El nou Reglament General de Protecció de Dades
(GDPR en les seves sigles en anglès, General Data Protection Regulation) suposa un abans i un després en els drets dels ciutadans pel que fa al govern de les dades personals i la privadesa dels ciutadans.
GDPR va entrar en vigor en 2016 actualitzant la Directiva de Protecció de Dades de 1995, però les Administracions Públiques i empreses han comptat amb un termini de dos anys per adaptar-se a la nova legislació. El 25 de maig d'aquest any s'acaba aquest termini i GDPR passarà a ser de plena aplicació no solament en els estats membre, sinó també per a qualsevol organització que capti, emmagatzemi o tramiti dades de caràcter personal de ciutadans de l'O.I., independentment d'on estigui situada.
D'acord amb GDPR, una dada personal és qualsevol informació que serveixi per identificar a una persona natural. Aquesta definició tan oberta genera una sèrie de dubtes. Amb GDPR un email professional, una adreça IP o la informació captada per les cookies d'una web són dades personals. Per no parlar de totes les dades captades per wearables o sensors lligats a Internet de les Coses o Smart cities –sempre que identifiquin a una persona-.
Algunes dades personals poden incloure informació de gran valor per a la ciutadania i les empreses reutilitzadores, però la seva publicació oberta pot amenaçar la privadesa. D'acord amb GDPR, els ciutadans europeus han de donar el seu consentiment “clar i explícit” per al tractament de les seves dades. Per tant, no es pot publicar per a la seva reutilització cap dada personal sense el consentiment de l'o els afectats. És important ressaltar que aquesta situació ja estava recollida en la Llei de Protecció de Dades espanyola – concretament en l'article 6.1-, per la qual cosa no suposa un gran canvi.
No obstant això, existeixen excepcions que permeten la publicació de dades personals:
-
Si existeixen motius legítims per publicar-los. Per exemple, en el cas d'una resolució judicial.
-
Si les dades han estat anonimizados. L'anonimització és un procés de dissociació a través del com les dades es desvinculen de la persona a la qual pertanyen, de manera que deixen de ser “dades personals”. És a dir, s'eliminen les dades que poden identificar a una persona o se substitueixen per variables genèriques, com a districtes postals, rangs d'edat, nivells d'estudis, etc. Com hem vist, GDPR solament afecta a les dades personals, per la qual cosa si una dada deixa de ser personal ja no està subjecte a aquest Reglament.
L'anonimització és un bon recurs per mantenir la utilitat de les dades obertes, permetent diferents tractaments (com a anàlisis o estadístiques), però també té els seus riscos. No cal confondre anonimització amb pseudoanonimización, on s'oculta la identitat, però es deixa un rastre que pot permetre identificar al ciutadà. L'anonimització ha de garantir que no es pot reunificar la informació sobre un individu concret per inferència a partir de dades no personals en un conjunt de dades obert.
En el context actual, la privadesa és una preocupació inevitable quan parlem de dades obertes. Per garantir el compliment normatiu és important regular i monitorar els fluxos de dades, de manera que la privadesa i la llibertat d'informació, i els interessos dels ciutadans i els reutilitzadors de dades puguin equilibrar-se. D'aquesta forma aconseguirem promoure l'economia lligada a la reutilització de dades, generant nous productes i serveis que aportin valor a la societat, i respectant al mateix temps els drets dels ciutadans.
