El Reglament general de protecció de dades (RGPD), norma que és d’obligat compliment des del 25 de maig de 2018, ha variat radicalment la manera en què les entitats han de gestionar la informació personal.
Aquesta norma és aplicable directament al conjunt d’estats membres de la Unió Europea i no necessita norma de desplegament intern. Tot i això, atesa la transversalitat de la matèria i que afecta un dret molt vinculat a qüestions socials i culturals, s’ha deixat un cert marge als estats. En aquest context, Espanya, com a complement al RGPD, va aprovar la Llei 3/2018, de 6 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD).
El RGPD manté els principis que regeixen el tractament de les dades (limitació de la finalitat, minimització, seguretat, etc.) i les bases jurídiques que permeten legitimar el tractament de les dades (consentiment, contracte, obligació legal, etc.). Però afegeix dos elements que obliguen les entitats a replantejar-se com complir la normativa de protecció de dades: la responsabilitat proactiva i l’enfocament en el risc. Aquests dos elements van necessàriament units, en la seva aplicació, al compliment de les obligacions regulades en la normativa de protecció de dades.
L’enfocament en el risc ens exigeix una valoració molt contextualitzada de com complir cada obligació segons el nostre entorn i característiques: acotant el risc al nostre context particular. Cal valorar la probabilitat i la gravetat del risc per als drets i les llibertats de la persona interessada i s’ha de determinar d’acord amb la naturalesa, l'abast, el context i les finalitats del tractament de dades. Per tant, veiem que no estem parlant només de seguretat del tractament en els termes de l'article 32 del RGPD, sinó que aquest enfocament en el risc s'estén al conjunt d'accions que puguin incidir en els drets i les llibertats de les persones, per tant, també a la manera de complir el conjunt d'obligacions regulades per la normativa de protecció de dades.
Els riscos per als drets i les llibertats de les persones físiques es poden derivar d’un tractament de dades que pugui comportar danys i perjudicis físics, materials o immaterials. En aquest context, quan es valori, cal tenir present si es poden donar situacions de discriminació, usurpació d'identitat o frau, pèrdues financeres, dany per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, reversió no autoritzada de la pseudonimització, o si es pot privar les persones dels seus drets i les seves llibertats o se'ls impedeix exercir el control sobre les seves dades personals. La LOPDGDD, en l'article 28.2, enumera una sèrie de situacions que poden comportar riscos més elevats, entre les quals trobem les ja esmentades (extretes del considerant 75 del RGPD) i d'altres com, per exemple, que es produeixi el tractament de categories especials de dades (salut, ideologia, raça, etc.), que el tractament impliqui una avaluació d’aspectes personals de les persones afectades amb la finalitat de crear o utilitzar perfils personals d’aquestes, o quan es dugui a terme el tractament de dades de grups de persones afectades en una situació d’especial vulnerabilitat i, en particular, de menors d’edat i de persones amb discapacitat, o es produeixi un tractament massiu que impliqui un gran nombre de persones afectades o comporti la recollida d’una gran quantitat de dades personals.
Aquest enfocament en el risc, cal aplicar-lo en el context del principi de la responsabilitat proactiva que exigeix complir la normativa, buscant la millor manera de fer-ho per a cada obligació i per als nostres usuaris, i hem de poder provar aquest compliment i l'esforç de contextualització.
Però, potser, la millor manera d’entendre com afecten aquests dos elements el compliment de cada obligació concreta és veure com aplicar-los en el compliment d'una obligació en concret. Per fer-ho agafaré el deure d’informar sobre el tractament de les dades personals que correspon al responsable del tractament.
El compliment d’aquesta obligació s’ha plantejat, tradicionalment, com un mecanisme de garantia de les organitzacions més que com una eina de protecció per a les persones. Les entitats mantenen aquesta perspectiva formalista i, en el moment de redactar les clàusules informatives, element essencial perquè les persones puguin controlar les seves dades, no valoren, per exemple, el tipus de col·lectiu, l’audiència, a la qual s’adreça la informació. Delimitar el col·lectiu és imprescindible per adaptar el llenguatge. Altrament, tampoc no analitzen quina seria la millor manera de facilitar la informació en funció del mètode de recollida (formulari en paper o electrònic, dispositiu mòbil, verbalment, etc.) per adaptar el missatge a l’entorn.
En definitiva, l’enfocament en el risc i la responsabilitat proactiva aplicats al compliment del deure d’informar exigeixen no només un contingut específic, regulat en els articles 13 i 14 del RGPD, sinó també que el contingut arribi a les persones de la manera més adequada a les seves circumstàncies i a les característiques del procediment de recollida i que, a més, el llenguatge utilitzat s’hi adapti de manera que puguin entendre el que se'ls està dient, abans de facilitar les seves dades personals.
Cal fer una anàlisi prèvia de tot el procés del tractament, del context, de la forma de recollida, del col·lectiu del qual recollim les dades (menors, pacients, professionals, etc.), és a dir, de tot allò que pot tenir un impacte en la recepció i la comprensió, per part de les persones afectades, de com es tractarà la informació, de quines conseqüències pot tenir el tractament per a elles i de les garanties i els drets relacionats amb el tractament de dades personals.
Aquest exemple de com afrontar el compliment de l’obligació d’informar les persones, sobre la base del risc i la responsabilitat, és aplicable al conjunt de les obligacions regulades en el RGPD. Només si es fa en aquests termes de contextualització i individualització dels riscos s'assoliran els objectius de la normativa de protecció de dades i es podrà entendre que es compleixen efectivament les exigències del RGPD.