La privacitat, 5 anys després de l’aplicació del Reglament europeu de protecció de dades

El 25 de maig de 2023 va fer cinc anys que el Reglament general de protecció de dades es va començar a aplicar a tots els estats membres de la Unió Europea. Amb aquesta efemèride tan present, creiem oportú recordar el canvi que ha suposat aquesta normativa i aprofundir en el que ha implicat per a la garantia del dret a la protecció de dades personals.

Ja sabem que un reglament comunitari és una norma jurídica directament aplicable. En una primera aproximació, l’RGPD ha comportat una homogeneïtzació del marc europeu de manera que, quan parlem de la protecció de les dades personals, ja no parlem només de la Llei orgànica de protecció de dades i garantia dels drets digitals, sinó que parlem de l’RGPD.

Com a exemple del que suposa aquesta homogeneïtzació, les actuacions coordinades que les autoritats de control en matèria de protecció de dades estan duent a terme en relació amb el ChatGPT no serien possibles sense aquest marc normatiu general, de manera que, en la pràctica, la privacitat no tindria el mateix grau de protecció a tot l’entorn europeu, en termes de seguretat jurídica i transparència.

Però hem d’anar més enllà. La protecció de les dades personals és un dret fonamental. Avui en dia, els entorns tecnològics i la globalització són cada vegada més invasius de la privacitat i fan necessari, com és evident, trobar o fixar límits.

En aquest punt, la protecció dels menors a les xarxes socials o el debat sobre els límits de la intel·ligència artificial són dos exemples de situacions a les quals cal donar resposta d’acord amb consideracions no només jurídiques, sinó fins i tot ètiques; i, entre els factors a ponderar, el respecte a la privacitat n’és un de fonamental.

Com indica l’RGPD, el tractament de dades personals ha de servir la humanitat i s’ha de considerar en relació amb la seva funció a la societat; també s’ha de ponderar amb altres drets fonamentals, en termes de proporcionalitat. Per tant, que la protecció de dades sigui un dret fonamental no implica que sigui un dret absolut.

Del que es tracta és de garantir un nivell coherent de protecció de les persones físiques a tota la Unió Europea, i això l’RGPD ho ha aconseguit. Com a norma, ha estat un canvi de paradigma significatiu, un model a seguir d’àmbit internacional. I ha posat el focus en la necessitat que les persones que actuen com a responsables del tractament de dades personals facin l’anàlisi dels riscos, ja que els correspon adoptar les mesures tècniques i organitzatives apropiades per garantir que es compleixen els principis en matèria de protecció de dades. No es tracta únicament de trobar una base jurídica que justifiqui el tractament, sota el principi de licitud, sinó sobretot que no es tractin més dades de les estrictament necessàries per a la finalitat del tractament, d’acord amb el principi de minimització.

I sobretot cal recordar que, quan es dissenya un nou producte, aplicació o servei, no es pot deixar la protecció de dades per al final. El fet de no seguir la normativa de protecció de dades causarà un endarreriment en la posada en marxa del producte o servei i, com a conseqüència, es produirà una pèrdua en termes d’avantatge competitiu; això, al marge de possibles sancions per incomplir les previsions de l’RGPD.

De la mateixa manera, el consentiment de la persona afectada per tractar les dades no es configura com a una via per poder utilitzar les dades sense cap limitació, sinó que s’imposen límits tant a la manera de captar aquest consentiment, com d’interpretar-lo.

Han estat 5 anys d’aplicació de l’RGPD a Europa, un reglament que ens ha posicionat com a referents en la matèria en l’àmbit internacional. Sens dubte, hi ha reptes que cal afrontar, amb la irrupció de tecnologies d’ús intensiu que es nodreixen del processament massiu de dades. La normativa ens protegeix davant de vulneracions dels drets fonamentals, però no podem deixar de banda que, com a subjectes individuals, cal que siguem plenament conscients de la rellevància de la protecció de les nostres dades, per evitar que terceres persones les utilitzin amb finalitats il·lícites, així com de la importància del dret a l’oblit, perquè siguin eliminades per sempre.