Arxiu/ARXIU 2010/JA TARDES 2010/
Transcribed podcasts: 243
Time transcribed: 5d 9h 30m 41s
Time transcribed: 5d 9h 30m 41s
results.
Unknown channel type
This graph shows how many times the word ______ has been mentioned throughout the history of the program.
Avui a les tardes volem tractar un tema, home, en gran mesura molt personal.
Penseu en les vostres dades, nom, adreça, número de carnet d'identitat,
número de la seguretat social, qualsevol de les vostres dades personals i l'ús que en feu.
Precisament en volem parlar perquè el dia 28 de gener se celebra el Dia Europeu de la Protecció de Dades.
Una festivitat o una celebració que té com a objectiu impulsar el coneixement,
fer que tothom coneguem el dret que tenim de protegir les nostres dades, que siguin privades.
Avui en volem parlar i també volem parlar que existeix una normativa, una llei de protecció de dades
i que s'ha de fer una normativa aplicable tant a empreses com a organitzacions públiques o privades
que emmagatzemin, utilitzin o tractin dades de caràcter personal com les que ara feia referència.
Núria, aquestes i altres, a vegades no som fins a quin punt conscients d'on pot haver-hi, on poden aparar dades nostres.
Per això en volem parlar avui i hem convidat Toni Pons.
Ell és de Fermí Pons, assessor, és una consultora en protecció de dades d'aquí de Tarragona, ciutat.
Toni Pons, molt bona tarda, benvingut.
Hola, bona tarda.
El tema de protecció de dades, ara ho deia la Núria, a vegades hi ha moltíssimes dades personals
que són dades nostres i que circulen i que no sabem ben bé cap on van, no?
Sí, això succeeix perquè la gent no té prou informació sobre què és el que ha de fer l'empresa que la recull
quan li donem les dades i, a vegades, hi ha empreses que no compleixen amb aquesta obligació
i els ciutadans els hi han donat les dades i no saben on hi ha a parar ni què se'n farà.
Toni, qui vetlla per la seguretat de les nostres dades? Qui marca la normativa?
Jo sé que Europa regula en gran manera, em sembla, i no sé si l'estat espanyol també té competència en això.
Sí, bé, hi ha una directiva comunitària i d'aquí surt en gran part del que és la normativa espanyola.
Aquí hi ha la llei orgànica de protecció de dades, que és de l'any 99,
i també hi ha el reglament, l'actual és de l'any 2007, va entrar en vigor a l'abril del 2008,
i és el que regula tant els aspectes jurídics, o sigui, el que seria assegurar,
el que t'he explicat del dret que té la gent que li informin de què fan les seves dades,
el que és la cessió de dades, com després el reglament estableix el que són les mesures de seguretat.
Això ho estic explicant així d'una manera molt simple, no?
Però bàsicament hi ha la llei orgànica i el reglament, que són les dues normatives
on principalment ens fixem a l'hora d'adequar una empresa a la llei orgànica de protecció de dades.
Si es fa una normativa o una regulació és perquè ja s'intueix un perill, en principi.
El perill, per entendre'ns, sobre les nostres dades personals,
el configuren les empreses amb finalitats comercials?
Seria del que ens hauríem de protegir, de les empreses amb finalitats comercials?
Seria qui podria fer el màxim perill, els màxims que podrien fer un mal ús de les dades?
Bé, més o menys, quan va començar la preocupació per la protecció de les dades de les persones,
va ser quan, amb l'aparició de la informàtica, es va poder fer tractaments de dades d'una manera massiva
amb grans bases de dades que, a més, es creuaven entre empreses
i això va obligar a que es creix una normativa per regular-ho.
Perquè fins a llavors, tot el que era el tractament de dades,
de forma manual o mitjans informàtics molt limitats, era molt més difícil.
A partir que, doncs, amb la informàtica es poden tractar les dades d'una manera molt més fàcil i ràpida,
el que es fa és crear una normativa perquè, efectivament,
la principal finalitat de les dades eren finalitats comercials.
Llavors, tu havies donat les dades, potser, a una empresa i podien anar a parar, no sabies a on.
Els experts parlen sovint d'aquestes xarxes socials, no?
sigui al Facebook, en fi, d'altres que n'hi ha, no?
Perquè aquí hi ha moltes dades personals arreu del món,
centralitzades en gran part en alguns sectors als Estats Units
i també no sabem massa ben bona part, no? Aquestes dades?
Sí, aquí amb el tema de les xarxes socials, el que ha de ser conscient la gent
és que no saps ben bé què passarà amb les teves dades.
Primer, que són molt públiques.
Podem entrar al Facebook, per exemple, que és el cas més típic,
i veure, doncs, una persona, sense estar registrat,
pots veure una persona en la seva foto, qui són els seus amics
i pots anar fent un enllaç i, a més, allà hi ha com uns petits perfils, no?
Les seves preferències, pots anar coneixent preferències d'aquesta gent.
La gent ha de ser conscient que això ho pot veure qualsevol persona.
A part d'això, les dades, el servei que et dona Facebook
és gratuït, però és gratuït per a alguna cosa.
És perquè aquestes dades tenen una utilitat.
llavors, doncs, el que hem dit, creació de perfils
per informació comercial, és el que més sovint es fa.
I llavors, doncs, aquestes dades tenen un preu
i hi ha empreses que paguen per aquesta informació.
Llavors, el que hem de ser conscients
és que les nostres dades, doncs, hem perdut el control d'elles.
Només cal llegir la política de privacitat que hi ha a Facebook
per veure que no és com la que pot tenir una empresa espanyola,
sinó que és molt més lleugera.
I fa poc el creador de Facebook va dir que
que el de la privacitat havia acabat.
Que això és el que diu ell.
Però ells van per aquí.
A part, als Estats Units no és un país
on la protecció de dades tingui els requisits
que el demanen a Europa.
Està fora, a part que està fora de l'espai europeu,
hi ha països de fora d'Europa
que sí que compleixen,
doncs, ho tenen els mateixos paràmetres
en protecció de dades que és Europa,
però als Estats Units precisament no ho és.
Clar, que ens trobem en un terreny
en què no se sap quina normativa s'ha d'aplicar,
perquè estem parlant d'un fenomen com el Facebook,
la xarxa social,
que clar, potser sí que té la base als Estats Units,
però que l'utilitza tot el món.
Sí, i és que a mi,
tu, per exemple,
t'has donat d'alta a Facebook
que en el moment en què et dones de baixa
no saps si tornes a tenir el control de les teves dades.
Les teves dades, ells,
potser cancelen el teu perfil,
però potser les segueixen mantenint
i no hi pots fer res perquè...
Que hi ha una voluntat de regular
les xarxes socials a internet?
Que hi estan fent esforços en aquest sentit
o ja es dona per impossible?
No, jo crec que es fan esforços,
però la veritat és que és difícil.
Més que res per això,
perquè estem en un espai internacional
i hi ha empreses com Facebook
que estan en un país que té una altra regulació
i la legislació espanyola poc hi pot fer.
Suposo que hi ha un altre front de lluita.
Una és obligar les empreses a ser curosos
i a respectar les normatives i les lleis,
però l'altra font en què lluitar
és fer-nos que tots siguem conscients,
fer pedagogia al respecte,
que tots siguem conscients
que les dades personals ens poden crear un mal de cap,
que és una cosa important,
i això em sembla que no ho sabem gaire.
Sí, bé,
és una de les polítiques en què a més s'està incidint.
També des del punt de les empreses
el que més remarca,
que el més important és
que per protegir les dades
que pugui tenir una empresa
tant de clients com de treballadors
o proveïdors de qualsevol persona,
el més important és la formació dels treballadors
perquè de poc serveix tenir una política de seguretat
si no es compleix
i el que s'ha de fer és
a poc a poc anar agafant una cultura
de seguretat de les dades
i de protecció de les dades.
I amb les persones igualment
també s'estan aplicant molts recursos
en què la gent prengui consciència
de la importància
de que les teves dades són teves,
que les dades ha de tenir protegides
i que no les pots donar de qualsevol manera.
De fet,
amb el tema de les xarxes socials
estan apareguent moltes notícies
i l'Agència de Protecció de Dades
i l'Agència Catalana de Protecció de Dades
també estan parlant molt
i intentant consenciar la gent
que s'ha d'anar amb molt de compte.
A vegades no cal anar a una xarxa social
sinó que en el dia a dia
també hi ha moltes coses que fem,
a vegades per rutina, per inèrcia
i en el qual també posem en perill dades nostres.
Estic pensant, per exemple,
en el correu electrònic
que podem enviar dades confidencials,
estic pensant, per exemple,
en la correspondència,
dades bancàries
que sovint llancem a la brossa
sense haver de tenir la precaució
abans de destruir certs documents.
Vull dir que també hi ha moltes coses
a nivell individual,
com a ciutadans,
en el dia a dia
que haurien de ser un pèl més curosos.
Sí, a veure amb el paper
s'ha d'anar amb compte
perquè, pel que dius,
que pot sortir de casa
un tracte bancari
o altres documents
que tinguis informació personal teva.
Hi ha gent que inclús
destrueix els sobres
on apareix el teu nom.
Després hi ha el tema
passant del correu postal tradicional
a l'electrònic.
Hi ha, per exemple,
el fenomen aquest dels missatges,
diguem-li, piramidals,
que una persona t'envia a tu
i a 20 persones més
un e-mail amb un PowerPoint
sobre la Índia
o sobre Mèxic
o sobre acudits,
qualsevol cosa d'aquestes
que s'acostumen a enviar
i llavors tu potser
envies a 20 persones més.
I això només té una finalitat
que és recaptar
els correus electrònics
de totes aquestes persones.
i llavors això va parar
amb gent que el que fan
és vendre aquestes direccions
per gent que farà
per gent que farà spam.
O sigui,
hi ha un mecanisme
que fa que tots aquests e-mails
vagin amb una persona,
amb un e-mail,
que els recull tots
i després els ven
amb empreses
que el dediquen a fer spam.
D'aquí ve que...
Ai, com és que
m'estan entrant
de publicitat
de Rolex,
de Viagra,
de tot el que
que rebem
que no hi ha res a fer.
Tenim xifres,
estem parlant de vendre
i comprar
dades
a finalitats comercials.
Jo crec que això
deu moure
molts diners.
O sigui,
no és una cosa lleugera
perquè dius,
mira,
la meva adreça
és una amb la de l'altra
i la de l'altra.
Home,
ara,
si vols que et digui la veritat,
no sé
el que pot valdre
doncs vendre una base de dades
amb e-mails.
però...
Hi ha gent
que s'hi guanya la vida.
Facebook,
per exemple,
hi ha empreses
que hi han invertit
molts diners.
O sigui,
ha pujat molt de preu
Facebook
i és perquè
hi ha unes
expectatives
que
tota aquesta informació
que generi
o que amagatzemi
pugui tenir
un preu
i un valor
i hi ha empreses
que han pagat molt
per restar Facebook.
Amb el correu electrònic
de vegades
s'arriba a...
No sé,
jo recordo,
per exemple,
un que deien
una marca comercial,
una superfície comercial
que deien
et regalen 100 euros
de compra,
no?
I a revés,
si aquí,
doncs,
piques,
ja envia les seves dades,
no?
Sí,
jo...
Tu recordes,
Nuri,
aquesta,
no?
No,
però ara que dius
aquest exemple,
ja se'ls empesquen,
se n'inventen de molt bones.
Jo vaig rebre
de dos amics
que em van enviar
que si enviava
aquell correu
a 10 persones més,
doncs,
em donarien un val
de 100 euros
amb aquesta superfície
comercial
que a més van fer servir
el nom d'aquesta superfície,
van posar el nom
d'una persona
i ni l'email era real,
bueno,
l'email sí que era real
però no era
de la superfície
sinó que l'havia creat
algú per ell
i la persona
que hi havia allí
que canviava l'email
des del departament
de màrqueting
de l'empresa
doncs,
no existia
i el que van fer
va ser recopilar
tots els emails aquests
per...
Però escolta,
això directament
és delicte
perquè ja és implantació
de personalitat
tu digue-li com vulguis
directament
és delicte, no?
Home, sí.
O no?
Sí, home,
hi ha algú
que ha fet servir
un delicte
o no,
no ho sé
però massa legal
no és.
Ja, ja,
això està clar.
Perquè
algú ha fet servir
doncs
el nom
d'una
d'una empresa
que no era
realment aquesta
però
segurament
ho van fer
des d'un país
que no té cap control
amb aquests temes
de correu
electrònic
o de comerç
electrònic.
Què fem quan estem?
perquè a més és un tema
que indigna
perquè si tu et sents estafat
tu truques al centre comercial
i dius
ei, he seguit la vostra promoció
i m'ha tocat un val
de 100 euros
i et diuen
no, no, nosaltres no sabem
de què parles
i t'agafa una indignació
quan utilitzen les teves dades
sense la voluntat teva.
Què fem?
Quins recursos tenim
com a usuaris?
On truquem?
Home,
en el cas de protecció de dades
doncs pots posar
una denúncia
a l'agència
de protecció de dades
el que passa
que segurament
quan inicessin la investigació
veurien que
que el supermercat
en realitat
no havia fet res
sinó que hi havia
algú que els havia suplantat
o que tu...
Home, si fos
si detectant
d'on t'havia sortit
l'email
ha sortit
de l'estat espanyol
doncs llavors
l'agència de protecció
de dades
si fos el cas
doncs
aplicaria una sanció
amb aquesta empresa.
A vegades
moltes vegades
per desgràcia
jo crec que el que passa
és que és culpa nostra
que no llegim
la lletra petita
en què ens avisen
que poden utilitzar
les dades
per qualsevol cosa
i donem conformitat
i seguim endavant.
Però si tens un avís
on et diu
que poden fer servir
les teves dades
per qualsevol cosa
no és un avís legal.
Els avisos
el que hem de dir
és la finalitat concreta
per a la qual
et demanen les dades
que normalment
ha de ser
normalment no
ha de ser
relacionat
amb la teva activitat.
Si tu tens una botiga
de roba
i recull dades
de clients
i ho vols fer servir
doncs
per poder-li prestar
el servei
perquè a un l'inviaràs
per correu
o el que hagi comprat
doncs
ja has de dir
que és per al servei
no pots dir
que faràs servir
les dades
del client
per a qualsevol finalitat
i tampoc
i si a més
ja
les vols fer servir
per una activitat
accessòria
amb el servei
com fos
o com pot ser
enviar publicitat
també li has demanat
el consentiment
per enviar-li publicitat
i no val tot.
Avui dia
des de la picaresca
ja
per exemple
amb el nom
i condoms
d'una persona
i no cal que sigui
el DNI
potser amb l'adreça
fins i tot postal
ja es poden fer
diguéssim
estafes
d'internet
per exemple
o quins serien
diguéssim
els documents
que haurien
de vetllar més
de protegir més
de la nostra identitat
Home
principalment
les dades bancàries
que són
els que
que normalment
intenten
recaptar
amb el mecanisme
del phishing
que és que
t'envien un e-mail
doncs
explicant-te
que
o bé
la teva
la teva pàgina
d'internet
del teu banc
ha de fer un manteniment
o et demanen
algun número
bancari
per qualsevol incidència
i et connecten
amb una pàgina d'internet
que sembla
que és la del banc
però no ho és
i allò
en el llit
te la recullen
perquè les altres dades
per exemple
dades sensibles
com poden ser
dades de salut
o
d'afiliació sindical
si estiguéssim afiliats
les té una empresa
o les té un sindicat
que és ell
el que ha de vetllar
per aquestes dades
tu li has donat
en seguretat
normalment
no les
les dons
amb qualsevol empresa
o qualsevol persona
o a través d'internet
sinó que és
quan inicies
la relació
laboral
amb una empresa
o quan vas al metge
però així
a banda d'aquestes
dades que ens poden fer mal
econòmicament
són
les dades bancàries
i això
tothom ho sap
però
sempre hi ha gent
que encara hi cau
això ens porta a parlar
precisament
d'empreses
que gestionen
moltíssimes dades
dels seus treballadors
dels seus clients
o fins i tot
l'administració pública
hi ha cursos
de cara als treballadors
hi ha consciència
no hi ha perill
en quin sentit
home
m'estic imaginant
que el banc
per exemple
l'entitat bancària
amb qui treballem
té accés
i té totes les nostres dades
m'estic imaginant
que l'administració
també
tant les empreses
públiques
com privades
ja sigui informació
o en qualsevol
altre mecanisme
s'han d'assegurar
que els seus treballadors
coneixen
quina és la política
de seguretat
de l'empresa
o les mesures de seguretat
que aplica l'empresa
normalment això es fa
via
via formació
que és el més pràctic
el reglament
de protecció de dades
el que diu
és que
hi ha d'haver
unes funcions
i obligacions
establertes
dels usuaris
o sigui
de la persona
que treballa
el banc
el banc
ha d'haver creat
unes funcions
i obligacions
d'aquest usuari
respecte
a l'ús
que fa
de les dades
com a usuari
llavors
se les ha de conèixer
i un dels
mecanismes
que es fan servir
normalment
és la formació
i l'entrega
d'un manual
d'usuari
on hi ha
aquestes funcions
i obligacions
i li expliques
a part
de tot això
una petita introducció
de com és la llei
i bueno
encaminat
a sensibilitzar
els usuaris
de la informació
però qualsevol persona
que treballi
amb una empresa
i tracti dades personals
dels clients
d'aquesta empresa
o qualsevol dades personals
que tingui aquesta empresa
ha de conèixer
quina és la política
respecte
davant de les personals
que hi ha
Teniu constància
que moltes empreses
o potser encara
més empreses
no compleixen
diguéssim
amb aquesta normativa
és a dir
que hi ha poca
sensibilització
pel que fa
la protecció de dades
al compliment de la llei
No hi ha massa
no hi ha massa
implantació
però bé
va pujant
els índexs
d'empreses
que estan adequades
a la llei
de protecció de dades
i a part
està creixent més
la sensibilització
tant per part
de les empreses
com dels usuaris
i això està fent
que cada dia
n'hi hagi més
i és que ara
no ho tinc aquí
però
a l'agència
de protecció de dades
hi ha registrats
no vull dir el número
però molts fitxers
això vol dir
que les empreses
ho estan fent
de totes formes
n'hi ha moltes
que encara no ho han fet
i no s'han assabentat
de què ho han de fer
o prefereixen no fer-ho
Però és en qualsevol cas
duplicar compliment
no?
Sí
si tens dades personals
doncs sí
pot haver-hi
algunes empreses
que no
que no tinguin
dades personals
en fitxers
llavors
aquestes no faran falta
que ho facin
però normalment
totes en tenen
perquè si no
tens dades dels clients
que no les reculls
perquè potser
ets un comerç
que l'únic
que expedeixes
és un tíquet
pot ser que tinguis
un treballador
llavors
tens que
crear un fitxer
o bueno
el fitxer el tens creat
tens que inscriure
aquest fitxer
de treballadors
a l'agència de protecció
de dades
estic posant un exemple
però sí que hi ha
algunes empreses
que no tenen dades
perquè potser són
els propis socis
que et porten l'empresa
i no recullen dades
de ningú
però vaja
qualsevol empresa
que reculli dades personals
ho ha de tenir fet
i en aquest sentit
i en aquest sentit
hi ha una agència
l'agència espanyola
de protecció de dades
que té potestat
de sancionar
és a dir
que si
una empresa
no està complint
aquesta llei
doncs
pot sancionar
i sancions
severes
a més a més
sí
bastant
les sancions
poden anar
de 600 euros
fins a 600.000
jo no n'hi he vist
massa
bueno
crec que no n'hi he vist
cap de 600.000
perquè
després hi ha
un criteri
de graduació
de les sancions
i acostumen a baixar
també
en funció
del perjudici
que hagin causat
però
sí que hi ha
sancions fortes
i veus
algunes
de 60.000 euros
i això
és un dels arguments
pels quals
doncs
es diu
que s'ha de fer
la protecció
perquè hi ha empreses
que no és que ajudin
les sancions
que juguen
la continuïtat
del negoci
perquè una empresa
petita
una sanció
de 60.000 euros
doncs
pot ser que hagi
de tancar
però per quin tipus
d'infraccions
estàíem parlant
en aquestes
sancions
tan importants
ja sabia
més temes
de sancions
inconsentides
de dades
i dades
de salut
és que hi ha dades
que són molt sensibles
i bé
les sancions
així tan grans
normalment
cauen
en empreses
grans
t'ho dic perquè
posa'ns
algun exemple
Toni
algun exemple
sense dir noms
evidentment
però
que hagis tu
sentit a parlar
ho vist
per fer-nos
la idea
de la importància
del tema
posaré un exemple
perquè a més
és molt curiós
d'un advocat
no és una sanció
molt forta
va ser una sanció
de 3.000 euros
un advocat
que
el va denunciar
algú
per
no sé exactament
pel que era
però no era
res relacionat
amb el que al final
li va acabar
la sanció
el van denunciar
va actuar
a la inspecció
de l'agència
de protecció
de dades
i llavors
quan el van
inspeccionar
als seus locals
o al seu despatx
li van demanar
el document
de seguretat
que és on
hi ha totes
les normes
que tu apliques
per tenir
la seguretat
de les teves dades
o on tens
la descripció
d'aquestes normes
i no el tenia
i llavors
li van posar
una multa
de 3.000 euros
per no tenir
el document
de seguretat
que això
tampoc s'entén
perquè
si t'han d'inspeccionar
com a mínim
fer-te el document
de seguretat
suposo que
deuria
no sé
deuria pensar
que
no sé
que no era prou
sèrio
i
es va relaxar
una mica
mira aquí
surt deslosada
a internet
la llei
de protecció
de dades
i les més greus
parlen dades
de salut
de vida sexual
d'ideologia
de creences
afiliació sindical
origen racial
violència de gènere
si dades relacionades
amb aquest
amb aquest àmbit
doncs això
són les sancions
més greus
és que aquí
els teus dades
són dades
protegides
o especialment
protegides
i són les que
se'ls ha d'aplicar
les mesures
de seguretat
de nivell alt
i
a part del tema
de segure
de mesures
de seguretat
quan les tens tu
a la teva empresa
respecte
d'aquestes dades
també tens
més obligacions
amb el que dèiem
abans
de la informació
que consentim que faci un rectament
i que estem informats
en què consisteix això. Doncs això seria el mateix
relatat al que és el rectament
de les dades.
Dades de salut, doncs
el de tenir un consentiment després.
Ara que parles de l'àmbit de la salut hi ha hagut algun cas
i recordo del clínic l'any passat a Barcelona
en què van aparèixer dades
de pacients en un contenidor
de la brossa. Es va poder
determinar que havia sigut per un descuit d'un exoperari
i en fi va haver-hi una investigació però vull dir que això a vegades
passa, no? Dades tan sensibles
com aquestes de pacients
que apareixen, doncs, això, amb un contenidor de la brossa.
Sí, fa poc em sembla que ha sigut
a Múrcia o a la CANT van
aparegut amb un contenidor també expedients
judicials. I
el que ha intentat
fer el reglament que va aparèixer
el 2007 és regular
les prestacions de serveis
d'empreses que no tracten dades
però, per exemple, aquí a la ràdio, doncs
si teniu un servei de neteja
o de manteniment de les instal·lacions
doncs a aquestes empreses
se'ls ha d'informar o han de signar un compromís
com que ells no tenen accés a les dades
però que les dades que puguin
a les que puguin accedir perquè
accidentalment, doncs, mantindran el secret
i llavors, doncs, per exemple,
en el cas de les empreses de neteja
que són
les que
se les carreguen normalment
quan apareixen contenidors
doncs, moltes vegades l'excusa ha sigut
no, és que
l'empresa de neteja
les va
les va
se les va endur
sense donar-se en compte
doncs, bueno
ara s'ha intentat
s'ha intentat
regular això
o intentar evitar
doncs, amb un compromís
d'aquesta empresa
doncs, que farà un ús
responsable d'aquesta dades
en aquest cas del clínic
no sé
d'aquí va ser
d'aquí va ser la culpa
d'un antic resident
diu que un antic resident
que es va mudar a domicili
i que
bé, va cometre aquesta importància
clar, és que l'antic resident
ja no
no les hauria de tenir a casa
aquí està
això és
hi ha un cas, per exemple
doncs, del treball a casa
amb una empresa de telefonia
un
un treballador
s'emportava feina a casa
i
s'emportava
doncs
els llistats
de
de
de clients
perquè
treballava al departament comercial
a més a casa
ja es connectava
amb l'Emule
què va passar?
que tenia
el fitxer
de clients
el seu ordinador personal
a casa
i
a la carpeta de compartir
a la de compartir
no se sap com va ser
o
o sí que se sap
però
resulta que
va sortir
el que volia compartir
i el que no havia de compartir
i doncs
van sortir publicats
aquests llistats de clients
a
a internet
i ja no
és que no és només
informació en dades personals
tu fas una
recerca
al Google
i a vegades
et surten
documents confidencials
d'empreses
presentacions
informes
a veure
els informes
el tenen un cos
el que no pot ser
és que qualsevol
es pengi
allà al Google
i pugui veure
doncs
algú que
a tu t'ha costat un preu
i que pot ser que sigui
confidencial
llavors
també s'ha d'anar molt en compte
doncs primer
que les dades
no és que no puguin sortir
de l'empresa
per anar a casa dels treballadors
si és necessari
que hi vagin
i aniran
però el que no pot ser
és que llavors
no hi hagi seguretat
al domicili
d'aquesta persona
i passi
això
és com
hi ha molta gent
doncs
el que fa
amb les còpies de seguretat
les pren cap a casa
perquè és
una forma segura
que si passa
alguna cosa al despatx
i per exemple
hi ha un incendi
si tens la còpia de seguretat
al costat
del servidor
doncs t'ha quedat
sense dades personals
perquè es cremaran
els dos
però si t'ho portes
cap a casa
doncs saps
que ja està segur
doncs el que ha de fer
és prendre un mínim
de mesures de seguretat
perquè aquestes còpies
que se'n van cap a casa teva
estiguin protegides
perquè clar
és una situació
de més risc
que quan estan tancades
al despatx
hi ha empreses
que ho fan això
que garanteixen
la còpia de seguretat
te la preserven
o per això
a nivell informàtic
vaig veure una vegada
una empresa
que feien
es dedicaven a això
bàsicament
sí
hi ha empreses
que el que fan
és la còpia de seguretat
automatitzada
i te la fan
per internet
i inclús
algunes
les fan
amb la transmissió
de dades
és xifrada
que això
és necessari
quan són dades
a nivell alt
posem el cald
d'un metge
que transmet dades
de salut
tant per correu electrònic
o per qualsevol mitjà
per exemple
que li facin
la còpia de seguretat
la transmissió
d'aquestes dades
ha anat xifrada
perquè no hi pugui accedir
a qualsevol persona
i si no tens possibilitat
de xifrar-les
has de
posar algunes mesures
per evitar-ho
això
que algú hi pugui accedir
si complíssim
tota la normativa
al peu de la lletra
si fóssim realment
conscients
de la importància
de les dades
no ens tornaríem
una mica paranoics
tots plegats
jo crec que no
si anem a l'altre extrem
jo crec que no
perquè
les empreses
normalment
no tenen dades
a nivell alt
llavors
les mesures
de seguretat
de nivell bàsic
i mig
no són tan fortes
i crec que és una mica
un problema
de cultura
que a poc a poc
es n'anirà
solucionant
però no
les mesures
de seguretat
amb
amb una empresa
doncs que tingui
dades a nivell alt
doncs sí que a vegades
són difícils
i
i compliquen
l'operativitat
no em sortirà
de l'empresa
però
a poc a poc
es n'anirà solucionant
la informàtica
és molt important
amb tot el que estem dient
la informàtica
va ser la causa
potser
ja ho deies abans
que es començés
a incidir
en aquest aspecte
però també
és una
de les proteccions
segures
és a dir
en el vídeo informàtic
hi ha molts programes
per garantir
tot això
la privadesa
la foliesa
sense
sense inserències externes
no?
sí
a veure
el reglament
el que diu
és que els programes
informàtics
que tractin dades personals
han d'indicar
quin nivell de seguretat
permeten
aconseguir
llavors
en el cas
de les dades
a nivell alt
doncs
si tenim un programa informàtic
on accedeixen
5-6 persones
o les que siguin
però que accedeix
més d'una persona
allà ha de quedar
registrat
qui és la persona
que ha accedit
i quan
i a quin fitxer
perquè
doncs
es pugui fer
un informe mensualment
i saber
com va
el tema aquest de seguretat
i el tema d'accessos
llavors
els programes
ho han de dir
si tu
compres un programa
doncs
per gestió d'una clínica
el programa
ha d'indicar
si et permet fer això
o no
i
principalment
a nivell dels programes
el que hem de fer
doncs això
que
que pugui haver
diverses persones
que puguin accedir-hi
però sempre
que tinguin
doncs
una contrassenya
i un usuari personal
per cadascun
després
l'empresa
potser
fan servir
el mateix usuari
i la contrassenya
a tots
però el programa
i la llei
diu que ha de ser
cada persona
una contrassenya
i un nom d'usuari
ens consta
Toni
ja per anar acabant
però ens consta
aquí a Tarragona
i concretament
a la Rubina i Virgili
es fa molt bona feina
en matèria
de protecció de dades
divendres
passat va haver-hi
una conferència
una doble conferència
de fet
va parlar
des de la càtedra d'UNESCO
de la privatesa de dades
el director
de l'apartament
d'enginyeria informàtica
i matemàtiques
el líder també
del grup de recerca
Crises
que és
en Josep Domingo Ferrer
i també va intervenir
Jordi Català Roca
professor de ciències
de la computació
i intel·ligència artificial
la mateixa Rubina i Virgili
és a dir que des d'aquí a Tarragona
des de la URB
s'està fent molt bona feina
en aquest sentit
sí
jo hi vaig assistir
perquè la veritat
és que no ho coneixia
però em va arribar
la informació
i
estan treballant
en l'àmbit
de la privatesa de dades
i
crec que us podem explicar
ells bastant més bé
però
principalment
pel que
pel que vaig entendre
doncs
ajudant
i col·laborent
amb altres països
que no estan tan desenvolupats
però que ja
ja fan tractaments de dades
a nivell informàtic
doncs
a mantenir la privada
de dades
doncs
principalment
en temes estadístics
i així
que
es guarden moltes dades
i doncs
es comuniquen
entre estaments
doncs
efectes d'això
de fer
finalitats estadístiques
i
va ser una conferència
que va estar molt bé
perquè
veure que a Tarragona
doncs
hi ha un grup
que treballa
en aquest nivell
és molt positiu
vaja
em vaig al·legar
doncs
ja està
jo resumiria una mica
però
et sembla bé
la frase aquesta
que se sent editant
i jo crec que
ens has donat
prou arguments
per
per si
per afirmar-la
la informació
és poder
sí
i tant
a més
ja diuen
que
vivim a l'era
de la informació
no a la informàtica
ha fet un canvi
ha passat
de l'era de la informàtica
a l'era de la informació
doncs
això
això ho diu tot
Toni Pons
de Fermí
Pons
assessors
consultors
amb protecció de dades
una empresa
terragonina
avui hem volgut parlar
amb vosaltres
i en fi
fins a la propera
tema molt interessant
hem après moltes coses
i en fi
esperem aprendre'n moltes més
fins aviat
fins aviat
gràcies
Penseu en les vostres dades, nom, adreça, número de carnet d'identitat,
número de la seguretat social, qualsevol de les vostres dades personals i l'ús que en feu.
Precisament en volem parlar perquè el dia 28 de gener se celebra el Dia Europeu de la Protecció de Dades.
Una festivitat o una celebració que té com a objectiu impulsar el coneixement,
fer que tothom coneguem el dret que tenim de protegir les nostres dades, que siguin privades.
Avui en volem parlar i també volem parlar que existeix una normativa, una llei de protecció de dades
i que s'ha de fer una normativa aplicable tant a empreses com a organitzacions públiques o privades
que emmagatzemin, utilitzin o tractin dades de caràcter personal com les que ara feia referència.
Núria, aquestes i altres, a vegades no som fins a quin punt conscients d'on pot haver-hi, on poden aparar dades nostres.
Per això en volem parlar avui i hem convidat Toni Pons.
Ell és de Fermí Pons, assessor, és una consultora en protecció de dades d'aquí de Tarragona, ciutat.
Toni Pons, molt bona tarda, benvingut.
Hola, bona tarda.
El tema de protecció de dades, ara ho deia la Núria, a vegades hi ha moltíssimes dades personals
que són dades nostres i que circulen i que no sabem ben bé cap on van, no?
Sí, això succeeix perquè la gent no té prou informació sobre què és el que ha de fer l'empresa que la recull
quan li donem les dades i, a vegades, hi ha empreses que no compleixen amb aquesta obligació
i els ciutadans els hi han donat les dades i no saben on hi ha a parar ni què se'n farà.
Toni, qui vetlla per la seguretat de les nostres dades? Qui marca la normativa?
Jo sé que Europa regula en gran manera, em sembla, i no sé si l'estat espanyol també té competència en això.
Sí, bé, hi ha una directiva comunitària i d'aquí surt en gran part del que és la normativa espanyola.
Aquí hi ha la llei orgànica de protecció de dades, que és de l'any 99,
i també hi ha el reglament, l'actual és de l'any 2007, va entrar en vigor a l'abril del 2008,
i és el que regula tant els aspectes jurídics, o sigui, el que seria assegurar,
el que t'he explicat del dret que té la gent que li informin de què fan les seves dades,
el que és la cessió de dades, com després el reglament estableix el que són les mesures de seguretat.
Això ho estic explicant així d'una manera molt simple, no?
Però bàsicament hi ha la llei orgànica i el reglament, que són les dues normatives
on principalment ens fixem a l'hora d'adequar una empresa a la llei orgànica de protecció de dades.
Si es fa una normativa o una regulació és perquè ja s'intueix un perill, en principi.
El perill, per entendre'ns, sobre les nostres dades personals,
el configuren les empreses amb finalitats comercials?
Seria del que ens hauríem de protegir, de les empreses amb finalitats comercials?
Seria qui podria fer el màxim perill, els màxims que podrien fer un mal ús de les dades?
Bé, més o menys, quan va començar la preocupació per la protecció de les dades de les persones,
va ser quan, amb l'aparició de la informàtica, es va poder fer tractaments de dades d'una manera massiva
amb grans bases de dades que, a més, es creuaven entre empreses
i això va obligar a que es creix una normativa per regular-ho.
Perquè fins a llavors, tot el que era el tractament de dades,
de forma manual o mitjans informàtics molt limitats, era molt més difícil.
A partir que, doncs, amb la informàtica es poden tractar les dades d'una manera molt més fàcil i ràpida,
el que es fa és crear una normativa perquè, efectivament,
la principal finalitat de les dades eren finalitats comercials.
Llavors, tu havies donat les dades, potser, a una empresa i podien anar a parar, no sabies a on.
Els experts parlen sovint d'aquestes xarxes socials, no?
sigui al Facebook, en fi, d'altres que n'hi ha, no?
Perquè aquí hi ha moltes dades personals arreu del món,
centralitzades en gran part en alguns sectors als Estats Units
i també no sabem massa ben bona part, no? Aquestes dades?
Sí, aquí amb el tema de les xarxes socials, el que ha de ser conscient la gent
és que no saps ben bé què passarà amb les teves dades.
Primer, que són molt públiques.
Podem entrar al Facebook, per exemple, que és el cas més típic,
i veure, doncs, una persona, sense estar registrat,
pots veure una persona en la seva foto, qui són els seus amics
i pots anar fent un enllaç i, a més, allà hi ha com uns petits perfils, no?
Les seves preferències, pots anar coneixent preferències d'aquesta gent.
La gent ha de ser conscient que això ho pot veure qualsevol persona.
A part d'això, les dades, el servei que et dona Facebook
és gratuït, però és gratuït per a alguna cosa.
És perquè aquestes dades tenen una utilitat.
llavors, doncs, el que hem dit, creació de perfils
per informació comercial, és el que més sovint es fa.
I llavors, doncs, aquestes dades tenen un preu
i hi ha empreses que paguen per aquesta informació.
Llavors, el que hem de ser conscients
és que les nostres dades, doncs, hem perdut el control d'elles.
Només cal llegir la política de privacitat que hi ha a Facebook
per veure que no és com la que pot tenir una empresa espanyola,
sinó que és molt més lleugera.
I fa poc el creador de Facebook va dir que
que el de la privacitat havia acabat.
Que això és el que diu ell.
Però ells van per aquí.
A part, als Estats Units no és un país
on la protecció de dades tingui els requisits
que el demanen a Europa.
Està fora, a part que està fora de l'espai europeu,
hi ha països de fora d'Europa
que sí que compleixen,
doncs, ho tenen els mateixos paràmetres
en protecció de dades que és Europa,
però als Estats Units precisament no ho és.
Clar, que ens trobem en un terreny
en què no se sap quina normativa s'ha d'aplicar,
perquè estem parlant d'un fenomen com el Facebook,
la xarxa social,
que clar, potser sí que té la base als Estats Units,
però que l'utilitza tot el món.
Sí, i és que a mi,
tu, per exemple,
t'has donat d'alta a Facebook
que en el moment en què et dones de baixa
no saps si tornes a tenir el control de les teves dades.
Les teves dades, ells,
potser cancelen el teu perfil,
però potser les segueixen mantenint
i no hi pots fer res perquè...
Que hi ha una voluntat de regular
les xarxes socials a internet?
Que hi estan fent esforços en aquest sentit
o ja es dona per impossible?
No, jo crec que es fan esforços,
però la veritat és que és difícil.
Més que res per això,
perquè estem en un espai internacional
i hi ha empreses com Facebook
que estan en un país que té una altra regulació
i la legislació espanyola poc hi pot fer.
Suposo que hi ha un altre front de lluita.
Una és obligar les empreses a ser curosos
i a respectar les normatives i les lleis,
però l'altra font en què lluitar
és fer-nos que tots siguem conscients,
fer pedagogia al respecte,
que tots siguem conscients
que les dades personals ens poden crear un mal de cap,
que és una cosa important,
i això em sembla que no ho sabem gaire.
Sí, bé,
és una de les polítiques en què a més s'està incidint.
També des del punt de les empreses
el que més remarca,
que el més important és
que per protegir les dades
que pugui tenir una empresa
tant de clients com de treballadors
o proveïdors de qualsevol persona,
el més important és la formació dels treballadors
perquè de poc serveix tenir una política de seguretat
si no es compleix
i el que s'ha de fer és
a poc a poc anar agafant una cultura
de seguretat de les dades
i de protecció de les dades.
I amb les persones igualment
també s'estan aplicant molts recursos
en què la gent prengui consciència
de la importància
de que les teves dades són teves,
que les dades ha de tenir protegides
i que no les pots donar de qualsevol manera.
De fet,
amb el tema de les xarxes socials
estan apareguent moltes notícies
i l'Agència de Protecció de Dades
i l'Agència Catalana de Protecció de Dades
també estan parlant molt
i intentant consenciar la gent
que s'ha d'anar amb molt de compte.
A vegades no cal anar a una xarxa social
sinó que en el dia a dia
també hi ha moltes coses que fem,
a vegades per rutina, per inèrcia
i en el qual també posem en perill dades nostres.
Estic pensant, per exemple,
en el correu electrònic
que podem enviar dades confidencials,
estic pensant, per exemple,
en la correspondència,
dades bancàries
que sovint llancem a la brossa
sense haver de tenir la precaució
abans de destruir certs documents.
Vull dir que també hi ha moltes coses
a nivell individual,
com a ciutadans,
en el dia a dia
que haurien de ser un pèl més curosos.
Sí, a veure amb el paper
s'ha d'anar amb compte
perquè, pel que dius,
que pot sortir de casa
un tracte bancari
o altres documents
que tinguis informació personal teva.
Hi ha gent que inclús
destrueix els sobres
on apareix el teu nom.
Després hi ha el tema
passant del correu postal tradicional
a l'electrònic.
Hi ha, per exemple,
el fenomen aquest dels missatges,
diguem-li, piramidals,
que una persona t'envia a tu
i a 20 persones més
un e-mail amb un PowerPoint
sobre la Índia
o sobre Mèxic
o sobre acudits,
qualsevol cosa d'aquestes
que s'acostumen a enviar
i llavors tu potser
envies a 20 persones més.
I això només té una finalitat
que és recaptar
els correus electrònics
de totes aquestes persones.
i llavors això va parar
amb gent que el que fan
és vendre aquestes direccions
per gent que farà
per gent que farà spam.
O sigui,
hi ha un mecanisme
que fa que tots aquests e-mails
vagin amb una persona,
amb un e-mail,
que els recull tots
i després els ven
amb empreses
que el dediquen a fer spam.
D'aquí ve que...
Ai, com és que
m'estan entrant
de publicitat
de Rolex,
de Viagra,
de tot el que
que rebem
que no hi ha res a fer.
Tenim xifres,
estem parlant de vendre
i comprar
dades
a finalitats comercials.
Jo crec que això
deu moure
molts diners.
O sigui,
no és una cosa lleugera
perquè dius,
mira,
la meva adreça
és una amb la de l'altra
i la de l'altra.
Home,
ara,
si vols que et digui la veritat,
no sé
el que pot valdre
doncs vendre una base de dades
amb e-mails.
però...
Hi ha gent
que s'hi guanya la vida.
Facebook,
per exemple,
hi ha empreses
que hi han invertit
molts diners.
O sigui,
ha pujat molt de preu
i és perquè
hi ha unes
expectatives
que
tota aquesta informació
que generi
o que amagatzemi
pugui tenir
un preu
i un valor
i hi ha empreses
que han pagat molt
per restar Facebook.
Amb el correu electrònic
de vegades
s'arriba a...
No sé,
jo recordo,
per exemple,
un que deien
una marca comercial,
una superfície comercial
que deien
et regalen 100 euros
de compra,
no?
I a revés,
si aquí,
doncs,
piques,
ja envia les seves dades,
no?
Sí,
jo...
Tu recordes,
Nuri,
aquesta,
no?
No,
però ara que dius
aquest exemple,
ja se'ls empesquen,
se n'inventen de molt bones.
Jo vaig rebre
de dos amics
que em van enviar
que si enviava
aquell correu
a 10 persones més,
doncs,
em donarien un val
de 100 euros
amb aquesta superfície
comercial
que a més van fer servir
el nom d'aquesta superfície,
van posar el nom
d'una persona
i ni l'email era real,
bueno,
l'email sí que era real
però no era
de la superfície
sinó que l'havia creat
algú per ell
i la persona
que hi havia allí
que canviava l'email
des del departament
de màrqueting
de l'empresa
doncs,
no existia
i el que van fer
va ser recopilar
tots els emails aquests
per...
Però escolta,
això directament
és delicte
perquè ja és implantació
de personalitat
tu digue-li com vulguis
directament
és delicte, no?
Home, sí.
O no?
Sí, home,
hi ha algú
que ha fet servir
un delicte
o no,
no ho sé
però massa legal
no és.
Ja, ja,
això està clar.
Perquè
algú ha fet servir
doncs
el nom
d'una
d'una empresa
que no era
realment aquesta
però
segurament
ho van fer
des d'un país
que no té cap control
amb aquests temes
de correu
electrònic
o de comerç
electrònic.
Què fem quan estem?
perquè a més és un tema
que indigna
perquè si tu et sents estafat
tu truques al centre comercial
i dius
ei, he seguit la vostra promoció
i m'ha tocat un val
de 100 euros
i et diuen
no, no, nosaltres no sabem
de què parles
i t'agafa una indignació
quan utilitzen les teves dades
sense la voluntat teva.
Què fem?
Quins recursos tenim
com a usuaris?
On truquem?
Home,
en el cas de protecció de dades
doncs pots posar
una denúncia
a l'agència
de protecció de dades
el que passa
que segurament
quan inicessin la investigació
veurien que
que el supermercat
en realitat
no havia fet res
sinó que hi havia
algú que els havia suplantat
o que tu...
Home, si fos
si detectant
d'on t'havia sortit
l'email
ha sortit
de l'estat espanyol
doncs llavors
l'agència de protecció
de dades
si fos el cas
doncs
aplicaria una sanció
amb aquesta empresa.
A vegades
moltes vegades
per desgràcia
jo crec que el que passa
és que és culpa nostra
que no llegim
la lletra petita
en què ens avisen
que poden utilitzar
les dades
per qualsevol cosa
i donem conformitat
i seguim endavant.
Però si tens un avís
on et diu
que poden fer servir
les teves dades
per qualsevol cosa
no és un avís legal.
Els avisos
el que hem de dir
és la finalitat concreta
per a la qual
et demanen les dades
que normalment
ha de ser
normalment no
ha de ser
relacionat
amb la teva activitat.
Si tu tens una botiga
de roba
i recull dades
de clients
i ho vols fer servir
doncs
per poder-li prestar
el servei
perquè a un l'inviaràs
per correu
o el que hagi comprat
doncs
ja has de dir
que és per al servei
no pots dir
que faràs servir
les dades
del client
per a qualsevol finalitat
i tampoc
i si a més
ja
les vols fer servir
per una activitat
accessòria
amb el servei
com fos
o com pot ser
enviar publicitat
també li has demanat
el consentiment
per enviar-li publicitat
i no val tot.
Avui dia
des de la picaresca
ja
per exemple
amb el nom
i condoms
d'una persona
i no cal que sigui
el DNI
potser amb l'adreça
fins i tot postal
ja es poden fer
diguéssim
estafes
d'internet
per exemple
o quins serien
diguéssim
els documents
que haurien
de vetllar més
de protegir més
de la nostra identitat
Home
principalment
les dades bancàries
que són
els que
que normalment
intenten
recaptar
amb el mecanisme
del phishing
que és que
t'envien un e-mail
doncs
explicant-te
que
o bé
la teva
la teva pàgina
d'internet
del teu banc
ha de fer un manteniment
o et demanen
algun número
bancari
per qualsevol incidència
i et connecten
amb una pàgina d'internet
que sembla
que és la del banc
però no ho és
i allò
en el llit
te la recullen
perquè les altres dades
per exemple
dades sensibles
com poden ser
dades de salut
o
d'afiliació sindical
si estiguéssim afiliats
les té una empresa
o les té un sindicat
que és ell
el que ha de vetllar
per aquestes dades
tu li has donat
en seguretat
normalment
no les
les dons
amb qualsevol empresa
o qualsevol persona
o a través d'internet
sinó que és
quan inicies
la relació
laboral
amb una empresa
o quan vas al metge
però així
a banda d'aquestes
dades que ens poden fer mal
econòmicament
són
les dades bancàries
i això
tothom ho sap
però
sempre hi ha gent
que encara hi cau
això ens porta a parlar
precisament
d'empreses
que gestionen
moltíssimes dades
dels seus treballadors
dels seus clients
o fins i tot
l'administració pública
hi ha cursos
de cara als treballadors
hi ha consciència
no hi ha perill
en quin sentit
home
m'estic imaginant
que el banc
per exemple
l'entitat bancària
amb qui treballem
té accés
i té totes les nostres dades
m'estic imaginant
que l'administració
també
tant les empreses
públiques
com privades
ja sigui informació
o en qualsevol
altre mecanisme
s'han d'assegurar
que els seus treballadors
coneixen
quina és la política
de seguretat
de l'empresa
o les mesures de seguretat
que aplica l'empresa
normalment això es fa
via
via formació
que és el més pràctic
el reglament
de protecció de dades
el que diu
és que
hi ha d'haver
unes funcions
i obligacions
establertes
dels usuaris
o sigui
de la persona
que treballa
el banc
el banc
ha d'haver creat
unes funcions
i obligacions
d'aquest usuari
respecte
a l'ús
que fa
de les dades
com a usuari
llavors
se les ha de conèixer
i un dels
mecanismes
que es fan servir
normalment
és la formació
i l'entrega
d'un manual
d'usuari
on hi ha
aquestes funcions
i obligacions
i li expliques
a part
de tot això
una petita introducció
de com és la llei
i bueno
encaminat
a sensibilitzar
els usuaris
de la informació
però qualsevol persona
que treballi
amb una empresa
i tracti dades personals
dels clients
d'aquesta empresa
o qualsevol dades personals
que tingui aquesta empresa
ha de conèixer
quina és la política
respecte
davant de les personals
que hi ha
Teniu constància
que moltes empreses
o potser encara
més empreses
no compleixen
diguéssim
amb aquesta normativa
és a dir
que hi ha poca
sensibilització
pel que fa
la protecció de dades
al compliment de la llei
No hi ha massa
no hi ha massa
implantació
però bé
va pujant
els índexs
d'empreses
que estan adequades
a la llei
de protecció de dades
i a part
està creixent més
la sensibilització
tant per part
de les empreses
com dels usuaris
i això està fent
que cada dia
n'hi hagi més
i és que ara
no ho tinc aquí
però
a l'agència
de protecció de dades
hi ha registrats
no vull dir el número
però molts fitxers
això vol dir
que les empreses
ho estan fent
de totes formes
n'hi ha moltes
que encara no ho han fet
i no s'han assabentat
de què ho han de fer
o prefereixen no fer-ho
Però és en qualsevol cas
duplicar compliment
no?
Sí
si tens dades personals
doncs sí
pot haver-hi
algunes empreses
que no
que no tinguin
dades personals
en fitxers
llavors
aquestes no faran falta
que ho facin
però normalment
totes en tenen
perquè si no
tens dades dels clients
que no les reculls
perquè potser
ets un comerç
que l'únic
que expedeixes
és un tíquet
pot ser que tinguis
un treballador
llavors
tens que
crear un fitxer
o bueno
el fitxer el tens creat
tens que inscriure
aquest fitxer
de treballadors
a l'agència de protecció
de dades
estic posant un exemple
però sí que hi ha
algunes empreses
que no tenen dades
perquè potser són
els propis socis
que et porten l'empresa
i no recullen dades
de ningú
però vaja
qualsevol empresa
que reculli dades personals
ho ha de tenir fet
i en aquest sentit
i en aquest sentit
hi ha una agència
l'agència espanyola
de protecció de dades
que té potestat
de sancionar
és a dir
que si
una empresa
no està complint
aquesta llei
doncs
pot sancionar
i sancions
severes
a més a més
sí
bastant
les sancions
poden anar
de 600 euros
fins a 600.000
jo no n'hi he vist
massa
bueno
crec que no n'hi he vist
cap de 600.000
perquè
després hi ha
un criteri
de graduació
de les sancions
i acostumen a baixar
també
en funció
del perjudici
que hagin causat
però
sí que hi ha
sancions fortes
i veus
algunes
de 60.000 euros
i això
és un dels arguments
pels quals
doncs
es diu
que s'ha de fer
la protecció
perquè hi ha empreses
que no és que ajudin
les sancions
que juguen
la continuïtat
del negoci
perquè una empresa
petita
una sanció
de 60.000 euros
doncs
pot ser que hagi
de tancar
però per quin tipus
d'infraccions
estàíem parlant
en aquestes
sancions
tan importants
ja sabia
més temes
de sancions
inconsentides
de dades
i dades
de salut
és que hi ha dades
que són molt sensibles
i bé
les sancions
així tan grans
normalment
cauen
en empreses
grans
t'ho dic perquè
posa'ns
algun exemple
Toni
algun exemple
sense dir noms
evidentment
però
que hagis tu
sentit a parlar
ho vist
per fer-nos
la idea
de la importància
del tema
posaré un exemple
perquè a més
és molt curiós
d'un advocat
no és una sanció
molt forta
va ser una sanció
de 3.000 euros
un advocat
que
el va denunciar
algú
per
no sé exactament
pel que era
però no era
res relacionat
amb el que al final
li va acabar
la sanció
el van denunciar
va actuar
a la inspecció
de l'agència
de protecció
de dades
i llavors
quan el van
inspeccionar
als seus locals
o al seu despatx
li van demanar
el document
de seguretat
que és on
hi ha totes
les normes
que tu apliques
per tenir
la seguretat
de les teves dades
o on tens
la descripció
d'aquestes normes
i no el tenia
i llavors
li van posar
una multa
de 3.000 euros
per no tenir
el document
de seguretat
que això
tampoc s'entén
perquè
si t'han d'inspeccionar
com a mínim
fer-te el document
de seguretat
suposo que
deuria
no sé
deuria pensar
que
no sé
que no era prou
sèrio
i
es va relaxar
una mica
mira aquí
surt deslosada
a internet
la llei
de protecció
de dades
i les més greus
parlen dades
de salut
de vida sexual
d'ideologia
de creences
afiliació sindical
origen racial
violència de gènere
si dades relacionades
amb aquest
amb aquest àmbit
doncs això
són les sancions
més greus
és que aquí
els teus dades
són dades
protegides
o especialment
protegides
i són les que
se'ls ha d'aplicar
les mesures
de seguretat
de nivell alt
i
a part del tema
de segure
de mesures
de seguretat
quan les tens tu
a la teva empresa
respecte
d'aquestes dades
també tens
més obligacions
amb el que dèiem
abans
de la informació
que consentim que faci un rectament
i que estem informats
en què consisteix això. Doncs això seria el mateix
relatat al que és el rectament
de les dades.
Dades de salut, doncs
el de tenir un consentiment després.
Ara que parles de l'àmbit de la salut hi ha hagut algun cas
i recordo del clínic l'any passat a Barcelona
en què van aparèixer dades
de pacients en un contenidor
de la brossa. Es va poder
determinar que havia sigut per un descuit d'un exoperari
i en fi va haver-hi una investigació però vull dir que això a vegades
passa, no? Dades tan sensibles
com aquestes de pacients
que apareixen, doncs, això, amb un contenidor de la brossa.
Sí, fa poc em sembla que ha sigut
a Múrcia o a la CANT van
aparegut amb un contenidor també expedients
judicials. I
el que ha intentat
fer el reglament que va aparèixer
el 2007 és regular
les prestacions de serveis
d'empreses que no tracten dades
però, per exemple, aquí a la ràdio, doncs
si teniu un servei de neteja
o de manteniment de les instal·lacions
doncs a aquestes empreses
se'ls ha d'informar o han de signar un compromís
com que ells no tenen accés a les dades
però que les dades que puguin
a les que puguin accedir perquè
accidentalment, doncs, mantindran el secret
i llavors, doncs, per exemple,
en el cas de les empreses de neteja
que són
les que
se les carreguen normalment
quan apareixen contenidors
doncs, moltes vegades l'excusa ha sigut
no, és que
l'empresa de neteja
les va
les va
se les va endur
sense donar-se en compte
doncs, bueno
ara s'ha intentat
s'ha intentat
regular això
o intentar evitar
doncs, amb un compromís
d'aquesta empresa
doncs, que farà un ús
responsable d'aquesta dades
en aquest cas del clínic
no sé
d'aquí va ser
d'aquí va ser la culpa
d'un antic resident
diu que un antic resident
que es va mudar a domicili
i que
bé, va cometre aquesta importància
clar, és que l'antic resident
ja no
no les hauria de tenir a casa
aquí està
això és
hi ha un cas, per exemple
doncs, del treball a casa
amb una empresa de telefonia
un
un treballador
s'emportava feina a casa
i
s'emportava
doncs
els llistats
de
de
de clients
perquè
treballava al departament comercial
a més a casa
ja es connectava
amb l'Emule
què va passar?
que tenia
el fitxer
de clients
el seu ordinador personal
a casa
i
a la carpeta de compartir
a la de compartir
no se sap com va ser
o
o sí que se sap
però
resulta que
va sortir
el que volia compartir
i el que no havia de compartir
i doncs
van sortir publicats
aquests llistats de clients
a
a internet
i ja no
és que no és només
informació en dades personals
tu fas una
recerca
al Google
i a vegades
et surten
documents confidencials
d'empreses
presentacions
informes
a veure
els informes
el tenen un cos
el que no pot ser
és que qualsevol
es pengi
allà al Google
i pugui veure
doncs
algú que
a tu t'ha costat un preu
i que pot ser que sigui
confidencial
llavors
també s'ha d'anar molt en compte
doncs primer
que les dades
no és que no puguin sortir
de l'empresa
per anar a casa dels treballadors
si és necessari
que hi vagin
i aniran
però el que no pot ser
és que llavors
no hi hagi seguretat
al domicili
d'aquesta persona
i passi
això
és com
hi ha molta gent
doncs
el que fa
amb les còpies de seguretat
les pren cap a casa
perquè és
una forma segura
que si passa
alguna cosa al despatx
i per exemple
hi ha un incendi
si tens la còpia de seguretat
al costat
del servidor
doncs t'ha quedat
sense dades personals
perquè es cremaran
els dos
però si t'ho portes
cap a casa
doncs saps
que ja està segur
doncs el que ha de fer
és prendre un mínim
de mesures de seguretat
perquè aquestes còpies
que se'n van cap a casa teva
estiguin protegides
perquè clar
és una situació
de més risc
que quan estan tancades
al despatx
hi ha empreses
que ho fan això
que garanteixen
la còpia de seguretat
te la preserven
o per això
a nivell informàtic
vaig veure una vegada
una empresa
que feien
es dedicaven a això
bàsicament
sí
hi ha empreses
que el que fan
és la còpia de seguretat
automatitzada
i te la fan
per internet
i inclús
algunes
les fan
amb la transmissió
de dades
és xifrada
que això
és necessari
quan són dades
a nivell alt
posem el cald
d'un metge
que transmet dades
de salut
tant per correu electrònic
o per qualsevol mitjà
per exemple
que li facin
la còpia de seguretat
la transmissió
d'aquestes dades
ha anat xifrada
perquè no hi pugui accedir
a qualsevol persona
i si no tens possibilitat
de xifrar-les
has de
posar algunes mesures
per evitar-ho
això
que algú hi pugui accedir
si complíssim
tota la normativa
al peu de la lletra
si fóssim realment
conscients
de la importància
de les dades
no ens tornaríem
una mica paranoics
tots plegats
jo crec que no
si anem a l'altre extrem
jo crec que no
perquè
les empreses
normalment
no tenen dades
a nivell alt
llavors
les mesures
de seguretat
de nivell bàsic
i mig
no són tan fortes
i crec que és una mica
un problema
de cultura
que a poc a poc
es n'anirà
solucionant
però no
les mesures
de seguretat
amb
amb una empresa
doncs que tingui
dades a nivell alt
doncs sí que a vegades
són difícils
i
i compliquen
l'operativitat
no em sortirà
de l'empresa
però
a poc a poc
es n'anirà solucionant
la informàtica
és molt important
amb tot el que estem dient
la informàtica
va ser la causa
potser
ja ho deies abans
que es començés
a incidir
en aquest aspecte
però també
és una
de les proteccions
segures
és a dir
en el vídeo informàtic
hi ha molts programes
per garantir
tot això
la privadesa
la foliesa
sense
sense inserències externes
no?
sí
a veure
el reglament
el que diu
és que els programes
informàtics
que tractin dades personals
han d'indicar
quin nivell de seguretat
permeten
aconseguir
llavors
en el cas
de les dades
a nivell alt
doncs
si tenim un programa informàtic
on accedeixen
5-6 persones
o les que siguin
però que accedeix
més d'una persona
allà ha de quedar
registrat
qui és la persona
que ha accedit
i quan
i a quin fitxer
perquè
doncs
es pugui fer
un informe mensualment
i saber
com va
el tema aquest de seguretat
i el tema d'accessos
llavors
els programes
ho han de dir
si tu
compres un programa
doncs
per gestió d'una clínica
el programa
ha d'indicar
si et permet fer això
o no
i
principalment
a nivell dels programes
el que hem de fer
doncs això
que
que pugui haver
diverses persones
que puguin accedir-hi
però sempre
que tinguin
doncs
una contrassenya
i un usuari personal
per cadascun
després
l'empresa
potser
fan servir
el mateix usuari
i la contrassenya
a tots
però el programa
i la llei
diu que ha de ser
cada persona
una contrassenya
i un nom d'usuari
ens consta
Toni
ja per anar acabant
però ens consta
aquí a Tarragona
i concretament
a la Rubina i Virgili
es fa molt bona feina
en matèria
de protecció de dades
divendres
passat va haver-hi
una conferència
una doble conferència
de fet
va parlar
des de la càtedra d'UNESCO
de la privatesa de dades
el director
de l'apartament
d'enginyeria informàtica
i matemàtiques
el líder també
del grup de recerca
Crises
que és
en Josep Domingo Ferrer
i també va intervenir
Jordi Català Roca
professor de ciències
de la computació
i intel·ligència artificial
la mateixa Rubina i Virgili
és a dir que des d'aquí a Tarragona
des de la URB
s'està fent molt bona feina
en aquest sentit
sí
jo hi vaig assistir
perquè la veritat
és que no ho coneixia
però em va arribar
la informació
i
estan treballant
en l'àmbit
de la privatesa de dades
i
crec que us podem explicar
ells bastant més bé
però
principalment
pel que
pel que vaig entendre
doncs
ajudant
i col·laborent
amb altres països
que no estan tan desenvolupats
però que ja
ja fan tractaments de dades
a nivell informàtic
doncs
a mantenir la privada
de dades
doncs
principalment
en temes estadístics
i així
que
es guarden moltes dades
i doncs
es comuniquen
entre estaments
doncs
efectes d'això
de fer
finalitats estadístiques
i
va ser una conferència
que va estar molt bé
perquè
veure que a Tarragona
doncs
hi ha un grup
que treballa
en aquest nivell
és molt positiu
vaja
em vaig al·legar
doncs
ja està
jo resumiria una mica
però
et sembla bé
la frase aquesta
que se sent editant
i jo crec que
ens has donat
prou arguments
per
per si
per afirmar-la
la informació
és poder
sí
i tant
a més
ja diuen
que
vivim a l'era
de la informació
no a la informàtica
ha fet un canvi
ha passat
de l'era de la informàtica
a l'era de la informació
doncs
això
això ho diu tot
Toni Pons
de Fermí
Pons
assessors
consultors
amb protecció de dades
una empresa
terragonina
avui hem volgut parlar
amb vosaltres
i en fi
fins a la propera
tema molt interessant
hem après moltes coses
i en fi
esperem aprendre'n moltes més
fins aviat
fins aviat
gràcies