L'arribada del Reglament General de Protecció de Dades

El GDPR què és i què significa protegir les dades personals de llocs web i llocs de comerç electrònic

Les finalitats del Reglament General de Protecció de Dades

Per entendre millor la utilitat d'aquesta legislació aprovada per la Unió Europea, és fonamental enumerar les finalitats del GDPR. Amb aquesta nova regulació, els usuaris han de ser, en primer lloc, més conscients del destí de les seves dades personals i, en primer lloc, han de donar el seu consentiment explícit. Aleshores s'han d'utilitzar les mateixes dades amb extrema parsimònia, establint unes normes estrictes que permetin tractar-les fora de la Comunitat Europea, i finalment s'han de sancionar greument els que incompleixin el que disposa el Reglament General de Protecció de Dades. Aquests són els punts en què es basa aquesta nova normativa de privadesa, però poc després de la seva publicació, el Reglament General de Protecció de Dades ja presenta alguns defectes.

La "ràtio" dels estats membres i el pantà italià

El Reglament General de Protecció de Dades s'ha presentat com un sistema de normes que garanteix una repressió important en nom de la privadesa. En el moment de la legislació, però, la UE va deixar als estats membres la possibilitat de poder "interpretar" la normativa que conté aquest nou document. Això vol dir que la rigidesa tan prometida ha desaparegut abans que comencés, i els usuaris francesos i espanyols, per exemple, poden veure les seves dades personals tractades de manera diferent als usuaris portuguesos o alemanys. El cas italià és encara més singular: a dia d'avui, el nostre Govern encara no ha emès el decret legislatiu relatiu al Reglament General de Protecció de Dades, per tant el reglament europeu segueix vigent al nostre país. La cosa en si mateixa també podria tenir aspectes positius, si no fos perquè a falta d'un decret legislatiu no es pot perseguir i sancionar els que vulnerin el que estableix aquest nou document sobre privacitat.

Què s'entén per "dades personals"?

El terme "dades personals" s'utilitza (i s'abusa) en diversos àmbits de la vida quotidiana, però és un concepte enganyós per a tots els no experts. Al mateix temps, atès que parlem de protecció de dades sensibles i normes contra la vulneració de la privadesa, és fonamental tenir una idea clara de les "dades personals". Tota aquesta informació que permet identificar una persona sense ambigüitats d'altres són les anomenades "dades personals": per tant, nom, cognoms, codi fiscal, data de naixement, adreça, telèfon i molt més entren en aquesta categoria. Tanmateix, quan parlem de privadesa als portals web hi ha altres elements que identifiquen de manera única un subjecte, encara que siguin més atribuïbles als dispositius que el mateix utilitza: també es consideren dades personals les adreces IP, les adreces de correu electrònic, les cookies, etc.

A la llum d'aquesta definició, sorgeix una pregunta: però quan decideixen els usuaris confiar les seves dades sensibles a un lloc web? En la gran majoria dels casos aquesta operació es fa durant la fase de registre al portal, ja sigui per crear una àrea reservada o fins i tot només per subscriure's a un butlletí. Concretament, doncs, molts llocs de comerç electrònic també tenen accés a un altre tipus de dades que es poden definir com a "sensibles": en primer lloc, les de caràcter financer (codis bancaris, IBAN i domiciliació fiscal), òbviament imprescindibles per poder realitzar transaccions en línia. Menys considerats però encara atribuïbles a la categoria de dades personals també són els hàbits de consum: quina xarxa social fas servir? Quina és la teva beguda preferida? Quin és l'últim article que has comprat en línia? Aquestes preguntes aparentment trivials tendeixen a crear un perfil de consumidor, de manera que a l'usuari només se li ofereixen béns i serveis que realment poden despertar la seva curiositat. També s'ha d'explicar clarament a l'usuari l'ús d'aquestes dades amb finalitats comercials, sempre d'acord amb el que estableix el Reglament General de Protecció de Dades.

Què fer amb el nou Reglament General de Protecció de Dades

Aprofundir en els aspectes teòrics darrere de la protecció de dades personals és imprescindible, però tots aquells que gestionen portals web i llocs de comerç electrònic, bàsicament, volen entendre quines són les noves operacions a fer respecte a aquesta nova legislació de privadesa.

Formularis de contacte combinats amb la Política de privadesa

Com hem escrit anteriorment, els usuaris han de ser conscients que les seves dades personals es poden recollir i tractar per a determinades finalitats. I, per tant, és imprescindible que l'usuari, quan realitzi registres en llocs de comerç electrònic o visiti un portal d'Internet, exerceixi explícitament el seu consentiment. És per aquest motiu que el Reglament General de Protecció de Dades obliga a tots llocs web tenir-ne un Política de privacitat, o una documentació en la qual s'explica als usuaris quins tipus de dades es recullen, qui és el subjecte que les recull i per què ho fan, però sobretot s'ha d'aclarir si aquestes es cedeixen a tercers i durant quant de temps es conserven a la base de dades del portal. Atès que un document d'aquest tipus és la majoria de les vegades especialment llarg i avorrit, i els usuaris de la web (malgrat la seva pròpia seguretat personal) tendeixen a evitar els llocs d'Internet on hi ha textos llargs per llegir, es va establir que la Política de Privacitat havia de ser combinada amb aquells formularis en què l'usuari introduïa físicament les seves dades personals. És per aquest motiu que quan, per exemple, es subscriu a un butlletí d'informació del lloc web, a més d'introduir el seu nom, cognoms i adreça de correu electrònic, l'usuari ha de "marcar" la casella relativa a l'autorització del tractament de dades personals.

Registre de dades i Google Analytics

Aquesta nova legislació, entre altres coses, a més de regular la protecció de dades personals també obliga els gestors de llocs de comerç electrònic i portals web a registrar i conservar referències sensibles dels usuaris. No només això, fins i tot la data en què l'usuari va consentir el tractament de les seves dades personals ha de ser fàcilment verificable. D'aquí la necessitat que els llocs web disposin d'una base de dades real per poder aprofitar en qualsevol moment, que s'ha de combinar amb una eina de registre de dades. Aquest últim és un programari que registra l'adreça IP del dispositiu amb el qual l'usuari accedeix al portal, i d'aquesta manera és possible comprovar en qualsevol moment l'origen, la data i l'hora del consentiment prestat.

Per exemple, tots aquells portals en què els usuaris tinguin la seva pròpia "àrea reservada" han de recórrer a eines de registre de dades, on no només poden consultar les seves dades sensibles en qualsevol moment, sinó que també poden modificar-les i/o eliminar-les si cal. Una de les eines de registre de dades més famoses del món és Google Analytics, el programari de l'empresa homònima Mountain View que els usuaris utilitzen per comprovar el rendiment del seu lloc web. Google Analytics registra l'adreça IP de cada usuari, les pàgines visitades, el temps dedicat i moltes altres dades. Els responsables dels llocs web que utilitzen aquest programari, sempre en compliment del que disposa el Reglament General de Protecció de Dades, han de fer explícit l'ús de programes com Google Analytics dins del seu portal.

Aquí ve el Delegat de Protecció de Dades

Les noves regles per al seguretat de les dades personals preveure una figura professional específica que ha d'assumir la responsabilitat de la gestió i protecció del que els usuaris confien als portals web. Aquesta xifra es coneix amb els noms de Delegat de Protecció de Dades o Delegat de Protecció de Dades (abreujat com a DPO). El Responsable de Protecció de Dades ha de tenir, en primer lloc, un coneixement profund no només del Reglament General de Protecció de Dades, sinó també de tota la resta de normativa vigent en matèria de privadesa, ja sigui passada, present o futura. Aleshores ha de ser una figura absolutament independent respecte a la titularitat del web, que no rep encàrrecs de ningú i que ha de parlar directament amb la direcció de l'organigrama de l'empresa. Al mateix temps, finalment, ha de poder disposar de recursos econòmics i humans que li permetin dur a terme de la millor manera possible allò que estableix la nova normativa de seguretat de les dades personals. De fet, fins i tot darrere la figura del PDO hi ha diversos defectes i aspectes a aclarir. Una de totes es refereix a les competències del Delegat de Protecció de Dades: en realitat aquesta figura no només hauria de tenir les competències adequades pel que fa a la normativa de privadesa, sinó que també hauria de ser competent en les qüestions que tracta el portal web, sobretot si tenen una certa importància (pensem en els portals que tracten temes mèdic-científics). No cal dir que trobar totes aquestes habilitats en una sola figura sovint és difícil, si no impossible.

Quin és el risc d'infringir el Reglament General de Protecció de Dades?

Com també hem esmentat anteriorment, el marc sancionador relacionat amb aquesta nova legislació de privadesa encara està incomplet, especialment aquí a Itàlia, on l'absència d'un decret legislatiu específic fa que els infractors, almenys sobre el paper, no siguin susceptibles de processament. No obstant això, amb la voluntat de fer un resum molt breu de les sancions en què incorren aquells que no posen en primer lloc la seguretat de les dades personals dels usuaris, les podem dividir en dues macroàrees: