Per donar resposta a aquesta qüestió cal tenir en compte que la finalitat de la protecció de dades és protegir les persones mitjançant la protecció de les seves dades personals. En aquest sentit, el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (RGPD), s’aplica a totes les dades personals amb independència del grau de vinculació amb la vida privada o la intimitat, entre d’altres. Cal tenir present que el RGPD per concretar les obligacions dels responsables i encarregats del tractament fa una aproximació des de l’enfocament del risc, i exigeix que com més alt sigui el risc per a les persones més gran haurà de ser el grau de protecció.
Des d’aquest enfocament en el risc, el RGPD pressuposa l’existència d’un risc més elevat en determinats casos, sigui segons la tipologia de dades que es tracten o pel col·lectiu al qual pertanyen els titulars de les dades.
D'una banda, el RGPD atorga un grau de protecció més elevat a les dades que defineix com categories especials de dades, que són totes les dades que revelen informació sobre origen ètnic o racial, opinions polítiques, conviccions religioses o filosòfiques, afiliació sindical, dades genètiques, salut o vida sexual, etc., i podem observar que no menciona les dades relatives a les víctimes de violència de gènere.
El segon cas a destacar és la protecció de les dades dels col·lectius vulnerables, com podrien ser les dades de menors d’edat o de persones amb discapacitat. Per tant, en aquest supòsit, el grau de protecció no es dirigeix al tipus de dades sinó a les circumstàncies personals de les persones que formen part d’aquest col·lectiu. En aquest concepte és on s’ha de buscar i interpretar fins on cal protegir les dades relatives a les víctimes de violència de gènere; és a dir, tractar dades d’aquest col·lectiu, en especial comunicar-les o difondre-les posa en risc les persones pel sol fet de formar-ne part, no pel tipus de dades sinó per les circumstàncies personals.
Encara es fa més evident que la protecció s’ha de centrar especialment en el context i les circumstàncies que envolten la violència de gènere si ens fixem en la normativa específica de protecció de les víctimes de violència de gènere. Aquesta normativa disposa que cal garantir activament les dades de les víctimes de violència de gènere i estendre aquesta protecció a les dades personals dels seus descendents o de qualsevol persona que estigui sota la seva guarda o custodia, així com dels professionals implicats (de conformitat amb l’apartat l de l’article 7 de la Llei 5/2008, de 24 d'abril, del dret de les dones a erradicar la violència masclista, i l'article 63.1 de la Llei orgànica 1/2004, de 28 de desembre, de mesures de protecció integral contra la violència de gènere).
A més, en el cas de les dades personals de les víctimes de violència de gènere, cal recordar que el dret a la protecció de dades va més enllà de la possibilitat de controlar les pròpies dades i és també un instrument per garantir el conjunt de drets i llibertats, com per exemple protegir-ne la intimitat i preservar-ne la seguretat.
Per tant, es pot afirmar que quan es tracten dades de víctimes de violència de gènere, en qualsevol entorn o context, s’han d’adoptar totes les mesures organitzatives necessàries per minimitzar els riscos i protegir la integritat física i psicològica de les víctimes.
A tall d’exemple escau esmentar un cas concret analitzat per l’Autoritat Catalana de Protecció de Dades (APDCAT), la resolució del procediment sancionador PS 98/2024, que té per objecte un supòsit d’incompliment de la protecció de dades des del disseny en el tractament de la dada “víctima de violència de gènere”.
En concret, la denunciant assenyalava que era víctima de violència de gènere i denunciava l'aplicació que utilitzava l'escola de la seva filla com a mitjà de comunicació entre l’escola i les famílies. Aquesta aplicació, d’acord amb el que exposava la denunciant, servia per fer arribar la informació de l’escola a la família i creava un espai de comunicacions bidireccional, en el qual també participava el pare de la filla. L’APDCAT va concloure que l’entitat denunciada havia vulnerat l’article 25.1 del RGPD, atès que no havia dissenyat l’aplicació o la manera de comunicar-se amb les famílies tenint en compte la naturalesa, l’àmbit o el context dels alumnes de l’escola ni de les seves famílies.
En el moment de dissenyar l’aplicació (de definir el tractament de dades) s’hauria d’haver tingut en compte la gran diversitat de famílies que hi podria haver, per tal de comprendre les diferents casuístiques i així atorgar el grau màxim de protecció a les persones afectades, atenent a les seves circumstàncies personals i familiars. L'objecte de la denúncia girava entorn a una víctima de violència de gènere, però segurament també hi haurien altres circumstàncies rellevants a valorar a l’hora de dissenyar els canals de comunicació.
També cal assenyalar que durant la tramitació del procediment sancionador l’escola va habilitar una alternativa per tal que la denunciant no hagués de compartir les comunicacions amb el pare de la seva filla. Per tant, va adoptar una alternativa més respectuosa i garant amb els drets de la víctima de violència de gènere.
Recordem que la protecció de dades, des del disseny i per defecte, regulada per la RGPD, exigeix al responsable del tractament identificar i aplicar les mesures que siguin més pertinents per garantir el compliment de les obligacions des del moment de la concepció del tractament, i fer-ho abans d’iniciar el tractament i de forma continuada al llarg de tot el seu cicle de vida. En definitiva, es tracta d’adoptar totes les mesures possibles per anticipar-se a una situació que pugui posar en risc les dades personals (i les persones) per tal d’evitar-lo o, si més no, minimitzar-lo.
Així ho estableix l’article 28.2.e de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), que estableix que, per determinar les mesures tècniques i organitzatives a aplicar, els responsables i encarregats del tractament han de tenir en compte els riscos superiors que es poden produir quan es dugui a terme el tractament de dades de grups d’afectats per una situació d’especial vulnerabilitat i, en particular, de menors d’edat i persones amb discapacitat.
Per tant, per determinar el risc d’un tractament de dades i concretar les obligacions a complir, entre les quals la protecció de dades des del disseny i per defecte, no cal atendre només a la tipologia de dades tractades, sinó al conjunt de circumstàncies que envolten el tractament, una de les quals és que les persones afectades pertanyin a un col·lectiu vulnerable o a un grup d'afectats en una situació d'especial vulnerabilitat.
D'altra banda, també és rellevant destacar el Dictamen CNS 7/2021 de l’APDCAT en relació amb una consulta sobre la identificació de les persones interessades que tenen la condició de víctima de violència de gènere en les diferents publicacions dels procediments selectius de personal. En aquesta consulta, l’APDCAT assenyala que en la publicació dels actes administratius en els quals s’inclou la identificació de persones cal aplicar el principi de minimització de dades, en la vessant de proporcionalitat (art. 5.1.c del RGPD), amb la finalitat d’evitar difondre'n la identitat.
Això és important en els casos de les víctimes de violència de gènere perquè exigeix evitar la publicació tant de la identitat com de qualsevol altra informació que permeti identificar-la de manera directa o indirecta durant tot el procediment en qüestió, per no generar un risc per a la seva seguretat personal.
En aquest sentit, la LOPDGDD, en la disposició addicional setena, fa una referència expressa a la necessitat de protegir les dades que es publiquen de les víctimes de violència de gènere, i assenyala que s’han de prendre precaucions a l’hora de publicar informació relativa a una víctima de violència de gènere, sigui en una publicació d’una llista d’admesos i provisionals en un procés selectiu o en les publicacions amb efectes de notificació.
L’APDCAT planteja la possibilitat d’utilitzar un codi identificatiu per substituir la publicació del nom i cognoms, alhora que adverteix de la necessitat de prendre les mesures de seguretat adequades perquè la informació de la víctima de violència de gènere continuï protegida durant tot el temps que la informació que hi faci referència estigui en poder de l’administració.
Per tot el que s'ha exposat, es pot afirmar que en el tractament de dades de persones sotmeses a violència de gènere cal valorar, de forma molt acurada, els processos que impliquin difusió d’informació personal tant en contextos més “tancats” (una app) com oberts (internet).
En conclusió, qualsevol informació d’una víctima de violència de gènere és objecte de protecció, atès que és una persona que pertany a un col·lectiu vulnerable o a un grup d'afectats en una situació d'especial vulnerabilitat, i se n’ha de protegir la intimitat i preservar la seguretat.
