18
de març
del
2017
Actualitzat
el
19
de març
a les
14:24h
Àngels Barbarà (Barcelona, 1953), defensa tots els avenços tecnològics que avui ja podem intuir que ens arribaran en els pròxims anys, però també reclama "preservar la identitat personal". L'advocada és la màxima representant de l'Autoritat Catalana de Protecció de Dades (APDCAT), l'organisme català que vetlla pel compliment de la legislació vigent sobre protecció de dades de caràcter personal.
Sense caure en el missatge de la por, la directora de l'APDCAT ha parlat amb NacióDigital sobre la importància de ser conscients que "les empreses ens tenen catalogats, a partir dels nostres gustos i preferències". Barbarà aprofita aquesta entrevista per explicar el nou reglament europeu que serà d'obligat compliment el 2018, i reclama una ètica a les empreses en la recopilació de la informació personal.
- Diu que vol deixar un missatge important a la ciutadania. Quin és?
- Que facin valdre les seves dades personals.
- Quin valor tenen les meves dades?
- Enorme! La societat avui està datificada. El món s'ha globalitzat, tot està a Internet. Es creen nous negocis, noves maneres d'interrelacionar-se entre la gent. L'economia digital ja representa el 17% de l'economia mundial. I pel 2020, passarà a ser el 25%. Les empreses necessiten les teves dades per oferir-te nous productes i serveis. I les agafen de les accions que fas diàriament: des de les notícies que mires en llevar-te, fins a la teva geolocalització en cada moment, el lloc on prens el cafè al matí, la premsa que llegeixes, amb quins amics et relaciones, quins temes de la vida t'amoïnen i quina opinió tens al respecte. Ens tenen absolutament catalogats. Això sense parlar de les dades genètiques, ni de les biomètriques que la nova normativa europea les regula com a categories especials de dades.
- Com es recullen aquestes dades genètiques i biomètriques?
- De manera molt senzilla. Voluntàriament. La gent va al gimnàs i posa el dit per entrar-hi, o per obrir la porta de l'empresa. Donem la nostra empremta digital per accedir al mòbil, i ja es poden fer transferències bancàries.
- Si la normativa europea té les dades genètiques protegides, com pot ser que les tinguin empreses privades?
- Perquè les donem voluntàriament, sense posar-hi consciència. Les dades genètiques són la base de cada persona. Els gens els transmetem als fills. Moltes entitats les demanen per fer recerca, i està bé. Però s'han de tractar amb una especialíssima delicadesa i sempre recomano que mai es donin sense tenir coneixement de com es tractaran. Aquesta informació et marca a tu i a les persones que vindran després de tu. Tal com va el món, en el futur poden acabar encasellant als teus fills que encara estan per néixer. Pensa en les conseqüències que suposarà viure en un món que, quan neixis, ja puguin saber la teva projecció de vida futura: si podràs viure tants o tants anys, si estàs predisposada a certes malalties, com el càncer, etc. Les persones tenen dret a viure lliurement la seva vida.
- La Generalitat va aprovar el Visc+ i va tenir moltes crítiques, perquè les dades de milers de pacients passaven a mans privades
- Si bé en les versions inicials el projecte presentava problemes des del punt de vista de la privacitat, en les versions posteriors es van tenir en compte les observacions formulades per l’APDCAT.
- Les queixes van venir quan les dades anaven a terceres empreses...
- Exacte, aquest era el problema. Era un tema públic-privat. Però nosaltres no hi podíem entrar en aquesta altra part. Vam fer una avaluació de l'impacte i vam demanar que fos continuada, per detectar els riscos i aplicar mesures de seguretat. El que avui és anònim, demà no ho pot ser. Es tracta de donar garanties continuades.
- Ara el sistema s'anomena PADRIS, però és pràcticament el mateix, oi?
- Hi ha canvis. En qualsevol cas, m’interessa remarcar que vaig insistir que traguessin les dades genètiques. És una qüestió que caldrà vetllar.
- Hem de tenir por d'aquesta societat datificada?
- No, en absolut. Però sí hem d'estar alertes per saber què estem donant. Sovint prioritzem la comoditat a la vigilància de les nostres dades. Totes les companyies tecnològiques i de publicitat et poden perfilar i enviar-te els serveis o missatges que més t'interessen. Això pot tenir certs avantatges. El que no pot ser és que no puguis decidir-ho, ni conèixer per a què més les faran servir.
- El nou reglament europeu de protecció de dades, què canvia?
- Abans cada país tenia la seva pròpia llei basada en una Directiva europea, i ara tots ens haurem d'acollir a un únic reglament. Serà d'obligat compliment el maig del 2018, per a tots els Estats que formen part de la Unió Europea. Ja va entrar en vigor, però tenim fins al maig de l'any vinent per aplicar-lo definitivament. És molt important i cal que anem fent les adaptacions a poc a poc. 
- Vostè diu que la llei obliga a una nova manera d'entendre la privacitat. En quin sentit?
- Fins ara la llei era molt rígida, no hi havia una valoració particular. S'aplicaven els mateixos barems tant per a un hospital com per les dades que podia recopilar una perruqueria dels seus clients i les al·lèrgies que aquests tenen. Els principis legals són els mateixos però es reforça la transparència i s’incorpora expressament la responsabilitat proactiva. Ara les empreses, entitats o institucions seran responsables de tractar adequadament les dades durant tot el procés (hauran d’estar en disposició de provar-ho) i informar-ne al ciutadà o client. El consentiment ha de ser específic i cal explicar per a què faran servir les teves dades personals. I si en preveuen fer usos secundaris, també n'hauran d'informar-te.
- Certs especialistes mèdics em demanen ja el consentiment d'ús de les meves dades. Però com sabré que no fan un altre ús no consultat o si les venen a tercers?
- Sempre podràs demanar accés a les teves dades, i conèixer les comunicacions que n’han fet. I pots cancel·lar-les amb el dret de supressió. Si no et donen una resposta que et convenci, reclama davant l’Autoritat de Protecció de Dades.
- Em quedaré sense serveis, ni prestacions..
- Ara les empreses han d'anar molt més en compte per saber què fan amb les dades personals, perquè si no les autoritats de control els anirem darrere. Però també s'ha d'informar el ciutadà dels seus drets i aquests han d'estar alertes.
- Com es fa això d'informar els ciutadans d'aquests nous drets? Perquè amb la llei de transparència encara és assignatura pendent.
- Amb entrevistes com aquestes, entre altres accions. El primer és no deixar el missatge de la societat de la por. Però sí de què cadascú de nosaltres som lliures de prendre decisions, de no ser encasellats en un perfil de consumidor o usuari, i d'escollir en cada moment què volem que facin amb la nostra informació. Els brokers de dades analitzen els likes de Facebook i et classifiquen en funció de quantes accions fas. Per exemple, si en fas 70, ets un amic de la família; amb 150, et consideren un familiar directe; i, amb 300, la parella sentimental d'algú. I a partir d'aquí t'ofereixen certs productes. Quan tenen un perfilat teu, et venen el que vulguin. Estem perdent la nostra identitat personal.
- Vol dir?
- Totalment. Les noves tecnologies emergents estan canviant el món i tenen nombrosos avantatges. La Internet de les Coses o el Big Data en són un exemple. Sempre defensaré els avenços. Però hem de preservar les nostres identitats personals. I les estan anihilant. Ens estan catalogant, posant en capses.
- Què saben exactament de nosaltres les empreses?
Quan arriba un vaixell al port de Barcelona, algunes empreses saben la nacionalitat tant dels que baixen per unes hores, com dels que es queden a bord. Dels que baixen, saben que els japonesos van a la Sagrada Família i els russos compren a les botigues del Passeig de Gràcia. Tot això és positiu perquè serveix perquè els comerços facin negoci. Però quan et cataloguen i et posen sota un perfil, perds la teva capacitat de reacció i t'estan condicionant. Estàs donant moltes dades que te les podries estalviar. Als EUA, des del cas Snowden, la gent s'ha conscienciat molt més. Aquí no ens ha passat res gros perquè la societat reaccioni. Amb el nou reglament s'intenta alertar a la ciutadania i donar eines a les empreses perquè explotin amb ètica les dades. És important pensar en la "privacitat en el disseny" i la "privacitat per defecte".
- Què signifiquen aquestes dues variants?
- Privacitat en el disseny vol dir que quan inicies un procés o elabores una norma, s'ha de pensar en la privacitat des del primer moment. Fa anys que en el marc del Mobile World Congress organitzem una jornada per conscienciar sobre aquests temes.
- Enguany l'APDCAT va programar una dedicada als videojocs i com es perd la privacitat, oi?
- Exacte, per explicar com es tracten les dades en la construcció del videojoc, i també els jocs de casinos i altres en línia. Són jornades pensades per informar el ciutadà. Fa quatre anys, al MWC vam parlar de les apps, també de les condicions d'ús i de privacitat perquè siguin més simples. Tothom les accepta sense fixar-s'hi perquè són molt complicades d'entendre. Vam suggerir, fins i tot, un etiquetatge senzill de privacitat, més gran. També vam fer una jornada, sobre dades de salut i dades de geolocalització.
- I "privacitat per defecte"?
- Que, per defecte, sempre s'ha d'establir en els dispositius el nivell més elevat de privacitat. Quan compris un mòbil, hauràs d'anar de dir quines dades acceptes que t'agafin a partir de la interacció amb cada app. D'entrada, el mòbil només farà les funcions de telèfon. Ara, què passa? Tot el contrari. Que per defecte t'agafen totes les dades i has de ser tu qui vagi desfent el camí acotant la teva privacitat. Amb el canvi, el ciutadà haurà d'estar informat i decidir a la força. 
- Això implica fer l'esforç de decidir a cada moment...
- Per descomptat. I costarà molt fer aquest canvi mental. Hi ha una responsabilitat activa i proactiva, tant per part de qui tracta les dades (empreses, entitats o institucions), com de les persones afectades respecte de la seva informació. I quan hi hagi una fuita de dades, l'entitat haurà de comunicar a l'autoritat competent i a les persones.
- El nou reglament també contempla la portabilitat de les dades. Què vol dir?
- Posaré un exemple: Tu tens les dades al núvol. I vols moure les teves fotografies o documents d'una aplicació a una altra. El nou reglament europeu et permetrà exigir que te les donin per traspassar-les allà on vulguis. Com a ciutadà tens dret d'exigir que això no sigui un problema.
- Companyies nord-americanes com Google, Amazon o Netflix també hauran de complir la nova normativa europea?
- Només en cas que presten serveis a persones que es trobin a la Unió Europea. Si es relacionen amb ciutadans europeus, la llei els afectarà igual. Com ja saps, tot es guarda en el que anomenem "núvol" (Cloud), però mai saps del cert si aquest està a Londres o a Singapur. Les garanties que et dona un cloud a Europa no les dona, necessàriament, una empresa de fora de la UE.
- Ara hem de preguntar a on es troba el cloud que guarda les nostres imatges o contactes?
- Si, és clar. És molt important saber-lo!
- Per últim, abans ha parlat de l'ètica en la utilització de les dades i la privacitat. Quina ha de ser aquesta?
- Hem de pensar-hi i molt, encara, sobre el tractament de les dades personals. La intel·ligència artificial avança d'una manera exponencial, els robots i les màquines van cap a substituir a les persones. Un robot, controlat per un algoritme, et dirà què t’interessa més llegir o que has de menjar. És importantíssim posar-se d'acord sobre l'ètica en l'aplicació de la privacitat en el futur. És la defensa de la persona per sobre de tot, de l'individu. Aquesta tasca no la podem encarregar als algoritmes.
Sense caure en el missatge de la por, la directora de l'APDCAT ha parlat amb NacióDigital sobre la importància de ser conscients que "les empreses ens tenen catalogats, a partir dels nostres gustos i preferències". Barbarà aprofita aquesta entrevista per explicar el nou reglament europeu que serà d'obligat compliment el 2018, i reclama una ètica a les empreses en la recopilació de la informació personal.
- Diu que vol deixar un missatge important a la ciutadania. Quin és?
- Que facin valdre les seves dades personals.
- Quin valor tenen les meves dades?
- Enorme! La societat avui està datificada. El món s'ha globalitzat, tot està a Internet. Es creen nous negocis, noves maneres d'interrelacionar-se entre la gent. L'economia digital ja representa el 17% de l'economia mundial. I pel 2020, passarà a ser el 25%. Les empreses necessiten les teves dades per oferir-te nous productes i serveis. I les agafen de les accions que fas diàriament: des de les notícies que mires en llevar-te, fins a la teva geolocalització en cada moment, el lloc on prens el cafè al matí, la premsa que llegeixes, amb quins amics et relaciones, quins temes de la vida t'amoïnen i quina opinió tens al respecte. Ens tenen absolutament catalogats. Això sense parlar de les dades genètiques, ni de les biomètriques que la nova normativa europea les regula com a categories especials de dades.
- Com es recullen aquestes dades genètiques i biomètriques?
- De manera molt senzilla. Voluntàriament. La gent va al gimnàs i posa el dit per entrar-hi, o per obrir la porta de l'empresa. Donem la nostra empremta digital per accedir al mòbil, i ja es poden fer transferències bancàries.
- Si la normativa europea té les dades genètiques protegides, com pot ser que les tinguin empreses privades?
- Perquè les donem voluntàriament, sense posar-hi consciència. Les dades genètiques són la base de cada persona. Els gens els transmetem als fills. Moltes entitats les demanen per fer recerca, i està bé. Però s'han de tractar amb una especialíssima delicadesa i sempre recomano que mai es donin sense tenir coneixement de com es tractaran. Aquesta informació et marca a tu i a les persones que vindran després de tu. Tal com va el món, en el futur poden acabar encasellant als teus fills que encara estan per néixer. Pensa en les conseqüències que suposarà viure en un món que, quan neixis, ja puguin saber la teva projecció de vida futura: si podràs viure tants o tants anys, si estàs predisposada a certes malalties, com el càncer, etc. Les persones tenen dret a viure lliurement la seva vida.
Maria Àngels Barbarà, directora de l'Autoritat Catalana de Protecció de Dades. Foto: Adrià Costa
- La Generalitat va aprovar el Visc+ i va tenir moltes crítiques, perquè les dades de milers de pacients passaven a mans privades
- Si bé en les versions inicials el projecte presentava problemes des del punt de vista de la privacitat, en les versions posteriors es van tenir en compte les observacions formulades per l’APDCAT.
- Les queixes van venir quan les dades anaven a terceres empreses...
- Exacte, aquest era el problema. Era un tema públic-privat. Però nosaltres no hi podíem entrar en aquesta altra part. Vam fer una avaluació de l'impacte i vam demanar que fos continuada, per detectar els riscos i aplicar mesures de seguretat. El que avui és anònim, demà no ho pot ser. Es tracta de donar garanties continuades.
- Ara el sistema s'anomena PADRIS, però és pràcticament el mateix, oi?
- Hi ha canvis. En qualsevol cas, m’interessa remarcar que vaig insistir que traguessin les dades genètiques. És una qüestió que caldrà vetllar.
"Donem voluntàriament les dades genètiques. Hem de posar-hi consciència, són la base de cada persona"
- Hem de tenir por d'aquesta societat datificada?
- No, en absolut. Però sí hem d'estar alertes per saber què estem donant. Sovint prioritzem la comoditat a la vigilància de les nostres dades. Totes les companyies tecnològiques i de publicitat et poden perfilar i enviar-te els serveis o missatges que més t'interessen. Això pot tenir certs avantatges. El que no pot ser és que no puguis decidir-ho, ni conèixer per a què més les faran servir.
- El nou reglament europeu de protecció de dades, què canvia?
- Abans cada país tenia la seva pròpia llei basada en una Directiva europea, i ara tots ens haurem d'acollir a un únic reglament. Serà d'obligat compliment el maig del 2018, per a tots els Estats que formen part de la Unió Europea. Ja va entrar en vigor, però tenim fins al maig de l'any vinent per aplicar-lo definitivament. És molt important i cal que anem fent les adaptacions a poc a poc.
El nou reglament europeu de protecció de dades serà d'obligat compliment el 2018. Foto: Adrià Costa
- Vostè diu que la llei obliga a una nova manera d'entendre la privacitat. En quin sentit?
- Fins ara la llei era molt rígida, no hi havia una valoració particular. S'aplicaven els mateixos barems tant per a un hospital com per les dades que podia recopilar una perruqueria dels seus clients i les al·lèrgies que aquests tenen. Els principis legals són els mateixos però es reforça la transparència i s’incorpora expressament la responsabilitat proactiva. Ara les empreses, entitats o institucions seran responsables de tractar adequadament les dades durant tot el procés (hauran d’estar en disposició de provar-ho) i informar-ne al ciutadà o client. El consentiment ha de ser específic i cal explicar per a què faran servir les teves dades personals. I si en preveuen fer usos secundaris, també n'hauran d'informar-te.
- Certs especialistes mèdics em demanen ja el consentiment d'ús de les meves dades. Però com sabré que no fan un altre ús no consultat o si les venen a tercers?
- Sempre podràs demanar accés a les teves dades, i conèixer les comunicacions que n’han fet. I pots cancel·lar-les amb el dret de supressió. Si no et donen una resposta que et convenci, reclama davant l’Autoritat de Protecció de Dades.
- Em quedaré sense serveis, ni prestacions..
- Ara les empreses han d'anar molt més en compte per saber què fan amb les dades personals, perquè si no les autoritats de control els anirem darrere. Però també s'ha d'informar el ciutadà dels seus drets i aquests han d'estar alertes.
"Les empreses seran responsables de la recol·lecció de les dades i haurà d'informar el ciutadà de què fa amb elles"
- Com es fa això d'informar els ciutadans d'aquests nous drets? Perquè amb la llei de transparència encara és assignatura pendent.
- Amb entrevistes com aquestes, entre altres accions. El primer és no deixar el missatge de la societat de la por. Però sí de què cadascú de nosaltres som lliures de prendre decisions, de no ser encasellats en un perfil de consumidor o usuari, i d'escollir en cada moment què volem que facin amb la nostra informació. Els brokers de dades analitzen els likes de Facebook i et classifiquen en funció de quantes accions fas. Per exemple, si en fas 70, ets un amic de la família; amb 150, et consideren un familiar directe; i, amb 300, la parella sentimental d'algú. I a partir d'aquí t'ofereixen certs productes. Quan tenen un perfilat teu, et venen el que vulguin. Estem perdent la nostra identitat personal.
"Després de Snowden, els nord-americans estan molt conscienciats de les dades que donen". Foto: Adrià Costa
- Vol dir?
- Totalment. Les noves tecnologies emergents estan canviant el món i tenen nombrosos avantatges. La Internet de les Coses o el Big Data en són un exemple. Sempre defensaré els avenços. Però hem de preservar les nostres identitats personals. I les estan anihilant. Ens estan catalogant, posant en capses.
- Què saben exactament de nosaltres les empreses?
Quan arriba un vaixell al port de Barcelona, algunes empreses saben la nacionalitat tant dels que baixen per unes hores, com dels que es queden a bord. Dels que baixen, saben que els japonesos van a la Sagrada Família i els russos compren a les botigues del Passeig de Gràcia. Tot això és positiu perquè serveix perquè els comerços facin negoci. Però quan et cataloguen i et posen sota un perfil, perds la teva capacitat de reacció i t'estan condicionant. Estàs donant moltes dades que te les podries estalviar. Als EUA, des del cas Snowden, la gent s'ha conscienciat molt més. Aquí no ens ha passat res gros perquè la societat reaccioni. Amb el nou reglament s'intenta alertar a la ciutadania i donar eines a les empreses perquè explotin amb ètica les dades. És important pensar en la "privacitat en el disseny" i la "privacitat per defecte".
- Què signifiquen aquestes dues variants?
- Privacitat en el disseny vol dir que quan inicies un procés o elabores una norma, s'ha de pensar en la privacitat des del primer moment. Fa anys que en el marc del Mobile World Congress organitzem una jornada per conscienciar sobre aquests temes.
- Enguany l'APDCAT va programar una dedicada als videojocs i com es perd la privacitat, oi?
- Exacte, per explicar com es tracten les dades en la construcció del videojoc, i també els jocs de casinos i altres en línia. Són jornades pensades per informar el ciutadà. Fa quatre anys, al MWC vam parlar de les apps, també de les condicions d'ús i de privacitat perquè siguin més simples. Tothom les accepta sense fixar-s'hi perquè són molt complicades d'entendre. Vam suggerir, fins i tot, un etiquetatge senzill de privacitat, més gran. També vam fer una jornada, sobre dades de salut i dades de geolocalització.
- I "privacitat per defecte"?
- Que, per defecte, sempre s'ha d'establir en els dispositius el nivell més elevat de privacitat. Quan compris un mòbil, hauràs d'anar de dir quines dades acceptes que t'agafin a partir de la interacció amb cada app. D'entrada, el mòbil només farà les funcions de telèfon. Ara, què passa? Tot el contrari. Que per defecte t'agafen totes les dades i has de ser tu qui vagi desfent el camí acotant la teva privacitat. Amb el canvi, el ciutadà haurà d'estar informat i decidir a la força.
"S'ha de repensar molt l'ètica que s'aplica a les dades personals", diu la directora de l'APDCAT. Foto: Adrià Costa
- Això implica fer l'esforç de decidir a cada moment...
- Per descomptat. I costarà molt fer aquest canvi mental. Hi ha una responsabilitat activa i proactiva, tant per part de qui tracta les dades (empreses, entitats o institucions), com de les persones afectades respecte de la seva informació. I quan hi hagi una fuita de dades, l'entitat haurà de comunicar a l'autoritat competent i a les persones.
"Amb la nova normativa europea, hauràs de decidir a cada moment quines dades vols donar a les empreses"
- El nou reglament també contempla la portabilitat de les dades. Què vol dir?
- Posaré un exemple: Tu tens les dades al núvol. I vols moure les teves fotografies o documents d'una aplicació a una altra. El nou reglament europeu et permetrà exigir que te les donin per traspassar-les allà on vulguis. Com a ciutadà tens dret d'exigir que això no sigui un problema.
- Companyies nord-americanes com Google, Amazon o Netflix també hauran de complir la nova normativa europea?
- Només en cas que presten serveis a persones que es trobin a la Unió Europea. Si es relacionen amb ciutadans europeus, la llei els afectarà igual. Com ja saps, tot es guarda en el que anomenem "núvol" (Cloud), però mai saps del cert si aquest està a Londres o a Singapur. Les garanties que et dona un cloud a Europa no les dona, necessàriament, una empresa de fora de la UE.
- Ara hem de preguntar a on es troba el cloud que guarda les nostres imatges o contactes?
- Si, és clar. És molt important saber-lo!
- Per últim, abans ha parlat de l'ètica en la utilització de les dades i la privacitat. Quina ha de ser aquesta?
- Hem de pensar-hi i molt, encara, sobre el tractament de les dades personals. La intel·ligència artificial avança d'una manera exponencial, els robots i les màquines van cap a substituir a les persones. Un robot, controlat per un algoritme, et dirà què t’interessa més llegir o que has de menjar. És importantíssim posar-se d'acord sobre l'ètica en l'aplicació de la privacitat en el futur. És la defensa de la persona per sobre de tot, de l'individu. Aquesta tasca no la podem encarregar als algoritmes.
Maria Àngels Barbarà, directora de l'Autoritat Catalana de Protecció de Dades. Foto: Adrià Costa