Per saber quan cal aplicar la normativa de protecció de dades personals és important tenir clars alguns conceptes bàsics i identificar i corregir alguns errors comuns d’apreciació. El primer que ens interessa és ser capaços de reconèixer quan estem davant d’una dada de caràcter personal i saber que estem tractant dades.
Hem instal·lat una videocàmera que grava els accessos al nostre edifici, publiquem una llista de dades de funcionaris públics a l’agenda de contactes de la nostra corporació, tenim arxivats negatius fotogràfics o radiografies, algú ens ha enviat un currículum per correu electrònic, una persona ha participat fent un comentari a l’espai de govern obert de la nostra web… Estem tractant dades?
Per oferir claredat a l’hora d’aplicar la normativa, les lleis de protecció de dades han establert definicions dels conceptes més importants. El Reglament General de Protecció de Dades de la Unió Europea no n’és una excepció, i ha inclòs diferents definicions que ens interessen.
[…] «dades personals»: tota informació sobre una persona física identificada o identificable («l’interessat»); es considerarà persona física identificable tota persona la identitat de la qual es pugui determinar, directament o indirecta, en particular mitjançant un identificador, com per exemple un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona; […]
Hem de parar atenció a alguns elements d’aquesta definició per després poder-los aplicar a la nostra pràctica quotidiana:
-
Allò rellevant per definir una dada és l’existència d’informació. La definició parla de tota informació. Per tant no hem de confondre dada personal només amb el nom i cognoms d’una persona.
-
S’apliquen a persones identificades o identificables. És a dir, que podríem estar tractant dades fins i tot quan no estem fent servir el nom i cognoms d’una persona.
Què vol dir ser identificable?
Podem entendre què vol dir identificable amb un exemple pràctic.
És molt probable que cada matí en arribar a la feina trobem a la porta d’entrada un rètol informatiu que ens informa que hi ha càmeres de videovigilància. També el trobarem en supermercats o en estacions de tren. Apliquen la normativa de protecció de dades per informar que algú pot estar captant imatges que es consideren dades de caràcter personal.
Pensem en un context laboral. A la nostra feina no disposen de tecnologia que permeti identificar les persones de manera automàtica. No se solen fer servir sistemes de vigilància tan sofisticats. No obstant, per establir si hem arribat a temps o no al nostre lloc de treball, n’hi hauria prou que algú de recursos humans confrontés la fotografia de la nostra fitxa personal amb les imatges de la franja horària de les vuit a les deu.
De fet, el Reglament de la LOPD indica que una persona és identificable quan la seva identitat «es pugui determinar, directament o indirecta, mitjançant qualsevol informació referida a la seva identitat física, fisiològica, psíquica, econòmica, cultural o social». I posa una segona condició: que la identificació no requereixi terminis o activitats desproporcionats. I això ens porta a la segona característica de la definició: una dada aporta “informació” i aquesta pot ser de tota mena. La normativa espanyola es refereix a informació «numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altra mena».
Si tenim en compte aquestes definicions legals, el ventall de supòsits que abasta el concepte “dades” és amplíssim.
N’hi ha alguns que són evidents, com el nom i els cognoms d’una persona, però també una fotografia, una radiografia, l’estat o el número de compte bancari o de targeta de crèdit, el número de la seguretat social o de la targeta SIP, una adreça de correu electrònic… Alguns d’aquests proporcionen identificabilitat per ells mateixos. Una adreça física no ens diu res, però, ¿i si demanem una còpia simple al Registre de la propietat? Altres tindran un valor en relació amb una persona. Si en una classe a la Facultat de Medicina s’utilitza una anàlisi clínica de la qual s’han eliminat totes les dades d’identificació, aquesta informació no diu res en termes de personalitat, però si hi fossin s’estaria revelant informació confidencial.