Berta Faura Delegada de Protecció de Dades (DPO)
«Existeix una alarmant falta de cultura en gestió de dades»
Berta Faura s’ha convertit en una de les millors especialistes en la normativa de la llei de protecció de dades. Coincidint amb una de les seves visites a Andorra, on ve molt sovint per motius personals i laborals, EL PERIÒDIC ha tingut l’oportunitat de conversar amb ella sobre la seva trajectòria professional, així com sobre l’estat actual d’aquesta qüestió a les empreses del Principat, on te previst començar a operar en breu i expandir la seva consultoria d’assessorament en matèria de protecció de dades.
En què consisteix la seva feina?
En l’assessorament, en matèria de projectes d’adequació i implantació normativa en protecció de dades. Això inclou auditories, elaboració d’estratègies de compliment, codis de conducta, defensa en procediments sancionadors, avaluacions d’impacte i formació entre d’altres.
També soc Data Protect Officer (DPO), delegada de protecció de dades (DPD) certificada; per tant, he assolit els coneixements tant a nivell pràctic com teòric de la normativa Europea sobre el Règim General de Protecció de Dades (RGPD) i això és una garantia.
El RGPD obliga a denominar en algunes activitats empresarials concretes o segons el volum d’empleats o dades gestionades, i he actuat com a col·laboradora de la màxima autoritat de control en la matèria i estic registrada com a tal en la mateixa Agencia Espanyola de Protecció de Dades (AEPD); el que a Andorra vindria a ser l’Agència Andorrana de Protecció de Dades. Com a tal garanteixo el compliment normatiu de l’empresa o entitat, anul·lant qualsevol possibilitat de sanció al respecte. Tanmateix, porto a terme estudis d’implantació personalitzats, adequant-los a les necessitats particulars de cada client segons el tractament de dades que gestiona, la delicadesa de les mateixes, el sector al qual pertany i el risc que es pot derivar del seu tractament.
Quants anys fa que s’hi dedica?
Aviat farà 10 anys que em dedico en exclusiva a la protecció de dades. Després de treballar amb consultories estratègiques de renom i reconegudes internacionalment, vaig decidir focalitzar-me en el que creia era l’assignatura pendent de tota empresa, i moltes, per no dir totes, de les gestories i assessories d’empreses. Puc dir que compto amb una àmplia experiència dedicada en exclusiva a la protecció de dades, amb coneixements reconeguts tant a nivell pràctic com teòric en la Normativa Europea RGPD 2016/679 i la LOPDGDD 3/2018.
Em vaig formar a consciència, i segueixo fent-ho, en un món tecnològic, el petroli són les dades. Actualment, m’estic preparant en Ciberseguretat i Compliance Tecnològic (ESADE).
He viscut el traspàs i l’adequació de la derogada LOPD 15/1999 a la nova LOPDGDD 3/2018 i, com no, l’adaptació i transició a la nova Normativa Europea UE-RGPD 2016/679. Me la sé com el Pare nostre.
Quin tipus d’empreses ha assessorat o han estat clients seus?
Soc consultora de moltes empreses i DPO de fundacions (com la de la Casa Reial Espanyola, FPdGI), així com d’empreses energètiques, de serveis i de salut. Tinc clients de tots els sectors: telecomunicacions, e-commerce, energia, serveis, retail, etc. També desenvolupo prestacions de consultora externa en prevenció de blanqueig de capitals per a subjectes obligats SEPBLAC (Servei Executiu Prevenció de Blanqueig Capitals).
Entre d’altres, col·laboro estretament amb l’AEPD, participant cada any en la trobada anual de la Universitat Internacional Menéndez Pelayo, i soc membre de l’Associació Professional Espanyola de Privacitat i l’Associació Professional de Consultores de Protecció de Dades.
Vivim en la societat de les dades?
Sí. No estem en una època de canvis, sinó en un canvi d’època! Constantment utilitzem dades, per a qualsevol cosa que fem: quan utilitzem el mòbil, quan fem transaccions, fins i tot quan encenem la llum o l’aixeta generem dades, donat que el consum queda registrat en un comptador i aquest genera dades, les nostres com a usuari. Tanmateix, quan es pregunta a les empreses o administracions públiques sobre quin és l’ús que en fan d’aquestes dades, les seves respostes són escasses.
Tenen un cost molt elevat els seus serveis?
No, ni molt menys! Treballo sempre amb projectes personalitzats segons les necessitats del propi client, el tipus de dades que tracta i gestiona, sector, així com el risc que aquestes poden esdevenir. Si tenim en compte les sancions imposades per incompliment de la normativa o violacions de seguretat, el cost del meu treball és peccata minuta. Una garantia absoluta per no ser sancionat.
Creu que les empreses del Principat, en general, estan complint amb aquesta normativa?
No. I tinc molt bons amics andorrans empresaris i els li ho he dit.
Existeix una falta de cultura sobre la protecció i privacitat de les dades?
Totalment. És la nostra eterna guerra! Hi ha una falta de conscienciació i coneixement brutal en la matèria tant a nivell públic com privat. La gent no sap el que es juga ni el valor que tenen les seves dades personals.
Existeix una alarmant falta de cultura en gestió de dades. En general, les organitzacions no fan una correcta gestió de les seves dades, ni estan al corrent de la normativa d’obligat compliment.
Què comporta aquesta falta de cultura?
Una pèrdua d’eficiència i competència total. I un munt de riscos tant a empreses com a particulars, si no es protegeixen adequadament; apart de les importants sancions econòmiques, i fins i tot baixar la persiana en el cas de violacions de seguretat o el simple fet de no complir amb la normativa.
Vostè s’ha reunit amb el Sr. Crespo, director de l’Agència de Protecció de Dades a Andorra. Quina impressió ha tret d’aquesta trobada? S’està fent bé la feina?
La reunió la tenim pendent, degut a la pandèmia, però espero poder-la tenir en breu. Quan a com s’estan fent les coses, no soc qui per dir-ho. Soc de les que pensa que sempre que tot és millorable.
Creu que la cambra de comerç i la Confederació Empresarial Andorrana s’haurien d’involucrar més en fer complir la normativa a les empreses?
Desconec quines són les accions portades a terme pel que fa al tema de protecció de dades per aquestes institucions; però crec personalment que SI, que s’hi haurien d’implicar en la seva conscienciació, coneixement i formació al respecte. Els empresaris ho agrairien, volen i es mereixen ser informats.
La protecció de dades és un dret?
Sí, és un dret fonamental. Estem en un món en format constant de guerra! Nacions contra nacions, companyies contra companyies, nacions contra companyies, empleats contra companyies, ciutadans contra partits polítics, ciutadans contra ciutadans…, i la tecnologia ho facilita!
Vivim immersos en una economia on les dades tenen molt valor i poden ser monitoritzades, i no només les de caràcter personal. No es tracta de menystenir el risc o impacte de certs tractaments sobre els drets de les persones; la qüestió és saber-los gestionar i tractar-los segons una regulació, que vetlla per establir els límits i així protegir-nos.
Les sancions per l’incompliment d’aquesta llei són molt elevades?
Sí, són elevadíssimes! Poden arribar fins als 20 milions d’euros.
El RGPD imposa dos tipus de sancions: del 2% de la facturació global bruta de la companyia (filials incloses) fins a 10 milions, són sancions administratives imposades al responsable o encarregat del tractament de les dades, per incompliment del que disposa el reglament; del 4% de la facturació global bruta fins a 20 milions, per vulneració dels drets dels usuaris. Val la pena estar adaptat; davant una possible sanció, sempre et sortirà barat.
Com afecta aquesta normativa a Andorra?
Moltíssim. Atès que és membre de la Unió Europea (UE), tot i no ser país europeu, apart de les obligacions contingudes ja en la pròpia normativa andorrana de protecció dedades, les empreses andorranes es veuen directament afectades pel nou reglament europeu.
Creu que Europa pot cridar l’atenció al govern d’Andorra si detecta que no s’està supervisant i controlant la legislació respecte a aquest tema en concret?
Evidentment. Andorra ha firmat el Pacte Europeu de Protecció de Dades (2019), una mesura del Consell d’Europa en la qual adhereix Andorra, tot i no pertànyer a la UE. A l’igual que tot conveni internacional, obliga al país firmant, és a dir, Andorra, a complir amb els mateixos paràmetres legals. Així doncs, la missió d’aquest protocol és actualitzar el Conveni 108 del Consell d’Europa i alinear-lo amb les previsions del RGPD. D’aquesta manera, els ciutadans es beneficien de la seguretat amb què son tractades les seves dades i les garanties d’acord amb un sistema similar a l’europeu. Tanmateix, millora la posició de les empreses andorranes en l’avaluació que porta a terme la Comissió Europea per determinar si un país ofereix garanties adequades per autoritzar la transferència internacional de dades des de la UE. Disposar d’aquesta aprovació facilita les relacions comercials d’Andorra des del punt de vista del tractament segur de les dades de caràcter personal.
Coneixem els ciutadans els drets que tenim en aquesta matèria? Som conscients del preu de cedir gratuïtament les nostres dades?
Tots hem sentit a parlar dels famosos drets ARCO, la retòrica que et deixen anar quan truques a determinades companyies de telecomunicacions, assegurances, etc. Però ningú les escolta.
També a tots ens han fet signar la normativa de protecció de dades en botigues, centres comercials, etc., ja sigui en format paper, en una tablet o fent clic en un quadradet; però ningú se la llegeix. No, no en som conscients; som tremendament vulnerables. La gent ha d’entendre que no hi ha res gratuït, que totes les app gratuïtes que ens sol·liciten dades, el seu negoci estar precisament en les nostres dades. I aquestes valen molts diners!
Si la gent fos conscient tant a nivell d’empresa com de particular del tremendamentvulnerablesque som, tothom sabria què és el RGPD. No dic que hagin de saber de lleis o que en siguin experts, però sí que entenguin els principals aspectes a tenir en compte relacionats amb la salvaguarda de la seva informació/dades.
El fet del «tot mola» i que tot estar a «tres clics» de distància i a sobre és gratuït portarà que la seguretat serà ciberseguretat. Encara que s’hagi avançat molt, i que Europa sigui un estàndard de la privacitat amb el RGPD; resta molta feina per fer. Hem de prendre decisions sobre com ens protegim, perquè és una necessitat.
Té intenció d’obrir mercat Andorra amb la seva consultora i instaurar-se pròximament?
Sí, de fet ja hi estic treballant. Crec que és important per les empreses andorranes poder comptar amb un assessorament personalitzat, professional, especialitzat i amb experiència sobre aquesta matèria concreta i tant específica com és la protecció de dades. Poder aportar els meus coneixements i talent pel que fa a la normativa europea RGPD. Considero que adherir-se a aquesta és un valor afegit per les seves relacions comercials i competitivitat als mercats europeus.
M’avalen moltíssimes implantacions i adequacions fetes. Haver treballat i portat a terme la transició i l’adaptació de la normativa espanyola a la europea, al llarg d’aquests últims anys, és un valor afegit per a les empreses del Principat, que els toca fer el mateix, ja que estan obligades a complir i a adequar-se pel que fa a la normativa andorrana de protecció de dades i a l’europea RGPD.
El Principat ha de vetllar pel compliment d’aquest ordenament jurídic i les disposicions necessàries, per garantir que la normativa establerta en el protocol que va firmar amb Europa es compleix. Cal, doncs, adaptar i modificar la normativa andorrana de protecció de dades personals incorporant-hi tots els supòsits determinats en aquest conveni i que les empreses del Principat coneguin quines són les seves obligacions al respecte.
I pel que fa a la part més emocional, haig de dir que sempre m’he sentit estretament lligada a Andorra; ja hi venien el meu avi i els meus pares, que pujaven a esquiar de solters. Diuen que va ser aquí a Andorra on vaig perdre el xumet (tenia mesos d’edat). Van córrer a buscar-ne un a la farmàcia, però no els hi ho vaig reclamar mai més. Des de llavors que hi pujo i cada vegada em costa més marxar.