Quina és la importància de la Protecció de Dades a les empreses?

La 4a revolució industrial
Vivim el que alguns anomenen la 4a revolució industrial, basada segons diuen en 4 pilars o lleis, entre les quals es troben:

1. La Llei de Moor: El poder de processament es duplica cada 18 mesos.
2. La Llei de Butter: La velocitat de comunicació es duplica cada 9 mesos.
3. La Llei de Kryder: La capacitat d'emmagatzematge es duplica cada 13 mesos, la qual cosa comporta a més una gran disminució del cost d'emmagatzematge per unitat d'informació.
4. La Llei de Kurzweil: L'ésser humà té una visió lineal del progrés, mentre la tecnologia avança de forma doblement exponencial. És a dir, està a prop el moment en què un ordinador assoleixi la potència del cervell humà, i fins i tot es pot predir quan un conjunt d'ordinadors podria superar la capacitat de tots els cervells humans.

Vivim en un entorn cada vegada més data-driven, degut, almenys en part, al fet que capturar i emmagatzemar informació té un cost molt inferior al de fa només un parell de dècades i que podem emmagatzemar major varietat i profunditat d'informació en menys temps.

Antecedents (Llei Protecció de Dades de Caràcter Personal)

A Espanya la primera llei que regulava la protecció d'informació va ser la Llei Orgànica 5/1992, de 29 d'octubre, de Regulació del Tractament Automatitzat de les Dades de caràcter personal (L.O.R.T.A.D.). No obstant això, en pocs anys el seu contingut va resultar “obsolet” per la qual cosa es va actualitzar amb la coneguda Llei Orgànica 15/1999, de Protecció de Dades de Caràcter Personal, desenvolupada inicialment en el Reial decret 994/1999 (Reglament de Mesures de Seguretat) i, posteriorment i a causa no només a l'evolució tecnològica sinó a “llacunes operatives” de l'anterior, en el Reial decret 1720/2007 – Reglament de desenvolupament de la Llei Orgànica 15/1999.

Aquest desenvolupament s'ha seguit d'una manera o altra en tots els països industrialitzats, de manera que en cadascun s'ha legislat durant els 30 o 40 últims anys generant lleis i reglaments d'aplicació nacional.

No obstant, en un món cada vegada més globalitzat, amb el creixement dels grups empresarials internacionals, sorgeixen noves mancances degudes principalment a:

• Grups empresarials amb presència en països on els nivells de legislació en matèria de protecció de dades són desiguals o molt desequilibrats.
• Grups empresarials que han posicionat en geografies amb legislació menys desenvolupada centres operatius en els quals es processen dades de les matrius.
• Dades tractades en diverses geografies, la qual cosa implica també els transvasaments d'informació i les seves possibles intercepcions.

Així que en els últims anys s'ha treballat en la construcció de legislació supranacional o internacional, principalment des dels EUA i des de la Unió Europea.

En qualsevol cas els equips de treball d'ambdues iniciatives han estat en estreta col·laboració. Per tant, es pot dir que el resultat obtingut en ambdós casos és coincident en un alt percentatge del seu contingut, garantint així que les nostres dades tinguin el mateix nivell de protecció legal tant en l'àmbit USA com en l'àmbit europeu.

Addicionalment aquestes noves legislacions contemplen no només la reglamentació per al transvasament internacional de dades, sinó que legislen les mesures i tractaments que s'han d'assegurar perquè les dades pròpies d'una geografia després puguin ser processades en una altra.

És a dir, una dada d'origen francès, té garantit un tractament homogeni a tota la Unió Europea. Però a més, si aquesta dada es processés, per exemple al Marroc, l'entitat processadora haurà d'assegurar en aquest tercer territori les mateixes mesures de protecció i seguretat que si la dada es trobés al seu país d'origen.

A Europa la legislació resultant és el GDPR (General Data Protection Regulation; Reglament UE 2016-679) o RGPD en espanyol. Amb el nostre informe GDPR a l'espanyola tindràs clar què és. Si vols més informació sobre aquesta legislació tens el trailhead European Union Privacy Law Basics, el qual a més pots completar amb el Learn Privacy and Data Protection Law.

Aportacions històriques en protecció de dades

Com hem esmentat anteriorment, la legislació actual no és sinó una evolució de l'elaborada al llarg de les últimes dècades. Ens centrarem no obstant això, per dur a terme algunes reflexions, en algunes definicions, principis i drets ja enunciats l'any 1999.

Definicions

Des de la llei 15/1999 de Protecció de Dades de Caràcter Personal es plantegen les següents definicions “bàsiques”:

• Dato de Carácter Personal: Cualquier información concerniente a personas físicas identificadas o identificables.
• Fitxer: Tot conjunt organitzat de dades de caràcter personal, qualsevol que sigui la forma o modalitat de creació, emmagatzematge, organització i accés.
• Tractament de dades: Operacions i procediments tècnics de caràcter automatitzat o no, que permetin la recollida, gravació, conservació, elaboració, modificació, bloqueig i cancel·lació, així com les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències.
• Procediment de dissociació: Tot tractament de dades personals de manera que la informació que s'obtingui no es pugui associar a una persona identificada o identificable.
• Consentiment de l'interessat: Tota manifestació de voluntat, lliure, inequívoca, específica i informada, mitjançant la qual l'interessat consenteixi el tractament de dades personals que el concerneixen.

Aquestes definicions, amb alguns matisos, continuen sent vàlides en data actual, i de fet, es troben recollides, ja amb més precisió i enriquiment en el RGPD.

Principis i Drets

També des de 1999 s'estableixen un conjunt de principis relatius a la informació de caràcter personal, destacant els principis de qualitat de dades, que es resumeixen en els següents axiomes:

• Les dades seran exactes i actualitzades de manera que responguin amb veracitat a la situació de l'afectat.
• Les dades de caràcter personal registrades inexactes, en tot o en part, o incompletes, seran cancel·lades i substituïdes d'ofici per les corresponents dades rectificades o completades.
• Les dades de caràcter personal seran cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual haguessin estat recollides o registrades.

En l'apartat dels drets, i per a les reflexions que plantegem més endavant, destaca de forma inequívoca el Dret a la informació en la recollida de dades pel qual, els interessats hauran de ser prèviament informats:

• De l'existència d'un fitxer o tractament de dades de caràcter personal, finalitat i destinataris.
• Del caràcter obligatori o facultatiu de la seva resposta.
• De les conseqüències de l'obtenció de les dades o de la negativa a subministrar-les.
• De la possibilitat d'exercir els drets d'accés, rectificació, cancel·lació i oposició
• De la identitat i adreça del responsable del tractament o, si escau, del seu representant

Reflexions

Fins a aquest punt hem parlat de legislació, de conceptes, de principis, de drets… Resta parlar de la seva posada en pràctica; perquè la legislació proporciona un marc d'actuació a partir del qual operativitzar i posar en pràctica, en el dia a dia, cadascú en el seu rol, allò que li sigui d'aplicació.

Com vam dir al principi vivim en un món en el qual volem registrar, i de fet registrem, tot el possible. Dades personals, dades de transaccions, dades de la nostra activitat diària gràcies a l'IoT… però … ¿els sistemes (i els seus responsables) apliquen la legislació correctament?

Tenim procediments per verificar que la informació sigui correcta, exacta i posada al dia? Eliminem aquella informació que deixa de ser necessària per a la finalitat per a la qual es va recollir (o quan desapareix aquesta finalitat)? Esborrem informació personal de candidats a un lloc de treball quan aquest es cobreix, si aquests van ser recollits per cobrir la vacant concreta?

Ens assegurem que els nostres empleats i/o col·laboradors o fins i tot nosaltres mateixos no compartim passwords? Quan provoquem els canvis de contrasenyes o ens obliguen a canviar-ho… anem més enllà del mer increment en una unitat de l'últim dígit de la nostra contrasenya? Som conscients que aquests hàbits poden afavorir que siguem suplantats en els sistemes?

RGPD

Com hem esmentat abans, RGPD és el marc legislatiu europeu comú en matèria de protecció de dades de caràcter personal. Com podreu veure en els següents Principis de Tractament, els pilars sobre els quals està construït són els ja esmentats, desenvolupats amb més rigor i concreció:

• Llicitud: Lleialtat i transparència amb l'interessat.
• Limitació dels fins: Recollits amb fins determinats, explícits i legítims i no tractats posteriorment de manera incompatible amb aquests fins.
• Minimització de les dades: Adequades, pertinents i limitades al necessari en relació amb les finalitats per a les quals són tractades.
• Exactitud: Actualitzats sense demora amb respecte als fins per als quals es tracten.
• Limitació termini de conservació: Mantinguts de manera que es permeti la identificació dels interessats durant no més temps del necessari per als fins pels quals es tracten.
• Integritat i confidencialitat: Implementar mesures tècniques i organitzatives adequades per protegir les dades contra tractaments no autoritzats o il·lícits i la seva pèrdua, destrucció o dany accidentals.
• Responsabilitat proactiva: Sent responsable i capaç de demostrar el compliment de tots els principis del tractament.

Violacions freqüents de la seguretat de la informació

Com a gran novetat, RGPD incorpora l'obligació, per part de qualsevol entitat física o jurídica que pateixi una violació de dades de notificar aquesta no només a l'autoritat de control sinó a tots i cadascun dels interessats afectats en un màxim de 72 hores.

Les violacions més freqüents es resumeixen en el següent llistat:

• Accés a dades no autoritzades:
• Encarregat del tractament sense el contracte corresponent
• Accés indiscriminat a impressores, fotocopiadores, etc.
• Accés a informació confidencial no autoritzada: nòmines, currículums, etc.
• Accés no autoritzat als sistemes informàtics
• Comunicació de dades no autoritzada:
• Transmissió il·lícita de dades a un o diversos destinataris.
• Vulneració del secret professional.
• Publicació d'imatges sense autorització de l'interessat.
• Enviament de correus electrònics massius sense ocultar destinataris (còpia oculta).
• Alteració de dades:
• Modificació malintencionada de dades.
• Falsificació de dades.
• Recuperació ineficaç de còpies de seguretat.
• Pèrdua d'informació:
• Pèrdua o oblit de suports.
• Robatori o sostracció d'informació.
• Desinstal·lació d'aplicacions.
• Per causes del transport.
• Destrucció de dades:
• No utilitzar destructors de paper o de suports digitals.
• Incendi, inundació o altres causes alienes a l'empresa.

Conclusió

I fins aquí arriba el marc legislatiu i d'aplicació en matèria de protecció de dades de caràcter personal. Com hem remarcat, el marc s'ha d'operativitzar en els sistemes, en el nostre dia a dia i en cada rol que desenvolupem.

Com a ciutadans usuaris intensius de targetes affinity o de punts hem de ser conscients que cada vegada que passem la targeta estem registrant una operació amb detall d'importes, moments, etc.

I quan operem amb sistemes d'informació, ¿apliquem els mecanismes per esborrar les dades que no puguem garantir siguin correctes i/o estiguin al dia? Si tenim una base de dades de clients, ¿esborrem les dades d'aquells que deixen de ser-ho? En cas de no fer-ho, ¿tenim arguments per, en cas d'inspecció, poder justificar-ho?

I així un seguit de situacions en les quals, com a recomanació final, especialment als que dissenyem i operem sistemes d'emmagatzematge d'informació, ens hem de prendre el nostre temps per decidir com operativitzar i complir la legislació tenint, en cada cas, el suport jurídic per a la nostra manera d'actuar.