O novo Regulamento Xeral de Protección de Datos
(GDPR nas súas siglas en inglés, Xeneral Data Protection Regulation) supón un antes e un despois nos dereitos dos cidadáns con respecto ao goberno dos datos persoais e a privacidade dos cidadáns.
GDPR entrou en vigor en 2016 actualizando a Directiva de Protección de Datos de 1995, pero as Administracións Públicas e empresas contaron cun prazo de dous anos para adaptarse á nova lexislación. O 25 de maio deste ano acábase este prazo e GDPR pasará a ser de plena aplicación non só nos estados membro, senón tamén para calquera organización que capte, almacene ou tramite datos de carácter persoal de cidadáns da Ou.E., independentemente de onde estea situada.
De acordo con GDPR, un dato persoal é calquera información que sirva para identificar a unha persoa natural. Esta definición tan aberta xera unha serie de dúbidas. Con GDPR un e-mail profesional, unha dirección IP ou a información captada polas cookies dunha web son datos persoais. Por non falar de todos os datos captados por wearables ou sensores ligados a Internet das Cousas ou Smart cities –a condición de que identifiquen a unha persoa-.
Algúns datos persoais poden incluír información de gran valor para a cidadanía e as empresas reutilizadoras, pero a súa publicación aberta pode ameazar a privacidade. De acordo con GDPR, os cidadáns europeos deben dar o seu consentimento “claro e explícito” para o tratamento dos seus datos. Por tanto, non se pode publicar para a súa reutilización ningún dato persoal sen o consentimento do ou os afectados. É importante resaltar que esta situación xa estaba recollida en a Lei de Protección de Datos española – concretamente no artigo 6.1-, polo cal non supón un gran cambio.
Con todo, existen excepcións que permiten a publicación de datos persoais:
-
Se existen motivos lexítimos para publicalos. Por exemplo, no caso dunha resolución xudicial.
-
Se os datos foron anonimizados. A anonimización é un proceso de disociación a través do cal os datos se desvinculan da persoa á que pertencen, de forma que deixan de ser “datos persoais”. É dicir, elimínanse os datos que poden identificar a unha persoa ou se substitúen por variables xenéricas, como distritos postais, rangos de idade, niveis de estudos, etc. Como vimos, GDPR só afecta os datos persoais, polo cal se un dato deixa de ser persoal xa non está suxeito a este Regulamento.
A anonimización é un bo recurso para manter a utilidade dos datos abertos, permitindo distintos tratamentos (como análises ou estatísticas), pero tamén ten os seus riscos. Non hai que confundir anonimización con pseudoanonimización, onde se oculta a identidade, pero déixase un rastro que pode permitir identificar o cidadán. A anonimización debe garantir que non se pode reunificar a información sobre un individuo concreto por inferencia a partir de datos non persoais nun conxunto de datos aberto.
No contexto actual, a privacidade é unha preocupación inevitable cando falamos de datos abertos. Para garantir o cumprimento normativo é importante regular e monitorar os fluxos de datos, de modo que a privacidade e a liberdade de información, e os intereses dos cidadáns e os reutilizadores de datos poidan equilibrarse. Desta forma conseguiremos promover a economía ligada á reutilización de datos, xerando novos produtos e servizos que acheguen valor á sociedade, e respectando ao mesmo tempo os dereitos dos cidadáns.
