Entrevista

Meritxell Borràs: «Milions de catalans s’han vist afectats pel robatori de dades»

Del Pegasus als atacs cibernètics, de la pandèmia als errors de la T-Mobilitat, parlem amb la directora de l’Autoritat Catalana de Protecció de Dades (APDCAT) sobre els reptes de l’organisme

Meritxell Borràs: «Milions de catalans s’han vist afectats pel robatori de dades»

ACPD

4
Es llegeix en minuts
Carles Planas Bou
Carles Planas Bou

Periodista

Especialista en Xarxes, algoritmes i la intersecció entre política i tecnologia

Ubicada/t a Barcelona

ver +

Tot el que fas a internet deixa un rastre de dades. De la seva defensa depèn que la teva privacitat no quedi exposada. L’Autoritat Catalana de Protecció de Dades (APDCAT) vetlla perquè les institucions públiques compleixin amb les lleis europees i protegeixin aquesta informació. La seva directora, Meritxell Borràs, concedeix a EL PERIÓDICO la seva primera entrevista des que fos elegida en el càrrec el febrer passat per analitzar els reptes i riscos de l’organisme públic que encapçala.

El Supervisor Europeu de Protecció de Dades (EDPS) ha denunciat l’ús de Pegasus contra independentistes catalans. ¿Quina valoració fa d’aquesta vigilància?

Entre els afectats pel cas hi ha membres del Govern de la Generalitat o diputats, amb la qual cosa l’extracció de les seves dades és de l’àmbit públic i és per això que hem rebut alguna notificació per violació de la seva seguretat. La nostra posició no pot ser cap altra que la del supervisor europeu, que va ser molt contundent assenyalant que la seguretat nacional no pot ser una excusa per fer servir aquests sistemes de forma indiscriminada, que només s’haurien d’utilitzar davant amenaces greus i imminents com el terrorisme.

L’Agència Espanyola de Protecció de Dades (AEPD) ha descartat investigar el ‘Catalangate’ perquè l’activitat classificada del CNI està blindada per llei. ¿Teniu les mans lligades?

Estic convençuda que qui s’ha vist afectat ho denunciarà i a partir d’aquí actuarem per veure si tenien alguna vulnerabilitat en els seus sistemes.

Des de la Generalitat fins Estrella Damm o la UAB, l’any passat es va registrar un augment dels atacs cibernètics a Catalunya. ¿Com es respon a aquesta amenaça?

Aquest és un element que ens preocupa. El 2021 hi va haver més de 40.000 milions de filtracions de dades personals, cosa que significa que milions de catalans s’han vist afectats. També hem rebut un 42% més de denúncies, cosa que suposa un increment brutal. Treballem amb l’Agència de Ciberseguretat de Catalunya, que controla més la protecció de sistemes. Nosaltres podem actuar i obrir investigacions quan es denuncien possibles violacions en el tracte de les dades. Hem de ser més conscients del que tenim entre mans i, per això, també portem a terme campanyes per formar els formadors. Així, sabran educar els nens sobre la importància de les dades.

La vostra tasca es limita al sector públic català...

Així és, a l’Administració i les empreses que presten serveis públics. Tot i així, estem lluitant per ser competents en l’àmbit empresarial, és una cosa que és sobre la taula en les reunions bilaterals amb el Govern espanyol.

La Generalitat ha aprovat un decret llei que permetrà als instituts catalans tenir accés a les dades de vacunació dels alumnes per gestionar quarantenes si hi ha un positiu a classe. ¿Quins reptes comporta aquesta gestió?

La llei de l’APDC estableix que totes les lleis que puguin tenir una afectació sobre la protecció de les dades han de ser revisades i considerades per nosaltres. En el cas d’aquesta llei que esmentes no ha sigut així, no ens han consultat.

A l’octubre es va detectar un error de seguretat a la web de la T-Mobilitat. L’Autoritat del Transport Metropolità (ATM) va dir que obriria un expedient informatiu als responsables del desenvolupament del projecte (CaixaBank, Fujitsu, Moventia i Indra, amb un contracte de 60 milions d’euros). ¿Se’ls sancionarà per aquesta bretxa que va exposar les dades dels usuaris?

Aquest és un tema que encara no hem tancat. Hem rebut diverses denúncies assenyalant la bretxa de l’‘app’ en el tracte de dades personals. L’ATM també ens notifica aquesta bretxa, com estableix la normativa europea. Hem obert un expedient i estem investigant els fets. Encara no hem arribat a una conclusió.

A finals d’abril vam saber que l’Ajuntament de Barcelona utilitzarà drons amb càmeres per gestionar l’accés a les platges. ¿Com fer-ho sense violar la protecció de dades?

En cas de fer-se, la presa d’imatges no pot identificar les persones des del primer instant. S’entén que aquesta tecnologia busca comptabilitzar la gent que hi ha a les platges, però en cap cas aquestes càmeres poden identificar les persones.

Notícies relacionades

¿Similar al que passa amb els drons policials en la gestió dels aforaments en manifestacions?

L’àmbit policial té una legislació pròpia i tot el que sigui prendre dades des d’objectius mòbils, siguin drons o no, necessita abans una autorització de la Comissió de Videovigilància. Qualsevol persona que cregui que ha sigut gravada quan no tocava pot acudir a nosaltres. De fet, ja tenim sol·licituds d’aquest tipus i les analitzem per donar-los resposta, ja sigui decretar que aquestes imatges es quedin en l’àmbit judicial o que siguin destruïdes, en el cas d’haver-se fet un mal ús.