Com estructurar les dades personals: fitxers o tractaments?
Es pot substituir la paraula fitxer per tractament, quan ens referim a les normatives de privacitat?
No és possible substituir la paraula "fitxer" per "tractament", perquè el fitxer és la base sobre la qual s'aplica el Reglament i el tractament són les operacions que es realitzen amb les dades personals contingudes en aquest fitxer.
El GDPR no s'aplica a qualsevol tractament de dades personals, només s'aplica al "tractament de dades personals contingudes o destinades a ser incloses en un fitxer" (Art. 2 GDPR. Àmbit d'aplicació material).
Fitxer no és una paraula menor, ja que es nomena en la primera disposició del GDPR (art. 2), quan es defineix l'àmbit d'aplicació material. Fins i tot en la nova LOPDGDD (també art. 2), reitera el fitxer com a únic àmbit d'aplicació del GDPR i LOPDGDD.
Aquesta confusió és deguda al canvi de l'antiga LOPD a l'GDPR, on es tenia assimilat el fitxer amb la seva notificació a l'AEPD i, en no fer-ho ara amb el GDPR, és com si ja no existís, però tant la Directiva (EU) anterior com el nou Reglament (EU) no han variat res en aquest sentit, els articulats referents al fitxer són exactament iguals en les dues.
El considerant 15 del GDPR ho deixa més clar:
"Per tal d'evitar que hi hagi un greu risc d'elusió, la protecció de les persones físiques ha de ser tecnològicament neutra i no ha de dependre de les tècniques utilitzades. La protecció de les persones físiques s'ha d'aplicar al tractament automatitzat de dades personals, així com al seu tractament manual, quan les dades personals figurin en un fitxer o estiguin destinats a ser inclosos en ell. Els fitxers o conjunts de fitxers, així com les seves portades, que no estiguin estructurats d'acord amb criteris específics, no han d'entrar en l'àmbit d'aplicació d'aquest Reglament."
En termes de privacitat, es poden fer servir les dues paraules com a sinònims perquè el tractament (les operacions) comporta estructurar les dades per a un fi determinat (almenys guardar). Això no treu que en la documentació reglamentària s'ha de nomenar cada cosa pel seu nom, fitxer al fitxer i tractament al tractament.
QUINA DIFERÈNCIA HI HA ENTRE FITXER I TRACTAMENT?
Un tractament és qualsevol operació realitzada sobre dades personals (obtenció, modificació, transmissió, supressió, etc.) i un fitxer és un conjunt estructurat d'aquestes dades (quan les dades estan organitzaddes per a un fi concret). La diferència és notable.
Un exemple molt clar és la videovigilància en temps real. Es realitza un tractament (enregistrament d'imatges) però no en base a un fitxer (no es guarden). El fitxer no existeix i per tant no s'ha d'aplicar el GDPR ni la LOPD.
Per resumir, podríem dir que un fitxer és un conjunt estructurat de dades personals susceptible de tractament per a un fi determinat.
NORMATIVA APLICABLE
Article 2 GDPR. Àmbit d'aplicació material
1. Aquest Reglament s'aplica al tractament total o parcialment automatitzat de dades personals, així com al tractament no automatitzat de dades personals contingudes o destinades a ser incloses en un fitxer.
Article 4. GDPR. definicions
«Fitxer»: tot conjunt estructurat de dades personals, accessibles d'acord amb criteris determinats, ja sigui centralitzat, descentralitzat o repartit de forma funcional o geogràfica;
«Tractament»: qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, confrontació o interconnexió, limitació, supressió o destrucció;
«Dades personals»: tota informació sobre una persona física identificada o identificable («l'interessat»); es considerarà persona física identificable tota persona la identitat pugui determinar, directament o indirectament, en particular mitjançant un identificador, com ara un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona;
Article 2 LOPDGDD. Àmbit d'aplicació dels títols I a IX i dels articles 89 a 94
1. El que disposen els títols I a IX i en els articles 89 a 94 de la present llei orgànica s'aplica a qualsevol tractament total o parcialment automatitzat de dades personals, així com al tractament no automatitzat de dades personals contingudes o destinades a ser inclosos en un fitxer.