Com ens afecta la GDPR a les dades personals obertes?

GPDR

El nou Reglament General de Protecció de Dades (GDPR en les seves sigles en anglès, General Data Protection Regulation) suposa un abans i un després en els drets dels ciutadans pel que fa al govern de les dades personals i la privacitat dels ciutadans. Aquest Reglament actualitza la Directiva de Protecció de Dades creada el 1995 i obsoleta pel que fa al nou entorn tecnològic i els comportaments socials, unificant les exigències reguladores en els 28 països membre.

GDPR va entrar en vigor el 2016, però les administracions públiques i empreses han comptat amb un termini de dos anys per adaptar-se a la nova legislació. El 25 de maig d'aquest any s'acaba el termini i GDPR passarà a ser de plena aplicació no només en els estats membre, sinó també per a qualsevol organització que capti, emmagatzemi o tramiti dades de caràcter personal de ciutadans de la UE, independentment d'on estigui ubicada.

D'acord amb GDPR, una dada personal és qualsevol informació que serveixi per identificar una persona natural. Aquesta definició tan oberta genera una sèrie de dubtes. Amb GDPR un correu electrònic professional, una adreça IP o la informació captada per les galetes d'una web són dades personals. Per no parlar de totes les dades captats per wearables o sensors lligats a Internet de les Coses o Smart cities -sempre que identifiquin una persona-.

Algunes dades personals poden incloure informació de gran valor per a la ciutadania i les empreses reutilitzadores, però la seva publicació oberta pot amenaçar la privacitat. D'acord amb GDPR, els ciutadans europeus han de donar el seu consentiment "clar i explícit" per al tractament de les seves dades. Per tant, no es pot publicar per a la seva reutilització cap dada personal sense el consentiment del o dels afectats. És important ressaltar que aquesta situació ja estava recollida en la Llei de Protecció de Dades espanyola - concretament en l'article 6.1, per la qual cosa no suposa un gran canvi.

No obstant això, hi ha excepcions que permeten la publicació de dades personals:

  • Si hi ha motius legítims per publicar-los. Per exemple, en el cas d'una resolució judicial. Ja es va aprofundir sobre aquest aspecte en un article anterior.
  • Si les dades han estat anonimitzades. La anonimització és un procés de dissociació a través del qual les dades es desvinculen de la persona a la qual pertanyen, de manera que deixen de ser "dades personals". És a dir, s'eliminen les dades que poden identificar una persona o se substitueixen per variables genèriques, com districtes postals, rangs d'edat, nivells d'estudis, etc. Com hem vist, GDPR només afecta les dades personals, per la qual cosa si una dada deixa de ser personal ja no està subjecte a aquest Reglament.

La anonimització és un bon recurs per mantenir la utilitat de les dades obertes, permetent diferents tractaments (com anàlisi o estadístiques), però també té els seus riscos. Cal no confondre anonimització amb pseudoanonimización, on s'oculta la identitat, però es deixa un rastre que pot permetre identificar al ciutadà. La anonimització ha de garantir que no es pot reunificar la informació sobre un individu concret per inferència a partir de dades no personals en un conjunt de dades obert.

En el context actual, la privacitat és una preocupació inevitable quan parlem de dades obertes. Per garantir el compliment normatiu és important regular i monitoritzar els fluxos de dades, de manera que la privacitat i la llibertat d'informació, i els interessos dels ciutadans i els reutilitzadors de dades puguin equilibrar-se. D'aquesta manera aconseguirem promoure l'economia lligada a la reutilització de dades, generant nous productes i serveis que aportin valor a la societat, i respectant al mateix temps els drets dels ciutadans.

Font: datos.gob.es

 

Tags: 

 

Membres de:

Col·labora:

 

CDMON

Projects CRM Documents