vegades considera una simple molèstia usos de les seves dades contraris a la norma: per exemple, rebre comunicacions comercials no autoritzades. No hi ha cultura de la queixa a l’empresa, ni molt menys, de la denúncia, però aquesta situació anirà canviant. Cal recordar que la llei preveu el dret a rebre indemnitzacions si un mal ús de les dades causa un dany al seu titular.

I els seus deures?

Tampoc. Habitualment es comparteixen a xarxes fotografies de tercers, inclosos menors, sense considerar els drets dels altres. Tots tenim a la butxaca un dispositiu capaç de captar imatges, vídeos (informació personal en general) i compartir-los de manera immediata amb el món. Cal ser conscient d’aquest fet.

Què és una avaluació d’impacte?

És una mesura prèvia al tractament de dades d’alt risc i que generalment impliquin la recopilació i l’ús a gran escala. Inclou una descripció de les operacions amb les finalitats que les justifiquen, una anàlisi de la proporcionalitat de les dades tractades, una avaluació dels riscos i també de les mesures implementades per minimitzar-los. En cas de no prendre mesures, caldrà elevar una consulta a l’APD.