24.05.2018 - 22:00
Avui entra en vigor el nou reglament europeu de protecció de dades, que afectarà tota empresa o servei que operi en el territori de la Unió Europea, encara que tingui la seu fora. Fa dos anys que les companyies i serveis tenen l’obligació d’adaptar-se al nou reglament, però la majoria han esperat fins a la data límit per posar-se al dia. És per això que aquests últims dies les bústies de correu electrònic dels ciutadans s’han omplert de correus demanant explícitament que acceptin la cessió de dades. Podeu consultar una guia d’Xnet, entitat que treballa per la cultura lliure i la democràcia en xarxa.
1. Què diu el nou reglament?
El GDPR (General Data Protection Regulation, en anglès) és la primera normativa en matèria de protecció de dades que afecta tots els països de la Unió Europea. És a dir, unifica els drets i les obligacions de ciutadans i empreses que hi operen. La normativa afectarà totes les empreses, institucions, entitats o qualsevol mena de servei que reculli, utilitzi o gestioni qualsevol dada dels ciutadans de la Unió Europea, encara que la seu sigui fora de territori europeu.
La qüestió més destacada és la severitat amb què se sancionarà l’incompliment del reglament. Les infraccions comportaran multes administratives que podran arribar als 20 milions d’euros o bé a una xifra equivalent al 4% de la seva facturació global, en funció de quina sigui la quantia més alta.
L’European Digital Rights, plataforma internacional que agrupa organitzacions a favor dels drets digitals com Xnet, creu que el nou reglament és lluny de ser perfecte, però celebra que s’hagin pogut salvat els ‘elements essencials de la protecció de dades a Europa’ després de la pressió de les grans companyies per a evitar-ho. ‘Ara tenim una eina amb la qual fer rendir comptes a les empreses i als governs que utilitzen les nostres dades. I tenim la intenció de fer-la valer’, diu en un comunicat.
2. Quins són els nostres drets?
El nou reglament reforça drets ja existents i n’estableix de nous. A partir d’ara, els ciutadans han de poder accedir amb facilitat a les dades personals que es guarden d’ells. Això inclou que la informació sobre com es tracten les dades ha de ser clara i comprensible; no pot estar redactada amb un llenguatge tècnic. Si una empresa o organització crea un perfil individualitzat recopilant dades de diferents fonts, també tindrà dret de saber què inclou el perfil.
També s’estableix el dret a la portabilitat de les dades. Les empreses han de permetre que descarreguem les nostres dades i les portem a l’empresa de la competència. Perquè sigui possible, les dades han de ser ‘en un format estructurat, d’ús comú i lectura mecànica’, com pot ser un document Excel.
El reglament reforça el ‘dret a l’oblit’, que ja va establir en una sentència el Tribunal de Justícia de la Unió Europea. Quan un ciutadà no vulgui que es continuïn tractant les seves dades i no hi hagi cap raó legítima per a conservar-los, s’hauran de suprimir.
A partir d’ara, els ciutadans tenen dret de saber si les seves dades han estat piratejades. Tan bon punt una organització o empresa sàpiga que hi ha hagut una violació en la seguretat de les dades personals, els responsables han de notificar-ho abans de 72 hores a l’autoritat de control. En cas que la violació en la seguretat pugui comportar ‘un alt risc pels drets i les llibertats’ de l’afectat també li ho han de comunicar sense dilació, per tal que puguin prendre les mesures corresponents.
3. Com ens podem defensar?
Si un ciutadà ha vist violada la seva privacitat, primer de tot, ha de presentar un recurs a la mateixa empresa. ‘Si, per exemple, vols exercir el dret d’accés a la informació de les teves dades i no te’l donen, pots venir a l’autoritat, que actuarem en conseqüència. Si és la nostra competència, actuarem immediatament, i si és competència d’una altra autoritat, li enviarem el recurs i n’informarem el ciutadà’, explica M. Àngels Barbarà, directora de l’Autoritat Catalana de Protecció de Dades.
Per acostar els drets als ciutadans, la nova normativa estableix una cooperació entre autoritats. Un ciutadà es pot adreçar a l’autoritat més pròxima, encara que no sigui l’autoritat principal en aquell cas, que ho serà la del país on l’empresa tingui l’establiment europeu principal. L’autoritat on la presenti l’enviarà a l’altra, però sempre serà aquella on s’hagi presentat originalment que en donarà resposta. Si la resolució és negativa, la farà l’autoritat més pròxima perquè es pugui tornar a recórrer si convé.
En cas de discrepància entre autoritats, la decisió la prendrà el Comitè Europeu de Protecció de Dades. ‘És un sistema complex, però està molt ben organitzat perquè hi hagi cooperació entre les autoritats i puguin arribar criteris que serveixin per a tots’, explica Barbarà.
4. Els ciutadans trobaran res de diferent?
A primer cop d’ull, l’usuari no trobarà gaire diferència quan navegui per internet, ja que continuarà veient publicitat personalitzada segons els seus interessos. Ho explica Josep-Lluís de Gabriel, coordinador de la Comissió Digital de l’Associació Empresarial de la Publicitat: ‘Fins ara, hi havia qui feia les coses malament i comprava i venia dades sense autorització, però també hi havia tecnologies que, a més de ser òptimes perquè transmetien el missatge més adequat per a cadascú, eren escrupolosament legals perquè les havies autoritzades prèviament. L’única cosa que fa la llei és regular un dret, que és que jo sóc propietari de les meves dades i puc impedir-ne l’ús que se’n fa o bé puc autoritzar-lo.’
Més enllà d’això, com ja hem dit, l’usuari es trobarà que li demanaran més sovint que no pas fins ara l’autorització per a fer servir les seves dades i que, a més, es farà amb un llenguatge planer.