El dret a la protecció de dades

Aquest concepte el veiem expressat en l’anomenada "autodeterminació informativa" que té com a objectiu garantir la dignitat, la intimitat i el lliure desenvolupament de la personalitat en l'era digital.

Si hem de ser més concrets, aquest dret ens ofereix la capacitat d'exercir els anomenats drets ARSOPOL (antigament ARCO) davant de qualsevol entitat, pel que fa a l’accés, en saber quines dades tenen sobre nosaltres.

També en tot el relatiu a la rectificació, per corregir dades inexactes i/o incompletes i a la supressió, allò que s’anomena dret a l'oblit, quan el que pretenem és demanar que s'eliminin les dades que no són necessàries.

Tanmateix, ens permet fer una oposició, negar-nos a un tractament específic, per exemple en tot allò relacionat amb la publicitat.

I també fa referència a la portabilitat, quan les nostres dades ens arriben en un format que podem traslladar a un altre servei o en la limitació, en la restricció, en l'ús de les dades en casos determinats.

L’autodeterminació informativa ve regulada per la Constitució espanyola, concretament en l'article 18.4 on s’estableix que la llei ha de limitar l'ús de la informàtica per garantir l'honor i la intimitat dels ciutadans.

L’objectiu principal és protegir la dignitat de les persones davant del creixent ús de les tecnologies de la informació.

Pel que fa al legislador el compromet a crear lleis per regular aquest dret. Actualment, el marc normatiu principal inclou el Reglament General de Protecció de Dades (RGPD) de la UE i la Llei Orgànica 3/2018 (LOPDGDD).

A banda protegeix la intimitat i assegura el ple exercici dels drets afectats pel tractament automatitzat de les dades.

També queda recollit en el reglament General de Protecció de Dades (RGPD), una norma de la Unió Europea que estableix un marc uniforme de protecció a tota la UE.

I finalment, en la llei Orgànica 3/2018 (LOPDGDD), que esdevé una adaptació espanyola que complementa el reglament europeu i garanteix els drets digitals.

Els punts més importants d’aquesta llei són, l’adaptació al RGPD, que es complementaria de les disposicions europees. Aquesta concreta aspectes com l'edat de consentiment dels menors i el tractament de dades de les persones difuntes.

En el títol X sobre els drets digitals, introdueix el dret a la desconnexió digital en l'àmbit laboral, el dret a l'oblit en cercadors, en les xarxes socials i el dret a la seguretat digital.

Pel que fa als principis de tractament, dona importància a la transparència, a la lleialtat i a la limitació de la finalitat en l'ús de la informació personal.

Matisa el deure d'informar a través d’un sistema de capes d'informació, on s'ofereix un resum bàsic i es remet a un text detallat.

Finalment, regula d’una manera més específica l'ús de dispositius digitals al lloc de treball i els sistemes de videovigilància i geolocalització per part de l’empresa.

Pel que fa a les organitzacions, aquestes queden regulades per uns principis fonamentals on qualsevol entitat que gestioni dades ha de respectar. Són la licitud, la lleialtat i la transparència.

Les organitzacions han de tractar les dades de manera clara i amb una base legal, sempre prevalent el consentiment, amb una limitació de la finalitat. Les dades només es poden recollir per a finalitats determinades i explícites.

Tenint en consideració una minimització de dades, únicament s'han de recollir les estrictament necessàries i sempre respectant una exactitud, on caldrà sempre mantenir la informació actualitzada.

També han de tenir present una limitació del termini de conservació, no es poden guardar les dades més temps del necessari.

Sempre amb integritat i confidencialitat, aplicant mesures de seguretat per evitar accessos no autoritzats i sota una responsabilitat proactiva anomenada “accountability”. Amb aquesta, l'empresa ha de ser capaç de demostrar que compleix amb tota la normativa.

L'accountability és un concepte relacionat amb una obligació de retre comptes i a l'assumpció de la responsabilitat proactiva sobre les  pròpies accions i resultats.

A diferència del concepte de "responsabilitat", l'accountability implica un compromís més gran amb el resultat final i garanteix una transparència en tot el procés.

Si parlem de l'accountability, també hem de parlar d’un rendiment de comptes, answerability, que defensa el deure d'informar, d’explicar i de justificar les accions davant d'altres.

També podem parlar d’una responsabilitat proactiva, no cal esperar a rebre ordres, sinó assumir els resultats d'un projecte o d'una funció de manera autònoma.

I finalment, unes conseqüències quan hi ha una existència de mecanismes per valorar el rendiment, per mitjà de recompenses o de sancions segons el compliment dels compromisos.

En el cas de la sospita d’una vulneració dels drets podem presentar una reclamació davant l'Agència Espanyola de Protecció de Dades (AEPD) o, a Catalunya, davant l'Autoritat Catalana de Protecció de Dades (APDCAT) per a l'àmbit del sector públic català.

L'Agència Espanyola de Protecció de Dades (AEPD) és una autoritat administrativa independent que ha de vetllar pel compliment de la normativa sobre privacitat i protecció de dades de caràcter personal a l’estat espanyol.

L'AEPD manté la responsabilitat sobre entitats públiques i privades per garantir el dret fonamental a la protecció de dades.

Les seves funcions principals són la supervisió i control, vetlla per l'aplicació del Reglament General de Protecció de Dades i per la Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals.

També té la capacitat d’investigar d'ofici o per denúncia i imposar multes en cas d'infracció. Informa sobre projectes normatius i resol consultes de ciutadans i empreses. Tutela els drets d'accés, rectificació, supressió, oposició, limitació i portabilitat, que coneixíem com a drets ARCO.

El Reglament General de Protecció de Dades (RGPD), oficialment el Reglament (UE) 2016/679, és la normativa de la Unió Europea que regula com les organitzacions poden tractar les dades personals.

Va entrar en vigor el 24 de maig de 2016 i és de compliment obligatori des del 25 de maig de 2018. Ha inclòs diferents definicions com per exemple... “Les dades personals són tota informació sobre una persona física identificada o identificable (l’interessat); es considerarà persona física identificable tota persona la identitat de la qual es pugui determinar, directament o indirecta, en particular mitjançant un identificador, com per exemple un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona”...

El Reglament General de Protecció de Dades de la Unió Europea recull a l’article 4..., “Tractament: Qualsevol operació o conjunt d’operacions realitzades sobre dades personals o conjunts de dades personals, sigui per procediments automatitzats o no, com ara la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, confrontació o interconnexió, limitació, supressió o destrucció”.

... “En el cas de fitxer és tot conjunt estructurat de dades personals, accessibles d’acord amb criteris determinats, sigui centralitzat, descentralitzat o repartit de manera funcional o geogràfica...”

Entre els seus principis, apunta que les dades s'han de tractar de manera legal i clara per a l'interessat, únicament es poden recollir per a fins específics i legítims.

També s'han de recollir les dades estrictament necessàries i aquestes han de ser correctes i estar actualitzades.

Marca també una limitació del termini de conservació, les dades s'han d'esborrar quan ja no siguin necessàries i s’ha de garantir la seguretat contra el tractament no autoritzat i la pèrdua accidental d’aquestes.

L'RGPD amplia també, els drets dels usuaris per gestionar la seva identitat digital, en el fet de conèixer quines dades té una empresa sobre cadascú.

També defensa el dret de rectificació, a corregir les dades inexactes incompletes, i també a demanar que s'eliminin les dades personals.

Finalment, he cregut necessari recordar allò que recull sobre el consentiment la normativa europea..., “Consentiment de l’interessat: tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual l’interessat accepta, per mitjà d’una declaració o d’una clara acció afirmativa, el tractament de dades personals que la concerneixen.”

Joan Rodríguez i Serra és educador social (joanr.educadorsocial@gmail.com)