Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Protecció de Dades - Taula d'entitats del Tercer Sector

113 views

Published on

Material que resumeix el curs de formació de Protecció de dades que vam dur a terme amb Barcelona Activa. Document elaborat amb la col·laboració de Borja Ramón, director TIC de la Fundació Habitatge Social. Els materials exposen la necessitat que en cada entitat social hi hagi una persona encarregada de la protecció de dades.

Published in: Technology
  • Be the first to comment

Protecció de Dades - Taula d'entitats del Tercer Sector

  1. 1. Protecció de dades
  2. 2. La protecció de dades constitueix una extensió del compliance: sense bon govern no hi pot haver una protecció de dades adequada. El compliance és un conjunt de procediments i bones pràctiques adoptats per les organitzacions per identificar i classificar els riscos operatius i legals als quals s'enfronten i establir mecanismes interns de prevenció, gestió, control i reacció davant d'aquests. La protecció de dades comença per especificar en tot detall els tractaments de dades que fa l’empresa: cal conèixer què es fa amb la informació i descriure’n els processos i tasques (RAT). Sense sensibilització, formació i pro-activitat per part de tothom és impossible complir amb les premises legals i ètiques actuals. PROTECCIÓ DE DADES Què vol dir Protecció de Dades?
  3. 3. ● Ha d’avaluar-se el risc del tractament de dades sensibles que, en cas del Tercer Sector, són gairebé totes. Qualsevol dada relativa a situacions socio-econòmiques o de l’àmbit de la salut es troben en els nivells més alts de protecció. ● El més important és definir una política de protecció de dades realista i començar a aplicar-la, per delimitada que sigui inicialment. Aquesta política ha de ser escalable i anar-se adaptant tant ràpidament com les possibilitats ho permetin. PROTECCIÓ DE DADES Protecció de Dades: consideracions
  4. 4. El nou Reglament Europeu de Protecció de Dades introdueix la figura del Delegat de Protecció de Dades o Data Protection Officer (DPO). Serà l’encarregat de garantir el compliment de la normativa de protecció de dades a l’organització. Haurà de tenir coneixements especialitzats de legislació i pràctica en matèria de protecció de dades. No serà necessària una titulació específica. Podrà ser intern o extern, i persona física o jurídica especialitzada en protecció de dades. Pràcticament totes les entitats del Tercer Sector, pels col·lectius que atenen, estan obligades a tenir un DPO. La llei no marca la dedicació ni la relació, però sí la feina que ha de fer. PROTECCIÓ DE DADES Què és un DPO?
  5. 5. ● Informar i assessorar a tots aquells que tractin dades. ● Supervisar el compliment del que disposa la legislació espanyola i europea en matèria de protecció de dades personals. ● Oferir assessorament sobre l’avaluació d’impacte relativa a la protecció de dades i supervisar la seva aplicació. ● Cooperar amb les autoritats de control i actuar com a punt de contacte amb aquestes. PROTECCIÓ DE DADES Les funcions del DPO
  6. 6. ● El DPO hauria de ser una figura interna. El coneixement de l’activitat, del sector, de l’estructura i normativa d l’organització són essencials. ● El DPO ha de ser independent, disposar de recursos i poder accedir a la informació del què ha de valorar. ● El DPO no elabora documents ni estableix les polítiques; les revisa, assessora, valora i vigila el seu compliment. ● El DPO ha de poder consultar fonts especialistes (tècniques, financeres, jurídiques, informàtiques, etc.) per conèixer el detall de les operacions que ha de valorar. PROTECCIÓ DE DADES Recomanacions per definir un DPO
  7. 7. ● En els intercanvis d’informació amb altres entitats/ professionals, l’acreditació inequívoca de la identitat de l’interlocutor és indispensable. ● L’exercici de drets de l’usuari és un àmbit encara inprevisible, perquè no s’ha donat, i gairebé ningú sembla preparat per a respondre-hi. Cal tenir un pla, perquè té terminis de resposta, i un cop iniciat és difícil de resoldre. ● Cal analitzar bé quan de temps s’ha de guardar la informació; les lleis ens indiquen la conservació mínima, i l’RGPD, no allargar-ho més del que cal. PROTECCIÓ DE DADES Aspectes clau
  8. 8. ● La millor manera de comprovar i demostrar l’adequació de les mesures és posar-les en pràctica: fer simulacres. També facilita que la gent se n’adoni. ● És obligació del responsable del tractament fer el que calgui per assegurar la qualitat de les dades: que són fidedignes, completes i actualitzades. PROTECCIÓ DE DADES Aspectes clau
  9. 9. 1. Què cal publicar a la web? els TRACTAMENTS DE DADES, la informació del DPO, dels DRETS DELS CIUTADANS, i la POLÍTICA DE PRIVACITAT. 2. Cal saber com tracten la informació els proveïdors principals. És necessari disposar dels RAT (Registres d'Activitats de Tractament de dades personals) en aquests casos. 3. Cal anonimitzar tota la informació possible. 4. Cal atendre edat i maduresa. El material utilitzat exigeix consentiment de representant legal, i explicar molt bé als menors què implica acceptar la cessió de dades. PROTECCIÓ DE DADES Aspectes concrets
  10. 10. 5. Cal tenir un pla d’actuació previst en cas d’una petició d’exercici dels drets d’accés, amb temps de resposta, actuacions, contingències i material que es lliurarà. 6. Com avançar en la formació i conscienciació? Només amb la complicitat de l’equip directiu i tècnic de les organitzacions. Amb estratègies que no es vegin com culpabilitzadores o repressives. PROTECCIÓ DE DADES Aspectes concrets
  11. 11. Un aspecte és la sensibilització, abans fins i tot de la formació. I no només del treballador, sinó de gerents, responsables de departaments, etc. (que acostumen a ser responsables del tractament). Cal promoure la difusió en cascada. Propostes: 1. Sessions de sensibilització/ formatives a les entitats, amb actuacions prèvies basades en simulacres. 2. Curs DPO per a directius (breu i enfocat a promoure la creació d’aquest perfil laboral). PROTECCIÓ DE DADES Idees d’actuació
  12. 12. La legislació i la casuística particular són força complexes. Per a facilitar el compliment en les entitats del tercer sector, podríem: Propostes: 1. Generar un codi de conducta sectorial, que faciliti la implementació, generació de guies, fer revisions i aconseguir compliment. PROTECCIÓ DE DADES Idees d’actuació
  13. 13. Les auditories (tot i no ser obligatòries) s’han de fer. Cal comprovar l’adequació i funcionament dels mecanismes de protecció de dades. La llei no especifica, però, cada quant s’han de fer, ni qui les ha de fer, ni qui les ha de pagar: Propostes: 1. Muntar un "grup d’auditors itinerants d’intercanvi", DPO’s de les pròpies entitats que coneixen activitats, casuístiques, sensibilitats, que ens són pròpies. Es podria fer en forma de borsa d’hores o de banc de temps, etc. PROTECCIÓ DE DADES Idees d’actuació
  14. 14. El dret a la privacitat és un extrem específic i molt influït per la bona governança. Propostes: 1. Curs de compliance per a les entitats. PROTECCIÓ DE DADES Idees d’actuació
  15. 15. Informació a partir de les notes de Borja Ramon, de la Fundació Foment de l’Habitatge Social, a partir dels coneixements obtinguts en el curs: Com ser el DPO d’una entitat del Tercer Sector? organitzat per BarcelonaActiva i m4Social. PROTECCIÓ DE DADES
  16. 16. 2018 @m4_social www.m4social.org Subscriu-te!

×