Com és un dia laboral a la vida de qualsevol persona? Probablement t’has llevat ben d’hora per anar a la feina i és molt possible que el teu despertador hagi estat un telèfon. Per ser més concrets, un smartphone. Potser la primera cosa que has fet és obrir una pantalla i descobrir que ahir a la nit les teves amistats van anar a dormir tard veient un programa concret de televisió. Les llistes de WhatsApp tenen desenes de comentaris. Per sort les tens silenciades. Però et pica la curiositat i comproves si el tema ha estat trending topic a Twitter. Potser continuaràs fent servir el mòbil per consultar l’agenda del dia i triaràs la roba en funció de la informació en pantalla sobre el temps a la teva ciutat.

Fa deu minuts que t’has llevat i acabes de compartir la teva vida amb gairebé una desena de companyies:

• El teu sistema operatiu serà accessible a Google o Apple.
• La teva companyia telefònica sap qui ets.
• Facebook proveeix el teu WhatsApp i potser, si n’ets usuari, també hi hagis fet un cop d’ull.
• Twitter és una altra companyia que sap de tu.
• L’aplicació sobre el temps a la teva ciutat pot ser de Google, però també de qualsevol altre.
• Hi ha aplicacions que s’engeguen per defecte. Pot ser que en facis servir alguna que mesura quant camines?
• Fas servir una polsera de les que mesuren la qualitat del son?
• Has engegat la teva emissora de ràdio a través d’Internet?

T’has parat a pensar a quines dades accedeixen totes aquestes empreses o proveïdors?

Això no és bo ni dolent, tu vas triar un determinat smartphone i vas contractar una companyia de telefonia. A cada aplicació “gratuïta” que has instal·lat has acceptat un contracte i unes “polítiques de privacitat”. I no vas configurar els permisos del teu telèfon mòbil, no és una cosa que et preocupi.

I pot ser que et preguntis:

I totes aquestes empreses poden fer el que els doni la gana? El que fan és il·legal?

I la resposta és no, gràcies a la normativa sobre protecció de dades. A la Unió Europea, el Reglament General de Protecció de Dades (RGPD) s’aplica a totes aquestes entitats. Si no compleixen amb les nostres normes a partir del 25 de maig del 2018 podran ser multades amb quantitats de fins a 20 milions d’euros o el 4% de la seva facturació anual arreu del món.

T’hem explicat el que passa durant els primers minuts del dia. Si t’atures només un segon a pensar en el món que t’envolta descobriràs que gairebé tot depèn d’un tractament de dades, de gestionar informació en temps real:

La nostra societat no pot funcionar sense gestionar volums enormes d’informació i molta d’aquesta informació és “la teva” informació, la de la teva família, la dels teus fills.

T’agradaria que estigués protegida? I què faràs a la teva feina quotidiana per contribuir a protegir-la?

La primera dècada del segle XXI ho va canviar tot. Ja no n’hi havia prou amb visitar pàgines web. Els serveis de blog van permetre tenir webs a aquells que no sabíem programar. Les xarxes socials ens van ajudar a compartir, a l’oci, a buscar feina. Amb Twitter vam aprendre a dir molt en només 140 caràcters. Ara, cadascú de nosaltres pot ser el protagonista de la seva història a les xarxes. I s’hi van sumar el telèfon mòbil i les tauletes, i amb la mobilitat noves maneres de comunicar, de fer les coses i fins i tot de consumir els mitjans de comunicació, la televisió o el cinema.

Vivim en el món de les xarxes socials, dels objectes connectats, dels smartphones.

Des del 2017 parlem de l’arrencada de la Quarta Revolució Industrial, de la revolució de la transformació digital. D’un món d’intel·ligència artificial, automatització, robotització… Per arribar aquí hem necessitat tecnologies addicionals:

Els ordinadors són unitats físiques limitades. Un cop esgotades les possibilitats necessitem una màquina addicional per poder continuar treballant. Abans del núvol, incloure un sol document més en una carpeta quan la memòria de l’ordinador s’havia esgotat implicava comprar i instal·lar un nou disc dur. Fins i tot comprar un ordinador més potent i substituir-lo. Però la computació al núvol és diferent. Milers d’ordinadors s’associen i distribueixen les tasques d’emmagatzematge i computació assignant recursos d’una manera dinàmica, en temps real. De sobte, les administracions ben proveïdes o grans companyies com Google, Microsoft, Amazon o l’espanyola Telefónica poden oferir al sector públic i al sector privat una potència enorme de càlcul, processament i emmagatzematge d’informació fent que les possibilitats de disposar d’informació es multipliquin d’una manera exponencial.

La tecnologia necessària per explotar tota la informació de la que hem estat parlant és el que s’anomena Big Data. En realitat és un conjunt de tecnologies que inclou l’aprenentatge automàtic per part de les màquines –conegut com a machine learning i intel·ligència artificial-, que permeten l’explotació de milions de dades en temps real. Big Data s’alimenta d’un conjunt de tecnologies que permeten utilitzar informació de múltiples fonts –de bases de dades de tota mena-, d’Internet, de documents…

Un tercer element present a les nostres vides tanca el cercle de la transformació digital. Es tracta de l’anomenat Internet of Things (IoT). La miniaturització dels processadors permet que moltíssims objectes emmagatzemin informació o es connectin a Internet. L’IoT inclou els wearables –rellotges, ulleres o roba connectada a Internet-, o els electrodomèstics com les Smart TV. Les nostres cases es robotitzen i s’administren a distància. Existiran milers de sensors a qualsevol ciutat intel·ligent. Totes aquestes tecnologies significaran noves maneres de viure, noves maneres de fer les coses, noves maneres de treballar.

Els qui treballem en una Administració coneixem la importància de la gestió de grans volums d’informació i com les tecnologies de la informació poden suposar una revolució per a la nostra feina individual, per al disseny de polítiques públiques i l’atenció a la ciutadania.

Aquesta societat de la transformació digital implica un compromís dels poders públics en la millora de les condicions de formació i la capacitació dels individus, i determina la necessitat de desenvolupar eines normatives que assegurin que en la gestió d’aquesta informació es garanteixen els drets de les persones, la seva llibertat de decisió i la seguretat de la informació.

Un dels canvis profunds relacionats amb l’evolució d’Internet i les xarxes socials es refereix a la construcció de la nostra pròpia identitat en un món connectat. Des d’un punt de vista subjectiu, gairebé tothom podria respondre amb força seguretat a la pregunta “qui soc jo?” Segurament serviria una resposta senzilla. Cadascú de nosaltres és una mica la suma d’una història personal, d’uns estudis, d’un conjunt de relacions afectives, de percepcions i maneres de veure la realitat. En el territori més acotat i segur de la professió som perfectament capaços de definir-nos. En essència, som allò que diu el nostre currículum.

Tanmateix, la realitat a les xarxes és molt diferent.

Quan qualsevol de nosaltres entaula una relació professional, quan presenta el seu currículum per a un lloc de treball, immediatament el buscaran. Es verificaran els resultats que ofereix el cercador, es mirarà d’indagar en el perfil de xarxes socials, i essencialment en tres d’elles: Facebook, LinkedIn i Twitter. I tota aquesta informació proporcionarà com a resultat la definició de la nostra personalitat per al conjunt de la societat.

Podem veure com canvia radicalment la concepció de la personalitat en el context de les xarxes socials. Una part de la seva configuració ve definida per les nostres pròpies accions. Cada comentari que publiquem, cada fotografia que pugem, cada acció que realitzem, les persones amb les quals ens relacionem… Qualsevol acció serà indexada, analitzada i classificada segons un determinat patró de conducta.

Cada acció a Internet va acompanyada de milers de transaccions automatitzades realitzades en qüestió de segons per part d’intel·ligències artificials. Aquestes estratègies permeten a les empreses obtenir dades molt fiables a les quals sumen l’anàlisi del context de la socialització a Internet.

Com s’ha vist, navegar per Internet i fer servir determinats serveis té un preu, i aquest preu és la nostra privacitat, les nostres dades. Les màquines saben qui ets, coneixen les teves aspiracions, els teus interessos i desitjos, fins i tot abans que tu. Això suposa un canvi profund de la nostra identitat i ens obliga a mantenir una tensió vigilant si volem decidir en llibertat quina identitat volem tenir a Internet.

Estem en un escenari en el qual les oportunitats per al desenvolupament humà es multipliquen de manera exponencial, però també els riscos als quals ens podem veure exposats.

Actualment existeixen múltiples possibilitats de repercutir en els drets de les persones tractant la seva informació personal.

Què passaria si…

… cada vegada que assisteixes a una manifestació l’Estat sol·licités les dades de localització del teu telèfon mòbil a la teva companyia telefònica? I si algú utilitzés aquesta informació per confeccionar una llista de persones categoritzada d’acord amb la seva ideologia potencial i utilitzable per manipular el vot en la campanya electoral?

… els bancs, a l’hora d’atorgar o denegar un crèdit, tinguessin en compte el comportament a les xarxes socials? I si el neguessin als qui segons els seus perfils a les xarxes socials desenvolupen comportaments perillosos, contraris al sistema, o ideològicament poc convenients?

…el nostre accés a una feina depengués d’una anàlisi genètica?

La informació és poder, i en el món de les xarxes socials la informació sobre les persones pot proporcionar el més gran dels poders, el de generar una societat vigilada, el de controlar els individus.

La multitud d’exemples en els que un tractament de dades de caràcter personal pot ser perillós perquè afavoreix la discriminació és amplíssima. Però no només és important protegir la informació sinó també la seva veracitat. Per exemple, un simple error en una base de dades pot limitar el nostre dret d’accés a prestacions socials, la concessió d'un crèdit depèn de la informació continguda en bases de dades sobre morosos, etc.

Gran part del nostre futur, de la nostra vida, depèn del fet que la informació sigui veraç, adequada i tractada d’una manera responsable en el context i per a les finalitats determinades que procedeixi en cada moment.

És essencial controlar qui tracta les nostres dades, com i per a què. I ho fem perquè la normativa ens concedeix drets.

La finalitat última d’aquest control, i del marc regulador, és assegurar-se que qui tracta les dades ho farà amb finalitats lícites, amb el consentiment i si escau amb el coneixement de la persona les dades de la qual es tracten, en un marc que té com a finalitat última garantir la llibertat.

La informació circula a gran velocitat en qüestió de segons per tot el món. Quan la informació es publica a Internet, podem estar segurs que perdrem a la pràctica tota possibilitat de control, perquè serà copiada i reproduïda milers de vegades a milers de llocs diferents.

D’altra banda, cada vegada és més gran el nombre d’aparells que es connecten a Internet. En molt poc temps, els nostres habitatges obriran les seves finestres al món Internet amb desenes d’objectes connectats cada dia. Precisament per això, la seguretat és fonamental.

• Confidencialitat: es tracta que la informació només sigui accessible i coneguda per part d’aquells que de debò estan autoritzats a gestionar-la.

• Integritat: es tracta que la informació no pugui ser alterada amb qualsevol intenció per part de tercers no autoritzats, de manera que pogués afectar als drets de la persona titular de les dades.

• Disponibilitat: es tracta que la informació s’allotgi en sistemes que sempre es trobin disponibles.

Però el principal protagonista de la seguretat no són les màquines, no són els programes antivirus o de protecció, ni tan sols els informàtics responsables de la seguretat.

Quan et compromets amb la seguretat i adoptes un comportament responsable:

• Ho fas amb la garantia dels drets de totes les persones de les quals tractes les dades.

• Estalvies costos de funcionament i operativitat.

Per això, la seguretat és un element fonamental en un instrument de garantia de la privacitat. Sense seguretat no hi ha vida privada.

En el context del nostre lloc de treball som nosaltres els qui ens assegurem que d’altres se sentin segurs, que puguin confiar que tractarem les seves dades d’una manera exquisida, amb les màximes garanties.

Per a la societat en la qual vivim, per a la transformació digital, la informació i el coneixement posseeixen un valor essencial. Els processos d’innovació, canvi tecnològic i internacionalització han de complir amb el Reglament General de Protecció de Dades (RGPD) i garantir la seguretat de l’usuari.

La seguretat resulta fonamental per garantir el funcionament adequat de tots els sistemes, tractin o no dades de caràcter personal. A més a més, resulta essencial en qualsevol procés de gestió que requereixi l’ús de tecnologies de la informació i, a la pràctica, es projecta sobre la manera d’ordenar l’activitat de les organitzacions.

Per tant, resulta molt convenient explicitar els valors positius que aporta la implementació de les mesures de seguretat:

A la pràctica, la seguretat afecta totes les formes d’organització i els seus suports, així com qualsevol mètode utilitzat per transmetre coneixement, dades i idees.

La implementació de mesures de seguretat permet dipositar prou confiança sobre la capacitat d’aquesta informació i dels sistemes per sostenir el funcionament adequat de les funcions i els valors de l’entitat.

D’altra banda, el RGPD racionalitza el deure de seguretat assenyalant un conjunt d’idees que seran fonamentals:

• La seguretat depèn d’una anàlisi adequada dels riscos, que s’ha d’acompanyar de les mesures adequades per evitar, mitigar o reaccionar davant dels possibles impactes de les amenaces detectades o de qualsevol altra novetat.

• La seguretat és un instrument essencial per a la garantia dels drets de les persones de les quals tractem la informació.

• En cas que es produeixi un incident de seguretat que pugui implicar un risc per als drets i les llibertats de les persones físiques, s’ha de notificar la violació de la seguretat de les dades personals a l’Autoritat Catalana de Protecció de Dades i si escau als interessats (abans de 72 hores).

• La possibilitat d’adoptar estàndards i certificacions, com ara l’Esquema Nacional de Seguretat (obligatori per a les administracions públiques).

Les organitzacions disposen de polítiques i/o normatives de seguretat. Es tracta d’informació que es comunica als usuaris i que sol estar a disposició a la intranet corporativa. Solen ser extenses, de vegades difícils d’entendre, i solen generar certa angoixa als seus destinataris. Però és important que entenguem fins a quin punt una conducta aparentment innòcua pot repercutir en la nostra organització.

Imaginem per un instant tres persones, evidentment fictícies:

En Jordi ha rebut un correu electrònic enviat pels seus amics. El nostre protagonista fa servir el correu de la feina per a assumptes personals, se subscriu amb ell a alertes dels seus programes preferits i comparteix des del seu compte corporatiu arxius de tota mena. Aquest cop el missatge inclou un arxiu que li juren que és divertidíssim, quan el punxes s’executa una mena de vídeo molt graciós. L’executa i a més el comparteix amb tots els seus col·legues a l’organització. L’arxiu instal·la un programa maliciós que posa en greu perill els sistemes.

Què passa a partir d’aquí?

• En Jordi, com sol ser habitual, no és gens conscient del que fa, però comença a comprovar que el seu ordinador va més a poc a poc.

• La Carme observa que alguna cosa estranya passa en els sistemes. Ben aviat descobreix que és molt greu. Hi ha gairebé 100 ordinadors infectats i dos servidors afectats amb informació molt confidencial. Com sempre, toca arromangar-se. Així que:
  • Ordena al responsable corresponent que es desplaci físicament a monitoritzar en profunditat els sistemes.
  • Un cop identificat el programa maliciós i les accions a realitzar, cal sol·licitar als usuaris que apaguin l’ordinador i dedicar operadors a la seva desinfecció amb una mitjana de dues hores de dedicació per aparell.

• L’Àngels ha d’avaluar la incidència i decidir-ne la gravetat, el risc en que s’ha incorregut i els drets en perill per notificar la incidència. El fet és greu, podrien haver accedit a milers de números de targetes de crèdit. Cal notificar l’Autoritat Catalana de Protecció de Dades i 5.000 persones afectades.

• En poques hores el servei d’atenció a l’usuari (3 persones) es col·lapsa. Rebran trucades durant els 5 dies següents.

• L’incident acaba sent notícia a la premsa local.

El divertiment d’en Jordi Sirga ha tingut el cost següent:

Aquest exemple només vol posar de manifest com un comportament banal, veure un vídeo que ens passa un amic, pot posar en perill una organització.

Tot i que aquí no podem explicar en profunditat les obligacions que s’imposen a un usuari, ni simplificar-les, mirarem d’oferir quines són les més habituals i la finalitat que persegueixen en cada cas.

Per exemple, les següents mesures organitzatives tenen a veure amb el control d’accés:

• Identificació de zones restringides i usuaris autoritzats.

• Definició d’àrees d’especial protecció o seguretat (centres de processos de dades, arxius clínics etc.)

• Deures d’identificació física (carnets, petjades dactilars, etc.).

• Deures d’identificació en l’accés als sistemes d’informació (polítiques d’assignació d’usuaris i contrasenyes).

• Assignació de funcions i permisos d’acord amb el perfil funcional.

Existeix una mesura addicional que resulta fonamental: la notificació d’incidents de seguretat. Una incidència és qualsevol anomalia que afecti o pogués afectar a la seguretat de les dades. Per tant, és impossible a priori establir-ne un catàleg. N’hi ha algunes que són òbvies i comuns:

És fonamental entendre, assumir i aplicar que detectar un incident fins i tot quan sigui degut a un error humà propi no criminalitza qui ho fa. L’error greu, la infracció, consisteix a no notificar la incidència perquè posa en perill tota l’organització.

Veiem-ne un cas:

Les normes de seguretat poden ser més extenses que les que reproduïm aquí i més complexes quan el perfil del lloc ho exigeixi, però el valor sempre és el mateix:

El sector privat i el sector públic necessiten tractar cert volum de dades per a funcionar. Una gran part d’aquestes dades son de caràcter personal. Tractar dades utilitzant tecnologies de la informació pot afectar als drets de las persones. Per això, cal definir un marc normatiu que permeti tractar les dades i alhora protegir els drets de les persones.

És el moment de descriure alguns aspectes bàsics d’aquesta regulació. Però abans cal desfer algunes confusions i errors de judici que solen ser habituals a l’hora d’enfocar aquesta matèria.

1a Confusió

Tots tenim aspectes de la nostra vida personal que volem mantenir reservats i això fa que la intimitat sigui un concepte molt proper. Des dels mitjans, se’ns transmet certa diferenciació entre el que és públic i el que és privat. Se’ns diu que tot allò que passa en públic està a disposició de qualsevol.

A partir d’aquesta confusió inicial, a la nostra feina només atribuïm valor a aquelles dades que pertanyen al vessant més íntim. No dubta ningú que una dada que afecta la salut d’una persona o la seva vida sexual sigui una cosa particularment delicada i important a la qual cal parar molta atenció. Al contrari, no ens sembla que sigui molt rellevant el nom i els cognoms d’aquella persona, una determinada fotografia o una adreça de correu electrònic. De manera inconscient establim una divisió entre el que considerem que pertany a la intimitat, i que per tant cal protegir, i certes dades personals que no tindrien importància.

2a Confusió

I aquesta és la qüestió que ha tingut en compte el nostre Tribunal Constitucional en la sentència 292/2000 en la qual es va reconèixer el dret fonamental a la protecció de dades.

A la pregunta sobre quines dades estan protegides el Tribunal Constitucional respon que:

3a Confusió

Ara ja sabem que allò rellevant per complir amb la normativa és tractar les dades. Convé tenir en compte des d’aquest moment que moltes vegades gestionem dades en els nostres propis ordinadors.

4a Confusió

5a Confusió

Una altra qüestió d’enfocament molt comú consisteix a identificar la legitimació per al tractament, i les condicions d’ús i recollida de les dades, amb el fet que perseguim una finalitat positiva que beneficiarà les persones segons el nostre criteri.

6a Confusió

Pots pensar que com a usuari no et preocupa massa aquesta qüestió perquè el tema de la protecció de dades és cosa dels responsables d’informàtica o dels serveis jurídics. Que a tu no t’afecta i, en tot cas, si hi ha una infracció solen sancionar l’organització. A més, si és una Administració no hi ha sancions econòmiques. Això, que pot ser cert, no implica que no es pugui causar un dany a les persones afectades i pugui també afectar al prestigi de l’entitat per a la qual es treballa.

Les organitzacions hauran de portar un “registre dels tractaments”. Per conèixer en realitat quins tractaments existeixen i com es tracten les dades personals serà necessari auditar, preguntar als usuaris. Quan la teva organització decideixi realitzar aquesta auditoria hauries de proporcionar informació transparent perquè puguin no només complir amb la norma sinó també ajudar-te.

Per saber quan cal aplicar la normativa de protecció de dades personals és important tenir clars alguns conceptes bàsics i identificar i corregir alguns errors comuns d’apreciació. El primer que ens interessa és ser capaços de reconèixer quan estem davant d’una dada de caràcter personal i saber que estem tractant dades.

Per oferir claredat a l’hora d’aplicar la normativa, les lleis de protecció de dades han establert definicions dels conceptes més importants. El Reglament General de Protecció de Dades de la Unió Europea no n’és una excepció, i ha inclòs diferents definicions que ens interessen.

Hem de parar atenció a alguns elements d’aquesta definició per després poder-los aplicar a la nostra pràctica quotidiana:

• Allò rellevant per definir una dada és l’existència d’informació. La definició parla de tota informació. Per tant no hem de confondre dada personal només amb el nom i cognoms d’una persona.

• S’apliquen a persones identificades o identificables. És a dir, que podríem estar tractant dades fins i tot quan no estem fent servir el nom i cognoms d’una persona.

Què vol dir ser identificable?

Podem entendre què vol dir identificable amb un exemple pràctic.

De fet, el Reglament de la LOPD indica que una persona és identificable quan la seva identitat «es pugui determinar, directament o indirecta, mitjançant qualsevol informació referida a la seva identitat física, fisiològica, psíquica, econòmica, cultural o social». I posa una segona condició: que la identificació no requereixi terminis o activitats desproporcionats. I això ens porta a la segona característica de la definició: una dada aporta “informació” i aquesta pot ser de tota mena. La normativa espanyola es refereix a informació «numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altra mena».

Si tenim en compte aquestes definicions legals, el ventall de supòsits que abasta el concepte “dades” és amplíssim.

El Reglament General de Protecció de Dades de la Unió Europea ens ofereix en l’article 4 les definicions de tractament i fitxer:

La normativa s’aplica als tractaments i, com acabem de veure, la seva definició és molt àmplia.

Solem tenir un enfocament equivocat, ja que tendim a tenir una visió molt limitada del concepte de tractament i de fitxers, ja que el limitem a l’ús d’uns programaris concrets.

Podríem enumerar una vintena de categories de sistemes més habituals (el Registre d’entrada de documents i la seu electrònica, el de recursos humans, el de prevenció de riscos laborals, el de gestió acadèmica…). Des del punt de vista de l’usuari no format en protecció de dades, seria només a aquests sistemes als que se’ls aplicaria la normativa. I, erròniament, solem creure que no se li aplicaria, per exemple, a la llista dels proveïdors d’un departament en “Word” elaborada i mantinguda per personal d’administració d’aquest departament o a una llista en paper dels assistents a una jornada. Aquesta és una idea errònia que cal desterrar d’arrel.

Acabarem amb una altra idea errònia:

El consentiment ha estat específicament definit per la normativa europea:

Segons el RGPD, per “consentir” hem de fer “alguna cosa” que demostri que estem dient “sí”, omplir una fitxa, fer clic a Acceptar, marcar una casella… I el que és més important, el Responsable, qui tractarà les dades, ha de poder “demostrar” que nosaltres consentim.

La llei considera com a especials una sèrie de dades per la seva incidència en la intimitat, les llibertats públiques i els drets fonamentals de la persona, i cal protegir-les més que la resta de dades personals.

El Reglament General de Protecció de Dades considera especialment valuosos determinats tipus de dades:

Hi ha dades que poden facilitar la discriminació de les persones. En aquest cas, la regla que s’aplica és que si no hi ha consentiment o una autorització de la Llei, està prohibit tractar-les.

Com és lògic, una prohibició absoluta podria impedir contra tota raó tasques essencials, per exemple, en salut o serveis socials. Un cas clar en matèria de salut: si una persona entra inconscient i molt greu en un hospital, no se li demana el consentiment per tractar dades de salut, se li salva la vida.

Per això, la normativa permet tractar-les:

• Quan l’interessat ha donat el seu consentiment explícit.
• Per al compliment d’obligacions de Dret laboral i de la seguretat i la protecció social, per exemple en prevenció de riscos.
• Per protegir interessos vitals de l’interessat o d’una altra persona física.
• Quan les organitzacions tinguin una finalitat política, filosòfica, religiosa o sindical, sempre que el tractament es refereixi exclusivament als membres actuals o antics d’aquests organismes o a persones que hi mantinguin contactes regulars en relació amb les seves finalitats i sempre que les dades personals no es comuniquin fora d’elles sense el consentiment dels interessats.
• Quan es refereix a dades personals que l’interessat ha fet manifestament públiques. Aquest és un tema que serà molt delicat i ens planteja la importància de no fer públiques les nostres dades més íntimes.
• Per a la formulació, l’exercici o la defensa de reclamacions o quan els tribunals actuïn en exercici de la seva funció judicial.
• Per raons d’un interès públic essencial.
• Amb finalitats de medicina preventiva o laboral, avaluació de la capacitat laboral del treballador, diagnosi mèdica, prestació d’assistència o tractament de tipus sanitari o social, o gestió dels sistemes i serveis d’assistència sanitària i social.
• Per raons d’interès públic en l’àmbit de la salut pública, com ara la protecció davant d’amenaces transfrontereres greus per a la salut, o per garantir nivells de qualitat i de seguretat elevats de l’assistència sanitària i dels medicaments o productes sanitaris.
• Amb finalitats d’arxiu en interès públic, finalitats d’investigació científica o històrica o finalitats estadístiques.

Per això, en tots aquells casos que decidim tractar dades, crear una base de dades, etc., hem de tenir en compte que si ho fem sense subjectar-nos a les regles internes, o incomplint la regulació, l’organització on servim podrà ser sancionada com a responsable d’un tractament contrari a la normativa.

El tractament tan sols serà lícit si:

• L’interessat ha donat el seu consentiment per al tractament de les seves dades personals per a una o diverses finalitats específiques.
• És necessari per al compliment d’una obligació legal aplicable al Responsable del tractament.
• És necessari per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al Responsable del tractament.
• És necessari per a l’execució d’un contracte en el qual l’interessat és part o per a l’aplicació a petició de l’interessat de mesures precontractuals.
• És necessari per protegir interessos vitals de l’interessat o d’una altra persona física.

Les administracions majoritàriament tractem dades per una obligació legal o per a l’acompliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al Responsable del tractament, sense oblidar la relació contractual entre el personal i l’organització per a la qual presta serveis.

Sempre hi haurà d’haver un contracte (conveni…) que vinculi l’Encarregat amb el Responsable del tractament.

El Delegat de protecció de dades és la persona que s’encarrega d’assegurar que l’organització compleixi els seus deures en aquesta matèria.

És molt convenient familiaritzar-se amb tota la informació disponible a l’hora de realitzar aquestes accions. És molt probable que existeixin indicacions específiques, una llista de les persones facultades per autoritzar un tractament, i se’ns digui com ho hem de demanar i com ho hem de fer.

De no fer-ho així, resulta que estem utilitzant informació al marge de les pràctiques establertes i sense coneixement de l’organització. I això suposa un risc elevat, no només es tractaria d’una pràctica indeguda sinó que a més a més l’equip de seguretat no ens podria ajudar a aplicar les polítiques més adequades per garantir la confidencialitat, integritat i disponibilitat de la informació.

La Diputació de Barcelona actua com a Responsable del Tractament de les dades utilitzades per a la gestió interna o per a activitats pròpies.

Per altra banda, la Diputació de Barcelona actua com a Encarregada del tractament dels diferents ens locals en el cas que faci tractaments en virtut d’un encàrrec, per la via d’un conveni, encomana de gestió, sol·licitud de catàleg o fora d’aquest.

Per a garantir els drets de les persones i l’acompliment de les seves obligacions, la Diputació s’ha dotat d’una estructura organitzativa bàsica, formada per:

• El Comitè directiu de protecció de dades. Entre les seves funcions fixar les directius operatives i establir els criteris d’actuació. Està format per les persones que ostentin el càrrec de:
  • Coordinador/a d’Hisenda, Recursos humans, Processos i Sistemes;
  • Director/a de serveis Tecnològics i Sistemes Corporatius;
  • Subdirector/a de Planificació i Serveis TIC;
  • Cap del Gabinet de Prevenció i Seguretat;
  • Director/a de Serveis de Recursos Humans;
  • Director/a de Serveis de Secretaria, adjunt a la Secretaria general; secretari/a delegat/a designant-lo el Director
  • Responsable corporativa de Protecció de dades que actua a més com a Secretaria del Comitè.

• La Responsable corporativa de protecció de dades (lopd@diba.cat). Amb una funció clarament preventiva i proactiva, és qui supervisa, coordina i transmet la política de protecció de dades tant a l’interior de la institució com a l’exterior garantint que l’acompliment arriba també als serveis prestats per la Diputació als ens locals. També té assumides les funcions de Responsable d’Atenció a l’Afectat, donant resposta a les peticions relacionades amb l’exercici de drets tant de ciutadans com de treballadors de la Diputació.

• Els Referents de protecció de dades dels diferents àmbits. Són el primer nivell de suport en protecció de dades i presten suport a la Responsable corporativa de protecció de dades. Qualsevol contracte, conveni o tractament de dades que es prevegi fer hauria de passar en primera instància pel Referent del nostre àmbit i aquest ja decidirà si cal elevar-ho o no a la Responsable corporativa o al DPD. En el cas de no existir o no estar disponible aquest Referent els treballadors es poden adreçar directament a la Responsable corporativa. La relació actualitzada per àrees es pot consultar a Intradiba > Protecció de dades > Referents i altres figures.

• Els Responsables de Gestió. Recau en el càrrec directiu o comandament superior de l’òrgan promotor del tractament.

• Els Responsables de seguretat. Son els encarregats de coordinar i controlar les mesures de seguretat que s’apliquen a tots els tractaments de protecció de dades. El tractaments automatitzats gestionats en sistemes centralitzats o implementats per la Direcció de serveis de tecnologies i Sistemes Corporatius ho serà el seu director de serveis; els tractaments automatitzats sense la intervenció de la DSTSC o els tractaments manuals (en paper) ho serà el corresponent Responsable de Gestió.

Aquesta estructura ara es reforça amb la creació de la figura del Delegat de Protecció de Dades (DPD) (delegatprotecdades@diba.cat), obligatòria a totes les administracions públiques.

Tractar dades no és una cosa que puguem decidir lliurement. El marc d’autonomia de l’usuari de qualsevol organització ve definit pel seu perfil funcional i són realment pocs els autoritzats a prendre una decisió d’aquesta transcendència. En aquest sentit, i de manera molt genèrica, podrem identificar dos supòsits:

Aquest supòsit es dona quan amb motiu de la nostra feina estem autoritzats a realitzar determinats tractaments en el marc de les nostres tasques.

Aquest supòsit es dóna quan necessitem dur a terme un tractament per al qual no disposem de recursos o autorització.

En relació amb el tractament de dades, els empleats tenen dret a disposar de les eines i procediments per a un ús acurat de la informació que els faciliti les tasques que tenen assignades.

A la Diputació de Barcelona disposen de:

• Un canal d’assistència per a la resolució dels dubtes generats en protecció de dades (delegatprotecdades@diba.cat).

• Un canal de comunicació d’incidències de l’ús de les TIC (ext. 22007).

Els empleats tenen el deure de complir amb les obligacions establertes per la Diputació a les seves Polítiques, Manuals i Circulars i de col·laborar activament per aconseguir les finalitats definides.

En paraules del Tribunal Constitucional:

Si no tenim informació sobre els tractaments de les nostres dades ens trobaríem totalment desarmats, incapaços de reaccionar davant d’un tractament que no ens resulti convenient.

Aquesta facultat s’exerceix a través d’una sèrie de poders, de potestats o de drets que constitueixen el nostre objecte d’estudi.

Aquests drets es recullen a partir del 2018 al Reglament Europeu de Protecció de Dades, conegut també com a Reglament General de Protecció de Dades (RGPD) que:

• Substitueix les normatives nacionals dels països comunitaris, sent considerada normativa del país i d’aplicació directa.
• En el cas de l’Estat espanyol també s’actualitza el 2018 la Llei Orgànica de Protecció de Dades (LOPD) que complementarà el RGPD.

Les facultats d’accedir, rectificar i cancel·lar són molt importants, per exemple, en l’àmbit de l’administració electrònica.

Aquests drets formaven part de la Llei Orgànica de Protecció de Dades (LOPD 15/99) i van prendre el nom de “drets ARCO”. La Regulació Europea actualitza aquests drets.

Veiem com es traslladen al Reglament Europeu els drets ARCO de l’antiga Llei Orgànica de Protecció de Dades:

Veiem, de manera introductòria, un cas il·lustratiu sobre l’exercici de drets en el nou marc normatiu, el Reglament Europeu de Protecció de Dades (RGPD):

Per a això necessitem:

• El primer i més elemental dels drets: l’anomenada informació en la recollida o transparència. Si no sabem qui podria tractar les nostres dades o de fet les està tractant, difícilment podrem exercir cap mena de control.

• En segon lloc, hauríem de tenir la potestat d’autoritzar o no autoritzar que siguin tractades. En particular quan són especialment sensibles com les dades de salut. El dret fonamental a la protecció de dades ens atorga la facultat de consentir en el tractament. Tot i que veurem que aquesta facultat està sotmesa a excepcions. Però fins i tot en aquest cas, tenim el dret d’oposició, és a dir la possibilitat de justificar les raons per les quals un tractament obligatori no s’hauria de produir.

• D’altra banda, per poder saber quines dades nostres gestiona una entitat i si la informació és correcta, existeix l’anomenat exercici del dret d’accés.

• Finalment, què passa quan hi ha errors o quan no es tracten adequadament les dades o s’han recollit o utilitzat indegudament? Hem de tenir la possibilitat d’assenyalar al Responsable, o sigui qui tracta les dades, que les ha de rectificar o cancel·lar.

El Reglament Europeu, a més d’aquests drets (coneguts com drets ARCO), ens concedeix, addicionalment, nous drets:

• El dret a la limitació del tractament, o la possibilitat de demanar que les dades siguin bloquejades i ningú les pugui modificar mentre decidim, per exemple, si interposem alguna mena d’acció legal.

• El dret a l’oblit, és a dir el dret a que les dades siguin cancel·lades, o que sota certes circumstàncies es limiti l’accés a Internet als resultats dels cercadors.

• El dret a la portabilitat, que ens permet que en abandonar un proveïdor ens puguem emportar les dades en un format compatible susceptible de ser importat per altres sistemes.

L’organització que tractarà les dades –ja sigui amb el nostre consentiment o de manera obligatòria– ha de facilitar una mínima informació que es troba regulada en el RGPD de manera diferenciada d’altres informacions (política de cookies, avís legal, bases d’un concurs…).

Generalment, la informació mínima que s’ha de facilitar, se sol estructurar per “capes”. A la primera capa se’ns ofereix una informació bàsica que s’ha d’acompanyar d’informació addicional per conèixer amb detall els aspectes que poden ser rellevants. En concret, la informació que ens han d’oferir ha de ser la següent:

El “Responsable” del tractament. Implica informar de:

• La identitat i les dades de contacte del Responsable del tractament de dades (organització, empresa, administració).
• Una direcció física i/o electrònica.
• Dades de contacte del Delegat de protecció de dades.
• El nom del representant en cas d’entitats establertes fora d’Espanya.

La “Finalitat” i base jurídica del tractament. És a dir, informar sobre les finalitats per a les quals es tractaran les dades i les lleis que ho sustenten. Qui tracti les dades només les pot utilitzar per a la finalitat sobre la que hem estat informats.

Les categories de dades personals. S’ha d’especificar quines categories i tipus de dades es tractaran. Per exemple, el domicili particular, en certes situacions, és una dada d’identificació més sensible i íntima que un correu electrònic.

Els destinataris de les dades (de cessions o transferències). L’objectiu d’aquesta informació és que siguem capaços d’avaluar a qui es cediran les nostres dades i, en cas necessari, ens hi puguem adreçar per exercir la nostra capacitat de control. Per això, s’ha d’informar de la intenció del Responsable de transferir dades personals a un destinatari en un tercer país o organització internacional i en quines condicions.

Les nostres dades es recullen al nostre país però poden acabar sent utilitzades a qualsevol altre tercer país no integrat a la Unió Europea o a l’Espai Econòmic Europeu. Quan es dona aquesta circumstància es produeix una transferència internacional.

Terminis de conservació de dades. El termini durant el qual es conservaran les dades personals o, quan això no sigui possible, els criteris utilitzats per determinar aquest termini.

Interessos legítims. Informar dels interessos legítims del Responsable del tractament o d’un tercer quan el tractament es basi en aquesta habilitació.

Els drets que es poden exercir. S’ha d’informar que una persona té el dret de sol·licitar al Responsable del tractament:

• L’accés a les dades personals relatives a l’interessat, la seva rectificació o supressió, o la limitació del seu tractament.
• El dret a oposar-se al tractament.
• El dret a la portabilitat de les dades.
• El dret a retirar un consentiment que s’ha donat de manera explícita.
• El dret a presentar una reclamació davant d’una autoritat de control.

Les dades personals que són requisit legal contractual o necessari. S’ha de comunicar si les dades personals sol·licitades són un requisit legal o contractual, o un requisit necessari per subscriure un contracte. De la mateixa manera, si l’interessat està obligat a facilitar les dades personals i està informat de les possibles conseqüències de no facilitar-les.

L’existència de decisions automatitzades. S’ha d’informar de l’existència de decisions automatitzades, inclosa l’elaboració de perfils. En aquests casos s’ha de facilitar informació significativa sobre la lògica aplicada, i també sobre la importància i les conseqüències previstes d’aquest tractament per a l’interessat.

I si es produeix un canvi de finalitat?

Un canvi de finalitat, fins i tot quan es tracti d’una finalitat “compatible”, pot repercutir notablement sobre els drets i interessos de les persones les dades de les quals es tracten.

En aquests casos, el Responsable no pot realitzar el tractament sense passar novament pel tràmit d’informació que ha de garantir que tinguem una idea clara de què es farà amb les nostres dades.

I si les dades no les he facilitat jo al Responsable?

No sempre les dades arriben a una organització després d’haver interactuat amb el seu titular. Pot ser que les hagi notificat un tercer, a qui els hi havíem donat en origen, o pot ser que s’hagin localitzat en recursos disponibles per a tothom.

Per això, l’obligació d’informar no només correspon als qui directament han recollit les nostres dades sinó que també afecta aquells casos en els quals les dades han estat obtingudes sense la nostra participació, o bé perquè s’han localitzat en alguna mena d’entorn de caràcter públic, o bé perquè les ha facilitat un tercer.

Ens han d’informar de tot el que hem indicat i també sobre “la font de la que procedeixen les dades personals i, si escau, si procedeixen de fonts d’accés públic”.

I de quina manera me n’han d’informar?

La normativa apunta que s’ha de fer d’una manera clara, senzilla i el més comprensible possible. Especialment si es tracta de menors, el llenguatge s’haurà d’adaptar a la seva edat.

Al llarg de la història d’Internet s’han fet servir moltes estratègies d’informació no massa esportives. La més comú consisteix a posar la informació sobre privacitat en una pàgina secundària i enllaçar-la, ja que ningú punxa mai aquests enllaços. De vegades el text resulta il·legible des de la pantalla d’un mòbil. En d’altres ocasions són informacions molt llargues i avorrides de llegir.

Imaginem alguns supòsits habituals:

La normativa ens concedeix el dret:

• A accedir a les dades personals de manera gratuïta excepte si excedim certs límits raonables.
• A obtenir confirmació de si s’estan tractant o no dades personals que ens concerneixen, independentment de si hem tingut o no una relació prèvia amb l’entitat, o de si aquesta entitat és pública o privada. Fins i tot, en el cas que no tinguin ni una sola dada nostra, tenen igualment el deure d’informar-nos d’aquest fet.
• Quan l’interessat presenti la sol·licitud per mitjans electrònics, i si no és que el propi interessat sol·licita que se li faciliti d’una altra manera, la informació es facilitarà en un format electrònic d’ús comú.
• Per acabar, la normativa indica que el dret es concreta pel que fa a la materialitat de les dades en el fet que es facilitarà a l’interessat una còpia de les dades personals objecte de tractament.

En l’apartat dedicat al “dret de transparència de la informació” s’expliquen més detalladament cadascuna de les informacions a les quals es té dret d’accés.

Si ens hi fixem, existeix una correlació pràcticament exacta amb el principi d’informació i transparència. Per tant, qui tracta dades té un deure de transparència en fins a tres moments diferents:

• El de la recollida de les dades.
• El de la notificació a l’interessat quan no ha recollit les dades directament d’aquest.
• La resposta a l’interessat quan aquest exerceix el dret d’accés.

Els drets de rectificació i supressió serveixen essencialment per assegurar la certesa de la informació i, si escau, per eliminar determinada informació quan existeixi una causa per fer-ho.

L’exercici del dret de rectificació comporta la possibilitat de modificar les dades quan resultin inexactes, incomplets, incorrectes.

L’interessat podrà exercir aquest dret presentant una sol·licitud de rectificació a l’organització responsable del tractament de dades.

Aquest dret, que abans (en els drets ARCO) s’anomenava de cancel·lació, té per objecte el dret a obtenir la supressió de les dades personals.

Aquest és un dret que, per exercir-lo, cal que concorrin certes circumstàncies:

Un problema molt específic es produeix quan les dades s’han facilitat a tercers, o s’han fet públiques a Internet i han estat indexades. És aquí quan ens enfrontem al que s’ha anomenat el “dret a l’oblit”.

Com hem anat explicant, Internet guarda un rastre de tot el que fem. És el cercador el que decideix quina informació indexa primer. Les seves regles se’ns escapen i per tant no sabem per què una determinada informació apareix en primer lloc. Si aquesta informació perjudica el nostre honor o intimitat tenim un problema.

En aquests casos, la normativa europea obliga el Responsable no només a suprimir les dades sinó també a adoptar mesures raonables per informar els responsables que estiguin tractant les dades personals de la sol·licitud de supressió de l’interessat, de qualsevol enllaç a aquestes dades personals, o de qualsevol còpia o rèplica d’aquestes dades. En tot cas, no és una obligació absoluta, ja que dependrà de la tecnologia disponible i del cost de la seva aplicació.

Però aquest dret a la supressió o a l’oblit no és absolut i no s’aplicarà quan el tractament sigui necessari:

• Per exercir el dret a la llibertat d’expressió i informació.
• Per al compliment d’una obligació legal, o per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al Responsable, com en el cas d’una informació en un Butlletí per mandat legal.
• Per raons d’interès públic en l’àmbit de la salut pública.
• Amb finalitats d’arxiu en interès públic, finalitats d’investigació científica o històrica o finalitats estadístiques en la mesura que el dret pogués fer impossible o obstaculitzés greument l’assoliment dels objectius d’aquests tractaments.
• Per a la formulació, l’exercici o la defensa de reclamacions.

Organitzacions com les administracions solen publicar molta informació a Internet. En gran part és informació personal la indexació de la qual pot perjudicar els drets o interessos de les persones concernides, o senzillament molestar-les. És per això que sembla necessari tenir en compte certes recomanacions:

En principi, aquest dret l’exercirem aportant motius relacionats amb la nostra situació particular. Davant d’aquest exercici de drets, el Responsable haurà de ponderar els motius al·legats per l’interessat i els atendrà si no és que acredita motius legítims imperiosos per al tractament que prevalguin per damunt dels interessos, drets i llibertats de l’interessat, o per a la formulació, l’exercici o la defensa de reclamacions.

Es poden proposar dos exemples molt clars sobre aquest tipus de dret.

La normativa regula supòsits específics:

• Exercici de funcions públiques. Es pot exercir el dret d’oposició al·legant motius relacionats amb la nostra situació particular quan el tractament es va realitzar sense consentiment per ser necessari per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al Responsable del tractament.

• Interès legítim. En aquests casos també es podrà exercir de la mateixa manera el dret d’oposició. Cal recordar que aquests tractaments són possibles quan no prevalguin interessos o drets i llibertats fonamentals de l’interessat que requereixin la protecció de dades personals, en particular quan l’interessat sigui un infant. Per tant, és molt probable que l’acreditació d’aquests interessos, drets i llibertats o la invocació d’un interès superior del menor siguin fonaments molt adequats per obtenir el reconeixement del dret d’oposició.

• La publicitat. És el supòsit més senzill. Habitualment es recullen les nostres dades per a aquesta finalitat de fonts d’accés públic. També és legítim remetre informació publicitària als clients. Per molt beneficiosa que sigui per a l’economia, o per al propi Responsable, aquesta no és una finalitat imprescindible, ni hi depèn la nostra vida ni el futur del país. En aquesta mena de casos es reconeix a l’interessat el dret a oposar-se en tot moment al tractament de les dades personals que li concerneixin, inclosa l’elaboració de perfils quan estigui relacionada amb la citada publicitat. I el Responsable no té opció, les dades personals deixaran de ser tractades per a aquestes finalitats.

• Serveis de la societat d’informació. En la utilització d’aquests serveis, ens podrem oposar per mitjans automatitzats (l’opció de donar-se de baixa que apareix al butlletins, per exemple).

• Finalitats d’investigació científica o històrica o finalitats estadístiques. En aquests casos, l’interessat tindrà dret a oposar-se per motius relacionats amb la seva situació particular, si no és que resulta necessari per al compliment d’una missió realitzada per raons d’interès públic.

• Les decisions individuals automatitzades, inclosa l’elaboració de perfils. Cada vegada hi ha més àmbits en els que es fan servir programes d’intel·ligència artificial que permeten adoptar decisions automatitzades. Es tracta de tractaments amb un risc més gran de repercussió en els nostres drets. La normativa ens reconeix el dret a oposar-nos-hi quan es tracti d’una decisió basada únicament en un tractament automatitzat, o també quan es tractin categories especials de dades.

Es tracta de drets nous en la normativa actual i que contribueixen a oferir garanties addicionals als interessats.

La normativa defineix així la limitació del tractament:

Suspensió del tractament de dades

Aquest dret permet sol·licitar al Responsable que suspengui el tractament de dades quan:

• L’interessat impugni l’exactitud de les dades durant un termini que permeti al Responsable verificar-ne l’exactitud.
• L’interessat ha exercit el seu dret d’oposició al tractament de dades (en supòsits de tractament per a missions d’interès públic o interès legítim), mentre es verifica si els motius legítims del Responsable prevalen sobre els de l’interessat.

Conservació de dades

Aquest dret també permet sol·licitar al Responsable que conservi les teves dades personals quan:

• El tractament de dades sigui il·lícit i l’interessat s’oposi a la supressió de les seves dades i sol·liciti en el seu lloc, la limitació del seu ús.
• El Responsable ja no necessiti les dades per a les finalitats del tractament però l’interessat sí que les necessiti per a la formulació, exercici o defensa de reclamacions.

En els casos de conservació es tracta d’evitar la supressió o el tractament de les dades que queden bloquejades, o per entendre-ho més gràficament congelades, sense que el Responsable pugui modificar-les o eliminar-les.

El Reglament General de Protecció de Dades proposa diversos mètodes per bloquejar o congelar les dades:

• Traslladar permanentment les dades seleccionades a un altre sistema de tractament.
• Impedir l’accés d’usuaris a les dades personals seleccionades.
• Retirar temporalment les dades publicades d’un lloc d’Internet.
• Un cop bloquejades les dades, si el Responsable vol eliminar les restriccions al tractament, inclosa la supressió, n’haurà d’informar l’interessat abans de l’aixecament de la limitació.

La normativa europea reconeix a l’interessat el dret de rebre les dades personals que li hagi facilitat a un Responsable del tractament, en un format estructurat, d’ús comú i lectura mecànica. Així mateix, a transmetre-les a un altre Responsable del tractament sense que ho impedeixi el Responsable al qual les hagués facilitat.

Però això passarà quan concorrin certes condicions:

• Que el tractament es basi en el consentiment o en un contracte.
• Que el tractament s’efectuï per mitjans automatitzats.
• La portabilitat no afectarà negativament els drets i llibertats d’altres.
• Que sigui tècnicament sigui possible.

Entre els Serveis de la Seu electrònica trobem:

• A l’apartat de Protecció de dades: tota la informació de caràcter públic que volem fer arribar als ciutadans i resta de persones de les que tractem dades, com per exemple, el Registre de tractaments, la informació complementària sobre Videovigilància.

• A l’apartat Tràmits i serveis a la ciutadania > Drets de protecció de dades (ARCO): la informació i els formularis per a l’exercici de drets.

Si per aquesta via no s’ha pogut resoldre, si s’estima oportú es pot presentar una reclamació davant de l'Autoritat Catalana de Protecció de Dades (APDCAT) a través del seu web: apdcat.cat > Drets i obligacions > Reclamar i denunciar

A la Intradiba > Informació corporativa > Protecció de dades, es publiquen tot un seguit de recursos que es van actualitzant i que poden servir de suport.

Allà podràs trobar tota la documentació que necessites organitzada en els següents apartats:

• Protocols d'actuació, procediments i responsabilitats
• Vídeos
• Webs de protecció de dades
• Les dades de contacte de la Responsable corporativa de protecció de dades