Jornada LOPD i LSSI per als professionals i estudiants de les TIC

IMG-20131203-WA0000

IMG-20131203-WA0004

El passat dimarts 3 de desembre de 2013 va tenir lloc al Tecnocampus de Mataró una interessant jornada sobre la LOPD i LSSI organitzada pel COETIC, presentada i moderada per en Jordi Cantenys1, i amb la participació de ponents de primer nivell de l’Autoritat Catalana de Protecció de Dades (APDCAT), la Diputació de Barcelona, l’Asociación Profesional Española de Privacidad (APEP) i el Tecnocampus Mataró-Maresme (EUPMT-UPC).

Els objectius principals d’aquesta jornada, orientada principalment als professionals de les TIC, eren per una banda oferir als assistents una visió general del marc legal existent que afecta directament als sistemes d’informació, donar algunes pinzellades sobre les noves sortides professionals que combinen competències del dret i de la tecnologia, i finalment, fer-nos reflexionar sobre la formació i els coneixements necessaris per donar compliment a les lleis que regulen la nostra professió.

Les dades en sí no són més que informació, però quan fan referència a les persones, poden acabar afectant a la intimitat i al dret a la confidencialitat. En un marc legal que encara està canviant o evolucionant, el dret a la protecció de dades és un dret que serveix per garantir altres drets. Així doncs, els professionals de les TIC hauríem de vetllar pel seu compliment en els serveis o productes que dissenyem i construïm. La primera llei en aquest sentit va ser la LORTAD, de l’any 92. Actualment, les principals lleis que regulen els usos de la informàtica són la LOPD, la LSSI i de comerç electrònic, la llei de Signatura electrònica i la llei de conservació de dades i documents.

En Santiago Farré2 va explicar que l’Autoritat Catalana de Protecció de Dades ofereix un servei de consultoria personalitzat a les institucions que són dins el seu àmbit de competència (administracions públiques, universitats i altres ens públics o privats) i que volen adequar la seva actuació a la normativa de protecció de dades. Tots els dictàmens, informes i resolucions que emet la APDCAT estan disponibles i es poden consultar a la seva web http://www.apd.cat. L’APDCAT fa a més altres funcions: registra fitxers passant la informació a l’Agència Espanyola, comprova si s’estan aplicant les normatives (en aquest sentit té potestat sancionadora) i finalment intervé quan a un ciutadà se li denega el dret d’accés a les seves dades.

El Sr Farré va assenyalar que qualsevol empresa privada que estigui treballant per un ens públic té el deure de garantir la seguretat i la confidencialitat de la informació que està tractant pel compte d’aquesta. Habitualment, se li fa signar un document on se l’informa de la normativa a complir. També va comentar que s’han començat a emetre dictàmens en relació a l’ús de determinades aplicacions online, com Google Drive o Analytics.

Per potenciar l’aportació de valor en matèria de protecció de dades, la APDCAT ha convocat enguany la primera edició del Premi de Protecció de Dades en el Disseny, que es tornarà a convocar el proper any. També estaran presents en el Mobile World Congress de Barcelona al febrer 2014 tractant el tema de l’impacte de les Apps sobre la privacitat.

A continuació, en Jordi Saldaña3 va destacar que, pel fet de tractar una sola dada personal en un SI, ja estem obligats a complir la llei, i en aquest sentit, les dades de geoposicionament sovint no es tenen en compte malgrat ser de nivell alt. Hi han moltes Apps gratuïtes que geoposicionen als usuaris de forma injustificada, és a dir, sense ser realment necessari per al funcionament de l’aplicació. Cal informar-ne l’usuari i requerir sempre el seu consentiment, cosa que no fan algunes aplicacions desenvolupades en altres països fora d’Europa, amb marcs legals molts diferents al nostre. I llavors, si hi ha alguna mena de conflicte, cal anar a litigar a l’estranger. Resumint-ho en una frase, el Sr Saldaña va expressar que “Les dades estan al núvol però la responsabilitat està a terra“.

Pel que fa a la LSSI, “Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico”, cal que qualsevol aplicació web disposi d’un avís legal, una adreça de contacte, i si es venen serveis cal detallar les obligacions prèvies i posteriors a la contractació o compra. Les cookies de sessió o les utilitzades per a balanceig de càrrega per exemple, no necessiten consentiment. En canvi, sí el necessiten les cookies emprades per exemple per Google Analytics o per xarxes socials.

A més d’aportar la visió jurídica de la protecció de dades personals i la LSSI, el Sr Saldaña va destacar als assistents que es poden desenvolupar moltes aplicacions innovadores que tractin dades, però sempre cal sol·licitar un assessorament previ, fins i tot quan es tracti de projectes de integració o interconnexió. Finalment, cal tenir clar les mesures de seguretat a prendre i legalitzar els fitxers de dades declarant-los a l’agència.

A continuació, la Carme Sánchez4 va oferir als assistents la seva visió professional des de l’administració publica (Diputació de Barcelona). Va remarcar la necessitat d’aplicar el que s’anomena “Privacy by design“, o privacitat i seguretat des del disseny, des del moment en que es dissenya una aplicació i al llarg de tot el procés. Segons va dir “Aplicar la privacitat i la seguretat des de l’inici és una manera d’estalviar molts diners en els projectes. En aquest sentit, també és important que les aplicacions i serveis passin proves sobre el compliment de normatives amb resultats satisfactoris.

A continuació, ens va parlar de la figura del DPO –Data Protection Officer– com a nova professió relacionada amb les TIC i el Dret, comentant que al 2014 entrarà en vigor el reglament europeu de protecció de dades que s’haurà d’aplicar en tots els estats membres i que servirà per homogeneïtzar el marc legal, ampliant els drets dels usuaris i imposant a les institucions i empreses d’un cert volum noves obligacions, com la de disposar d’un delegat de protecció de dades.

Totes les administracions públiques tindran la obligació de tenir un DPO degudament format, certificat i amb certa experiència, amb capacitat per realitzar funcions d’anàlisi, auditar, tenir un ampli coneixement del negoci i dels processos, capacitat de planificació i documentació, capacitat d’execució, capacitat per adoptar la protecció de dades per defecte des del disseny i en tot el cicle de vida del programari, i finalment, una relació privilegiada amb els reguladors.

A més, aquest nou perfil a cavall entre la enginyeria i el dret, serà l’encarregat de fer complir el reglament, formar el personal, vetllar per la conservació de la documentació i ser el contacte amb les autoritats de control. En definitiva, la introducció de la figura del DPO representarà un canvi substancial per als professionals de la privacitat, convertint-se en una mena de consultor intern amb grans dots de comunicació que desenvoluparà una funció organitzativa transversal.

Malgrat la necessitat de tenir un coneixement profund de l’organització, de la seva estructura i funcionament, és molt probable que els ens públics de mida petita o mitjana cerquin el DPO en consultories externes.

A la Diputació de Barcelona, la Carme és la DPO de l’organisme i se sent satisfeta d’haver realitzat el nou inventari de fitxers. Els principals obstacles amb els quals ha topat, però que ha salvat amb èxit, han estat l’absència d’exemples, la independència funcional, la manca d’avaluacions d’impacte en matèria de protecció de dades, i finalment, cercar i trobar proveïdors que compleixin amb la privacitat des del disseny.

Per acabar, l’Alfons Palacios5 va donar la seva visió acadèmica parlant de les assignatures en les quals s’estudia el marc legal TIC en el Grau en Enginyeria Informàtica i va destacar la necessitat de reforçar els plans d’estudi amb jornades complementàries com aquesta.

1En Jordi Cantenys és Enginyer Tècnic Informàtic, vocal de Dret a les TIC del COETIC i membre de l’APEP.

2En Santiago Farré és el Cap de l’assessoria jurídica de l’Autoritat Catalana de Protecció de Dades.

3Jordi Saldaña és Advocat de Roca Junyent i membre de la Junta Directiva d´APEP.

4La Carme Sánchez Ors és laDPO a la Diputació de Barcelona i membre de la Junta Directiva d’APEP.

5L’Alfons Palacios és Professor del Grau de Informàtica a l’EUPMT-UPC, Tecnocampus Mataró

Anuncis