El Reglamento europeo de Protección de Datos, un año después
Hace un año, por estas fechas, seguramente vuestra bandeja de correo electrónico se llenó de mensajes de empresas e instituciones pidiendo renovar vuestro consentimiento para seguir recibiendo comunicaciones electrónicas. Estaba a punto de entrar en vigor el Reglamento europeo de Protección de Datos (RGPD). Quizás o lo más seguro es que lo hayas olvidado pero nosotros nos preguntamos… ¿qué ha pasado un año después?
En los primeros nueve meses de aplicación de la nueva normativa europea de protección de datos, la European Data Protection Board (EDPB) ha recibido 206.326 casos de incumplimiento, la mayoría quejas y notificaciones de violación de datos, según el último informe de balance publicado. El 52% de los incidentes ya están cerrados y las multas por incumplir la normativa rozan los 56 millones de euros. Para la EDPB estos datos demuestran que en la práctica la nueva normativa “funciona bastante bien”.
Aunque se haya hablado menos de ella, tanto o más importante que este reglamento es la Ley orgánica de Protección de Datos personales y garantía de los derechos digitales (LOPDGDD), en vigor desde el pasado mes de diciembre. Ambas normativas han obligado a todas las administraciones públicas y empresas privadas españolas a adoptar e implantar medidas que garanticen la preservación y seguridad de los datos. Las universidades, que gestionan un gran volumen de datos, han tenido que evaluar sus riesgos para implementar mecanismos que los protejan. Y eso es, precisamente, lo que ha hecho la Universitat Jaume I (UJI) de Castelló.
Medidas para adecuarse y cumplir con la privacidad de datos
La UJI lleva meses inmersa en una hoja de ruta centrada en implantar mecanismos para ajustarse tanto al reglamento europeo como a la ley española de derechos digitales. Son múltiples y complejas acciones que podemos centrar en cinco grandes bloques.
- Registro de Actividades de Tratamiento
Además de adecuar todos los formularios en que se solicitan datos a las nuevas exigencias legislativas, se ha elaborado un Registro de Actividades de Tratamiento que detalla cada procedimiento de la Universidad y el canal de entrada de datos para verificar que la información y los instrumentos son conformes a la ley. Es un registro vivo y en constante actualización, ya que no se puede hacer ninguna actividad en la Universidad que previamente no esté registrada. Recoge el tratamiento de los datos, clasificados en función de su finalidad, ya sea de gestión, de docencia o de investigación.
2. Relaciones con terceros
Uno de los principales flujos de datos de la Universidad parte de las relaciones que tiene con entidades externas, sobre todo para la contratación de servicios. Es por ello que se han tenido que adaptar todos los instrumentos administrativos y regular contratos donde se establezca, claramente, la relación entre la UJI, como responsable de los datos, y la empresa o entidad, como encargada de tratamiento. Estas dos figuras están definidas en la nueva normativa, de manera que, el responsable fija los fines y los medios, es decir, por qué y cómo deben tratarse los datos y el encargado se ocupa de su tratamiento, por cuenta del responsable a quien está prestando un servicio.
3. Formación y concienciación de la comunidad universitaria
Uno de los principales problemas de la nueva normativa es la falta de formación y conocimiento de la sociedad. Para poner remedio, en la UJI, se han puesto en marcha campañas tanto informativas como formativas. Se han realizado cursos destinados al personal investigador y al alumnado de doctorado para sensibilizarlos sobre la importancia de la protección de datos y, en breve, se pondrá en marcha otro enfocado al personal de administración y servicios y al profesorado. Paralelamente, también se han hecho diferentes sesiones de trabajo para formar tanto a los técnicos de laboratorio como a los del Servicio de Informática.
“Nos preocupamos de supervisar que se protegen sus derechos digitales y de impulsar planes para conseguirlo”
4. Papel del delegado de protección de datos
Las universidades deben designar, como establece la normativa, un delegado de protección de datos (DPD)que se encargue de velar que no se produzca ninguna vulneración en materia de privacidad de datos. Este delegado debe estar inscrito en el registro habilitado por la Agencia Española de Protección de Datos, que es el organismo público responsable de supervisar el cumplimiento de esta materia. El director de la Oficina de Innovación y Auditoria TI (OIATI), José Pascual Gumbau, se ocupa de este cometido en la UJI: “potenciamos la educación digital de la comunidad UJI. Necesitamos que las personas de la UJI o las que se relacionan con nosotros sean digitalmente competentes y, mientras esto ocurre, nos preocupamos de asesorarles, de supervisar que se protegen sus derechos digitales y de impulsar planes para conseguirlo”.
5. Educación digital
Entre los 17 derechos digitales que recoge la LOPDGDD destaca el Derecho a la educación digital que establece que los planes de estudio de los títulos universitarios deben garantizar la “formación en el uso de los medios digitales y en la garantía de los derechos fundamentales en Internet”. En este sentido, el DPD de la UJI ha trasladado a la dirección de la Universidad la necesidad de potenciar la implantación del marco europeo DigComp de competencia digital en la comunidad UJI, incluyendo los planes de estudio actuales.
Promover el proceso de innovación TI para conseguir avances en la transformación digital de la Universidad es una de las funciones de la OIATI. Esta Oficina, además, se ocupa de analizar y plantear a la Universidad las medidas y planes necesarios para alcanzar el cumplimento de todos estos derechos digitales.
