Viu a la UAB

“La datificació de la societat fa que la necessitat de protegir la informació i les persones vagi més enllà del control sobre la informació, ha de servir per garantir el conjunt de drets i llibertats”

Joana Marí, alumni UAB ’95, va estudiar Dret per vocació i ha dedicat tota la seva carrera a la defensa dels drets i llibertats fonamentals en l’àmbit de la protecció de dades. El dia 25 de maig serà d'obligada aplicació el nou Reglament General de Protecció de Dades (RGPD), que suposa un canvi en la manera de governar la informació per part de les entitats.

24/05/2018

Joana Marí, alumni UAB ’95, va estudiar Dret per vocació i ha dedicat tota la seva carrera a la defensa dels drets i llibertats fonamentals en l’àmbit de la protecció de dades, actualment és la responsable d’Avaluació i Estudis Tecnològics i Delegada de Protecció de Dades de l’Autoritat Catalana de Protecció de Dades (APDCAT). Parlem amb ella sobre el nou Reglament General de Protecció de Dades (RGPD), que serà de plena aplicació el 25 de maig, i del canvi que suposa en la manera de governar la informació per part de les entitats.
 
Per què vas decidir estudiar dret a la UAB?
Més que una decisió, va ser una vocació perquè des de sempre havia volgut estudiar dret, no volia fer cap altra cosa. Vaig escollir la UAB, perquè jo venia d’Eivissa, i no volia estudiar dins de Barcelona, la UAB tenia un context més de campus i tenia bones referències. 
 
Com va ser la teva experiència?
L’experiència a la universitat va ser realment molt bona. Vaig fer amics que encara mantinc ara i vaig conèixer gent que he retrobat al cap dels anys. Era una molt bona experiència anar cada dia, agafar el tren, arribar, desconnectar. T’hi passaves tot el dia, per tant les relacions que hi generaves eren molt bones. Des de la perspectiva acadèmica també molt bona experiència, continuo mantenint també contacte amb professorat de la UAB sobretot arrel de la meva professió. 
 
Quan vas acabar, ja tenies clar quina trajectòria seguiries?
Sempre he tingut una tendència cap a l’activisme. Ja quan estudiava a l’Autònoma em vaig apuntar a un grup d’anàlisi de drets i llibertats fonamentals amb la doctora Teresa Freixes i arrel d’això, vaig començar a entrar en contacte amb tot el que és el dret constitucional. Quan vaig acabar la carrera, vaig fer un màster sobre justícia constitucional, tutela judicial i drets fonamentals a Esade, i amb la tesina sobre l’autodeterminació informativa vaig guanyar l’accèssit al premi de Protecció de Dades Personals de l’Agència Espanyola de Protecció de Dades. Vaig treballar durant un temps a l’empresa privada, en consultoria en matèria de protecció de dades com directora del departament de protecció de dades d’una multinacional francesa, Sopra Grup i d’allà vaig passar a l’administració pública, a la que en aquell moment s’anomenava Agència Catalana de Protecció de Dades (actualment Autoritat Catalana de Protecció de Dades). Sempre m’he mogut en el context dels drets i llibertats, i en concret, a la protecció de dades de caràcter personal. I fa uns anys vaig fer un segon màster en Auditoria i Protecció de Dades a la UAB, quan ja estava treballant a l’APDCAT. 
 
Dins de l’Autoritat, has anat canviant de funcions?
Sí, de fet, jo vaig entrar el 2003 quan es va crear, érem molt pocs, i a partir d’aquí vaig anar evolucionant. Primer estava exclusivament a l’àrea del registre de protecció de dades de Catalunya, després vaig ser responsable de consultoria, i finalment responsable d’avaluació i estudis tecnològics, que és el càrrec que ostento ara i recentment m’han nomenat com a delegada de la protecció de dades de l’autoritat.
 
Quines són les teves responsabilitats?
Des de la perspectiva d’avaluació i estudis tecnològics, bàsicament les meves tasques estan vinculades a la consultoria, és a dir, a donar assessorament a totes les entitats que entren dins del nostre àmbit de competències per tal que s’adeqüin a la normativa de protecció de dades, des de dubtes concrets, fins al suport o assessorament continuat en processos o projectes que tinguin a veure amb el tractament de dades de caràcter personal. Des de la part de delegada de protecció de dades, que és una de les figures que crea el nou Reglament General de Protecció de Dades (RGPD), la meva funció és la de supervisar el correcte compliment de la normativa de protecció e dades dins de l’autoritat. 
 
Quin és l’àmbit competencial de l’Apdcat?
El sector públic en sentit ampli, perquè hi ha des del que és pura administració (Generalitat, administració local), a empreses que siguin de capital majoritàriament públic, corporacions públiques, tot el sector universitari català o empreses que exerceixen funcions públiques o presten serveis públics.
 
Feu una feina important de formació.
Sí, fem sessions divulgatives de caire general, obertes a tot el públic. A més, hi ha sector específics amb els que ens concentrem molt, com són el tema dels menors i dels adolescents, estem fent una tasca molt important en aquest àmbit. 
 
Què suposa el nou Reglament General de Protecció de Dades (RGPD)?
El nou reglament, que serà d’obligada aplicació a partir del 25 de maig, suposa un canvi en la manera de gestionar la informació. Hi ha tota una sèrie de principis que continuen vigents, com per exemple, finalitat, minimització, o les bases jurídiques, és a dir, allò que ens permet tractar les dades (consentiment, contracte, una missió d’interès públic). Això no varia substancialment, però el que canvia són les obligacions respecte a la manera de governar la informació. El que demana aquest nou reglament és que les entitats han d’assumir un compromís respecte de la garantia del dret a la protecció de dades i al conjunt de drets i llibertats que es puguin veure afectats pel tractament de les dades personals. Es reconeix el que s’anomena el principi de l’accountability, de la responsabilitat  proactiva i demostrable, aquest és un dels principals canvis i un dels pilars en el qual es basa el reglament. I d’altra banda, hi ha l’enfocament en el risc, és a dir, si ara tenim unes normes que eren molt formals, molt prefixades, ara el reglament el que vol és enfocar-se en el risc i establir, en funció de cada cas concret, el tractament de dades que s’està portant a terme, determinar quins són els riscos reals i concrets per aquell tractament i en funció d’això, determinar quines són les mesures i les obligacions que ha de complir el responsable del tractament o l’encarregat del tractament segons sigui el cas. És una nova forma de governar la informació.
 
En la societat actual, quins són els reptes principals en matèria de protecció de dades?
El dret a la protecció de dades s’ha convertit en un dret molt molt important en l’actual societat. Perquè ja no estem només parlant de garantir el dret a la protecció de dades, sinó també de controlar com el tractament de les dades afecta a la nostra vida. Nosaltres difonem i generem informació a cada moment, i el tractament d’aquesta informació, pot impactar o incidir en el conjunt de drets i llibertats, per exemple, amb possibles discriminacions en funció del que penges o divulgues a través de les xarxes socials o amb l’accés a un determinat lloc de treball. És a dir, que la datificació de la  societat, fa que la necessitat de protegir la informació i, per tant, de les persones que hi ha darrera d’aquesta informació, vagi més enllà del propi control sobre la informació, i ha de servir per garantir el conjunt de drets i llibertats. Han sorgit tecnologies emergents com el big data, l’internet de les coses, que busquen tractar quanta més informació millor durant tot el temps que sigui possible i per no sé sap ben bé quines finalitats. I, a més, la ciutadania ens hem convertit en uns distribuïdor continus de dades de la informació de cada una de les nostres rutines. 
 
Existeix el que s’anomena, dret a l’oblit, a exigir que es suprimeixi una informació teva?
El que apareix al reglament és el que es diu el dret a la supressió fent una referència expressa al dret a l’oblit en el títol de l’article, i que suposa la possibilitat d’eliminar determinada informació que ja no és rellevant. Però no és un dret absolut, hi ha altres drets que poden prevaldre per sobre, com pot ser la llibertat d’expressió. Per tant, el dret a la protecció de dades no és un dret absolut i haurà de ponderar-se en funció dels altres drets, de les altres llibertats, dels interessos que puguin existir en cada moment. 
 
Quins drets tenim la ciutadania sobre les nostres dades? I què hem de tenir en compte a l’hora de cedir-les?
El Reglament General  de Protecció de Dades (RGPD), a banda de reforçar les obligacions de les entitats perquè controlin millor les dades personals, també ha volgut reforçar els drets de les persones perquè tinguem més possibilitats de controlar les nostres dades. El nou reglament manté i reforça drets que ja existien, com és la possibilitat d’accedir o de rectificar la informació que les entitats tenen de nosaltres, o bé, de suprimir-la quan es donen una sèrie de circumstàncies, o la possibilitat de no veure’ns sotmesos a decisions individuals automatitzades. En aquest últim cas, per reforçar la defensa front a situacions en les quals un algoritme pren una decisió sobre una persona sense que hi hagi intervenció humana. I se n’afegeixen alguns de nous, com és la limitació del tractament i la portabilitat, A banda, òbviament, d’aquells drets que estarien més vinculats al principi de transparència i al dret a la informació, és a dir, les persones han de poder saber i entendre què és el que fan les entitats amb les seves dades de caràcter personal, perquè així podran exercir de manera efectiva els drets comentats. Això sí, les persones han de ser conscients que donen informació, quina és la informació que donen, en base a què l’estan donant i les conseqüències que se’n poden derivar . 
 
Quins són els perills de no ser conscients i no tenir cura de les dades que donem? Has parlat de la discriminació...
Un perill molt clar és que les entitats puguin prendre decisions per nosaltres, que creïn uns perfils, que a vegades no tenen per què respondre a la realitat, i que nosaltres no coneguem que s’han realitzat.