Conceptes clau en la protecció de dades


Amb el butlletí d’aquesta setmana volem repassar els conceptes clau que tractem diàriament en relació a la protecció de dades, com per exemple, dades biomètriques, deure d’informar, avaluació d’impacte, entre altres. Per això utilitzarem de guia les definicions de l’article 4 del REGLAMENT (UE) 2016/679 DEL PARLAMENT EUROPEU I DEL CONSELL de 27 d’abril de 2016 relatiu a la protecció de les persones física en el que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades (RGPD), a més d’altres articles de la normativa citada. 

El RGPD recull com objecte la protecció al tractament de dades personals de persones físiques, però, què és una dada personal? Una dada personal és tota informació sobre una PERSONA FÍSICA, identificada o identificable. Serà persona física identificable tota aquella que, a través d’un identificador, un número d’identificació, dades de localització o elements de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social puguis saber la seva identitat. Hi ha una manera que les dades d’una persona no puguin atribuir-se al interessat, donat que està separada la informació addicional, aquest procediment és la seudominització. Aquest procediment és útil, per exemple, per poder, davant d’una inspecció tributària a un centre mèdic, presentar les dades  necessàries i que el centre mèdic no hagi de presentar la informació relativa a l’historial clínic del pacient. 

Per dada personal hem dit que pot ser, entre altres, la informació genètica o psíquica, que pugui revelar la identitat de l’interessat. Per dada genètica entenem tota aquella característica genètica heretades o adquirides d’una persona física que proporcionen una informació única sobre la fisiologia o la salut d’aquella persona, obtinguts en particular de l’anàlisi d’una mostra biològica de tal persona; dada biomètrica és obtinguda per un tractament tècnic específic, com per exemple un reconeixement facial; i dada de salut és aquella relativa a la salut física o mental.

La importància del tractament de dades

El conjunt de dades personals comporta el seu tractament, que és tota operació o conjunt d’elles per tractar dades des de qualsevol procediment de manera automatitzada o no, com per exemple la recollida, el registre, una consulta o la organització d’aquestes.
El tractament de dades es pot portar a terme a través d’una organització o criteri determinat, aquest conjunt estructurat de dades personals constitueix un fitxer

El tractament de dades comporta en sí mateix que aquestes siguin conservades, però ha de ser una conservació amb un marcat de dades per limitar el seu tractament en un futur; i el tractament també ens permet avaluar determinats aspectes personals d’una persona física, en particular per analitzar o precedir aspectes, com per exemple relatius al rendiment professional o situació econòmica o de salut, denominat com elaboració de perfils. Un departament de RRHH que realitzi test psicotècnics o avaluacions del personal realitzarà aquesta elaboració de perfils. 

Les figures que estan en contacte amb les dades reben el nom segons el seu paper: el responsable del tractament és el que determina els mitjans i les finalitats del tractament; l’encarregat del tractament és el que tracta dades per compte del responsable; el destinatari és al que se li comuniquen les dades; i el tercer és el que no és ni l’interessat, ni el responsable, ni l’encarregat, ni les persones autoritzades per l’encarregat o responsable, per tractar les dades personals. 

La figura del DPD (Delegat de Protecció de Dades) està recollida per la normativa de protecció de dades i estableix els casos en els que aquesta figura és necessària, i és la figura garant del compliment de la normativa en protecció de dades en les organitzacions. 

El tractament de dades comporta el deure d’informació a l’interessat en el moment en que es sol·liciten les dades, i la obligació recau en el responsable del tractament. Les autoritats de protecció de dades recomanen un model d’informació per capes per presentar una informació bàsica en un primer nivell, és a dir, de forma resumida, i remetre a través d’aquesta a la informació addicional, que és el segon nivell on ja s’aporta més detall.

Principi d’accountability o responsabilitat proactiva

El RGPD recull el principi d’accountability responsabilitat proactiva, que implica que el responsable ha d’aplicar unes mesures tècniques i organitzatives adequades per mostrar el compliment de la normativa sobre protecció de dades. Les mesures han de ser adequades segons el risc que impliqui el tractament de dades que realitzi.

Gestió de riscos

La gestió de riscos és el conjunt d’activitats i tasques que permeten controlar la incertesa relativa a una amenaça mitjançant una seqüència d’activitats que inclouen la identificació i avaluació del risc, així com les mesures per la seva reducció o mitigació. El risc existeix quan estem exposats a amenaces. Les amenaces són qualsevol factor de risc potencial que pugui provocar un dany sobre les dades de caràcter personal dels interessats dels que es realitza un tractament.

Avaluació d’impacte

Per poder identificar els riscos en aquells casos en el que sigui probable que els operacions de tractament comportin un elevat risc pels drets i llibertats de les persones físiques, el responsable del tractament haurà de portar a terme una avaluació d’impacte per poder identificar, avaluar i gestionar els riscos als que estan exposades les seves activitats de tractament amb l’objectiu de garantir els drets i llibertats de les persones físiques. 

Aquests són alguns dels termes utilitzats en l’àmbit de la protecció de dades que sovint indueixen a confusió i hem cregut interessant fer una relació d’aquestes definicions.

Hi ha altres conceptes, com el de transferències internacionals que suposen un flux de dades personals des del territori espanyol a destinataris de fora de l’Espai Econòmic Europeu. Per identificar quan puc realitzar una transferència internacional, s’ha de mirar si és un país declarat per la Comissió Europea de nivell adequat, o si hi ha garanties, o si es compleix alguna de les excepcions que permeten les transferències internacionals, sempre que es donin de forma segura i amb les mesures adequades.

La setmana vinent aprofundirem en aquest concepte per identificar quan els països són de nivell adequat, les garanties i les excepcions, a més dels casos amb autorització expressa per part de la AEPD.

Contacta’ns per conèixer més detall dels principis de la protecció de dades i el seu correcte tractament.