Newsletter

Tractar dades té riscos. Per riscos s'entén el tractament inadequat de dades que pot provocar danys i perjudicis físics, materials o immaterials, pot privar els interessats de drets i llibertats, i els pot impedir exercir el control sobre les pròpies dades. Això es pot agreujar quan afecta categories especials de dades, a tractaments que permetin l'avaluació de persones, que afectin persones vulnerables o que impliquin una gran quantitat de dades i afectin a moltes persones.

L'anàlisi de riscos és una tasca central i continuada en la protecció de dades a partir de l'aplicació del RGPD. Cal per tant, amb perfecte coneixement dels tractaments que es realitzaran, de les categories de dades que es tracten i de la tecnologia que s'utilitza, analitzar i avaluar els riscos per als drets i les llibertats de les persones afectades i, especialment dins d'aquests, els riscos per la seguretat de les dades.

Tot i que hi ha guies per dur a terme aquesta tasca (enllaç a la guia per a l'anàlisi de riscos de la Agencia Española de Protección de Datos) el punt de partida s'ha de basar en els materials de que es disposa, com són el RAT, el registre d'incidències, els informes d'auditoria o les consultes realitzades als Codis Tipus. La tasca s'ha de documentar i ésser objecte de revisió continuada.

Un cop analitzats els riscos, cal tractar-los per modificar-los: a aquest objectiu s'orienten les mesures de seguretat. Fins ara les mesures de seguretat venien imposades per la llei, s'havien d'aplicar amb independència de la seva eficàcia en un context concret. Ara es poden determinar en cada organització o generant estàndards sectorials, sempre subjectes a un procés de millora contínua: definir-les / avaluar-les / auditar-les / redefinir-les.

Les mesures de seguretat s'han de formular partint de la privacitat des del disseny (no es poden pensar les mesures de seguretat un cop un tractament ja està implantat, ans el contrari, la reflexió sobre protecció de dades s'ha d'incorporar des del primer moment en que es dissenya una activitat que suposi tractar dades) i la privacitat per defecte (per aconseguir una finalitat determinada, com menys dades es tractin i durant menys temps, millor).

En el punt en que estem, s'ha de començar per mantenir les mesures aplicades fins a dia d'avui i, a mesura que l'anàlisi dels riscos ho aconselli, millorar-les o substituir-les per altres més eficients. És un plantejament erroni pensar en eliminar mesures actualment implantades sense implantar-ne d'altres que assoleixin millor el mateix objectiu.

Els fins ara coneguts com a drets ARCO (drets d'Accés, Rectificació, Cancel·lació i Oposició) segueixen vigents amb poques variacions. Només el dret de cancel·lació ha passat a denominar-se dret de supressió i té un aspecte molt comentat però adreçat essencialment als navegadors d'internet i xarxes socials: el dret a l'oblit, d'escàs impacte al sector sanitari i social. S'han incorporat dos nous drets, amb un previsible impacte residual als sectors sanitari i social: Portabilitat i limitació del tractament.

En tot cas, els principis generals segueixen essent els mateixos: facilitar-ne l'exercici, gratuïtat, no limitar-ne l'exercici per aspectes formals, a exercir per l'interessat o un representant legal o voluntari, i amb un termini general d'un mes per donar-ne resposta. Es recomanable, però, incorporar a la base de documents de la organització els nous models que permetin i facilitin el seu exercici. Des del Codi Tipus es facilita als adherits models actualitzats sobre aquest àmbit.