Com estructurar les dades personals: fitxers o tractaments?


Josep Aragonés Salvat     26/11/2019

La diferència entre "fitxer" i "tractament" és notable, perquè el concepte fitxer es refereix a un conjunt de dades personals estructurat d'acord amb criteris específics i el concepte tractament a el conjunt d'operacions realitzades sobre aquestes dades. O sigui, fitxer són les dades i tractament el que es fa amb elles.
 
Art. 4.2 GDPR: «tractament »: qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, confrontació o interconnexió, limitació, supressió o destrucció;
Art. 4.6 GDPR: «fitxer »: tot conjunt estructurat de dades personals, accessibles d'acord amb criteris determinats, ja sigui centralitzat, descentralitzat o repartit de forma funcional o geogràfica

La confusió entre fitxer i tractament és deguda a el canvi de l'antiga LOPD al GDPR, on es tenia assimilat el fitxer amb la notificació a l'AEPD i, al no fer-ho ara amb el GDPR, és com si ja no existís, però tant la Directiva (EU) anterior com el nou Reglament (EU) no ha canviat res en aquest sentit, els articulats referents a el fitxer són exactament iguals en les dues normatives.

Les normatives de privacitat, GDPR i LOPDGDD, no s'apliquen a qualsevol tractament de dades personals, sinó que només s'apliquen als tractaments realitzats sobre les dades contingudes en un fitxer.
 
El concepte "fitxer" es nombra en la primera disposició del GDPR (art. 2.1), quan es defineix l'àmbit d'aplicació material. La LOPDGDD (art. 2.1), reitera el fitxer com a únic àmbit d'aplicació del GDPR i LOPDGDD.
 
Art. 2.1 GDPR. Àmbit d'aplicació material: Aquest Reglament s'aplica al tractament total o parcialment automatitzat de dades personals, així com al tractament no automatitzat de dades personals contingudes o destinades a ser incloses en un fitxer.
Art. 2.1 LOPDGDD. Àmbit d'aplicació dels títols I a IX i dels articles 89 a 94: El que disposen els títols I a IX i en els articles 89 a 94 de la present llei orgànica s'aplica a qualsevol tractament total o parcialment automatitzat de dades personals, així com a el tractament no automatitzat de dades personals contingudes o destinades a ser incloses en un fitxer.

El Cdo. 15 GDPR ho deixa encara més clar:

"Per tal d'evitar que hi hagi un greu risc d'elusió, la protecció de les persones físiques ha de ser tecnològicament neutra i no ha de dependre de les tècniques utilitzades. La protecció de les persones físiques s'ha d'aplicar al tractament automatitzat de dades personals, així com al seu tractament manual, quan les dades personals figurin en un fitxer o estiguin destinades a ser incloses en ell.
Els fitxers o conjunts de fitxers, així com les seves portades, que no estiguin estructurats d'acord amb criteris específics, no han d'entrar en l'àmbit d'aplicació d'aquest Reglament."

 

Les activitats de tractament


En termes de privacitat, existeix un altre concepte molt rellevant que uneix "fitxer" i "tractament", que són les activitats de tractament (art. 30 GDPR). El concepte "activitats" es refereix a un conjunt estructurat de dades personals susceptibles de tractament per a un fi determinat.
El Cdo. 82 GDPR exposa:
 
Per demostrar la conformitat amb el present Reglament, el responsable o l'encarregat del tractament ha de mantenir registres de les activitats de tractament sota la seva responsabilitat...

Les activitats de tractament han de reflectir, entre altres detalls, el responsable del tractament, els fins del tractament, les categories d'interessats, de dades personals i de destinataris, les transferències internacionals i els criteris de conservació i de seguretat de les dades.

Segons l'informe de l'AEPD, per organitzar el registre d'activitats, pot ser útil construir al voltant de conjunts estructurats de dades (fitxers), de manera que s'agrupin en una única activitat de tractament dels fitxers que tinguin les mateixes finalitats, la mateixa legitimació i el mateix col·lectiu d'interessats.
 
AEPD: Elaborar el registre d'activitats de tractament. https://www.aepd.es/blog/2018-04-24.html
A l'hora d'elaborar el registre d'activitats de tractament pot ser útil construir al voltant de conjunts estructurats de dades, tornar la vista als fitxers que l'organització hagués descrit amb anterioritat per comprovar si tots els tractaments de dades de caràcter personal estaven recollits en ells, si el nivell de detall a què s'hagués arribat segueix sent l'adequat o correspon segregar o, per contra, unificar en una única activitat de tractament aquelles que tinguessin una mateixa finalitat o finalitats pràcticament idèntiques, mateixa legitimació o base jurídica per a la seva tractament i idèntic col·lectiu d'afectats.

Atenent a tot l'exposat anteriorment, un procediment per elaborar el registre d'activitats de tractament pot basar-se en identificar els fitxers, agrupant-los per finalitat, legitimació i col·lectius d'interessats, i detallant la informació que disposa l'art. 30 GDPR per a cada un d'ells.