L’arxiver/a – delegat/delegada de protecció de dades

El archivero/a – delegado/a de protección de datos (versió en castellà)

El 27 de febrer d’aquest 2021 l’AAC va organitzar un seminari sobre la vinculació de la protecció de dades amb la gestió de documents. Però no des del marc teòric, sinó baixant a la realitat a partir de l’experiència concreta als ajuntaments de Girona i de Sant Cugat, on la figura del delegat de protecció de dades recau també en les responsables directes de la gestió de documents de l’organització.

En tots dos casos el rol a l’organització envers la protecció de dades no neix amb el RGPD, sinó que part de les seves responsabilitats ja eren assumides anteriorment. Per exemple, en el cas de l’Ajuntament de Girona, l’Administrador de dades personals existia des de 2003. Més recent fou l’assumpció d’aquestes responsabilitats per part de Sant Cugat, però també molt anterior al RGPD, essent l’arxiver Responsable de seguretat de les dades en paper des del 2010. Era clar, doncs, que per part de qui subscriu aquest text la sessió tindria una decidida orientació pràctica.

Prèviament, les persones interessades havien respost de forma voluntària  i -naturalment- anònima, algunes qüestions sobre el tema. Aquesta informació posà de manifest que el doble rol professional és testimonial i, de fet, també la implicació en la protecció de dades de l’organització és molt baixa. Per tant, no és d’estranyar que la principal preocupació plantejada prèviament posés el focus sobre l’equilibri del triangle transparència, protecció de dades i exercici del dret d’accés a la informació, del qual derivava també la sensació de falta de coneixement legal suficient per abordar-lo.

El desenvolupament del seminari va intentar resoldre dubtes en relació amb els següents punts:

• Per què vincular la gestió de documents amb la protecció de dades.
• El valor afegit que aporta la gestió de documents.
• Els avantatges que suposa el rol de delegat/da de protecció de dades.
• Els inconvenients que comporta el rol de delegat/da de protecció de dades.

En podem llegir l’extracte a continuació, a més d’un seguit de consideracions finals d’ordre estratègic i pràctic, i un resum de la informació aportada per les persones inscrites.

Seminari Arxiver/a i delegat/delegada de protecció de dades: algunes conclusions

A. PER QUÈ vincular la Gestió de Documents amb la Protecció de Dades.

1. La Gestió de Documents implica una funció d’intermediació natural en:
   • La gestió administrativa de tots els departaments.
   • La col·laboració en el disseny dels sistemes amb el departament d’informàtica, i
   • L’adequació del procediment amb Secretaria o els serveis jurídics.
2. Els arxius tenen experiència i han de gestionar tant sí com no el règim d’accés tant sobre la documentació històrica com en la documentació administrativa.
3. La Gestió de Documents és qui administra el règim de conservació de la documentació i, per tant, pot establir i justificar els terminis de conservació de les dades personals.

Per tant, la intermediació amb el personal, la tecnologia i la legislació.

B. VALOR AFEGIT que aporta la Gestió de Documents:

1. Coneixement de la gestió diària des del punt de vista administratiu, tecnològic i humà.
2. Visió global i transversal per a la diagnosi de la realitat, la detecció de problemes i la proposta de solucions homogènies i coherents al llarg de l’organització i del cicle de vida de la documentació.
3. Metodologia d’anàlisi i instruments que donen suport a la protecció de dades personals (pautes, RAT, etc.), principalment els quadres i instruments de classificació, d’accés i de conservació de la documentació, entre altres.
4. Possibilitat real de poder intervenir i incidir en el punt de captura de la informació mitjançant l’establiment de pautes en la forma d’entrada de les dades, amb l’objectiu de garantir la qualitat de les dades i preveure’n la possible dissociació automatitzada.
5. Planificació de sistemes de producció documental de qualitat que incloguin requisits de protecció de dades per disseny i per defecte d’acord amb la sistematització de la informació i l’establiment dels seus règims d’accés i de conservació.
6. Reforç a l’equilibri entre transparència, dret d’accés i protecció de dades a partir de la ponderació que permet el règim d’accés de la documentació.

C. AVANTATGES que suposa el rol de Delegat/da de Protecció de Dades:

1. Major visibilitat en l’organització per ser un rol clarament recolzat per la legislació.
2. L’oportunitat de detectar o interceptar iniciatives que requereixen intervencions en gestió de documents. Per exemple, mitjançant la valoració prèvia de contractes de serveis que requereixen informe o assessorament en matèria de protecció de dades.
3. Possibilitat de participar en organismes d’alt nivell de decisió, com la Comissió de Seguretat Corporativa de la Informació o equivalent, o de retre comptes directament als responsables polítics o d’alta direcció de l’organització.

D. INCONVENIENTS que suposa el rol de Delegat/da de Protecció de Dades:

1. Un increment notable de feina per les obligacions en matèria de protecció de dades. A més, sovint afecta simultàniament tant gestió de documents com protecció de dades arran d’haver d’intervenir en un àmbit o l’altre.
2. La falta de recursos humans o pressupostaris per a poder fer correctament la feina. Disposar de DPD no resol el compliment en matèria de protecció de dades. Això reitera la sensació d’haver de perseguir l’obtenció de mitjans, el suport o la col·laboració per a resoldre els problemes.
3. Les possibles pressions per confondre la dependència orgànica com arxiver/a amb la dependència funcional del delegat/da de protecció de dades, que sempre és al més alt nivell, o bé per desconeixement de la seva independència operativa, reconeguda legalment.

E. CONSIDERACIONS a tenir en compte:

1. La participació en determinats òrgans, com la Comissió de Seguretat Corporativa de la Informació o equivalent, com a delegat/da de protecció de dades mai hauria d’anar en detriment de la participació, alhora, com a arxiver/a i expert/a en gestió de documents.
2. La regulació d’òrgans transversals com la Comissió de Seguretat Corporativa de la Informació o equivalent ha de recollir la participació d’ambdós rols, atès que el de delegat/da de protecció de dades és, normalment, per designació i, per tant, subjecte a revocació.
3. L’assumpció puntual o no del rol de delegat/da de protecció de dades s’ha de reflectir també en la Relació de Llocs de Treball de l’organització, de manera clarament separada encara que sigui de manera temporal.
4. En municipis amb policia local, el delegat/da de protecció de dades, haurà de col·laborar-hi en matèria de videovigilància, per les responsabilitats que la llei els confereix.
5. En organitzacions en què el rol de delegat/da de protecció de dades recaigui en un perfil jurídic o en un d’informàtic, la perspectiva organitzativa que podem aportar és important. En aquest sentit, es pot crear una figura de suport com la de l’Administrador/a de Dades Personals, vinculada funcionalment al delegat/da de protecció de dades, que de ben segur serà molt benvinguda. Per exemple, l’Ajuntament de Girona va crear aquesta figura com a suport i possible substitució del delegat en la seva absència davant d’una violació de seguretat.
6. Ara per ara, el rol de delegat/da de protecció de dades no, és incompatible amb el d’arxiver/a, sempre que ambdues funcions no interfereixin. En canvi sí que és incompatible amb el de Secretaria o amb determinats càrrecs dels departaments d’informàtica, per les responsabilitats específiques derivades de l’Esquema Nacional de Seguretat que han d’assumir (responsable del sistema d’informació, de seguretat, etc.).
7. Una incompatibilitat similar es podria donar amb el rol de direcció de dades (Chief Data Officer), responsable de les “Oficines de Gestió de Dades” o, fins i tot, de Smart Cities, atès que el seu objectiu és la màxima explotació de dades de l’organització.
8. Les funcions de delegat/da de protecció de dades, requereixen recursos per a poder exercir-les de forma completa i correcta. Si aquest rol és assumit per part d’arxiver/a, cal tenir-ho ben present i que en la designació hi hagi també el compromís institucional de dotar-la de manera convenient. Això és important fins i tot en el cas d’assumir un rol complementari com podria ser el d’administració de dades personals.

Dades aportades per les persones inscrites: algunes reflexions

El rol de delegat/da de protecció de dades

• El doble rol d’arxiver/a i delegat/da de protecció de dades és, ara per ara, testimonial.
• La implicació en l’adequació de l’organització al RGPD és molt baixa.
• Els professionals coneixen les funcions del rol de DPD, però no en profunditat.

Principals preocupacions i dubtes plantejats

• L’equilibri entre la transparència i la protecció de dades, també en el sector privat.
• La protecció de dades com a possible bloqueig a l’exercici del dret d’accés a la informació.
• La protecció de dades en fons privats ingressats als arxius, especialment els personals.
• Els beneficis de vincular gestió de documents i protecció de dades per a l’organització pública o privada.
• La falta de coneixement legal suficient.
• La gestió del dret d’accés: la limitació de la consulta de dades, l’anonimització, etc.
• El volum de feina que implica la normalització de la gestió de dades.
• La incidència del delegat/da de protecció de dades en l’eliminació de documents.
• Qui determina el règim d’accés en una organització.