Informació sensible
“D’acord”. “Acceptar”. Quan cliquem aquestes opcions mentre naveguem per internet o baixem alguna aplicació al mòbil, hem de ser conscients que estem facilitant dades personals a algú. Una informació sensible que tenim dret a controlar
TRANSPARÈNCIA
En tot moment les organitzacions que processin dades personals han d’explicar als afectats per què les tenen i en quines condicionsLes dades personals són qualsevol informació relativa a una persona física, tant pot ser el nom com els cognoms, l’adreça, el número de telèfon, les dades bancàries, les sanitàries... Però no només això. “També és una dada personal si fas una trucada a determinada persona, a determinada hora. O la possibilitat de geolocalització. Són informacions importants i s’hi poden inferir altres qüestions: no és el mateix sortir d’un supermercat que sortir d’una consulta mèdica o d’un lloc d’on es pugui deduir la teva ideologia o les teves creences religioses”, explica Mònica Vilasau, professora dels estudis de dret i ciència política de la UOC i experta en la protecció del dret a la intimitat i les dades de caràcter personal.
La privacitat de les nostres dades personals està regulada per un reglament europeu (RGPD) del 2016, que va ser plenament aplicable el 2018, i que és la “medul·la espinal” d’un conjunt molt més extens de normes. “La regulació és molt complexa i s’han de valorar les dades concretes. No és el mateix tractar les dades sobre el domicili que tractar dades de salut, que són més sensibles, o dades de comunicacions electròniques, que tenen una normativa específica”, hi afegeix Vilasau. L’empremta digital de cada persona amb accés a les noves tecnologies és enorme, per això el reglament europeu estableix una sèrie de principis que s’han de respectar, de manera que totes aquestes dades que es generen contínuament no es puguin utilitzar a la lleugera.
UN TRACTAMENT SEGUR
Un d’aquests principis és el de la limitació de la finalitat: quan es recull i es tracta informació personal ha de ser per un motiu concret i limitat. “No es poden recollir dades amb l’objectiu de fer publicitat en general, s’ha d’especificar quin tipus de publicitat es farà. També s’han de tractar de manera lícita, transparent, lleial i adequada”, explica Mònica Vilasau. És imprescindible la minimització: recollir només aquelles que són estrictament necessàries. “Si es fa acaparament de dades s’està contravenint la normativa. Les dades que has de tenir són sols les que has d’utilitzar”, hi afegeix.
A més, el recull i el tractament han de ser exactes i han de tenir una durada concreta, per exemple només per a la inscripció d’un curs escolar o per a una campanya publicitària específica. Un altre principi bàsic és el d’integritat i confidencialitat, garantint que les dades estiguin segures, es conservin adequadament i no es puguin filtrar. I no només es tracta de la seguretat digital. L’any passat, l’Agència Espanyola de Protecció de Dades va sancionar –sense multa, només amb un advertiment– una firma d’advocats de Gran Canària que havia llençat a les escombraries dues bosses plenes de documents com ara testaments, poders notarials, escriptures... Un altre cas encara més sorprenent va ser una bretxa en el sistema de seguretat de la conselleria de Sanitat de Madrid que l’estiu passat va deixar al descobert les dades sanitàries de més de 100.000 madrilenys.
Finalment, i tornant als principis que s’han de seguir, hi ha el que es coneix com a responsabilitat proactiva. “El responsable del tractament de les dades s’ha d’anticipar a qualsevol problema que hi pugui haver. Per exemple, a l’hora de dissenyar una aplicació o una pàgina web, assegurar que l’usuari hagi de donar com menys dades millor”, assegura Vilasau.
Aquesta experta recorda que la tecnologia no és neutra i que quan es dissenya l’arquitectura d’un sistema es poden adoptar decisions que afecten la privacitat. Cita un altre exemple, des del punt de vista de l’administració pública, que té el deure de la transparència. Segons com construeixi una base de dades, diu, pot passar que si s’ha de compartir informació s’acabin facilitant dades que no toca. “Per tant, quan es dissenyin aquestes bases de dades, és important que se’n pugui extreure informació de manera parcial”, reitera.
els més interessants
“Les nostres dades les vol molta gent. Sobretot les grans empreses tecnològiques i de comerç en línia, per perfilar-nos i vendre’ns productes. Però també hi ha altres actors que hi estan interessats, com ara cossos i forces de seguretat o governs”, explica Jordi Soria, cap de tecnologia i seguretat de la informació de l’Autoritat Catalana de Protecció de Dades.
A Europa, l’RGPD estableix que només es poden tractar dades personals en sis supòsits. En primer lloc, quan la persona en qüestió hagi donat el seu consentiment de manera explícita. “Cada vegada som més conscients que s’ha de consentir, però, en la societat en què estem immersos, ens saturem i teclegem «acceptar» massa ràpid. Estem bombardejats d’informació constant i no ens parem a analitzar-la”, lamenta Mònica Vilasau.
Tanmateix, sense tenir el consentiment, les dades també es poden tractar si es compleix com a mínim un dels supòsits següents: per protegir l’interès vital de l’individu (en el cas de catàstrofes, per qüestions humanitàries o en pandèmies); per interès públic (com quan es demanen dades a registres de delinqüents sexuals quan es vol contractar algú que treballi amb criatures); per necessitat contractual en relacions de negocis, laborals o administratives (com ara les dades d’una targeta identificativa dels treballadors d’una empresa); per compliment d’obligacions legals (les dades de facturació), i per interès legítim de qui gestiona les dades. Aquest darrer supòsit és el més indeterminat i segons els experts s’hauria d’estudiar cas per cas. “Es tracta de trobar un equilibri entre l’interès de la persona afectada i l’interès general d’una empresa, d’una escola, d’una fundació... Per exemple, en determinats casos de màrqueting, si jo vull tractar dades personals per poder enviar publicitat, s’hauria de ponderar si és un ús legítim, si hi ha un públic acotat, si es prendran les mesures adequades de protecció que fan referència a menors, si es pot assegurar que no es faci una anàlisi de perfil dels subjectes... En definitiva, veure quin és el context del tractament per poder determinar si l’interès legítim és aplicable”, explica Vilasau.
Totes aquestes indicacions, les han de tenir en compte les empreses, institucions, administracions i fins i tot treballadors autònoms que processin aquest tipus de dades. Aquí apareixen els perfils del responsable i de l’encarregat del tractament de les dades personals. En teoria, el primer decideix la finalitat i els mitjans per al tractament i el segon el du a terme. A la pràctica, en el cas d’empreses petites i autònoms, la mateixa persona ho fa tot i s’encarrega, bàsicament, del fet que les dades estiguin segures. Com és lògic, la normativa europea també protegeix els drets de les persones amb relació a l’ús que es pugui fer de la seva informació personal. “Les autoritats de protecció de dades vetllen perquè es compleixin aquests drets. Els afectats poden demanar una intervenció d’aquestes o també la tutela judicial si consideren que els seus drets no s’han respectat”, hi afegeix l’experta.
Així, un dels drets principals és el de la transparència de la informació: en tot moment les organitzacions o empreses que tinguin dades personals han d’explicar als afectats per què les tenen i en quines condicions. Un altre dret és el de corregir les dades errònies. I no és menor: posem el cas d’una asseguradora que tingui un fitxer equivocat on s’identifica que determinat client és fumador, quan en realitat no ho és. Aquesta dada pot perjudicar-lo a l’hora de contractar una pòlissa de salut, i per tant té el dret a corregir-la.
Aquest accés a les pròpies dades personals ha de ser senzill i gratuït. “Rebem moltes consultes de persones que volen saber quina informació seva hi ha circulant per internet. Però no és a nosaltres a qui ho han de preguntar, és a les empreses a les quals hagin donat consentiment per tractar les seves dades”, explica Jordi Soria. En general –assegura aquest responsable de l’Autoritat Catalana de Protecció de Dades– som molt poc conscients del valor que tenen les nostres dades, i també de qui les té. “Cliquem «acceptar» sense saber què estem fent, sense llegir res. És molt difícil no fer-ho, es necessita molt d’esforç per parar-se a pensar que amb aquest gest estem consentint el tractament de les nostres dades”, insisteix. I també és molt important ser conscient del material que nosaltres mateixos pengem. “Quan tu penges una informació a internet, aquesta informació sovint no es queda només al lloc on l’has penjat. Hem de ser conscients de les autoritzacions, però també ens ho hem de pensar dos cops abans de penjar qualsevol cosa a les xarxes socials, un cop està a internet ja no controles on pot anar a parar”, conclou Vilasau.
EL VALOR MILIONARI DE LES DADES PERSONALS
S’ha dit de manera recurrent que les dades personals són l’or del segle XXI. Que fer servir Google, Facebook, WhatsApp o altres eines tecnològiques sigui gratuït no és del tot cert: paguem amb les nostres dades i, per tant, amb una part de la nostra privacitat. Segons estimacions recollides per l’OCU, la informació personal dels consumidors europeus podria valdre més 700.000 milions d’euros en conjunt. Tot té un preu, perquè a les empreses els interessa conèixer com som i què ens agrada o desagrada. Ara bé, no sempre hi ha un interès comercial al darrere del tractament de les nostres dades, tal com recorda l’experta Mònica Vilasau: “Per exemple, una universitat tracta les teves dades perquè són necessàries per fer la matrícula. Si no les té, no et podrà donar un títol. A vegades hi ha un motiu econòmic, però també pot ser científic, com ara per fer recerca. No ens hem de quedar només amb la perspectiva dels beneficis.”
dret a l’oblit
De la mateixa manera que donem el consentiment perquè una organització accedeixi a les nostres dades personals i les tracti, també el podem retirar. Si no hi ha cap fonament jurídic que indiqui que aquelles dades es poden continuar utilitzant, s’hauran d’esborrar. És el que es coneix com a “dret a l’oblit”, que es va recollir per primer cop el 2014, quan el Tribunal de Justícia de la Unió Europea va sentenciar a favor d’un ciutadà que demanava a Google que retirés els enllaços a una pàgina on hi havia informació sobre uns embargaments que l’afectaven i que ja s’havien solucionat. Des de llavors, els buscadors d’internet disposen de formularis on els usuaris poden demanar que es retiri l’accés a través del seu nom a informacions que els afecten. No vol dir que la informació desaparegui, sinó que ja no es pot buscar a través del nom de l’afectat. Això no s’aplica, però, quan es tracta de protegir la llibertat d’expressió o quan es considera que preval l’interès públic (per exemple en declaracions polèmiques de persones públiques). Els ciutadans també tenen dret a demanar que s’elimini la informació quan aquesta ja no sigui necessària, i poden exigir que es limiti el seu tractament. El dret a la portabilitat de les dades, per la seva banda, assegura que es puguin trametre a tercers (com ara si es vol canviar de banc). Finalment, es pot rebutjar que es facin anàlisis de perfils amb algoritmes o que es prenguin decisions automatitzades amb les dades. Si s’incompleixen aquests drets, la llei orgànica de protecció de dades personals aprovada el 2018 preveu sancions que poden arribar als 20 milions d’euros.