GenTMB

Des de l’any 2006, un dia com avui se celebra el Dia Europeu de la Protecció de Dades. L’objectiu d’aquesta data és manifestar la necessitat de protegir les persones amb relació a l’ús de les seves dades personals en una societat com la nostra, altament digitalitzada. A més, cal recordar que dins del nostre ordenament jurídic aquesta protecció es configura a través d’un dret fonamental. Les noves tecnologies aplicades al nostre dia a dia, tant en l’àmbit personal com professional, estan estretament vinculades al tractament de les dades i al risc que comporta el seu ús per a les persones. 

Com a conseqüència de la investigació i els avenços a la ciència, la societat en què vivim es troba en un canvi continu i d’evolució. El naixement de les noves tecnologies [com per exemple, l’aparició del 5G, la intel·ligència artificial, la biometria, el Big Data, l’Internet of Things (IoT), entre d’altres], es constitueixen com un motor d’avenç i progressió i aquestes ofereixen noves oportunitats de negoci, millores en les comunicacions, serveis innovadors, etc., però al mateix temps requereixen l’ús de les dades personals. 

La utilització de les noves tecnologies implica, per si mateixa, noves maneres de tractar les dades personals. Aquesta circumstància, unida al fet que tot tractament de dades personals porta aparellats riscos inherents, suposa que l’ús de les noves tecnologies impliqui nous riscos que han de ser identificats, avaluats i tractats per tal de minimitzar-los. 

Aquesta relació estreta entre els avenços tecnològics, la seguretat de la informació i les dades personals es troba sotmesa al compliment del Reglament –2016/679/UE– General de Protecció de Dades, conegut com “RGPD”, i la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals. La normativa esmentada ha suposat un canvi de paradigma en l’ús de dades personals per part d’organitzacions i institucions. D’aquesta manera, des de l’any 2018 els responsables del tractament, entre d’altres obligacions establertes, han de tenir en compte la seguretat de les dades personals des del moment inicial en què es dissenya un projecte/tractament i, d’altra banda, avaluar en tot moment i amb caràcter previ a qualsevol tractament de dades personals, el risc que aquest porta implícit. Per tant, no resulta suficient donar compliment a les mesures de seguretat tècniques i organitzatives que abans venien especificades per la mateixa normativa, sinó que és el mateix responsable qui, a partir del risc que porta aparellat el tractament, ha de decidir quines mesures tècniques i organitzatives són les adequades amb la finalitat que la seguretat de les dades personals quedi garantida. D’aquesta manera, per exemple, mitjançant l’ús de tecnologies innovadores com el reconeixement facial o l’ús de l’empremta dactilar, impliquen el tractament de dades personals. Què passaria si aquestes dades es trobessin exposades a causa d’una incidència en la seguretat del sistema on aquestes dades es troben emmagatzemades? Encara més, fins a quin punt es poden produir suplantacions de la identitat d’aquestes persones titulars de les dades personals exposades? Per tant, quines mesures hauria d’adoptar l’organització per evitar la producció de bretxes de seguretat en les dades personals?

Les organitzacions constantment innoven per tal de prosperar el seus negocis o millorar els seus serveis mitjançant l’ús de noves tecnologies, però aquesta innovació no pot deixar de banda una qüestió essencial: més enllà de l’enfocament econòmic o de la millora del servei, ha de compatibilitzar-se amb el respecte al dret fonamental de les persones a la protecció de dades personals amb la resta dels objectius de les organitzacions. 

El primer pas per fer efectiva aquesta protecció és que davant d’una nova iniciativa que comporta el tractament de dades personals es porti a terme una exhaustiva anàlisi del projecte i del seu impacte en les dades personals, identificar els riscos i procedir a l’avaluació i mitigació mitjançant el disseny i la implementació de les mesures necessàries per mantenir la seguretat de les dades personals i per evitar que es vulnerin els drets i llibertats de les persones. Per aquesta raó, és vital la importància que té la sensibilització de tots els membres de l‘organització en el moment de tractar dades personals (siguin noves tecnologies o qualsevol altre mitjà), tant en el moment del disseny, com una vegada iniciat el tractament i mentre el tractament existeix. És obligació de cadascuna de les àrees que pretenen portar a terme un nou projecte de dades personals realitzar, amb el suport de bon govern, una anàlisi dels riscos associats al nou tractament i a l’ús de noves tecnologies, i una vegada realitzada aquesta anàlisi i complerts els requisits legals exigits per poder iniciar el projecte o tractament, aquest es podrà portar a terme. 

No hem de veure la normativa de protecció de dades personals com un escull a l’hora d’emprar les noves tecnologies, ja que aquesta normativa no en prohibeix l’ús, sinó que exigeix que des del moment més incipient del projecte es tinguin en compte els riscos associats a l’ús d’aquestes dades i que alhora es trobi la via legal i tècnica òptima que permeti utilitzar-les, vetllant sempre pel respecte a les dades personals i els drets i llibertats de les persones. Per això és tan important que totes i cadascuna de les persones de l’organització que tractin dades personals siguin conscients dels riscos implícits derivats del seu ús. Cal tenir en compte que darrere de les dades hi ha persones i hem d’evitar que l’ús de les dades personals pugui ocasionar danys o perjudicis.