Tot i que l’RGPD es va aprovar el 27 d’abril de 2016, no ha estat fins al 25 de maig d’enguany que la seva aplicació ha esdevingut d’obligat compliment. El nou reglament comporta canvis en la protecció de les dades de caràcter personal, tant pel que fa als nostres drets com a persones, com a les obligacions de qui tracta aquestes dades. A l’Ajuntament, com a organització que té cura de les dades de la ciutadania, del personal municipal, d’altres ens, de proveïdors, etc., ens hem adaptat a la normativa.

En aquest article us oferim un resum de les principals qüestions que hem de tenir en compte per garantir que complim com a treballadors municipals amb el que preveu l’RGPD.

En la recollida de dades:

• Hem d’informar al ciutadà de tots els seus drets i de l’ús que es farà de les seves dades. Això ho farem incorporant clàusules explicatives als peus dels formularis sobre el seu propi deure d’informació; els drets d’accés, rectificació, cancel·lació, oposició, limitació i portabilitat; i sobre el tractament, és a dir, l’ús que farem de les dades.

• Hem de demanar el consentiment explícit per tractar les dades. Ja no és vàlid el consentiment tàcit, sinó que la persona usuària ho ha d’acceptar marcant, per exemple, una casella. Queden exempts els casos en què les dades es recullen per interès públic o per obligació legal.

En el tractament de dades:

• Hem de centrar-nos en on desem les dades i l’ús que en fem. Fins ara, emmagatzemàvem les dades en fitxers propietat de qui les recollia, però ara les desarem segons el seu ús. Per exemple, a recursos humans hi haurà tants tractaments com usos diferents se’n faci de les dades. Així, tindrem un tractament per a nòmines, un per a selecció de personal, un per a les incompatibilitats laborals, un per a formació… i cada un tindrà un responsable de la gerència que garantirà que l’ús de les dades es faci exclusivament amb aquesta intenció. Quan enviem qualsevol informació relacionada amb algun d’aquests aspectes hem d’informar, mitjançant les clàusules explicatives, de quin tractament en concret provenen les nostres dades.

Si al nostre departament ja disposàvem de dades personals, amb l’entrada en vigor del Reglament hem de:

• Informar als nostres usuaris que formen part de les nostres bases de dades, que tractem les seves dades, de la finalitat del tractament, dels seus drets, de les possibles cessions de les dades…
• Demanar el consentiment explícit, en cas que no ho fessim en el moment de cedir-nos les dades.
• Actualitzar els peus legals dels formularis, adaptant-los al tractament que en fem.
• Eliminar les bases de dades que vam crear amb una finalitat concreta que ja no existeix.
• Comprovar que les bases de dades que tenim compleixen amb els requisits (consentiment explícit, finalitats…). Si no és així, cal que les actualitzem.
• No passar les bases de dades a tercers, com per exemple a empreses contractades, si no és per requeriment legal o a l’empara d’un encàrrec de tractament (contracte, acord o conveni, que també s’haurà d’adequar a la nova normativa).
• Enviar els correus massius, si és el cas, amb eines validades per l’organització. No són vàlides eines com l’Outlook corporatiu o el Google Forms per recollir dades personals.

La Gerència de Recursos Humans i Organització té recollides les dades de tots els treballadors de l’Ajuntament en el fitxer LOPD 014 Gestió RH Ajuntament de Barcelona i tret d’obligació legal, les nostres dades no seran cedides a tercers. L’Ajuntament pot utilitzar internament aquestes dades per la relació de prestació de serveis o contractual que hi tenim; per tant, disposarà de les nostres dades per fer les gestions que se’n derivin per la nostra activitat laboral.

D’altra banda, podem afegir aquest peu als nostres correus electrònics per assegurar-nos que les nostres dades seran ben tractades:

Aquest missatge s’adreça exclusivament a la persona destinatària i pot contenir informació confidencial.
Si heu rebut aquest missatge per error, us agrairé que m’ho fet saber immediatament i l’elimineu.
Abans d’imprimir aquest correu penseu si us cal. El medi ambient també és responsabilitat nostra.

Per garantir el compliment de l’RGPD, hem fet canvis a nivell intern que ens permeten garantir el compliment del reglament.

En relació a la governança de les dades:

• Hem aprovat el Model de governança de les dades.
• Hem creat una Oficina del Delegat de Protecció de Dades que vetllarà pel compliment del reglament i del nou model.
• Hem nomenat un Delegat de Protecció de Dades, que serà la persona referent pel que fa la gestió de les dades a l’Ajuntament.
• Hem creat una Taula de protecció de dades.

En relació als riscos:

• Hem analitzat i identificat els riscos que es poden derivar de cada tractament i hem establert una metodologia d’avaluació. En termes de seguretat, hem adaptat a l’RGPD la classificació de les dades existents i estem preparant noves polítiques de seguretat.

En relació a la gestió de projectes:

• Estem protocol·litzant i adaptant el que fèiem als nous requeriments i és que, a partir d’ara, és important que tinguem en compte les noves exigències de l’RGPD des de l’inici de qualsevol projecte que portem a terme.

En relació a la informació interna:

• Estem preparant una sessió informativa per explicar els aspectes de compliment de l’RGDP i estem programant accions formatives, més específiques, sobre el reglament. De moment, podem consultar el primer vídeo explicatiu sobre les novetats de l’RGDP pel que fa a la nostra relació amb la ciutadania.

Per a qualsevol dubte relacionat amb l’aplicació de la normativa, podem consultar la pàgina web de protecció de dades de l’Ajuntament o posar-nos en contacte per correu electrònic amb l’Oficina de Protecció de Dades mitjançant un correu habilitat exclusivament per als treballadors municipals, que és lopd@bcn.cat. La ciutadania s’ha d’adreçar al correu delegat_proteccio_dades@bcn.cat.