365 dies després de la implantació del temut GDPR
Ja fa un any de la implantació de l’RGPD (Reglament General de Protecció de Dades o GDPR en les seves sigles en anglès), de la qual tots recordem la ingent quantitat de correus que ens demanaven el nostre consentiment o que ens informaven del tractament que farien. Amb molts d’aquests correus ens passava que ni recordàvem que teníem compte en aquella plataforma. A molta gent li va servir per saber on estaven les seves dades i, als que tenien temps, per gestionar i donar-se de baixa d’algunes plataformes.
El Reglament General de Protecció de Dades és de 2016 (679/2016 de la Comissió Europea), publicata el 16 d’abril, i de compliment obligatori des del passat 24 de maig de 2018. Hi ha gent que es va queixar que no els donava temps per adaptar-s’hi, però cal tenir en compte que es va donar poc més de dos anys per fer-ho; solament és que molta gent no se’n va adonar. Amb això, veurem com ha realitzat el Grup Caixa d’Enginyers l’adaptació a aquesta normativa.
Procés d’adaptació a l’RGPD del Grup Caixa d’Enginyers
Des de la seva publicació, a Caixa d’Enginyers es van fer alguns informes interns sobre l’impacte a la nostra Entitat. A principis de 2017, des de departaments de Control Intern es va crear un grup de treball per començar l’adaptació a aquesta normativa, es va realitzar una presentació al Comitè de Direcció per a donar-li visibilitat al projecte i des d’allà es va formalitzar i impulsar el grup de treball amb la implicació de diversos departaments (Sistemes, Assessoria Jurídica i Negoci, entre altres). Aquest grup va passar a ser totalment transversal i amb la implicació de Direcció es va impulsar el seu treball, marcant reunions, terminis i objectius a complir.
Primer es va analitzar la norma a fons i el que implica complir-la, és a dir, què és el que demana la norma; posteriorment es va examinar la situació actual de l’Entitat en relació amb l’estudi RGPD previ, el que se’n diu un gap analysis; i per finalitzar es van analitzar l’esforç i les dependències de processos per arribar a allò que s’havia de fer i, a partir d’allà, marcar prioritats i posar fil a l’agulla per complir els terminis marcats pel mateix reglament.
Durant el 2017 i inici de 2018, quan es va implementar la major part del projecte d’adaptació, es van fer les següents tasques:
- Revisió i actualització de més de mil documents, des de plantilles de contracte a normatives internes. Part de la revisió s’ha realitzat novament després de l’aprovació de Llei Orgànica espanyola 3/2018, de 5 de desembre.
- Reunions amb l’objectiu d’informar els socis i sòcies de la manera menys intrusiva possible.
- Desenvolupaments, en els quals s’han invertit centenars d’hores, per actualitzar els sistemes interns per tal que tinguin en compte els nous requisits legals i de funcionalitat exigits pel reglament.
- Formacions internes i externes, les quals han representat centenars d’hores invertides.
- Revisió i actualització de la informació digital.
- Revisió de contractes amb proveïdors.
- Consultes a l’AGPD i a altres organismes especialitzats (organitzacions, bufets, organismes, associacions professionals…) per veure la viabilitat i adequació de les activitats que s’anaven a realitzar.
- Assistència a xerrades de l’Agència Espanyola de Protecció de Dades per conèixer les seves recomanacions sobre certes situacions (interès legítim, registre de tractaments, informació als interessats…).
Ja abans del considerat dia 0 de l’RGPD, el 25 de maig de 2018, ens vam adonar que no era una simple implantació i ens n’oblidem, sinó que el treball va demostrar que el sistema de gestió de la privacitat, amb l’actual reglament, no és fer un checklist i continuar treballant en el negoci, sinó que és un servei que requereix una dedicació contínua, un procediment i una proactivitat que poques empreses poden permetre’s; però en una situació tan regulada com la financera, en què a més la confiança és primordial, el fer bé les coses és un fet diferencial i Caixa d’Enginyers té aquest objectiu i missió ben implantat en el seu ADN, per això puc indicar que aquest projecte d’adaptació a l’RGPD ha estat tot un èxit.
Com a afegitó, com a DPO(Delegat de Protecció de Dades) he participat en dues taules rodones, el Congrés d’’ISACA Barcelona l’octubre de 2018 i el GIGATIC el maig de 2019, juntament amb altres DPO com el de l’Ajuntament de Barcelona i el de la de Fira de Barcelona, i hem compartit experiències, situacions, casos específics i coneixement, i hem après entre nosaltres. En aquestes situacions hem pogut veure, i hi coincidim tots, en la necessitat d’un bon sistema de govern de la privacitat i la necessitat de fer-ne una gestió contínua.