---

---

T’imagines deixar la porta de casa teva oberta de bat a bat? Probablement no, oi? Doncs això és exactament el que fan moltes organitzacions amb les seves dades: deixen les portes digitals obertes sense adonar-se’n. En l’era digital actual, la seguretat de la informació s’ha convertit en una necessitat tan bàsica com tancar la porta amb clau.

La informació és el nou petroli del segle XXI, però a diferència del petroli, no es pot emmagatzemar en bidons de ferro. Viatja a través de cables, ones electromagnètiques i núvols digitals, exposada a amenaces que van des de l’error humà fins a ciberatacs sofisticats. Aquest article t’acompanyarà en un viatge pel fascinant món de la seguretat de la informació, descobrint com protegir aquest actiu tan valuós.

Què és la Seguretat de la Informació?

La informació és el conjunt organitzat de dades processades amb la intenció de ser transmès i efectuar un canvi en el coneixement o acció de qui el rep. Pot semblar complex, però pensem-ho d’aquesta manera: quan dius «em dic Maria», estàs transmitent informació. Quan apretem el botó d’encesa del televisor, estem enviant informació que fa que el televisor s’encengui.

Aquesta informació pot presentar-se de formes molt diverses: parlada, escrita manualment, impresa, enviada per correu ordinari, guardada en fitxers automatitzats o no automatitzats, o transmesa a través de mitjans electrònics com el correu electrònic o la missatgeria instantània.

Els Tres Pilars Fonamentals

Per a una correcta protecció de la informació, hem de basar-nos en tres principis importants que funcionen com les potes d’un tamboret: si en falla una, tot el sistema es desequilibra.

1. Integritat de les Dades

La integritat garanteix que els dades estiguin lliures de modificacions no autoritzades, mantenint-se consistents i sense alteracions. És com tenir un document original sense esmenes ni tacs: saps que el contingut és exactament com ha de ser. A través d’aquest principi, aconseguim que les dades es mantinguin tal com van ser generades, sense manipulacions per part de persones o processos no autoritzats.

2. Confidencialitat de les Dades

El principi de confidencialitat prevé la revelació sense autorització (intencionada o no) d’informació. Assegura que només tinguin accés a la informació protegida les persones autoritzades, limitant i impedint la filtració d’informació a persones no autoritzades. És com tenir una caixa forta: només qui té la combinació pot accedir al contingut.

A més, en cas d’una filtració d’informació, també es pot fer un millor seguiment de les persones que han tingut accés i determinar qui ho ha pogut causar o propiciar, millorant així l’eficiència i robustesa del sistema de gestió de la seguretat per a futures ocasions.

3. Disponibilitat de la Informació

El principi de disponibilitat assegura l’accés a la informació sense interrupcions, sempre que qui accedeixi sigui personal autoritzat. L’accés ha de ser en temps real i sense filtres. D’aquesta manera, es tindrà accés als sistemes de dades quan sigui necessari. No serveix de res tenir la informació més valuosa del món si no pots accedir-hi quan la necessites.

El RGPD estableix que les mesures de seguretat han d’incloure com a mínim:

• La seudonimització i el xifratge de dades personals
• La capacitat de garantir la confidencialitat, integritat, disponibilitat i resiliència permanent dels sistemes
• La capacitat de restaurar la disponibilitat ràpidament en cas d’incident
• Un procés de verificació regular de l’eficàcia de les mesures
• Procediments que garanteixin que qualsevol persona amb accés només pugui tractar dades seguint instruccions
• Avaluació de riscos constant

Anonimització vs Seudonimització: Coneix la Diferència

Aquestes dues tècniques són com germans bessons que semblen iguals però tenen personalitats completament diferents. Conèixer la distinció és fonamental per aplicar-les correctament.

Anonimització: Trencar la Cadena d’Identificació

Segons l’Agència Espanyola de Protecció de Dades, l’anonimització és «la ruptura de la cadena d’identificació de les persones». És la metodologia que produeix una ruptura total de les dades personals que tractarem amb les dades identificatives.

D’aquesta manera, aquests últims dades no poden usar-se per identificar una persona. Al no poder determinar qui és la persona posseedora d’aquestes dades, la normativa de protecció de dades no s’aplicarà. És com destruir completament el DNI d’una persona: no hi ha manera de saber qui és.

Exemple pràctic: Si una universitat vol analitzar el rendiment acadèmic dels seus estudiants sense vulnerar la seva privacitat, pot anonimitzar completament les dades eliminant noms, DNIs, i qualsevol altre identificador. Els resultats mostraran patrons generals sense possibilitat de vincular-los a individus específics.

Seudonimització: Protecció amb Connexió

Al igual que la metodologia d’anonimització, la seudonimització consisteix a tractar les dades personals sense les dades identificatives de l’interessat, però amb una diferència fonamental: no se suprimeix la connexió entre les dades que aconsegueixin identificar la persona física titular de les mateixes.

Per aquest mateix motiu, el tractament de dades seudonimitzades sí que li resultarà aplicable la normativa de protecció de dades. És com usar un àlies: encara que no utilitzis el teu nom real, hi ha una manera de saber qui ets realment si tens la clau correcta.

Exemple pràctic: Un hospital pot assignar un codi numèric únic a cada pacient (pacient_12345) en lloc d’utilitzar el seu nom. La informació mèdica es gestiona amb aquest codi, però el hospital manté una taula separada i protegida que vincula cada codi amb la identitat real del pacient. D’aquesta manera, els professionals poden treballar amb les dades sense conèixer la identitat, però aquesta es pot recuperar si és necessari.

La diferència clau: l’anonimització és irreversible, mentre que la seudonimització és reversible amb la informació adequada.

Bretxes de Seguretat: Quan les Coses Surten Malament

Un incident de pèrdua de dades o bretxa de seguretat és la pèrdua intencionada o no intencionada d’informació protegida, generalment contenint dades de caràcter personal, i la seva revelació a terceres persones que no han de tenir accés legítim (per llei) a aquestes dades.

Pensem-ho com un trencament de canonada en una casa: l’aigua (les dades) s’escapa i pot causar danys significatius. Un exemple real va ser el cas de Sony i la seva xarxa de Play Station, on es van descobrir dades de 77 milions de persones usuàries. Impressionant, oi?

Les causes de les violacions de seguretat de les dades són molt variades: des del hacking o pirateria informàtica, l’ús de malware, l’enginyeria social, o l’abús dels privilegis d’accés a les bases de dades.

Obligacions de Notificació segons el RGPD

Abans de l’aprovació del RGPD, quan una empresa patia una violació de dades a Espanya, no existia cap obligació de comunicació de l’incident. Quedava a criteri de l’entitat. Però això ha canviat radicalment.

El RGPD obliga que, en el cas de patir una violació de la seguretat de les dades personals, el Responsable del Tractament la notifiqui a l’Autoritat de Control entre les 72 hores després que n’hagi tingut constància, llevat que sigui improbable que aquesta violació constitueixi un risc per als drets i les llibertats de les persones físiques.

En el cas que la notificació a l’autoritat de control no tingui lloc en el termini de 72 hores, haurà d’anar acompanyada d’una indicació dels motius pels quals no s’ha notificat amb anterioritat.

Si és l’Encarregat del Tractament el que ha patit una bretxa de seguretat, haurà de notificar-la al Responsable del Tractament en un termini raonable i justificat.

La notificació d’una violació ha de descriure com a mínim:

• La naturalesa de la violació de la seguretat
• Les categories i el nombre aproximat de persones afectades
• Les categories i el nombre aproximat de registres afectats
• El nom i dades de contacte del Delegat de Protecció de Dades
• Les possibles conseqüències
• Les mesures adoptades o proposades

Com Comunicar-ho als Interessats

Quan és probable que la violació comporti un alt risc per als drets i llibertats de les persones físiques, poden sorgir tres actuacions:

1. Comunicació a l’Interessat

El Responsable del Tractament haurà de comunicar la bretxa de seguretat a l’interessat en un llenguatge clar i senzill, proporcionant la mateixa informació que a l’autoritat de control.

2. Omissió de la Comunicació a l’Interessat

Excepcionalment, es podrà no comunicar-la sempre que:

• S’han pres mesures posteriors que garanteixin que ja no existeix la probabilitat d’alt risc
• Suposaria un esforç desproporcionat (en aquest cas s’optarà per una comunicació pública)
• S’han adoptat mesures de protecció apropiades, com el xifratge, que fan els dades ininteligibles

És com quan xifres un document: encara que algú l’obtingui, no podrà llegir-lo sense la clau de desxifratge.

3. Obligació de Comunicació a l’Interessat

En ocasions, l’Autoritat de Control pot exigir al Responsable que comuniqui la bretxa als interessats, encara que aquest consideri que no és necessari.

El Marc Normatiu: Les Regles del Joc

La seguretat de la informació és el conjunt de mesures preventives i reactives d’una organització i dels sistemes tecnològics que, segons la ISO 27001, es refereix a la confidencialitat, la integritat i la disponibilitat de la informació i les dades importants per a l’organització, independentment del format que tinguin.

Legislació Nacional i Europea

El marc normatiu de seguretat de la informació es pot dividir en normatives nacionals i normatives europees.

A nivell nacional destaquen:

• La Llei 8/2011, per la qual s’estableixen mesures per a la protecció de les infraestructures crítiques
• La Llei 36/2015, de Seguretat Nacional
• El Reial Decret 3/2010, que regula l’Esquema Nacional de Seguretat
• El Reial Decret 4/2010, sobre l’Esquema Nacional d’Interoperabilitat
• La Llei 18/2011, reguladora de l’ús de les tecnologies en l’Administració de Justícia
• El Reglament (UE) 2016/679 (RGPD)
• El Reial Decret-llei 12/2018, de seguretat de les xarxes i sistemes d’informació
• La Llei Orgànica 3/2018 (LOPDGDD)
• UNE-EN ISO/IEC 27001:2017

A nivell europeu cal destacar:

• La Directiva NIS (Network and Information Systems), aprovada el 9 de juliol de 2016, creada per fer front al repte de la ciberseguretat. Aquesta normativa té com a objectiu incrementar la ciberseguretat de les persones, les empreses, els operadors de xarxa, les infraestructures crítiques, les xarxes de les administracions públiques i els sistemes militars, així com incrementar l’activitat econòmica.

L’Esquema Nacional de Seguretat (ENS)

L’Esquema Nacional de Seguretat es presenta com un conjunt estructurat de mesures i directrius que tenen com a objectiu primordial assegurar la integritat, confidencialitat, disponibilitat i autenticitat de la informació en l’àmbit de l’Administració pública espanyola.

És com un manual d’instruccions que indica exactament com s’han de protegir les dades governamentals. El 2015 es va produir una evolució important amb el Reial Decret 951/2015, que va introduir ajustos i millores significatives per adaptar-se als canvis tecnològics i les amenaces cibernètiques emergents.

Els principis bàsics de l’ENS són:

1. Seguretat integral: No es limita només a mesures tècniques, sinó que considera aspectes organitzatius, legals i humans.
2. Gestió de riscos: Implementació de processos per avaluar i gestionar els riscos de seguretat de la informació.
3. Prevenció, reacció i recuperació: Estratègies integrals per prevenir incidents, reaccionar immediatament i restaurar l’operativitat ràpidament.
4. Línies de defensa: Implementació de capes de seguretat en diferents nivells, com les múltiples muralles d’un castell medieval.
5. Reevaluació periòdica: Revisar i actualitzar regularment les mesures de seguretat per mantenir-se al dia amb les amenaces emergents.
6. Funció diferenciada: Assignar funcions i responsabilitats específiques relacionades amb la seguretat.

Ciberseguretat: Protegint-nos en el Ciberespai

La societat occidental actual depèn directament dels seus sistemes d’informació, de les noves eines tecnològiques, bàsicament sistemes informàtics i xarxes de comunicacions. Aquesta «digitalització de la societat» exigeix garantir un funcionament normal dels sistemes davant accidents o accions il·lícites o malintencionades.

La ciberseguretat està regulada per una sèrie de normatives amb la intenció d’establir unes regles i unes conseqüències per l’incompliment. Entre les més destacades trobem la Constitució Espanyola, la Llei de Seguretat Nacional, l’Estratègia Nacional de Ciberseguretat, el RGPD i la LOPDGDD.

Amenaces del Món Digital

Dins de la ciberseguretat hem de conèixer els següents conceptes que funcionen com diferents cares de la mateixa moneda:

Ciberataques: Atacs contra la seguretat dels sistemes. És com un assalt directe a una fortalesa digital.

Ciberespionatge: Accions portades a terme pels propis estats amb la intenció d’obtenir informació valuosa o sensible des dels punts de vista polític, estratègic, econòmic o de seguretat.

Ciberdelinqüència: Les accions que es porten a terme en el ciberespai quan revesteixen les característiques del delicte.

Hacktivisme: Activisme antisocial desenvolupat a Internet utilitzant coneixements informàtics amb fins mercantils, polítics o individuals.

Ciberterrorisme: És l’hacktivisme juntament amb la potencial amenaça de delictes de terrorisme.

Ciberyihadisme: Una amenaça de recent creació que combina mètodes del terrorisme, l’hacktivisme i la ciberguerra, fonamentada en una ideologia religiosa.

Ciberguerra: Les xarxes i els sistemes informàtics constitueixen un nou espai per a la confrontació militar.

L’Estratègia de Ciberseguretat Nacional

L’Estratègia de Ciberseguretat Nacional (ECSN), promulgada a finals de 2013 sota la direcció del Consell de Seguretat Nacional, emergeix com un far estratègic per abordar les creixents amenaces cibernètiques.

Emmarcada dins del context del Pla Nacional de Ciberseguretat, l’ECSN no només reflecteix la urgència d’enfrontar els desafiaments contemporanis en l’àmbit digital, sinó també la necessitat crítica de salvaguardar les dades sensibles de la ciutadania.

Els objectius de l’ECSN es poden dividir en:

Objectius globals:

• Aconseguir que Espanya faci un ús segur dels Sistemes d’Informació i Telecomunicacions, enfortint les capacitats de prevenció, defensa, detecció i resposta als ciberataques.

Objectius específics:

• Garantir la seguretat i resiliència dels sistemes de l’Administració pública
• Impulsar la seguretat en el sector privat i infraestructures crítiques
• Potenciar les capacitats de prevenció i resposta en l’àmbit judicial i policial
• Sensibilitzar la ciutadania sobre els riscos del ciberespai
• Assolir i mantenir els coneixements necessaris
• Contribuir a la millora de la ciberseguretat en l’àmbit internacional

Govern de la Seguretat de la Informació

El govern de seguretat de la informació inclou els elements que es requereixen per brindar a l’alta direcció la certesa que la seva direcció i compromís es reflecteixen en la postura de seguretat de l’organització.

Els Quatre Pilars de la Seguretat

La seguretat de la informació es basa en quatre pilars fonamentals:

1. Disponibilitat

Accés a la informació quan es requereix, tenint en compte la privacitat. Evitar «caigudes» del sistema que permetin accessos il·legítims o impedeixin l’accés al correu. És com tenir una biblioteca oberta 24/7: la informació està sempre accessible quan la necessites.

2. Confidencialitat

Informació accessible només per a personal autoritzat. La informació no ha d’arribar a persones o entitats no autoritzades. És el concepte de «necessitat de saber»: només qui realment necessita la informació pot accedir-hi.

3. Integritat

Informació correcta sense modificacions no autoritzades ni errors. Es protegeix enfront de vulnerabilitats externes o possibles errors humans. Com un document original sense esmenes.

4. Autenticació

Informació procedent d’un usuari que és qui diu ser. Es verifica i s’ha de garantir que l’origen de les dades és correcte. És com demanar el DNI abans de proporcionar informació sensible.

Mètriques per Mesurar l’Èxit

Les mètriques desempenyenfun paper crucial en proporcionar una forma quantificable d’avaluar i mesurar l’efectivitat de les pràctiques de seguretat. Algunes mètriques clau són:

• Índex de compliment normatiu: mesura el grau de compliment amb estàndards i regulacions
• Taxa de detecció d’incidents: avalua la capacitat de detectar incidents de manera oportuna
• Temps de resposta a incidents: mesura la rapidesa de resposta i mitigació
• Nivell de conscienciació de l’usuari: avalua el grau de formació del personal
• Índex d’actualització de software: mesura la freqüència d’actualitzacions de seguretat
• Índex d’èxit en auditories: avalua l’efectivitat de les mesures a través d’auditories regulars
• Nombre d’incidents reportats per usuaris: mesura la participació del personal en la seguretat

Noves Tecnologies i Seguretat de les Dades

Per poder garantir la seguretat de les nostres dades emmagatzemades en diferents suports digitals, és necessari conèixer el funcionament d’aquests. Advertir com es relacionen entre ells els diferents dispositius, així com el funcionament exacte de cada un dels seus components, permetrà ser més conscient dels possibles riscos en el tractament de les dades.

Les Xarxes de Comunicació

Les xarxes de comunicació són sistemes interconnectats que permeten la transferència d’informació entre diferents dispositius, ja sigui a través de mitjans físics (com cables) o sense fils (com ones electromagnètiques).

Canals de comunicació:

La informació es transmet d’un equip a un altre mitjançant la propagació de senyals. Aquests canals es poden classificar en:

• Mitjans de transmissió guiats o alàmbrics: Connectats mitjançant un cable físic (cable de telèfon, cable coaxial, fibra òptica)
• Mitjans de transmissió no guiats o sense fils: S’utilitzen de suport per transmetre l’enviament de senyals però no tenen un camí delimitat (radiofreqüència, infrarojos)

Periférics de comunicació:

Per què un equip pugui estar connectat a la xarxa, haurà de disposar d’un component específic que li permeti gestionar l’intercanvi d’informació. Entre els perifèrics més usuals trobem:

• Mòdems
• Targetes wireless
• Targetes de xarxa
• Connectors infrarojos
• Connectors bluetooth
• Lectors NFC

Construcció de xarxes:

Els principals components específics per a la construcció de xarxes són:

• Hub: permet centralitzar el cablejat
• Switch: interconnecta segments de xarxa
• Bridge: interconnecta només dos segments
• Router: controla la comunicació analitzant peticions
• Gateway o proxy: connecta segments passant informació
• Firewall: responsable de connectar xarxes, inspeccionant i filtrant la informació
• Access point: proporciona senyal wifi

Abast geogràfic:

En funció de l’abast geogràfic d’una xarxa, trobem:

• Xarxes LAN (àrea local): equips en el mateix lloc
• Xarxes MAN (àrea metropolitana): extensió major que LAN
• Xarxes WAN (àrea ampla): abasta múltiples àrees
• Xarxes VPN (privades): estén de forma segura una xarxa sobre una pública
• Xarxes VLAN (locals virtuals): crea segments aïllats virtualment

Internet i els Seus Desafiaments

Internet es conforma d’un conjunt de xarxes de comunicació interconnectades entre elles que utilitzen protocols TCP/IP per establir aquestes comunicacions. És com una autopista global on la informació viatja a velocitats increïbles.

Les empreses proveïdores assignen un rang d’IP a cada dispositiu, permetent la identificació inequívoca dels equips. Aquesta assignació és controlada per ICANN, una organització internacional sense ànim de lucre.

Característiques principals d’Internet:

• Els equips i Internet: Necessiten direcció IP, porta d’enllaç i direcció del servidor DNS
• Correu electrònic: Permet enviar i rebre missatges mitjançant el protocol SMTP
• World Wide Web: El protocol més usat d’accés a Internet, facilitant l’hipertext
• Intercanvi d’arxius: Per a grans volums s’utilitza el protocol FTP

El Software: Àngel o Dimoni?

El software és l’encarregat de processar les dades d’entrada per produir els resultats desitjats. Es conforma de totes aquelles instruccions que pot interpretar un equip a diferents nivells, transformades en unitats binàries perquè puguin ser interpretades.

La importància del software és tal que pot fer que un equip de hardware concret tingui usos i capacitats molt diferents. És el software el que ens permetrà utilitzar i explotar les capacitats de cada un dels components existents.

Avui dia, qualsevol dispositiu electrònic medianament complex disposa de software que l’ajuda a complir amb les seves funcions. Cada dia comptem amb més objectes que disposen d’aquestes funcionalitats: neveres amb detecció de dates de caducitat, bombetes intel·ligents, assistents virtuals com Google Home, Amazon Echo o Apple HomePod.

Tots aquests dispositius formen part de l’Internet de les Coses (IoT). Es tracta d’un sistema de dispositius interrelacionats que tenen identificadors únics i la capacitat de transferir dades a través d’Internet sense requerir la interacció humana.

Sistemes operatius i la seva seguretat:

El sistema operatiu proporciona a l’usuari una interfície que li permet interactuar de forma fàcil i ràpida amb l’equip. Per garantir un entorn segur, ha de garantir:

• La integritat: marcant quins elements poden modificar els diferents objectes
• La disponibilitat: els objectes han de romandre accessibles
• La confidencialitat: garantir l’accés només a elements autoritzats

Per garantir aquestes tres dimensions, els sistemes operatius estableixen mecanismes de protecció consistents en:

• Identificació i autenticació de l’usuari
• Control d’accés determinat
• Xifratge de dades

Els Sistemes d’Informació: El Cicle de Vida

Un sistema d’informació és un conjunt organitzat d’elements interrelacionats que recopilen, processen, emmagatzemen i distribueixen dades per donar suport a la presa de decisions, el control i la coordinació en una organització.

Components bàsics:

• Entrades (Inputs): Dades que es recopilen i s’ingressen al sistema
• Processament: Manipulació i transformació de les dades
• Emmagatzematge: Conservar la informació processada
• Sortides (Outputs): Resultats del processament
• Retroalimentació (Feedback): Informació per realitzar ajustos
• Control: Supervisió i regulació de les operacions

Etapes d’un sistema d’informació:

1. Planificació: Tasques prèvies que influiran decisivament en l’èxit
2. Anàlisi: Esbrinar què és exactament el que ha de fer el sistema
3. Disseny: Estudiar alternatives d’implementació i decidir l’estructura
4. Implementació: Seleccionar eines adequades i llenguatge de programació
5. Proves: Detectar errors de les etapes anteriors
6. Instal·lació o desplegament: Planificar l’entorn de funcionament

Seguretat des del Disseny i per Defecte

El RGPD estableix que la protecció dels drets i llibertats de les persones físiques exigeix l’adopció de mesures tècniques i organitzatives apropiades amb la finalitat de garantir el compliment dels requisits. Per poder demostrar la conformitat, el Responsable ha d’adoptar polítiques internes i aplicar mesures que compleixin els principis de protecció de dades des del disseny i per defecte.

Privacitat des del Disseny

La privacitat des del disseny implica l’adopció de mesures tècniques i organitzatives per aplicar efectivament els principis de protecció de dades i integrar les garanties necessàries en el tractament, tenint en compte la privacitat en tot el cicle d’un producte o servei des de la seva creació fins a la seva comercialització.

Els seus principis són:

• Disseny PROACTIU, no REACTIU
• Privacitat com a configuració per defecte
• Privacitat incrustada en el disseny
• Funcionalitat total: «Suma Positiva» no «Suma Zero»
• Seguretat en tot el cicle de vida
• Visibilitat i Transparència
• Respecte a la Privacitat Personal

Exemple pràctic:

La creació d’una aplicació de recordatoris diaris. Des del disseny, l’aplicació es focalitza a recol·lectar únicament la informació essencial, com els recordatoris personals de l’usuari. Les opcions de privacitat es configuren per defecte per mantenir aquests recordatoris com a privats. S’implementa un xifratge per assegurar que les dades estiguin protegides durant la transmissió i emmagatzematge.

Privacitat per Defecte:

La privacitat per defecte implica que per defecte només es tractin aquelles dades que siguin necessàries per als fins del tractament.

Exemple: Un servei de correu electrònic que des del registre només recopila i processa les dades essencials necessàries per al funcionament del servei, com l’adreça de correu electrònic. Les configuracions predeterminades asseguren que només es tractin les dades indispensables.

Codis de Conducta i Canals de Denúncia

L’adhesió a codis de conducta és una forma de demostrar que el Responsable del Tractament està prenent mesures per complir amb les seves obligacions quant a protecció de dades personals.

Els Estats membres, les autoritats de control, el Comitè i la Comissió promouran la creació de diversos codis de conducta tenint en compte les característiques específiques dels diferents sectors.

També promouran la creació de mecanismes de certificació en matèria de protecció de dades amb l’objectiu de demostrar el compliment del RGPD. L’obtenció d’aquesta certificació no eximirà el Responsable de la seva responsabilitat. Aquesta certificació té una validesa de 3 anys i és renovable.

Canal de Denúncia:

Un canal de denúncia és un mecanisme establert per una organització perquè els membres de la plantilla, clientela o altres parts interessades informin sobre possibles violacions ètiques, legals o de polítiques dins de l’organització.

Totes les empreses de més de 50 persones treballadores estan obligades a tenir un canal de denúncia com a part d’un sistema d’informació. Aquesta obligació està contemplada en la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció.

Programa de Compliment de Protecció de Dades

Un sistema o programa de protecció de dades es refereix a un conjunt de mesures, polítiques i pràctiques implementades per una organització per garantir la seguretat, privacitat i integritat de la informació personal que gestiona.

Les Quatre Fases d’Implementació

Fase 1 – Anàlisi de l’organització

La primera fase consistirà en un anàlisi exhaustiu de la pròpia organització i els tractaments de dades de caràcter personal realitzats. Resultarà precís tenir en compte:

• La legislació específica aplicable a cada organització
• El perfil o caràcter de cada organització
• Estudi dels tractaments de dades personals
• Anàlisi de la necessitat de fer una avaluació d’impacte

Fase 2 – Nomenament de rols o creació de l’equip de treball

En aquesta fase, l’organització haurà de procedir a elaborar l’equip de treball en matèria de protecció de dades. Un dels punts més importants és la detecció de la necessitat de comptar amb la figura del Delegat de Protecció de Dades.

Fase 3 – Disseny de mesures i procediments

La fase 3 tindrà per objectiu el disseny de les mesures de compliment que haurà d’adoptar l’organització. És a dir, haurem de dissenyar:

• La normativa que haurà d’adoptar l’organització
• Un diligent procediment de gestió dels drets de les persones afectades
• Una adequada Política de Privacitat
• Un registre de les activitats de tractament

Fase 4 – Implantació de mesures i procediments

Un cop dissenyades i obtingudes les eines en la fase 3, les mateixes hauran de posar-se a disposició dels diferents departaments o àrees de l’organització. La coordinació de la implantació recaurà sobre l’equip de treball creat en la fase 2.

És molt recomanable que tota organització elabori plans de conscienciació, informació i formació a la seva plantilla, amb la finalitat de millorar els resultats de la implantació, minimitzar els riscos i enfortir la cultura organitzativa en matèria de protecció de dades.

Objectius del programa:

Els principals objectius són:

• El degut compliment de la legislació vigent en matèria de protecció de dades
• L’acreditació del compliment per part del Responsable i Encarregat del Tractament
• L’acreditació de totes aquelles altres activitats portades a terme en matèria de «privacitat», com a mostra de diligència

El compliment del nou règim jurídic comporta la necessitat d’assumir de forma voluntària i diligent el compliment de la legislació i la normativa vigent. Les organitzacions hauran d’adaptar-se a la norma vigent, a una nova manera de fer les coses, a una modificació de processos, de recursos i de filosofia. Es produeix així un canvi de concepte orientat a la cultura de la protecció de dades a tots els nivells i a la responsabilitat proactiva o accountability.

Conclusió: La Seguretat és Responsabilitat de Tots

Hem recorregut un llarg camí pel món de la seguretat de la informació, des dels conceptes més bàsics fins a les estratègies més complexes d’implementació. Si hi ha una lliçó que hem d’emportar-nos és aquesta: la seguretat de la informació no és només responsabilitat del departament d’IT o del Delegat de Protecció de Dades. És responsabilitat de cada persona que tracta amb dades.

Pensem-ho com en la seguretat d’un edifici: no n’hi ha prou amb tenir la millor porta blindada del món si després deixem les finestres obertes. Cada empleat, cada directiu, cada persona que té accés a informació és un punt potencial de vulnerabilitat o, si està ben format i conscienciat, una línia de defensa.

El RGPD no és només una llei més que complir per evitar sancions. És una oportunitat per replantejar-nos com gestionem la informació més valuosa que tenim: les dades de les persones. En l’era digital, on una bretxa de seguretat pot significar la diferència entre la confiança i la ruïna reputacional, invertir en seguretat de la informació no és una despesa, és una inversió estratègica.

Recordem que la tecnologia evoluciona constantment, i amb ella evolucionen també les amenaces. El que avui és segur, demà pot estar obsolet. Per això, la vigilància constant, la formació contínua i l’adaptació permanent són les claus per mantenir les nostres dades segures.

La privacitat des del disseny i per defecte no són només conceptes teòrics del RGPD: són la filosofia que ha de guiar cada decisió que prenem respecte al tractament de dades. Quan desenvolupem un nou sistema, quan contractem un nou servei, quan implementem una nova eina, la pregunta sempre ha de ser: «Com afecta això a la privacitat i seguretat de les dades?»

Finalment, no oblidem que darrere de cada dada hi ha una persona real amb drets i expectatives. Protegir les dades no és només complir amb una llei: és respectar la confiança que les persones dipositen en nosaltres quan ens comparteixen la seva informació personal.

---

Preguntes Freqüents

1. Quina és la diferència pràctica entre anonimització i seudonimització?

La diferència fonamental és la reversibilitat. L’anonimització elimina completament i de forma irreversible qualsevol connexió amb la identitat de la persona, de manera que és impossible re-identificar-la. Per exemple, si elimines completament el nom, DNI i qualsevol dada que permeti identificar algú, i només conserves dades estadístiques agregades. En canvi, la seudonimització substitueix els identificadors directes per codis o àlies, però manté la possibilitat de re-identificar la persona si tens accés a la taula de correspondència. És com usar un pseudònim: encara pots saber qui ets realment si tens la clau. Important: l’anonimització NO està subjecta al RGPD, però la seudonimització SÍ.

2. Què he de fer si la meva empresa pateix una bretxa de seguretat?

Primer, mantenir la calma i actuar ràpidament. Tens un màxim de 72 hores des que tens constància de la bretxa per notificar-la a l’Autoritat de Control (AEPD a Espanya). La notificació ha d’incloure: la naturalesa de la violació, categories i nombre aproximat de persones afectades, dades de contacte del Delegat de Protecció de Dades (si n’hi ha), possibles conseqüències i mesures adoptades o proposades. A més, si la bretxa comporta un alt risc per als drets dels interessats, hauràs de comunicar-ho també directament a les persones afectades. Documenta tot el procés i les mesures preses per mitigar l’incident.

3. La meva empresa necessita un Delegat de Protecció de Dades?

Segons el RGPD, és obligatori designar un Delegat de Protecció de Dades si: (1) Ets una autoritat o organisme públic, (2) Les activitats principals requereixen una observació habitual i sistemàtica de persones a gran escala, o (3) Les activitats principals consisteixen en el tractament a gran escala de categories especials de dades. Si no compleixes aquests requisits, no és obligatori, però pot ser recomanable per demostrar responsabilitat proactiva. En cas de dubte, consulta amb un expert en protecció de dades o amb l’autoritat de control.

4. Com puc implementar la privacitat des del disseny a la meva organització?

La privacitat des del disseny significa integrar la protecció de dades des del moment inicial de qualsevol projecte, producte o servei. Comença per: (1) Fer una avaluació d’impacte abans de llançar nous projectes, (2) Implementar el principi de minimització de dades (només recollir el mínim necessari), (3) Configurar per defecte les opcions més respectuoses amb la privacitat, (4) Utilitzar tècniques com la seudonimització o xifratge, (5) Formar l’equip de desenvolupament en protecció de dades, i (6) Revisar regularment els sistemes existents. Recorda: és més fàcil i econòmic integrar la privacitat des de l’inici que intentar corregir-ho després.

5. Quines són les sancions per incomplir el RGPD?

El RGPD estableix un règim sancionador amb dos nivells. Les infraccions més greus poden comportar multes de fins a 20 milions d’euros o el 4% de la facturació anual global de l’exercici anterior, la quantitat que sigui superior. Les infraccions menys greus poden comportar multes de fins a 10 milions d’euros o el 2% de la facturació anual global. Però més enllà de les sancions econòmiques, considera el dany reputacional: una bretxa de dades ben gestionada pot salvar la reputació de la teva empresa, mentre que una mal gestionada pot destruir anys de confiança. Les autoritats de control valoren positivament la cooperació, la transparència i les mesures proactives de compliment.