Cinc anys de l’RGPD
El tractament de dades ha de servir a la humanitat
El 25 de maig va fer cinc anys que el reglament general de protecció de dades (RGPD) es va començar a aplicar a la Unió Europea. Per això, creiem oportú recordar el canvi que ha suposat aquesta normativa i aprofundir en el que ha implicat per a la garantia del dret a la protecció de dades personals.
Ja sabem que un reglament comunitari és una norma jurídica directament aplicable. L’RGPD ha comportat una homogeneïtzació del marc europeu, de manera que ja no parlem només de la llei orgànica de protecció de dades i garantia dels drets digitals, sinó que parlem de l’RGPD.
Com a exemple d’això, les actuacions coordinades que les autoritats de control en matèria de protecció de dades estan portant a terme en relació amb el ChatGPT no serien possibles sense aquest marc normatiu general.
Però hem d’anar més enllà. La protecció de dades personals és un dret fonamental. Els entorns tecnològics i la globalització són cada vegada més invasius de la privacitat i fan necessari trobar límits.
En aquest punt, la protecció dels menors a les xarxes socials i el debat sobre els límits de la intel·ligència artificial són dos exemples en els quals cal donar resposta d’acord amb consideracions no només jurídiques, sinó ètiques; i, entre els factors a ponderar, el respecte a la privacitat és fonamental.
Com indica l’RGPD, el tractament de dades personals ha de servir a la humanitat i s’ha de considerar en relació amb la seva funció en la societat; també s’ha de ponderar amb altres drets fonamentals. Per tant, que la protecció de dades sigui un dret fonamental no implica que sigui absolut.
Del que es tracta és de garantir un nivell coherent de protecció de les persones físiques a tota la Unió Europea, i l’RGPD ho ha aconseguit. Ha posat el focus en la necessitat que les persones que actuen com a responsables del tractament de dades personals facin l’anàlisi de riscos, ja que els correspon adoptar les mesures tècniques i organitzatives apropiades per garantir que es compleixen els principis en matèria de protecció de dades. No es tracta de trobar una base jurídica que justifiqui el tractament, sinó que no es tractin més dades de les necessàries, d’acord amb el principi de minimització.
I sobretot cal recordar que, quan es dissenya un nou producte, aplicació o servei, no es pot deixar la protecció de dades per al final. El fet de no seguir la normativa de protecció de dades causarà un retard en la posada en marxa del producte o servei i, com a conseqüència, es produirà una pèrdua en termes d’avantatge competitiu; això, al marge de possibles sancions per incomplir les previsions de l’RGPD.
De la mateixa manera, el consentiment de la persona afectada per tractar les dades no es configura com una via per poder utilitzar les dades sense limitació, sinó que s’imposen límits tant en la manera de captar aquest consentiment com d’interpretar-lo.
Han sigut 5 anys d’aplicació de l’RGPD a Europa. Sens dubte, hi ha reptes per afrontar, amb la irrupció de tecnologies d’ús intensiu que es nodreixen del processament massiu de dades. La normativa ens protegeix davant vulneracions de drets, però no podem deixar de banda que, com a individus, fa falta que siguem conscients de la rellevància de la protecció de les nostres dades, per evitar que terceres persones les utilitzin amb finalitats il·lícites, així com de la importància del dret a l’oblit, perquè siguin eliminades.
■