Parlam amb... Catalina Pou, delegada de protecció de dades de la UIB

La Universitat de les Illes Balears va designar el dia 15 de maig de 2018 la senyora Catalina A. Pou Rayas, lletrada i assessora del Servei Jurídic de la UIB, com a delegada de protecció de dades (Data Protection Officer, DPO).

La DPO és una especialista independent que vetlla perquè es compleixi la normativa vigent en matèria de protecció de dades a la Universitat i es respectin els drets i llibertats de les persones en aquest àmbit i, a més, assessora i informa la institució i hi dona suport en tot allò que es relaciona amb aquests aspectes.

Hem parlat amb Caty Pou per entendre una mica més la tasca que li han encomanat.

Quin perfil i quines funcions assumiu com a delegada de protecció de dades, DPO, de la UIB?

Com a DPO de la Universitat la meva principal responsabilitat és observar, avaluar i organitzar la gestió de les dades personals i, per tant, la protecció d’aquestes dades. En aquest sentit, s’ha de controlar com es protegeixen aquestes dades i conèixer a la perfecció la normativa aplicable. A partir d'aquí, les tasques són molt àmplies, i com a mínim, són les següents:

– Informar i assessorar el responsable o l'encarregat del tractament i els empleats que s'ocupin del tractament de les obligacions i d'altres disposicions de protecció de dades.

– Supervisar el compliment del que disposa el Reglament, l'assignació de responsabilitats, la conscienciació i formació del personal que participa en les operacions de tractament, i les auditories corresponents.

– Oferir l'assessorament intern que es demani sobre l'avaluació d'impacte relativa a la protecció de dades.

– Cooperar amb l’Agència Espanyola de Protecció de Dades (AEPD).

– Valorar les sol·licituds d'exercici de drets dels interessats (drets d'accés, rectificació, cancel·lació, oposició, supressió, portabilitat i limitació del tractament).

Les funcions concretes de la DPO de la Universitat es poden trobar a la seu electrònica de la UIB: <https://seu.uib.cat/LOPD/>.

Quins objectius t'has fixat com a DPO per a aquesta etapa tan important per a la protecció de dades?

L’objectiu fonamental és informar, i difondre com a DPO els canvis normatius i tots els requeriments legislatius que recull el Reglament, desenvolupar funcions d’assessorament als responsables i encarregats del tractament, funcions de consulta i interlocució amb l'Agència de Protecció de Dades, etc.

En aquest sentit, s'estan revisant els tractaments de dades que es realitzen (als serveis, departaments, facultats, grups de recerca i qualsevol instància de la UIB), per veure en quins casos ha d'elaborar-se, o no, una avaluació d'impacte de la protecció de dades. Igualment s'estan revisant els contractes responsable-encarregat del tractament i les clàusules informatives que s'utilitzen amb els titulars de les dades.

S’han publicat a la seu electrònica de la UIB llegendes informatives, models de consentiment i acords de confidencialitat, formularis normalitzats d’exercici de drets, un catàleg de funcions i obligacions del personal al servei de la Universitat, etc.

Quines són les novetats més destacades d'aquest nou reglament?

1. S’estableixen nous principis: transparència (Registre d'activitats de tractament), limitació de la finalitat i minimització de dades.

2. S’estableixen nous drets dels ciutadans: dret a la supressió (oblit), dret a la portabilitat de les dades, dret a la limitació del tractament.

3. S’amplia el deure d’informació.

4. La forma d'obtenció del consentiment: serà explícita i mitjançant una declaració de l'interessat o una acció positiva que manifesti la seva conformitat.

5. Establiment d'accions i mesures de seguretat.

6. Obligació de realitzar avaluacions d'impacte per determinar el compliment normatiu.

7. S’estableixen noves notificacions a l'autoritat de control: les violacions de seguretat de les dades.

8. Es crea la figura del delegat de protecció de dades

9. S’introdueix el concepte de «finestreta única», perquè els ciutadans interessats puguin efectuar tràmits, encara que aquests afectin autoritats en la matèria d'altres Estats membres de la UE.

10. S’incrementa la quantia de les sancions (en el cas de les universitats la sanció no és econòmica, però pot causar un desprestigi a la institució).

El responsable de protecció de dades és una figura preventiva o correctiva?

El responsable de protecció de dades ha de prendre mesures preventives, controlar què passa, detectar anomalies i millorar el procés, en el qual les mesures no són estàtiques. Ha d'estar al dia de les actualitzacions i els sistemes. Ha d’informar i assessorar el responsable o l'encarregat del tractament i els empleats que s'ocupin del tractament de les obligacions que els incumbeixen en virtut del RGPD. A més, és molt important tenir un pla d'acció quan se sofreix una violació de seguretat de les dades, per reaccionar a temps i revertir el dany al més aviat possible.

Des del 25 de maig és directament aplicable el RGPD i no hi ha nova Llei orgànica de protecció de dades, què passa, doncs, ara?

En el cas que em proposes, el Reglament europeu serà de directa aplicació en tots els termes i a tots els destinataris, sense necessitat de cap llei de transposició.

En aquest sentit, el Reglament no deroga per si mateix les normes nacionals, sinó que les desplaça, és a dir, encara que no hi hagi nova LOPD, no es produeix un buit normatiu, el RGPD és de directa aplicació en tots els seus termes i desplaça les normes nacionals en allò que s’oposin al Reglament.

Per posar dos exemples pràctics, el Reglament diu que ja no cal inscriure els fitxers a l'Agència Espanyola de Protecció de Dades, d'aquesta manera la regulació que es refereix a la inscripció de fitxers a la LOPD queda desplaçada, atès que ja no caldrà inscriure els fitxers, perquè ara s’haurà de dur a terme un registre d’activitats de tractament intern.

La LOPD es refereix només als drets d'accés, rectificació, cancel·lació i oposició. En aquest sentit, el RGPD afegeix nous drets dels ciutadans com el dret a la portabilitat, el dret de supressió (o dret a l'oblit), abans anomenat dret de cancel·lació, i el dret a la limitació del tractament, drets que ara s’han de preveure.

Finalment, consideres que el PDI i el PAS estan «conscienciats» pel que fa a la importància de la protecció de dades?

Hi ha col·lectius que des de fa anys han rebut formació contínua i informació en matèria de protecció de dades, i pels llocs de treball que ocupen hi estan més sensibilitzats.

Altres col·lectius, arran de l’aplicació directa del Reglament europeu, han mostrat més interès per adaptar-se a aquests nous requeriments legislatius.

El que ha de quedar clar és que qui no respecti la normativa en matèria de protecció de dades, en especial els responsables i els encarregats del tractament, s'exposa a una sanció, que, en el cas de les universitats, de conformitat amb el projecte de LOPD, serà una advertència. A més, la resolució sancionadora establirà així mateix les mesures que sigui procedent adoptar perquè cessi la conducta o es corregeixin els efectes de la infracció que s'hagi comès. Finalment, l'autoritat de protecció de dades podrà proposar també l’inici d'actuacions disciplinàries.

Per tant, la idea que ha de quedar palesa és que es requereix implicació, coordinació i cooperació amb el DPO per part de tot el personal de la Universitat, tot respectant la protecció de les dades personals com a dret fonamental que és.

On ens podem adreçar en cas de tenir un dubte sobre protecció de dades?

Us podeu posar en contacte amb mi mateixa a l’adreça <caty.pou@uib.es>.

https://seu.uib.cat/LOPDGDD/ 

Data de publicació: 20/06/2018