Des de fa un temps, nombroses entitats locals han substituït els mètodes tradicionals de recollida selectiva de residus per altres sistemes intel·ligents que permeten conèixer l’ús que fa cada usuari del servei, ja sigui a través de tecnologies que permeten la identificació o bé, pel disseny del servei mateix. A més, la implementació d’aquests models, en darrera instància, porta aparellada l’establiment d’un sistema de pagament per generació o per participació conegut com “taxa justa”.
Aquest canvi, fruit de les polítiques de la Unió Europea, persegueix transformar la societat en una “societat del reciclatge”, contribuir a la lluita contra el canvi climàtic, per facilitar la preparació per a la reutilització que redundi en la consecució de beneficis ambientals, econòmics i socials substancials i en l'acceleració de la transició cap a una economia circular. En aquest sentit, la Directiva (UE) 2018/851 del Parlament Europeu i del Consell, de 30 de maig de 2018, estableix l’objectiu d’arribar al 65% de residus reciclats i preparats per a la reutilització l’any 2035 i la Llei 7/2022, de 8 d’abril, de residus i sols contaminants per a una economia circular, incorpora aquests objectius europeus a l’ordenament jurídic espanyol (art. 26).
Els dos principals models de recollida selectiva amb identificació de l’usuari són el model porta a porta i el model amb contenidors tancats. El model porta a porta consisteix a lliurar els residus al servei de recollida davant de la porta de l’habitatge o de l’establiment, en uns dies i hores determinats per cada fracció. En aquest model s’identifica l’usuari mitjançant un codi de barres, codi QR o xip instal·lat al cubell, bujol o bossa d’ús individual on es dipositen els residus, o bé mitjançant la ubicació d’aquests recipients (en aquest cas la identificació és indirecta, atès que s’atribueix l’element d’aportació a un usuari a partir de la ubicació de l’habitatge o de l’activitat econòmica). També es pot fer ús de bujols comunitaris o bústies; en aquest cas, la identificació també és individual, però el contingut vincula a un grup d’usuaris. En canvi, el model amb contenidors tancats consisteix a instal·lar tancaments electrònics als contenidors ubicats a la via pública, de manera que és necessària la identificació de l’usuari mitjançant una targeta, un clauer o un telèfon mòbil per poder-ne fer ús. En aquest cas, tot i que aquesta identificació és individual, els residus dipositats queden associats col·lectivament a un grup d’usuaris.
I quina afectació tenen aquests sistemes en les dades personals? Molt senzill, el concepte de "dada de caràcter personal" (article 4.1 del Reglament (UE) núm. 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46 / CE (Reglament general de protecció de dades, RGPD), entra en joc quan concorren dos elements:
- Una informació determinada en la mesura que els objectes, les substàncies i els productes que es poden dipositar en un contenidor de residus (sigui una bossa, un cubell o un contenidor) ofereixen un volum considerable d’informació sobre les persones que habiten en un determinat domicili, per exemple, poden revelar preferències de consum, hàbits alimentaris (dietes, etc.), tipus i edat de les persones que viuen a l’habitatge (per exemple, si hi ha nadons) o d’altres tipus, o fins i tot informació vinculada a categories especials de dades, com ara dades de salut (incloent-hi addiccions o al·lèrgies), tendències polítiques, religioses, etc.
- Aquesta informació es pot vincular a una persona identificada o identificable (en aquest cas, s’identifica l’usuari mitjançant un codi de barres, codi QR o xip instal·lat al cubell, bujol o bossa d’ús individual on es dipositen els residus (sistema porta a porta), o bé s’identifica l’usuari mitjançant una targeta o un clauer amb xip, o una aplicació mòbil associada a l’usuari, per poder fer ús dels contenidors tancats.
Per tant, en la mesura que els residus dipositats (sigui a la via pública sigui en contenidors tancats) es poden vincular a una persona identificada o identificable, és inqüestionable que es tracti de dades personals, a les quals els resulta aplicable la normativa de protecció de dades personals.
Així doncs, cal que les entitats locals que volen implementar aquests nous sistemes tinguin en compte, des del disseny (art. 25 del RGPD), els principis i les garanties que estableix tant el RGPD com la LOPDGDD. Per això l’objectiu d’aquest apunt és repassar, a partir dels dictàmens (CNS 16/2025, CNS 1/2024, CNS 60/2021, CNS 6/2020, CNS 36/2020) i les resolucions sancionadores de l’Autoritat Catalana de Protecció de Dades (APDCAT) dictades en aquesta matèria (PS 66/2025, PS 65/2023, PS 33/2023, PS 24/2023), disponibles al seu web algunes de les obligacions de la normativa de protecció de dades que han de tenir en compte a l’hora d’implementar aquests sistemes i que, en cas d’incompliment d'aquestes, poden derivar en l’exigència de responsabilitats sancionadores.
1) Abans del tractament de dades personals, cal dur a terme una avaluació d’impacte en protecció de dades personals (AIPD)
D’entrada, i atès que la implementació d’aquests sistemes pot comportar un risc elevat per als drets i les llibertats de les persones, cal referir-se a l’obligació establerta a l’article 35 del RGPD, i a l'article 28 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), i la llista elaborada per l’APDCAT (en compliment del que disposa l’article 35.4 del RGPD): l’avaluació d’impacte en protecció de dades personals (AIPD). Tal com s’argumentava en els dictàmens de l’APDCAT, la implementació d’aquests nous models de recollida selectiva amb l’objectiu últim d’establir un sistema de taxa justa impliquen, d’entrada, un tractament a gran escala, atès que abasten a totes les persones d’un mateix municipi; comporten l’ús innovador de tecnologies en la mesura que s’utilitzen en un nou àmbit o context; impliquen l’elaboració de perfils de comportament dels usuaris, els quals, un cop instaurada la taxa justa, permeten la presa de decisions automatitzada amb efectes jurídics; impliquen l'observació sistemàtica dels usuaris, atès que el seguiment és continu durant la prestació del servei, amb una planificació establerta per a l’elaboració dels perfilats i la implantació de la taxa justa i, finalment, també suposen un tractament de dades que en si mateix pot impedir als ciutadans l’ús d’un servei.
En definitiva, totes aquestes circumstàncies porten a concloure que, abans d’implementar aquests nous models de recollida selectiva, cal fer una AIPD. Es pot utilitzar l'aplicació d’AIPD elaborada per l’APDCAT, així com la Guia per a la protecció de dades personals en sistemes de recollida de residus amb identificació i en taxes justes de l’Agència de Residus de Catalunya.
2) Licitud del tractament: cal disposar d’una base jurídica que permeti el tractament de dades personals
A banda de l’AIPD, també cal complir altres obligacions establertes al RGPD, entre les quals hi ha els principis establerts a l’article 5 del RGPD. De tots aquests principis, em referiré al principi de licitud.
L’article 5.1.a del RGPD exigeix que tot tractament de dades personals sigui lícit, lleial i transparent, i l’article 6.1, sota el títol “Licitud del tractament”, regula les bases jurídiques en les quals podem fonamentar el tractament de dades personals (quan no es tracten dades de categories especials). Doncs bé, entre aquestes bases jurídiques, hi figura la “missió d’interès públic o l’exercici de poders públics conferits al responsable de tractament.” Aquesta base jurídica, de conformitat amb l’article 6.3 del RGPD i l’article 8 de la LOPDGDD, requereix que la missió d’interès públic o exercici de funcions públiques estigui establerta en una llei o norma amb rang de llei.
La normativa reguladora dels ens locals (article 25.2 de la Llei 7/1985, de 2 d’abril, reguladora de les bases del règim local, LBRL, i article 66.3 l del text refós de la Llei municipal i de règim local de Catalunya aprovat pel Decret legislatiu 2/2003, de 28 d’abril, TRLMRLC), així com la normativa en matèria de residus (articles 11, 42, 53.1 del text refós de la Llei reguladora dels residus aprovat pel Decret legislatiu 1/2009, de 21 de juliol, TRLR), atribueixen a les entitats locals la competència per a la gestió dels residus i estableixen que aquestes entitats han de fer servir els sistemes de separació i recollida que s'hagin mostrat més eficients i que siguin més adequats a les característiques de llur àmbit territorial. Al seu torn, la Llei 7/2022, de 8 d’abril, de residus i sòls contaminats per a una economia circular (LRSCEC), imposa que “el productor inicial u otro poseedor de residuos domésticos deberá separar en origen sus residuos y entregarlos en los términos que se establezcan en las ordenanzas de las entidades locales, de acuerdo con lo establecido en el artículo 25” (apartat 3). I l’article 25 de la LRSCEC disposa, entre altres qüestions, que “entre los modelos de recogida de las fracciones anteriores que establezcan las entidades locales se deberán priorizar los modelos de recogida más eficientes, como el puerta a puerta o el uso de contenedores cerrados o inteligentes que garanticen ratios de recogida similares” (apartat 2 in fine).
En conseqüència, i seguint els dictàmens de l’APDCAT esmentats, “la llei habilita expressament que una norma jurídica de rang inferior contingui disposicions específiques desenvolupant la competència conferida als ens locals en aquesta matèria per la mateixa llei. I, en la mesura que aquests mitjans comportin el tractament de dades personals, com és el cas dels models de recollida selectiva amb identificació de l’usuari, els dits reglaments o ordenances locals també hauran d’establir previsions específiques al respecte. Essent així, podrà considerar-se d’aplicació la base jurídica de la missió d’interès públic a què s’ha fet esment, com a habilitació del tractament de les dades personals relatives als usuaris del servei per part dels ens locals”.
Pel que fa a la taxa justa, cal dir que aquesta també es podria entendre que és habilitada per la base jurídica de l’article 6.1.e del RGPD, en la mesura que, d’acord amb el que disposen els articles 10.2 i 40.4 del TRLR i 11.3 de la LRSCEC, es compti amb una ordenança fiscal que reguli el sistema de pagament per generació o per participació i concreti aspectes rellevants des del vessant de protecció de dades, com ara l’origen de les dades emprades per al càlcul de la taxa, l’elaboració de perfils dels usuaris amb efectes significatius sobre aquests i, per tant, al seu torn, mecanismes de rectificació de l’import de la taxa en cas de disconformitat.
Així, per elaborar les ordenances municipals, pot ser d’interès la Guia per a la protecció de dades personals en sistemes de recollida de residus amb identificació i en taxes justes de l’Agència de Residus de Catalunya.
Finalment, cal afegir que sovint les entitats locals posen a disposició dels usuaris una aplicació per a telèfons mòbils (app ciutadana) amb l'objectiu d’establir un canal bidireccional de comunicació entre la ciutadania i el servei. Normalment, per mitjà d’aquesta aplicació, els usuaris poden consultar les seves dades de participació en el servei, generar incidències del servei, rebre notificacions personalitzades i generals, consultar el calendari de recollida de residus i altra informació relativa als residus municipals. En aquest cas, el tractament de la informació personal dels usuaris d’aquesta aplicació per part de l’entitat local es fonamenta en el seu consentiment previ, base jurídica prevista a l’article 6.1.a del RGPD, i que per ser vàlida cal que aquest consentiment reuneixi els requisits de lliure, específic, inequívoc i informat.
3) Cal definir els rols de les diferents entitats que participaran i, si s’escau, signar els acords d’encarregat/subencarregat de tractament
Un cop determinada l’existència d’habilitació legal per al tractament de dades personals a través d’aquests sistemes de recollida de residus més eficients, cal recordar que moltes vegades la implementació d’aquests sistemes comporta la participació d’altres entitats. En aquest sentit, és important definir i establir els rols d’aquestes entitats en els tractaments de dades personals i, a aquest efecte, si s’escau, signar el corresponens acord d’encarregat/subencarregat de tractament amb els requisits exigits per l’article 28 del RGPD. A l’hora de confeccionar aquest acord/contracte d’encarregat de tractament, pot ser d’utilitat la Guia de l’encarregat del tractament en el RGPD de l’APDCAT.
En aquest punt, és oportú recordar que en els dictàmens de l’APDCAT assenyalats es menciona que quan hi hagi un o diversos encarregats de tractament, es tingui present el principi de minimització de les dades (principi segons el qual “los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”, article 5.1.c del RGPD), atès que aquesta circumstància “comporta uns riscos addicionals per a la privacitat de les persones afectades que convé minimitzar”. En tot cas, cal tenir present que la informació personal concreta a què pot accedir l’encarregat (o encarregats) del tractament és determinada per les funcions i/o tasques que li corresponen dur a terme a conseqüència de l’encàrrec efectuat per l’entitat local i sempre que, per al seu exercici, sigui necessari disposar d’aquesta informació (art. 33.1 de la LOPDGDD i art. 5.1.c del RGPD).
4) Transparència i dret d’informació dels usuaris dels sistemes
El dret a la protecció de dades personals garanteix que la persona titular de les dades personals pugui controlar les seves dades. Per poder exercir aquest dret, és essencial que els usuaris estiguin assabentats i ben informats i coneguin l’abast dels tractaments de dades personals que les entitats locals volen dur a terme amb la implementació d’aquests nous sistemes. Per implementar-los, de conformitat amb el principi de transparència (considerant 39 i articles 5.1.a i 12 del RGPD, així com les Directrius sobre la transparència del grup de treball de l’art. 29, ara Comitè Europeu de Protecció de Dades), cal que la informació facilitada als usuaris sigui concisa (de manera eficient i succinta, per evitar el cansament informatiu), intel·ligible (comprensible per als usuaris dels sistemes) i de fàcil accés (els usuaris no han de buscar la informació de protecció de dades, sinó que han de poder reconèixer immediatament on i com accedir a aquesta informació, per exemple, i cal que els la lliurin directament quan es posa en marxa el sistema). A més, s’ha d’utilitzar un llenguatge clar i senzill, tenint presents els col·lectius afectats, de manera que aquests puguin entendre i comprendre que s’estan recollint i tractant les seves dades personals així com l’abast dels tractaments de dades personals que es volen dur a terme mitjançant aquests sistemes de recollida de residus.
A aquest efecte, a l’hora de redactar la clàusula del dret d’informació, és recomanable dur a terme els passos següents:
- Primer, abans de redactar la clàusula, és fonamental descriure el/s flux/s per facilitar el dret d’informació a les persones afectades (aprofita l’AIPD que ja has elaborat), tenint en compte els mitjans que s’empraran per donar aquesta informació i els diferents moments de recollida d’aquestes dades, i si hi ha diversos tipus de col·lectius afectats (atès que la redacció de la clàusula s’ha de fer de manera entenedora, tenint-ne en compte l’audiència destinatària).
En aquest punt, l’APDCAT assenyala en els seus dictàmens que “un moment òptim per donar compliment a aquest deure d’informació seria quan es du a terme la campanya prèvia d’implantació del model de recollida selectiva al municipi, particularment, quan es lliura als usuaris el material del servei de recollida […]”.
- Segon, un cop quedi clar el punt anterior, cal dissenyar i redactar la clàusula informativa que cal facilitar a les persones afectades. En aquest sentit, és oportú recordar que l’article 11 de la LOPDGDD estableix la possibilitat de facilitar la informació per capes o nivells.
Sigui com sigui, cal assegurar-se que la clàusula del dret d’informació s’ajusta al contingut establert a l’article 13 del RGPD quan les dades les recollim directament dels usuaris, o al contingut de l’article 14 del RGPD quan les dades no es recullen directament de l’afectat.
Entre els diferents requisits que estableixen aquests preceptes, cal destacar que, si es duen a terme diversos tractaments de dades personals amb finalitats diferents (gestió de la recollida selectiva, càlcul de la taxa justa, obertura de procediments sancionadors en cas de mal ús del servei, etc.) i/o bases jurídiques diferents (com ara, la missió d’interès públic o el consentiment en el cas de les apps), cal que totes es recullin en la clàusula i que l'usuari pugui identificar de manera clara quina base jurídica correspon a cada finalitat.
A més, si s’elaboren perfils o es prenen decisions automatitzades amb efectes jurídics sobre les persones per al càlcul de la taxa, cal que en la clàusula s’informi expressament de la possibilitat d’exercir el dret a no rebre decisions individuals automatitzades amb efectes jurídics (art. 22 del RGPD), així com la informació relativa a l’existència d’aquesta decisió, incloent-hi l’elaboració del perfil, la lògica aplicada i la importància i les conseqüències previstes d’aquest tractament per a l'interessat.
Finalment, si hi ha un o diversos encarregats de tractament, tot i que el RGPD no exigeix incloure la informació sobre l’existència i, si escau, la identitat dels encarregats del tractament, en aquest cas, tal com assenyala l’APDCAT, atesa la participació de diferents entitats en el tractament de les dades, seria convenient informar, com a mínim, sobre l’existència d’encarregats del tractament per ser més transparents en el tractament de les dades personals.
En relació amb l’anterior, cal afegir que et pot ajudar en la redacció d’aquestes clàusules la Guia per al compliment del deure d’informar al RGPD de l’APDCAT i la Guia per a la protecció de dades personals en sistemes de recollida de residus amb identificació i en taxes justes, de l’Agència de Residus de Catalunya, que també conté models.
5) Utilització de la tècnica de pseudonimització
Com s’ha dit al principi, mitjançant aquests sistemes l’usuari s’identifica a través d’un codi de barres, codi QR o xip instal·lat al cubell, bujol o bossa d’ús individual on es dipositen els residus (sistema porta a porta), o bé mitjançant una targeta o un clauer amb xip, o una aplicació mòbil associada a l’usuari per poder fer ús dels contenidors tancats. D’acord amb el principi des del disseny i per defecte (art. 25 del RGPD), aquestes identificacions es fan a través de l’assignació d’un codi personal únic a cada usuari, el qual està pseudonimitzat.
L’article 4.5 del RGPD defineix la pseudonimització com “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”.
Aquesta tècnica vol garantir que es respecti més la privacitat de les persones afectades, atès que la seva aplicació a les dades personals permet reduir els riscos associats al tractament. Però és important tenir present que a les dades pseudonimitzades els és aplicable la normativa de protecció de dades i, per tant, quan tractem dades pseudonimitzades hem d’aplicar també els principis i les obligacions que estableix la normativa de protecció de dades.
Per tant, cal definir quines operacions de tractament de dades personals es duran a terme mitjançant aquesta tècnica, i complir les obligacions i els principis de la normativa de protecció de dades personals. Així, els dictàmens de l’APDCAT ofereixen una sèrie d’observacions que cal que tinguis en compte. A tall d’exemple, el codi que es vincula amb l’adreça postal del generador del residu és l’única informació que ha d’estar incorporada en els elements de contenció (els cubells) i/o en els clauers o targetes electròniques, per evitar particularment tractaments de dades no autoritzats. També cal definir clarament el procés de pseudonimització i, particularment, qui du a terme la vinculació esmentada, és a dir, si és una tasca que du a terme la mateixa entitat local o bé si forma part d’un encàrrec o d’un possible subencàrrec a una de les entitats participants. En aquest sentit, l’APDCAT afirma que “des del punt de vista de la protecció de dades, és sempre preferible que les diferents entitats que participen en la prestació del servei tinguin accés únicament a dades pseudonimitzades, atès que això comporta menys riscos per a la privacitat de les persones afectades, si bé pot no ser l’únic esquema operatiu”.
Conclusió
En definitiva, d’acord amb el que s’ha exposat, aquest és un clar exemple que si des del disseny, tenim en compte la normativa de protecció de dades, es poden implementar aquests nous sistemes “intel·ligents” de recollida selectiva de residus, impulsats per la normativa europea i la Llei 7/2022, de 8 d’abril, de residus i sols contaminants per a una economia circular, i al mateix temps garantir el dret fonamental a la protecció de dades personals de tots els usuaris dels serveis de recollida de residus.
