El Reglament General de Protecció de Dades de la Unió Europea ens ofereix en l’article 4 les definicions de tractament i fitxer:
[…] «tractament»: Qualsevol operació o conjunt d’operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com ara la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, confrontació o interconnexió, limitació, supressió o destrucció;
[…] «fitxer»: Tot conjunt estructurat de dades personals, accessibles d’acord amb criteris determinats, ja sigui centralitzat, descentralitzat o repartit de manera funcional o geogràfica;
La normativa s’aplica als tractaments i, com acabem de veure, la seva definició és molt àmplia.
Qualsevol acció que es fa amb una dada suposa un tractament.
Solem tenir un enfocament equivocat, ja que tendim a tenir una visió molt limitada del concepte de tractament i de fitxers, ja que el limitem a l’ús d’uns programaris concrets.
Podríem enumerar una vintena de categories de sistemes més habituals (el Registre d’entrada de documents i la seu electrònica, el de recursos humans, el de prevenció de riscos laborals, el de gestió acadèmica…). Des del punt de vista de l’usuari no format en protecció de dades, seria només a aquests sistemes als que se’ls aplicaria la normativa. I, erròniament, solem creure que no se li aplicaria, per exemple, a la llista dels proveïdors d’un departament en “Word” elaborada i mantinguda per personal d’administració d’aquest departament o a una llista en paper dels assistents a una jornada. Aquesta és una idea errònia que cal desterrar d’arrel.
Acabarem amb una altra idea errònia:
