El sector privat i el sector públic necessiten tractar cert volum de dades per a funcionar. Una gran part d’aquestes dades son de caràcter personal. Tractar dades utilitzant tecnologies de la informació pot afectar als drets de las persones. Per això, cal definir un marc normatiu que permeti tractar les dades i alhora protegir els drets de les persones.
És el moment de descriure alguns aspectes bàsics d’aquesta regulació. Però abans cal desfer algunes confusions i errors de judici que solen ser habituals a l’hora d’enfocar aquesta matèria.
1a Confusió
Tots tenim aspectes de la nostra vida personal que volem mantenir reservats i això fa que la intimitat sigui un concepte molt proper. Des dels mitjans, se’ns transmet certa diferenciació entre el que és públic i el que és privat. Se’ns diu que tot allò que passa en públic està a disposició de qualsevol.
Existeixen exemples que demostren el contrari. Hi ha diverses sentències des de fa anys que afecten a famosos molt coneguts que reconeixen el seu dret a la vida privada en espais públics. Totes aquestes sentències venen a dir que aquestes persones tenen dret a poder anar de compres, estar privadament amb la seva parella en una platja pública o dinar en un restaurant sense que la premsa en pugui captar imatges. “Estar en públic” no dona cap dret als mitjans. Per tenir-hi dret, el que és rellevant és que passi alguna cosa d’interès públic. Els tribunals han entès que quan passeges amb la teva parella per la platja, i aquesta no és un personatge públic, estàs fent una cosa privada. Que un restaurant no és un lloc tan públic com sembla. O que tens dret a anar a comprar en xandall, arreglat però informal.
A partir d’aquesta confusió inicial, a la nostra feina només atribuïm valor a aquelles dades que pertanyen al vessant més íntim. No dubta ningú que una dada que afecta la salut d’una persona o la seva vida sexual sigui una cosa particularment delicada i important a la qual cal parar molta atenció. Al contrari, no ens sembla que sigui molt rellevant el nom i els cognoms d’aquella persona, una determinada fotografia o una adreça de correu electrònic. De manera inconscient establim una divisió entre el que considerem que pertany a la intimitat, i que per tant cal protegir, i certes dades personals que no tindrien importància.
I amb aquesta òptica,
2a Confusió
I aquesta és la qüestió que ha tingut en compte el nostre Tribunal Constitucional en la sentència 292/2000 en la qual es va reconèixer el dret fonamental a la protecció de dades.
A la pregunta sobre quines dades estan protegides el Tribunal Constitucional respon que:
«[Està protegit] qualsevol mena de dada personal, sigui o no íntima, el coneixement o utilització de la qual per part de tercers pugui afectar els seus drets, siguin o no fonamentals, perquè el seu objecte no és només la intimitat individual, que per a això hi ha la protecció que atorga l’article 18.1 CE, sinó les dades de caràcter personal. Per tant, també abasta aquelles dades personals públiques que, pel fet de ser-ho, de ser accessibles al coneixement de qualsevol, no escapen al poder de disposició de l’afectat perquè així ho garanteix el seu dret a la protecció de dades. També per això, el fet que les dades siguin de caràcter personal no vol dir que només tinguin protecció les relatives a la vida privada o íntima de la persona, sinó que les dades emparades són totes aquelles que identifiquin o permetin la identificació de la persona, podent servir per a la confecció del seu perfil ideològic, racial, sexual, econòmic o de qualsevol altra índole, o que serveixin per a qualsevol altra utilitat que en determinades circumstàncies constitueixi una amenaça per a l’individu» (STC 292/2000).
3a Confusió
Ara ja sabem que allò rellevant per complir amb la normativa és tractar les dades. Convé tenir en compte des d’aquest moment que moltes vegades gestionem dades en els nostres propis ordinadors.
4a Confusió
5a Confusió
Una altra qüestió d’enfocament molt comú consisteix a identificar la legitimació per al tractament, i les condicions d’ús i recollida de les dades, amb el fet que perseguim una finalitat positiva que beneficiarà les persones segons el nostre criteri.
6a Confusió
Pots pensar que com a usuari no et preocupa massa aquesta qüestió perquè el tema de la protecció de dades és cosa dels responsables d’informàtica o dels serveis jurídics. Que a tu no t’afecta i, en tot cas, si hi ha una infracció solen sancionar l’organització. A més, si és una Administració no hi ha sancions econòmiques. Això, que pot ser cert, no implica que no es pugui causar un dany a les persones afectades i pugui també afectar al prestigi de l’entitat per a la qual es treballa.
Les organitzacions hauran de portar un “registre dels tractaments”. Per conèixer en realitat quins tractaments existeixen i com es tracten les dades personals serà necessari auditar, preguntar als usuaris. Quan la teva organització decideixi realitzar aquesta auditoria hauries de proporcionar informació transparent perquè puguin no només complir amb la norma sinó també ajudar-te.
Per saber quan cal aplicar la normativa de protecció de dades personals és important tenir clars alguns conceptes bàsics i identificar i corregir alguns errors comuns d’apreciació. El primer que ens interessa és ser capaços de reconèixer quan estem davant d’una dada de caràcter personal i saber que estem tractant dades.
Hem instal·lat una videocàmera que grava els accessos al nostre edifici, publiquem una llista de dades de funcionaris públics a l’agenda de contactes de la nostra corporació, tenim arxivats negatius fotogràfics o radiografies, algú ens ha enviat un currículum per correu electrònic, una persona ha participat fent un comentari a l’espai de govern obert de la nostra web… Estem tractant dades?
Per oferir claredat a l’hora d’aplicar la normativa, les lleis de protecció de dades han establert definicions dels conceptes més importants. El Reglament General de Protecció de Dades de la Unió Europea no n’és una excepció, i ha inclòs diferents definicions que ens interessen.
[…] «dades personals»: tota informació sobre una persona física identificada o identificable («l’interessat»); es considerarà persona física identificable tota persona la identitat de la qual es pugui determinar, directament o indirecta, en particular mitjançant un identificador, com per exemple un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona; […]
Hem de parar atenció a alguns elements d’aquesta definició per després poder-los aplicar a la nostra pràctica quotidiana:
Què vol dir ser identificable?
Podem entendre què vol dir identificable amb un exemple pràctic.
És molt probable que cada matí en arribar a la feina trobem a la porta d’entrada un rètol informatiu que ens informa que hi ha càmeres de videovigilància. També el trobarem en supermercats o en estacions de tren. Apliquen la normativa de protecció de dades per informar que algú pot estar captant imatges que es consideren dades de caràcter personal.
Pensem en un context laboral. A la nostra feina no disposen de tecnologia que permeti identificar les persones de manera automàtica. No se solen fer servir sistemes de vigilància tan sofisticats. No obstant, per establir si hem arribat a temps o no al nostre lloc de treball, n’hi hauria prou que algú de recursos humans confrontés la fotografia de la nostra fitxa personal amb les imatges de la franja horària de les vuit a les deu.
De fet, el Reglament de la LOPD indica que una persona és identificable quan la seva identitat «es pugui determinar, directament o indirecta, mitjançant qualsevol informació referida a la seva identitat física, fisiològica, psíquica, econòmica, cultural o social». I posa una segona condició: que la identificació no requereixi terminis o activitats desproporcionats. I això ens porta a la segona característica de la definició: una dada aporta “informació” i aquesta pot ser de tota mena. La normativa espanyola es refereix a informació «numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altra mena».
Si tenim en compte aquestes definicions legals, el ventall de supòsits que abasta el concepte “dades” és amplíssim.
N’hi ha alguns que són evidents, com el nom i els cognoms d’una persona, però també una fotografia, una radiografia, l’estat o el número de compte bancari o de targeta de crèdit, el número de la seguretat social o de la targeta SIP, una adreça de correu electrònic… Alguns d’aquests proporcionen identificabilitat per ells mateixos. Una adreça física no ens diu res, però, ¿i si demanem una còpia simple al Registre de la propietat? Altres tindran un valor en relació amb una persona. Si en una classe a la Facultat de Medicina s’utilitza una anàlisi clínica de la qual s’han eliminat totes les dades d’identificació, aquesta informació no diu res en termes de personalitat, però si hi fossin s’estaria revelant informació confidencial.
El Reglament General de Protecció de Dades de la Unió Europea ens ofereix en l’article 4 les definicions de tractament i fitxer:
[…] «tractament»: Qualsevol operació o conjunt d’operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com ara la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, confrontació o interconnexió, limitació, supressió o destrucció;
[…] «fitxer»: Tot conjunt estructurat de dades personals, accessibles d’acord amb criteris determinats, ja sigui centralitzat, descentralitzat o repartit de manera funcional o geogràfica;
La normativa s’aplica als tractaments i, com acabem de veure, la seva definició és molt àmplia.
Qualsevol acció que es fa amb una dada suposa un tractament.
Solem tenir un enfocament equivocat, ja que tendim a tenir una visió molt limitada del concepte de tractament i de fitxers, ja que el limitem a l’ús d’uns programaris concrets.
Podríem enumerar una vintena de categories de sistemes més habituals (el Registre d’entrada de documents i la seu electrònica, el de recursos humans, el de prevenció de riscos laborals, el de gestió acadèmica…). Des del punt de vista de l’usuari no format en protecció de dades, seria només a aquests sistemes als que se’ls aplicaria la normativa. I, erròniament, solem creure que no se li aplicaria, per exemple, a la llista dels proveïdors d’un departament en “Word” elaborada i mantinguda per personal d’administració d’aquest departament o a una llista en paper dels assistents a una jornada. Aquesta és una idea errònia que cal desterrar d’arrel.
Acabarem amb una altra idea errònia:
El consentiment ha estat específicament definit per la normativa europea:
[…] «consentiment de l’interessat»: tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual l’interessat accepta, per mitjà d’una declaració o d’una clara acció afirmativa, el tractament de dades personals que li concerneixen;
Segons el RGPD, per “consentir” hem de fer “alguna cosa” que demostri que estem dient “sí”, omplir una fitxa, fer clic a Acceptar, marcar una casella… I el que és més important, el Responsable, qui tractarà les dades, ha de poder “demostrar” que nosaltres consentim.
La llei considera com a especials una sèrie de dades per la seva incidència en la intimitat, les llibertats públiques i els drets fonamentals de la persona, i cal protegir-les més que la resta de dades personals.
El Reglament General de Protecció de Dades considera especialment valuosos determinats tipus de dades:
[…] «dades genètiques»: dades personals relatives a les característiques genètiques heretades o adquirides d’una persona física que proporcionin una informació única sobre la fisiologia o la salut d’aquella persona, obtinguts en particular de l’anàlisi d’una mostra biològica de tal persona;
«dades biomètriques»: dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o de conducta d’una persona física que permetin o confirmin la identificació única d’aquesta persona, com ara imatges de la cara o empremtes dactilars;
«dades relatives a la salut»: dades personals relatives a la salut física o mental d’una persona física, inclosa la prestació de serveis d’atenció sanitària, que revelen informació sobre el seu estat de salut passat, present i futur; […]
Hi ha dades que poden facilitar la discriminació de les persones. En aquest cas, la regla que s’aplica és que si no hi ha consentiment o una autorització de la Llei, està prohibit tractar-les.
[…] Queden prohibits el tractament de dades personals que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l’afiliació sindical, i el tractament de dades genètiques, dades biomètriques dirigides a identificar de manera unívoca una persona física, dades relatives a la salut o dades relatives a la vida sexual o les orientacions sexuals d’una persona física (Article 9, RGPD).
Com és lògic, una prohibició absoluta podria impedir contra tota raó tasques essencials, per exemple, en salut o serveis socials. Un cas clar en matèria de salut: si una persona entra inconscient i molt greu en un hospital, no se li demana el consentiment per tractar dades de salut, se li salva la vida.
Per això, la normativa permet tractar-les:
En tots els casos anteriors veiem que hi ha present algun interès públic estratègic.
Podríem posar molts exemples.
[…] «Responsable del tractament» o «Responsable»: la persona física o jurídica, autoritat pública, servei o altre organisme que, sol o conjuntament amb altres, determini els fins i mitjans del tractament; si el Dret de la Unió o dels Estats membres determina els fins i mitjans del tractament, també podrà el Dret de la Unió o dels Estats membres establir el responsable del tractament o els criteris específics per al seu nomenament;
Per això, en tots aquells casos que decidim tractar dades, crear una base de dades, etc., hem de tenir en compte que si ho fem sense subjectar-nos a les regles internes, o incomplint la regulació, l’organització on servim podrà ser sancionada com a responsable d’un tractament contrari a la normativa.
L’obligació del Responsable del tractament de dades és tractar les dades de manera lícita tot garantint els drets i llibertats de les persones propietàries de les dades.
El tractament tan sols serà lícit si:
Les administracions majoritàriament tractem dades per una obligació legal o per a l’acompliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al Responsable del tractament, sense oblidar la relació contractual entre el personal i l’organització per a la qual presta serveis.
Cal el consentiment sempre que es tractin dades de menors o categories especials.
[…] «Encarregat del tractament» o «Encarregat»: la persona física o jurídica, autoritat pública, servei o altre organisme que tracti dades personals per compte del Responsable del tractament.
Sempre hi haurà d’haver un contracte (conveni…) que vinculi l’Encarregat amb el Responsable del tractament.
La Diputació actua com a Encarregada del tractament de les dades dels ens locals en les seves funcions d’assistència i cooperació. Hi haurà un conveni o una sol·licitud de Catàleg de Xarxa que estableixi les obligacions. Els ens locals són els que tenen les competències en la matèria i per tant són els Responsables del tractament de les seves dades personals.
Les administracions públiques estan obligades a comptar amb un Delegat de protecció de dades.
El Delegat de protecció de dades és la persona que s’encarrega d’assegurar que l’organització compleixi els seus deures en aquesta matèria.
És molt convenient familiaritzar-se amb tota la informació disponible a l’hora de realitzar aquestes accions. És molt probable que existeixin indicacions específiques, una llista de les persones facultades per autoritzar un tractament, i se’ns digui com ho hem de demanar i com ho hem de fer.
De no fer-ho així, resulta que estem utilitzant informació al marge de les pràctiques establertes i sense coneixement de l’organització. I això suposa un risc elevat, no només es tractaria d’una pràctica indeguda sinó que a més a més l’equip de seguretat no ens podria ajudar a aplicar les polítiques més adequades per garantir la confidencialitat, integritat i disponibilitat de la informació.
Que les dades personals estiguin en un arxiu al nostre ordinador o que les tinguem en suport paper no exclou el nostre deure de complir amb les normes de protecció de dades. En moltes ocasions exportem dades dels sistemes de l’organització a Word, Excel, etc., i les conservem per exemple per comoditat. D’altres, realitzem aquests tractaments sense informar-ne l’organització, sense que ho sàpiga ningú.
En tots aquests casos, el problema no consisteix només a pensar que no s’aplica la normativa, també afectem a la certesa de la informació i posem en risc la seguretat.
L’Ajuntament actua com a responsable del tractament de les dades utilitzades per a la gestió interna o per a activitats pròpies de les seves competències (segons la Llei 7/1985 de bases de règim local, art. 25, 26 i 27).
Les organitzacions (ajuntaments, diputacions…) en són les responsables. Les dues figures obligatòries que ha de tenir qualsevol ens local són l’alcalde o alcaldessa, com a responsable del tractament de dades, i el delegat de protecció de dades (DPD).
Cada ajuntament haurà adoptat una estructura diferent en funció de la població, els recursos i la maduresa en la matèria.
Per exemple, en un ajuntament petit, segurament el DPD serà extern. En la majoria dels casos, serà personal de la Diputació qui n'assumirà les funcions. D’igual manera que el responsable de seguretat TI serà extern, l’empresa o professional que presti el suport tecnològic també.
En una organització gran, com per exemple la Diputació de Barcelona, l’estructura serà més complexa i hi pot haver més figures i rols.
Tractar dades no és una cosa que puguem decidir lliurement. El marc d’autonomia de l’usuari de qualsevol organització ve definit pel seu perfil funcional i són realment pocs els autoritzats a prendre una decisió d’aquesta transcendència. En aquest sentit, i de manera molt genèrica, podrem identificar dos supòsits:
Aquest supòsit es dona quan amb motiu de la nostra feina estem autoritzats a realitzar determinats tractaments en el marc de les nostres tasques.
Quines implicacions té?
En aquests casos, l’organització ha registrat el tractament, ha identificat els usuaris i els ha atorgat certs permisos, etc.
Com cal procedir?
Treballar seguint les polítiques, els criteris i els mitjans que ha establert l’organització.
Aquest supòsit es dóna quan necessitem dur a terme un tractament per al qual no disposem de recursos o autorització.
Quines implicacions té?
Qualsevol decisió que suposi un nou tractament de dades personals, per senzill que resulti, està subjecte a regles i no el podem fer lliurement.
La regulació estableix de manera molt precisa que l’organització per a la qual treballem és la responsable d’aquest tractament. En serà per tant responsable el nostre ajuntament.
Com cal procedir?
Plantejar el cas al Delegat de protecció de dades.
Esbrinar quins són els procediments que cal seguir a l’organització per al tractament d’aquestes dades.
No prendre cap decisió a compte i risc propi.
Tractar dades:
És fonamental que seguim les recomanacions i procediments fixats per la nostra administració.
En relació amb el tractament de dades, els empleats tenen dret a disposar de les eines i procediments per a un ús acurat de la informació que els faciliti les tasques que tenen assignades.
Cadascun dels ens locals facilitaran als seus empleats les dades de contacte (l’adreça electrònica, el nom…) del delegat de protecció de dades, figura que és obligatòria, així com els canals d’assistència per a la resolució dels dubtes generats en la protecció de dades que hagin previst.
Els empleats tenen el deure de complir les obligacions establertes per l’ens local a les seves polítiques, els manuals i les circulars i de col·laborar activament per aconseguir les finalitats definides. L’incompliment de la llei té conseqüències.