Meritxell Borràs: "Millones de catalanes se han visto afectados por el robo de datos"

Todo lo que haces en internet deja un rastro de datos. De su defensa depende que tu privacidad no quede expuesta. La Autoritat Catalana de Protecció de Dades (APDCAT) vela para que las instituciones públicas cumplan con las leyes europeas y protejan esa información. Su directora, Meritxell Borràs, concede a EL PERIÓDICO su primera entrevista desde que fuese elegida en el cargo el pasado febrero para analizar los retos y riesgos del organismo público que encabeza.

El Supervisor Europeo de Protección de Datos (EDPS) ha denunciado el uso de Pegasus contra independentistas catalanes. ¿Qué valoración hace de esa vigilancia?

Entre los afectados por el caso hay miembros del gobierno de la Generalitat o diputados, con lo que la extracción de sus datos es del ámbito público y es por ello que hemos recibido alguna notificación por violación de su seguridad. Nuestra posición no puede ser otra que la del supervisor europeo, que fue muy contundente señalando que la seguridad nacional no puede ser una excusa para usar estos sistemas de forma indiscriminada, que sólo deberían usarse ante amenazas graves e inminentes como el terrorismo.

La Agencia Española de Protección de Datos (AEPD) ha descartado investigar el 'CatalanGate' porque la actividad clasificada del CNI está blindada por ley. ¿Tenéis las manos atadas?

Estoy convencida que quienes se han visto afectados lo denunciarán y partir de aquí actuaremos para ver si tenían alguna vulnerabilidad en sus sistemas.

Desde la Generalitat, a Estrella Damm o la UAB, el año pasado se registró un aumento de los ciberataques en Catalunya. ¿Cómo se responde a esta amenaza?

Este es un elemento que nos preocupa. En 2021 hubo más de 40.000 millones de filtraciones de datos personales, lo que significa que millones de catalanes se han visto afectados. También hemos recibido un 42% más de denuncias, lo que supone un incremento brutal. Trabajamos con la Agència de Ciberseguretat de Catalunya, que controla más la protección de sistemas. Nosotros podemos actuar y abrir investigaciones cuando se denuncian posibles violaciones en el trato de los datos. Tenemos que ser más conscientes de lo que tenemos entre manos y, por ello, también realizamos campañas para formar a los formadores. Así, sabrán educar a los niños sobre la importancia de los datos.

Vuestra tarea se limita al sector público catalán...

Así es, a la administración y a las empresas que prestan servicios públicos. Aún así, estamos luchando para ser competentes en el ámbito empresarial, es algo que está sobre la mesa en las reuniones bilaterales con el gobierno español.

La Generalitat ha aprobado un decreto ley que permitirá a los institutos catalanes tener acceso a los datos de vacunación de los alumnos para gestionar cuarentenas si hay un positivo en clase. ¿Qué retos comporta esa gestión?

La ley de la APDC establece que todas las leyes que puedan tener una afectación sobre la protección de los datos deben ser revisadas y consideradas por nosotros. En el caso de esta ley que mencionas no ha sido así, no nos han consultado.

En octubre se detectó un error de seguridad en la web de la T-Mobilitat. La Autoritat del Transport Metropolità (ATM) dijo que abriría un expediente informativo a los responsables del desarrollo del proyecto (CaixaBank, Fujitsu, Moventia e Indra, con un contrato de 60 millones de euros). ¿Se les sancionará por esa brecha que expuso los datos de los usuarios?

Este es un tema que aún no hemos cerrado. Hemos recibido varias denuncias señalando la brecha de la app en el trato de datos personales. La ATM también nos notifica esa brecha, como establece la normativa europea. Hemos abierto un expediente y estamos investigando lo que sucedido. Aún no hemos llegado a una conclusión.

A finales de abril supimos que el Ajuntament de Barcelona usará drones con cámaras para gestionar el acceso a las playas. ¿Cómo hacerlo sin violar la protección de datos?

De realizarse, la toma de imágenes no puede identificar a las personas desde el primer instante. Se entiende que esa tecnología busca contabilizar la gente que hay en las playas, pero en ningún caso esas cámaras pueden identificar a las personas.

¿Similar a lo que sucede con los drones policiales en la gestión de los aforos en manifestaciones?

El ámbito policial tiene una legislación propia y todo lo que sea tomar datos desde objetivos móviles, sean drones o no, necesita antes una autorización de la Comisió de Videovigilància. Cualquier persona que crea que ha sido grabada cuando no tocaba puede acudir a nosotros. De hecho, ya tenemos solicitudes de este tipo y las analizamos para darles respuesta, ya sea decretar que esas imágenes se queden en el ámbito judicial o que sean destruidas, en el caso de haberse hecho un mal uso.

Suscríbete para seguir leyendo