1. Sis confusions habituals sobre la protecció de dades
El sector privat i el sector públic necessiten tractar cert volum de dades per a funcionar. Una gran part d’aquestes dades son de caràcter personal. Tractar dades utilitzant tecnologies de la informació pot afectar als drets de las persones. Per això, cal definir un marc normatiu que permeti tractar les dades i alhora protegir els drets de les persones.
És el moment de descriure alguns aspectes bàsics d’aquesta regulació. Però abans cal desfer algunes confusions i errors de judici que solen ser habituals a l’hora d’enfocar aquesta matèria.
1a Confusió
Tots tenim aspectes de la nostra vida personal que volem mantenir reservats i això fa que la intimitat sigui un concepte molt proper. Des dels mitjans, se’ns transmet certa diferenciació entre el que és públic i el que és privat. Se’ns diu que tot allò que passa en públic està a disposició de qualsevol.
Existeixen exemples que demostren el contrari. Hi ha diverses sentències des de fa anys que afecten a famosos molt coneguts que reconeixen el seu dret a la vida privada en espais públics. Totes aquestes sentències venen a dir que aquestes persones tenen dret a poder anar de compres, estar privadament amb la seva parella en una platja pública o dinar en un restaurant sense que la premsa en pugui captar imatges. “Estar en públic” no dona cap dret als mitjans. Per tenir-hi dret, el que és rellevant és que passi alguna cosa d’interès públic. Els tribunals han entès que quan passeges amb la teva parella per la platja, i aquesta no és un personatge públic, estàs fent una cosa privada. Que un restaurant no és un lloc tan públic com sembla. O que tens dret a anar a comprar en xandall, arreglat però informal.
A partir d’aquesta confusió inicial, a la nostra feina només atribuïm valor a aquelles dades que pertanyen al vessant més íntim. No dubta ningú que una dada que afecta la salut d’una persona o la seva vida sexual sigui una cosa particularment delicada i important a la qual cal parar molta atenció. Al contrari, no ens sembla que sigui molt rellevant el nom i els cognoms d’aquella persona, una determinada fotografia o una adreça de correu electrònic. De manera inconscient establim una divisió entre el que considerem que pertany a la intimitat, i que per tant cal protegir, i certes dades personals que no tindrien importància.
I amb aquesta òptica,
-
¿Creiem que no hi ha problema per engegar el nostre Excel o un simple processador de dades i crear la nostra base de dades amb una llista de noms i cognoms?
-
¿Que no és problema exportar informació personal de la base de dades corporativa i copiar-la al nostre ordinador en un format més amigable per no haver-nos de connectar cada vegada?
2a Confusió
I aquesta és la qüestió que ha tingut en compte el nostre Tribunal Constitucional en la sentència 292/2000 en la qual es va reconèixer el dret fonamental a la protecció de dades.
A la pregunta sobre quines dades estan protegides el Tribunal Constitucional respon que:
«[Està protegit] qualsevol mena de dada personal, sigui o no íntima, el coneixement o utilització de la qual per part de tercers pugui afectar els seus drets, siguin o no fonamentals, perquè el seu objecte no és només la intimitat individual, que per a això hi ha la protecció que atorga l’article 18.1 CE, sinó les dades de caràcter personal. Per tant, també abasta aquelles dades personals públiques que, pel fet de ser-ho, de ser accessibles al coneixement de qualsevol, no escapen al poder de disposició de l’afectat perquè així ho garanteix el seu dret a la protecció de dades. També per això, el fet que les dades siguin de caràcter personal no vol dir que només tinguin protecció les relatives a la vida privada o íntima de la persona, sinó que les dades emparades són totes aquelles que identifiquin o permetin la identificació de la persona, podent servir per a la confecció del seu perfil ideològic, racial, sexual, econòmic o de qualsevol altra índole, o que serveixin per a qualsevol altra utilitat que en determinades circumstàncies constitueixi una amenaça per a l’individu» (STC 292/2000).
3a Confusió
Ara ja sabem que allò rellevant per complir amb la normativa és tractar les dades. Convé tenir en compte des d’aquest moment que moltes vegades gestionem dades en els nostres propis ordinadors.
4a Confusió
5a Confusió
Una altra qüestió d’enfocament molt comú consisteix a identificar la legitimació per al tractament, i les condicions d’ús i recollida de les dades, amb el fet que perseguim una finalitat positiva que beneficiarà les persones segons el nostre criteri.
6a Confusió
Pots pensar que com a usuari no et preocupa massa aquesta qüestió perquè el tema de la protecció de dades és cosa dels responsables d’informàtica o dels serveis jurídics. Que a tu no t’afecta i, en tot cas, si hi ha una infracció solen sancionar l’organització. A més, si és una Administració no hi ha sancions econòmiques. Això, que pot ser cert, no implica que no es pugui causar un dany a les persones afectades i pugui també afectar al prestigi de l’entitat per a la qual es treballa.
Les organitzacions hauran de portar un “registre dels tractaments”. Per conèixer en realitat quins tractaments existeixen i com es tracten les dades personals serà necessari auditar, preguntar als usuaris. Quan la teva organització decideixi realitzar aquesta auditoria hauries de proporcionar informació transparent perquè puguin no només complir amb la norma sinó també ajudar-te.
Per saber quan cal aplicar la normativa de protecció de dades personals és important tenir clars alguns conceptes bàsics i identificar i corregir alguns errors comuns d’apreciació. El primer que ens interessa és ser capaços de reconèixer quan estem davant d’una dada de caràcter personal i saber que estem tractant dades.
Hem instal·lat una videocàmera que grava els accessos al nostre edifici, publiquem una llista de dades de funcionaris públics a l’agenda de contactes de la nostra corporació, tenim arxivats negatius fotogràfics o radiografies, algú ens ha enviat un currículum per correu electrònic, una persona ha participat fent un comentari a l’espai de govern obert de la nostra web… Estem tractant dades?
Per oferir claredat a l’hora d’aplicar la normativa, les lleis de protecció de dades han establert definicions dels conceptes més importants. El Reglament General de Protecció de Dades de la Unió Europea no n’és una excepció, i ha inclòs diferents definicions que ens interessen.
[…] «dades personals»: tota informació sobre una persona física identificada o identificable («l’interessat»); es considerarà persona física identificable tota persona la identitat de la qual es pugui determinar, directament o indirecta, en particular mitjançant un identificador, com per exemple un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona; […]
Hem de parar atenció a alguns elements d’aquesta definició per després poder-los aplicar a la nostra pràctica quotidiana:
-
Allò rellevant per definir una dada és l’existència d’informació. La definició parla de tota informació. Per tant no hem de confondre dada personal només amb el nom i cognoms d’una persona.
-
S’apliquen a persones identificades o identificables. És a dir, que podríem estar tractant dades fins i tot quan no estem fent servir el nom i cognoms d’una persona.
Què vol dir ser identificable?
Podem entendre què vol dir identificable amb un exemple pràctic.
És molt probable que cada matí en arribar a la feina trobem a la porta d’entrada un rètol informatiu que ens informa que hi ha càmeres de videovigilància. També el trobarem en supermercats o en estacions de tren. Apliquen la normativa de protecció de dades per informar que algú pot estar captant imatges que es consideren dades de caràcter personal.
Pensem en un context laboral. A la nostra feina no disposen de tecnologia que permeti identificar les persones de manera automàtica. No se solen fer servir sistemes de vigilància tan sofisticats. No obstant, per establir si hem arribat a temps o no al nostre lloc de treball, n’hi hauria prou que algú de recursos humans confrontés la fotografia de la nostra fitxa personal amb les imatges de la franja horària de les vuit a les deu.
De fet, el Reglament de la LOPD indica que una persona és identificable quan la seva identitat «es pugui determinar, directament o indirecta, mitjançant qualsevol informació referida a la seva identitat física, fisiològica, psíquica, econòmica, cultural o social». I posa una segona condició: que la identificació no requereixi terminis o activitats desproporcionats. I això ens porta a la segona característica de la definició: una dada aporta “informació” i aquesta pot ser de tota mena. La normativa espanyola es refereix a informació «numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altra mena».
Si tenim en compte aquestes definicions legals, el ventall de supòsits que abasta el concepte “dades” és amplíssim.
N’hi ha alguns que són evidents, com el nom i els cognoms d’una persona, però també una fotografia, una radiografia, l’estat o el número de compte bancari o de targeta de crèdit, el número de la seguretat social o de la targeta SIP, una adreça de correu electrònic… Alguns d’aquests proporcionen identificabilitat per ells mateixos. Una adreça física no ens diu res, però, ¿i si demanem una còpia simple al Registre de la propietat? Altres tindran un valor en relació amb una persona. Si en una classe a la Facultat de Medicina s’utilitza una anàlisi clínica de la qual s’han eliminat totes les dades d’identificació, aquesta informació no diu res en termes de personalitat, però si hi fossin s’estaria revelant informació confidencial.
El Reglament General de Protecció de Dades de la Unió Europea ens ofereix en l’article 4 les definicions de tractament i fitxer:
[…] «tractament»: Qualsevol operació o conjunt d’operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com ara la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, confrontació o interconnexió, limitació, supressió o destrucció;
[…] «fitxer»: Tot conjunt estructurat de dades personals, accessibles d’acord amb criteris determinats, ja sigui centralitzat, descentralitzat o repartit de manera funcional o geogràfica;
La normativa s’aplica als tractaments i, com acabem de veure, la seva definició és molt àmplia.
Qualsevol acció que es fa amb una dada suposa un tractament.
Solem tenir un enfocament equivocat, ja que tendim a tenir una visió molt limitada del concepte de tractament i de fitxers, ja que el limitem a l’ús d’uns programaris concrets.
Podríem enumerar una vintena de categories de sistemes més habituals (el Registre d’entrada de documents i la seu electrònica, el de recursos humans, el de prevenció de riscos laborals, el de gestió acadèmica…). Des del punt de vista de l’usuari no format en protecció de dades, seria només a aquests sistemes als que se’ls aplicaria la normativa. I, erròniament, solem creure que no se li aplicaria, per exemple, a la llista dels proveïdors d’un departament en “Word” elaborada i mantinguda per personal d’administració d’aquest departament o a una llista en paper dels assistents a una jornada. Aquesta és una idea errònia que cal desterrar d’arrel.
Acabarem amb una altra idea errònia:
La llei considera com a especials una sèrie de dades per la seva incidència en la intimitat, les llibertats públiques i els drets fonamentals de la persona, i cal protegir-les més que la resta de dades personals.
El Reglament General de Protecció de Dades considera especialment valuosos determinats tipus de dades:
[…] «dades genètiques»: dades personals relatives a les característiques genètiques heretades o adquirides d’una persona física que proporcionin una informació única sobre la fisiologia o la salut d’aquella persona, obtinguts en particular de l’anàlisi d’una mostra biològica de tal persona;
«dades biomètriques»: dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o de conducta d’una persona física que permetin o confirmin la identificació única d’aquesta persona, com ara imatges de la cara o empremtes dactilars;
«dades relatives a la salut»: dades personals relatives a la salut física o mental d’una persona física, inclosa la prestació de serveis d’atenció sanitària, que revelen informació sobre el seu estat de salut passat, present i futur; […]
Hi ha dades que poden facilitar la discriminació de les persones. En aquest cas, la regla que s’aplica és que si no hi ha consentiment o una autorització de la Llei, està prohibit tractar-les.
[…] Queden prohibits el tractament de dades personals que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l’afiliació sindical, i el tractament de dades genètiques, dades biomètriques dirigides a identificar de manera unívoca una persona física, dades relatives a la salut o dades relatives a la vida sexual o les orientacions sexuals d’una persona física (Article 9, RGPD).
Com és lògic, una prohibició absoluta podria impedir contra tota raó tasques essencials, per exemple, en salut o serveis socials. Un cas clar en matèria de salut: si una persona entra inconscient i molt greu en un hospital, no se li demana el consentiment per tractar dades de salut, se li salva la vida.
Per això, la normativa permet tractar-les:
-
Quan l’interessat ha donat el seu consentiment explícit.
-
Per al compliment d’obligacions de Dret laboral i de la seguretat i la protecció social, per exemple en prevenció de riscos.
-
Per protegir interessos vitals de l’interessat o d’una altra persona física.
-
Quan les organitzacions tinguin una finalitat política, filosòfica, religiosa o sindical, sempre que el tractament es refereixi exclusivament als membres actuals o antics d’aquests organismes o a persones que hi mantinguin contactes regulars en relació amb les seves finalitats i sempre que les dades personals no es comuniquin fora d’elles sense el consentiment dels interessats.
-
Quan es refereix a dades personals que l’interessat ha fet manifestament públiques. Aquest és un tema que serà molt delicat i ens planteja la importància de no fer públiques les nostres dades més íntimes.
-
Per a la formulació, l’exercici o la defensa de reclamacions o quan els tribunals actuïn en exercici de la seva funció judicial.
-
Per raons d’un interès públic essencial.
-
Amb finalitats de medicina preventiva o laboral, avaluació de la capacitat laboral del treballador, diagnosi mèdica, prestació d’assistència o tractament de tipus sanitari o social, o gestió dels sistemes i serveis d’assistència sanitària i social.
-
Per raons d’interès públic en l’àmbit de la salut pública, com ara la protecció davant d’amenaces transfrontereres greus per a la salut, o per garantir nivells de qualitat i de seguretat elevats de l’assistència sanitària i dels medicaments o productes sanitaris.
-
Amb finalitats d’arxiu en interès públic, finalitats d’investigació científica o històrica o finalitats estadístiques.
En tots els casos anteriors veiem que hi ha present algun interès públic estratègic.
Podríem posar molts exemples.
-
Les polítiques de transparència poden suposar tractar dades d’ideologia dels càrrecs públics.
-
Els sistemes sanitaris han de gestionar moltes dades de salut. Un cas molt clar és el que té a veure amb les epidèmies i les malalties infectocontagioses. Aquí, els subjectes involucrats poden ser molts i de diferents administracions, -salut pública, serveis de salut, serveis socials, protecció civil, forces i cossos de seguretat…-. Quan l’alerta és greu fins i tot cal tractar dades conjuntament o compartir-les amb altres països.
L’obligació del Responsable del tractament de dades és tractar les dades de manera lícita tot garantint els drets i llibertats de les persones propietàries de les dades.
El tractament tan sols serà lícit si:
-
L’interessat ha donat el seu consentiment per al tractament de les seves dades personals per a una o diverses finalitats específiques.
-
És necessari per al compliment d’una obligació legal aplicable al Responsable del tractament.
-
És necessari per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al Responsable del tractament.
-
És necessari per a l’execució d’un contracte en el qual l’interessat és part o per a l’aplicació a petició de l’interessat de mesures precontractuals.
-
És necessari per protegir interessos vitals de l’interessat o d’una altra persona física.
Les administracions majoritàriament tractem dades per una obligació legal o per a l’acompliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al Responsable del tractament, sense oblidar la relació contractual entre el personal i l’organització per a la qual presta serveis.
Cal el consentiment sempre que es tractin dades de menors o categories especials.
[…] «Encarregat del tractament» o «Encarregat»: la persona física o jurídica, autoritat pública, servei o altre organisme que tracti dades personals per compte del Responsable del tractament.
Sempre hi haurà d’haver un contracte (conveni…) que vinculi l’Encarregat amb el Responsable del tractament.
La Diputació actua com a Encarregada del tractament de les dades dels ens locals en les seves funcions d’assistència i cooperació. Hi haurà un conveni o una sol·licitud de Catàleg de Xarxa que estableixi les obligacions. Els ens locals són els que tenen les competències en la matèria i per tant són els Responsables del tractament de les seves dades personals.
Les administracions públiques estan obligades a comptar amb un Delegat de protecció de dades.
El Delegat de protecció de dades és la persona que s’encarrega d’assegurar que l’organització compleixi els seus deures en aquesta matèria.
És molt convenient familiaritzar-se amb tota la informació disponible a l’hora de realitzar aquestes accions. És molt probable que existeixin indicacions específiques, una llista de les persones facultades per autoritzar un tractament, i se’ns digui com ho hem de demanar i com ho hem de fer.
De no fer-ho així, resulta que estem utilitzant informació al marge de les pràctiques establertes i sense coneixement de l’organització. I això suposa un risc elevat, no només es tractaria d’una pràctica indeguda sinó que a més a més l’equip de seguretat no ens podria ajudar a aplicar les polítiques més adequades per garantir la confidencialitat, integritat i disponibilitat de la informació.
Que les dades personals estiguin en un arxiu al nostre ordinador o que les tinguem en suport paper no exclou el nostre deure de complir amb les normes de protecció de dades. En moltes ocasions exportem dades dels sistemes de l’organització a Word, Excel, etc., i les conservem per exemple per comoditat. D’altres, realitzem aquests tractaments sense informar-ne l’organització, sense que ho sàpiga ningú.
En tots aquests casos, el problema no consisteix només a pensar que no s’aplica la normativa, també afectem a la certesa de la informació i posem en risc la seguretat.
La Diputació de Barcelona actua com a Responsable del Tractament de les dades utilitzades per a la gestió interna o per a activitats pròpies.
Per altra banda, la Diputació de Barcelona actua com a Encarregada del tractament dels diferents ens locals en el cas que faci tractaments en virtut d’un encàrrec, per la via d’un conveni, encomana de gestió, sol·licitud de catàleg o fora d’aquest.
Per a garantir els drets de les persones i l’acompliment de les seves obligacions, la Diputació s’ha dotat d’una estructura organitzativa bàsica, formada per:
-
El Comitè directiu de protecció de dades. Entre les seves funcions fixar les directius operatives i establir els criteris d’actuació. Està format per les persones que ostentin el càrrec de:-
Coordinador/a d’Hisenda, Recursos humans, Processos i Sistemes;
-
Director/a de serveis Tecnològics i Sistemes Corporatius;
-
Subdirector/a de Planificació i Serveis TIC;
-
Cap del Gabinet de Prevenció i Seguretat;
-
Director/a de Serveis de Recursos Humans;
-
Director/a de Serveis de Secretaria, adjunt a la Secretaria general; secretari/a delegat/a designant-lo el Director
-
Responsable corporativa de Protecció de dades que actua a més com a Secretaria del Comitè.
-
-
La Responsable corporativa de protecció de dades (lopd@diba.cat). Amb una funció clarament preventiva i proactiva, és qui supervisa, coordina i transmet la política de protecció de dades tant a l’interior de la institució com a l’exterior garantint que l’acompliment arriba també als serveis prestats per la Diputació als ens locals. També té assumides les funcions de Responsable d’Atenció a l’Afectat, donant resposta a les peticions relacionades amb l’exercici de drets tant de ciutadans com de treballadors de la Diputació.
-
Els Referents de protecció de dades dels diferents àmbits. Són el primer nivell de suport en protecció de dades i presten suport a la Responsable corporativa de protecció de dades. Qualsevol contracte, conveni o tractament de dades que es prevegi fer hauria de passar en primera instància pel Referent del nostre àmbit i aquest ja decidirà si cal elevar-ho o no a la Responsable corporativa o al DPD. En el cas de no existir o no estar disponible aquest Referent els treballadors es poden adreçar directament a la Responsable corporativa. La relació actualitzada per àrees es pot consultar a Intradiba > Protecció de dades > Referents i altres figures.
-
Els Responsables de Gestió. Recau en el càrrec directiu o comandament superior de l’òrgan promotor del tractament.
-
Els Responsables de seguretat. Son els encarregats de coordinar i controlar les mesures de seguretat que s’apliquen a tots els tractaments de protecció de dades. El tractaments automatitzats gestionats en sistemes centralitzats o implementats per la Direcció de serveis de tecnologies i Sistemes Corporatius ho serà el seu director de serveis; els tractaments automatitzats sense la intervenció de la DSTSC o els tractaments manuals (en paper) ho serà el corresponent Responsable de Gestió.
Aquesta estructura ara es reforça amb la creació de la figura del Delegat de Protecció de Dades (DPD) (delegatprotecdades@diba.cat), obligatòria a totes les administracions públiques.
Tractar dades no és una cosa que puguem decidir lliurement. El marc d’autonomia de l’usuari de qualsevol organització ve definit pel seu perfil funcional i són realment pocs els autoritzats a prendre una decisió d’aquesta transcendència. En aquest sentit, i de manera molt genèrica, podrem identificar dos supòsits:
Aquest supòsit es dona quan amb motiu de la nostra feina estem autoritzats a realitzar determinats tractaments en el marc de les nostres tasques.
Quines implicacions té?
En aquests casos, l’organització ha registrat el tractament, ha identificat els usuaris i els ha atorgat certs permisos, etc.
Com cal procedir?
Treballar seguint les polítiques, els criteris i els mitjans que ha establert l’organització.
Aquest supòsit es dóna quan necessitem dur a terme un tractament per al qual no disposem de recursos o autorització.
Quines implicacions té?
Qualsevol decisió que suposi un nou tractament de dades personals, per senzill que resulti, està subjecte a regles i no el podem fer lliurement.
La regulació estableix de manera molt precisa que l’organització per a la qual treballem és la responsable d’aquest tractament. En serà per tant responsable el nostre ajuntament o la Diputació de Barcelona.
Com cal procedir?
Plantejar el cas al Delegat de protecció de dades.
Esbrinar quins són els procediments que cal seguir a l’organització per al tractament d’aquestes dades.
No prendre cap decisió a compte i risc propi.
Tractar dades:
-
No pot respondre a un criteri autònom, sinó que ha de ser autoritzat i conegut per l’organització.
-
No pot ser el resultat de decisions arbitràries que no es trobin justificades i sense una empara normativa clara.
És fonamental que seguim les recomanacions i procediments fixats per la nostra administració.