El Supervisor Europeu de Protecció de Dades (EDPS) ha denunciat l’ús de Pegasus contra independentistes catalans i ha demanat prohibir aquest programa espia. Quina valoració fa d’aquesta vigilància sense precedents?
Entre els afectats pel cas «Catalangate» hi ha membres del govern de la Generalitat i diputats del Parlament de Catalunya, de manera que l’extracció de les seves dades recau en l’àmbit públic i és per això que hem rebut alguna notificació per la violació de la seva seguretat. La nostra posició no pot ser altra que la declarada pel supervisor europeu, que va ser molt contundent assenyalant que la seguretat nacional no pot ser una excusa per fer servir aquests sistemes de forma indiscriminada, que només s’haurien d’usar davant d’amenaces greus i imminents com pot ser el terrorisme.
L’Agència Espanyola de Protecció de Dades (AEPD) ha descartat investigar el «Catalangate» perquè l’activitat classificada del CNI està blindada per llei. Tenen les mans lligades?
Estic convençuda que els que s’han vist afectats ho denunciaran i partir d’aquí actuarem per veure si tenien alguna vulnerabilitat en els seus sistemes.
Des de la Generalitat, Estrella Damm o la Universitat Autònoma de Barcelona (UAB), l’any passat es va registrar un important augment dels ciberatacs a Catalunya. Com es respon a aquesta amenaça?
Aquest és un element que ens preocupa. El 2021 hi va haver més de 40.000 milions de filtracions de dades personals, cosa que significa que milions de catalans s’han vist afectats. També hem rebut un 42% més de denúncies, fet que suposa un increment brutal. Treballem amb l’Agència de Ciberseguretat de Catalunya, que controla més la protecció de sistemes. Nosaltres podem actuar i acompanyar obrint investigacions quan es denunciïn possibles violacions en el tractament de les dades. Hem de ser més conscients del que tenim entre mans i, per això, també fem campanyes per formar els formadors. Així, sabran educar els nens sobre la importància de cuidar les dades.
Com conscienciar quan ja vivim en una economia que s’alimenta de l’extracció de la nostra privadesa?
Per sort estem en el marc europeu, que busca regular de forma específica aquesta economia, a diferència del que passa als Estats Units o a la Xina, perquè es puguin fer servir les dades però amb cura. Podem sentir-nos com una gota enmig d’un oceà, però la nostra aportació ha de ser-hi.
La seva tasca es limita al sector públic català...
És així, en l’administració i en les empreses que presten serveis públics. Tot i això, estem lluitant per ser competents en l’àmbit empresarial, és una cosa que està sobre la taula en les reunions bilaterals amb el Govern espanyol.
La Generalitat ha aprovat un decret llei que permetrà als instituts catalans tenir accés a les dades de vacunació dels alumnes per detectar possibles positius de covid-19 i gestionar millor les quarantenes. Quins reptes comporta?
La llei de l’APDC estableix que totes les lleis que puguin tenir una afectació sobre la protecció de les dades han de ser revisades i considerades per nosaltres. En el cas d’aquesta llei que esmentes no ha estat així, no ens han consultat.
A l’octubre es va detectar un error de seguretat al web de la T-Mobilitat que va exposar les dades dels usuaris. L’Autoritat del Transport Metropolità (ATM) va dir que obriria un expedient als responsables del desenvolupament del projecte, en mans de CaixaBank, Fujitsu, Moventia i Indra. Hi haurà sancions?
Aquest és un tema que encara no hem tancat. Hem rebut diverses denúncies de persones assenyalant que la bretxa de seguretat de l’app exposa dades personals dels usuaris. L’ATM també ens ha notificat aquesta bretxa, com ho estableix la normativa europea. Hem obert un expedient i estem investigant què ha passat. Encara no hem arribat a cap conclusió. Estem treballant-hi tant des de l’àrea jurídica com en l’anàlisi de les dades.
A finals d’abril vam saber que l’Ajuntament de Barcelona farà servir drons amb càmeres per gestionar l’accés a les platges. Com fer-ho sense violar la protecció de dades?
Si es fa, la presa d’imatges no pot identificar les persones des del primer instant. S’entén que aquesta tecnologia busca comptabilitzar la gent que hi ha a les platges, però en cap cas aquestes càmeres no poden identificar les persones.
Similar al que passa amb els drons policials en la gestió dels aforaments?
L’àmbit policial té una legislació pròpia i tot allò que sigui prendre dades des d’objectius mòbils, siguin drons o no, necessita abans una autorització de la Comissió de Videovigilància. Qualsevol persona que cregui que ha estat enregistrada quan no tocava pot acudir a nosaltres. De fet, ja tenim sol·licituds d’aquest tipus i les analitzem per donar-los resposta, ja sigui decretar que aquestes imatges es quedin en l’àmbit judicial o que siguin destruïdes, en cas d’haver-se fet un mal ús.
