Neix el delegat de protecció de dades, una figura laboral imprescindible per a les empreses

Ha estat el primer cas greu d’exposició de dades de clients des de l’entrada en funcionament el maig passat del nou Reglament general de protecció de dades (RGPD), en vigor als 28 estats membres de la UE. Durant hores va quedar al descobert a la pàgina web de Movistar informació com el nom, el domicili, les adreces de correu electrònic, el detall de les trucades i els números de telèfons fixos i mòbils d’un nombre de clients que la companyia encara no ha pogut concretar. Un error que l’associació de consumidors Facua ha considerat «la bretxa més important de seguretat en la història de les telecomunicacions a Espanya». Aquesta associació ha presentat una denúncia contra Telefónica Espanya i Telefónica Móviles davant l’Agència Espanyola de Protecció de Dades.

El cas posa de manifest la importància de la nova funció laboral que exigeix la normativa vigent. Es tracta d’una figura que ha de vetllar pel compliment del Reglament i que és obligatòria per a totes les administracions públiques i totes les empreses, organitzacions i entitats que treballen amb un volum alt de dades d’usuaris. Això vol dir ajuntaments, empreses de telefonia, asseguradores, bancs, empreses elèctriques..., però també instituts, hospitals, partits polítics i sindicats, per exemple.

Aclarim els interrogants que s’han originat al voltant de la figura del delegat de protecció de dades (DPD) amb Josep Curto, expert en dades massives i professor dels Estudis d’Informàtica, Multimèdia i Telecomunicació de la UOC, i Mònica Vilasau, directora del postgrau de Protecció de Dades i Comerç Electrònic de la UOC, i professora de Dret civil.

Una figura obligatòria en hospitals, partits polítics i gabinets jurídics

La presència d’aquest nou perfil professional és obligatòria quan el tractament de dades el duu a terme una autoritat o un organisme públic, llevat dels tribunals de justícia; quan hi ha una observació habitual i sistemàtica de persones interessades a gran escala, i per tant, un seguiment i una classificació (per exemple banca, assegurances, empreses de vigilància, empreses que elaboren perfils d’usuaris..); quan hi ha dades de caire personal relatives a l’origen ètnic o racial, opinions polítiques, religioses, afiliació sindical, dades de salut o d’orientació sexual... (com ara partits polítics, esglésies, sindicats, hospitals, mútues, instituts); i quan les dades fan referència a condemnes o infraccions penals (per exemple, gabinets jurídics).

La resta d’organitzacions —les que no entren en aquests paràmetres— també estan obligades a complir el nou Reglament general de protecció de dades, encara que la normativa no les obligui a tenir la figura concreta del delegat.

Quines funcions té?

La seva tasca més important és la supervisió del compliment del Reglament. Això implica recopilar informació de les activitats, analitzar-ne i verificar-ne l’acompliment, i mirar d’aconsellar i emetre recomanacions al consell directiu de l’organització. «És important recordar que el delegat no és el que aplica les mesures apropiades per al compliment del Reglament sinó qui en supervisa l’aplicació», explica Josep Curto.

Aquest càrrec ha d’assessorar les persones que tracten la informació personal i cooperar i ser el punt de contacte amb l’autoritat de control, l’Autoritat Catalana de Protecció de Dades en el cas de Catalunya. «El DPD ha d’actuar tenint en compte els riscos que comporta el tractament que es duu a terme, tot considerant-ne la naturalesa, l’abast, el context i les finalitats», remarca Mònica Vilasau.

No és una professió limitada a advocats

Encara que es tracta d’una professió que requereix coneixements jurídics, la titulació de Dret no és un requisit imprescindible. «El Reglament europeu no exigeix cap títol específic, sinó que cal acreditar uns coneixements determinats especialitzats en dret i en matèria de protecció de dades. «Això vol dir que serà el mercat el que decidirà qui és un bon professional», explica Vilasau. «Ara bé, el fet de tenir una titulació determinada o una formació específica en la matèria lògicament aporta més garanties a l’hora de contractar un especialista», afegeix. Precisament, la UOC ha posat en marxa un postgrau de Protecció de Dades per formar en aquestes noves professions i donar sortida a un mercat laboral amb una demanda més alta d’aquests tipus de perfils.

«Aquesta funció inclou coneixements jurídics, tècnics, de gestió de programes, de gestió de riscos i habilitats de comunicació. Parlem, per tant, d’un professional i un equip capaços de comprendre la regulació i les mesures que s’han d’implantar en l’organització», puntualitza Curto. Les organitzacions tenen diverses opcions. Poden disposar d’un expert intern, sobretot útil en el cas d’empreses grans, o contractar un servei extern, que haurà d’informar de la seva feina al consell d’administració.

Feines relacionades amb les dades, una tendència a l’alça

Les dades, i sobretot la informació que se’n desprèn, tenen cada cop un paper més important en les diferents feines del mercat laboral. «Sens dubte, cada cop és més necessari poder-les analitzar. De fet, el fenomen de les dades massives (big data) respon precisament a l’extracció d’informació de les quantitats ingents de dades que es generen cada segon», comenta Vilasau. Fins al punt que neixen noves figures. «Ha aparegut també la figura del curador de dades: un expert que ajuda els algoritmes a resoldre escenaris complexos que requereixen un coneixement profund del context d’una empresa», explica Curto.

No tenir DPD comporta una sanció de 10 milions d’euros

Un dels aspectes que ha generat més interès sobre la nova normativa de protecció de dades són les sancions. El Reglament europeu estableix dos nivells:

• Sancions lleus (nivell 1): 10 milions d’euros o el 2 % del volum de negoci total global anual de l’exercici financer anterior (triant la xifra més alta). «En aquesta categoria entren, per exemple, situacions en les quals l’empresa no pugui demostrar una seguretat adequada, que no hi hagi un delegat de protecció de dades, falta de cooperació amb l’autoritat de control o el fet de no notificar en 72 hores una violació de seguretat o alteració, pèrdua o destrucció —accidental o il·lícita— de dades de persones», detalla Josep Curto.

• Sancions greus (nivell 2): 20 milions d’euros o el 4 % del volum de negoci total global anual de l’exercici anterior (triant la xifra més alta). «En aquesta categoria entra l’incompliment en el tractament de dades, per exemple dels principis bàsics de tractament o dels requisits de transferència, l’incompliment amb l’autoritat, com ara no permetre una investigació, el fet de no informar les persones interessades en el moment en què s’obtenen les dades o no tenir-ne el consentiment explícit», aclareix Curto.