Informe i Propostes Legislatives d’Xnet sobre Privacitat, Protecció de Dades vs Abusos Institucionalitzats

Darrera edició del post: setembre 2023

Descàrrega Pdf aquí
Versió web més avall ↓

Transparència per les institucions, privacitat per les persones
Reformes de les polítiques de dades per corregir l’asimetria i desprotecció de les persones enfront les institucions

Versió actualitzada a 20 de desembre del 2022

INTRODUCCIÓ

El dret a la protecció de dades personals és un dret fonamental relacionat amb la privacitat que garanteix a la persona el control sobre les seves dades, sobre el seu ús i destí. En poques paraules, parlar de dades és parlar de control; és preguntar-se sobre qui pot saber qui som, on vivim, què fem durant el dia i durant la nit, quins gustos, conviccions, vicis, plaers, dolors tenim, etc. És un dret que hauria de ser respectat tant per part d’organismes públics com privats.
S’ha parlat molt dels abusos amb les dades personals per part de Facebook i altres companyies privades, però en canvi, s’han comentat poc els incompliments per part d’Administracions públiques o institucions, les polítiques que soscaven la privacitat del conjunt de la ciutadania, els petits (o grans) abusos quotidians als que es sotmet a les persones.

En aquest context, a Xnet hem denunciat des de fa temps un ús pervers de la «protecció de dades»(1): en moltes ocasions s’utilitza la protecció de dades com a excusa tant per a amagar i protegir la corrupció com per a tapar males pràctiques o inèrcies, incompetències o abusos institucionals.

El Reglament Europeu de Protecció de Dades (conegut per les sigles RGPD), l’entrada en aplicació del qual ha culminat al maig de 2018, que tots recordem per la infinitat de missatges de consentiment que hem començat a rebre des de llavors, ha estat en realitat el resultat de més d’una dècada de lluita de la societat civil organitzada perquè es garanteixin els drets a la privacitat de les persones i s’actualitzin a l’entorn digital.(2) La més bel·ligerant ha estat la societat civil alemanya que sap el que significa que els poders establerts tinguin totes les teves dades; va patir a mans de la Stasi la més gran operació de vigilància i recol·lecció de dades personal mai coneguda en l’època predigital.

Amb l’RGPD aconseguim posar un primer fre -millorable, però ferm- als interessos corporatius o de l’Estat de control en l’explotació del nou or que són les nostres dades personals.

Però és només la primera pedra. Hem de seguir. Hem d’utilitzar aquesta primera i important victòria per a afermar la lluita per la nostra privacitat i al mateix temps perquè no sigui excusa ni refugi per males pràctiques ni per a impedir el dret a la informació i la denúncia d’abusos.

Com a eina per a aconseguir això, Xnet presentem el present informe. Són més de 200 pàgines que volen explicar quins flancs estan descoberts i què hem de fer per a protegir-los.

Es composa de 5 parts:

1 – ABÚS D’IDENTIFICACIÓ PER PART DE LES INSTITUCIONS vs MINIMITZACIÓ DE DADES DES DEL DISSENY I PER DEFECTE

2 – DRET A GRAVAR ABUSOS PER A LA SEVA DENÚNCIA PÚBLICA I POLÍTIQUES DE PROTECCIÓ DE DADES

3 – LA MANCADA TRANSPOSICIÓ DE L’ARTICLE 85 A ESPANYA – LA DESPROTECCIÓ DE LA LLIBERTAT D’INFORMACIÓ A LA LLEI ORGÀNICA DE PROTECCIÓ DE DADES

4 –ABUSOS EN L’ÀMBIT ELECTORAL: COM HEM ARRIBAT A QUE ENS SEMBLI NORMAL QUE LES DADES DEL PADRÓ MUNICIPAL ACABIN EN MANS DELS PARTITS POLÍTICS

5 –ABUSOS A L’ÀMBIT LABORAL: LA VENDA DE LES DADES DE LES PERSONES EN RÈGIM D’AUTÒNOMS

Cadascuna d’aquestes parts va acompanyada de propostes jurídic-legislatives per a canviar la situació. Cadascun d’aquests lliuraments implica demanar al o als Governs, al Congrés o als Parlaments i als òrgans competents canvis en la legislació o en les polítiques necessàries perquè la llei de protecció de dades serveixi per a protegir la privacitat dels ciutadans i no per a garantir la impunitat dels poderosos.

Publiquem aquestes mesures obertes a comentaris i esmenes per a millorar-les. Ara estan llestes per a ser reclamades fins a aconseguir-les.
 

En tot aquest treball hi ha tres fils conductors fonamentals:

• El primer és una força que ens dona l’RGPD. És el principi de minimització. Ningú ens ha de demanar o sostreure més dades de les necessàries. Hem de saber que podem emparar-nos amb força en aquest principi. A dia d’avui, demanar a quina hora obre una finestreta o trucar a una empresa de subministraments per saber les tarifes requereix que t’identifiquis, per no parlar de quan es demana informació més complexa per destapar abusos o injustícies. Això s’ha d’acabar.

• El segon fil conductor és una feblesa de l’RGPD. Permet que se’ns demanin tot tipus de dades personals al·legant “interessos legítims”. Els països com el nostre que no hagin definit quins són aquests “interessos legítims” ni demanen que aflorin i es detallin per a poder ser posats en discussió, obren la porta a tota mena d’arbitrarietats i abusos. Aquesta fórmula s’utilitza quan no es disposa de base jurídica sòlida o suficientment justificada. Per respecte als drets, llibertats i interessos de les persones no hauria de ser possible escudar-se en extrems que serveixen de calaix de sastre i que acaben invalidat l’esperit de la normativa. Els “interessos legítims” que consideri aquesta o aquella empresa o institució, no han de prevaldre per sobre dels drets i interessos de les persones. Volem que es garanteixi el principi de privacitat per disseny i per defecte.

• Finalment, la protecció de dades no pot ser excusa per a limitar el dret a la informació i la lluita contra la corrupció i els abusos: des dels discos durs del PP que podien ser proves d’un possible cas de corrupció i que van destruir al·legant protecció de dades(3), a la votació que es va perdre per a la publicació del full de servei de Billy el Niño perquè qui va votar en contra ho va fer eximint protecció de dades(4), ens trobem aquesta “motivació” una vegada i una altra. Per als periodistes i els activistes contra la corrupció, aquestes excuses són els murs que ens trobem diàriament.

RESUM DEL CONTINGUT

Part 1 – Abús d’identificació per part de les institucions vs minimització de dades des del disseny i per defecte

A Espanya existeix una tendència abusiva a demanar més dades de les necessàries quan algú porta a terme una simple petició a qualsevol institució, cosa que l’aprovació el 2015 de la Llei de Procediment Administratiu i fins i tot la Llei de Transparència agreugen a l’establir la verificació de la identitat de les i els interessats com a obligatòria. Això és degut a que, per defecte, tota relació entre la ciutadania i administració es considera un “tràmit administratiu”, i això inclou demanar informació que per llei hauria de ser pública. Bé, perquè no. Si no fos que “tràmit administratiu” encara significa poder, subordinació i jerarquia. El motiu que això passi no està en la lògica i menys en la lògica àgil de l’era digital; tampoc en una idea de demo-cracia actualitzada: és la societat civil que ha de poder vigilar les seves institucions i no al revés.

Així, Xnet denuncia que les nostres lleis administratives col·lideixen amb un principi bàsic d’una Llei superior: el principi de minimització del Reglament Europeu de Protecció de Dades que estableix que només s’han de recollir les dades adequades, pertinents i no excessives d’acord amb els fins pels que són recollides, i que s’ha d’explicar quines dades es recullen i per què.

S’ha de protegir al feble i controlar al fort ja que existeix una clara asimetria entre els poders establerts, que ens poden vigilar, i la ciutadania del carrer que ha de lluitar i exposar-se per a accedir a informació que hauria de ser seva per democràcia (a més de perquè la paguem entre tot(e)s).

Part de la lluita per a una democràcia real és la d’acabar amb aquesta asimetria. O sigui: conquistar l’accés lliure i sense amenaces a la informació, sense el qual no podem vigilar i decidir ni lluitar contra la corrupció i els abusos, i posar-ho en equilibri amb el dret a la privacitat, desemmascarant falses ambigüitats.

 

Part 2 – Dret a gravar abusos per a la seva denúncia pública i polítiques de protecció de dades

I aquí l’altra cara de la moneda. Si per una banda se’ns demanen moltes dades, per l’altre els poders establerts molt els costa donar els seus. És un altre clàssic: apel·lar a la protecció de dades per sancionar l’ús d’informació (és a dir, divulgació) com les gravacions de funcionaris cometent excessos (policies, per exemple). Entre 2016 i 2018 es van imposar 113 sancions en aplicació de la Llei Mordassa que van suposar un total de 70.522 euros contra els afectats. Aquest marc normatiu ha exercit un poderós efecte dissuasiu per la denuncia d’abusos sistèmics. Però, contràriament al que es creu, l’obstacle més monolític per gravar i sobretot per fer difusió de la comissió d’abusos institucionals o sistèmics no és la Llei mordassa sinó la jurisprudència de la Llei Orgànica de Protecció de Dades.

Però atenció que el diable està en els detalls: des d’Xnet valorem positivament tot avanç cap a agilitzar les denuncies de persones víctimes de la difusió de contingut de caràcter privat sense el seu consentiment. Xnet dona suport a la campanya #PuedesPararlo de l’Agència Espanyola de Protecció de Dades que enforteix la interpretació del seu homòleg europeu al no aplicar l’excepció d’ús domèstic en aquests casos quan hi ha viralització (o sigui, la informació circula de forma que transcendeix l’àmbit domèstic).

Dit això, hi ha un detall important: és necessari diferenciar aquests casos d’aquells en què les gravacions de persones s’hagin captat en el seu acompliment d’un servei al públic, en lloc públic o en actes públics. En cap cas podem equiparar aquesta situació a la violació de la intimitat. S’ha de recalcar amb èmfasi que és molt perniciós per qualsevol democràcia que es preï utilitzar el primer cas – el de vulneració de drets en la difusió d’informació íntima – per impedir el segon – la llibertat d’informació en l’interès públic per fer divulgació d’abusos.

 

Part 3 – La desprotecció de la llibertat d’informació a la Llei Orgànica de Protecció de Dades

Per tot això és imprescindible per part del legislador la correcta transposició de l’article 85 del RGPD que exigeix l’harmonització de la privacitat amb la llibertat d’informació i d’expressió.

Quan el 2018 es va adaptar l’ordenament jurídic espanyol al RGPD amb la Llei Orgànica de Protecció de Dades personals i garantia dels drets digitals (LOPDGDD), Xnet va intentar sense èxit que es portés a terme.
La LOPDGDD té algunes característiques embrionàries innovadores i lloables respecte als drets digitals, però també nombroses fragilitats, com veurem. Sobre la transposició de l’article 85, la negativa que va rebre Xnet per part del legislador va ser que “això ho resolen els tribunals”.
Els periodistes saben bé que no són poques les vegades que aquells perjudicats per les seves investigacions litiguen per desgastar als mitjans, tot i que el cas acabi en sobreseïment. Enfront una querella, un mitjà es veu obligat a mobilitzar recursos per defensar-se: i això compromet la investigació periodística, de què no anem precisament sobrats. Pitjor encara és la situació de la o de l’alertador, persona corrent que revela un abús (vegis: https://xnet-x.net/ca/proposicio-llei-proteccio-integral-alertadors/).

L’aproximació de “això ho resolen els tribunals” és una aproximació perillosa i elitista ja que implica que la defensa de la llibertat d’expressió i d’informació és garantida només per qui pugui permetre’s litigar. Preferim que s’estableixin criteris clars perquè tothom pugui exercir els seus drets amb seguretat i sense por a ser sancionat.

La protecció de dades és massa vegades un pretext per invalidar proves. A part dels exemples patris anteriorment esmentats, el greuge democràtic de no transposar la defensa de la llibertat d’informació en l’àmbit de la protecció de dades s’ha fet evident en tota la seva envergadura a la UE, a Romania, on periodistes que investigaven corrupció governamental han estat amenaçats amb una sanció de 20 milions d’euros per la Llei de protecció de dades (les dades dels presumptes corruptes). És per tot això que la Association for Technology and Internet (ApTI), en col·laboració amb Privacy International i Xnet entre altres organitzacions europees de defensa dels drets digitals, van presentar una queixa davant la Comissió Europea fa un any. En aquella ocasió el portaveu de la Comissió Europea, Margaritis Schinas va dir “És extremadament important que les autoritats de Romania implementin aquesta obligació [art.85] en el dret nacional per (…) protegir les fonts periodístiques (…) quan sigui necessari per respectar la llibertat d’informació i d’expressió dels mitjans. (…) La protecció de dades no pot utilitzar-se com una porta del darrera per forçar als periodistes (…)”.

Una pena que la queixa, un any després, encara estigui a l’espera de resposta.

 

Part 4 – Com hem arribat a que ens sembli normal que les dades del padró municipal acabin en mans dels partits polítics

Ja estan molt esteses les protestes per no rebre propaganda electoral a casa. No n’hi ha prou.

Xnet nega la major.

El dret a la protecció de dades és un dret fonamental que garanteix a les persones el control sobre les seves dades, sobre el seu ús i la seva destinació. Ha de ser respectat tant per part d’entitats públiques com privades. Hi ha excepcions previstes per la normativa. Però haurien de ser les estrictament necessàries per protegir algun bé superior.

Així que com hem arribat a que ens sembli normal que les dades del padró municipal acabin en mans dels partits polítics? Nom i cognoms, província i municipi de residència, districte, secció i mesa electoral, domicili, data de naixement i nacionalitat per als electors estrangers. Increïble.

A l’aprovar la nova Llei Orgànica de Protecció de Dades només s’ha previst la possibilitat d’oposar-se al fet que les dades siguin enviades als partits (cosa que, per cert, a més no es compleix). Engrunes dels nostres drets legítims.

Hauria de ser a l’inrevés si volem ser fidels el principi de privacitat des del disseny i per defecte: en el cas de voler cedir les nostres dades als partits per rebre la publicitat electoral, s’hauria de haver de demanar-ho.

Les persones ni tan sols són informades quan s’inscriuen a el Padró Municipal d’habitants. Això vulnera un altre dels principis essencials del Reglament Europeu de Protecció de Dades, el principi de transparència, que implica el coneixement per part de les persones, quan proporcionen les seves dades, dels usos a què aquests estaran destinats als que seran comunicats en el seu cas, a més de l’obligació d’oferir la possibilitat d’oposar-se a això.

Xnet ofereix solucions que poden aplicar-se immediatament. Una pena que siguin els únics beneficiats d’aquest atropellament, els partits, els que han de decidir si assumir-les.

 

Part 5 – Abusos en l’ambit laboral: la venda de les dades de les persones en règim d’autònom

Hem posat l’accent a la nostra vida quotidiana on , tant en el món físic com en el digital, utilitzem i permetem que altres utilitzin les nostres dades personals, i molts cops no podem escollir si volem proporcionar-les. Aquests casos han de ser motivats pel bé comú, del contrari soscavarien el dret fonamental a la nostra privacitat.

Les i els autònoms, fins i tot abans d’iniciar la seva activitat, es veuen obligats a fer declaracions, inscripcions i registres davant diverses organitzacions per poder treballar. La principal i coincident en tot cas és l’Agència Tributària; amb les noves obligacions de prevenció de blanqueig de capitals, per als que presten certs serveis a empreses, també el Registre Mercantil.

Creiem que s’ha de limitar la possibilitat de difondre i vendre les dades dels autònoms i més quan aquestes dades no s’han fet manifestament públiques pels mateixos, ni siguin, en la majoria dels casos, necessaris per comunicar-se amb ells.
En compliment del principi de minimització de dades, al no ser necessària aquesta informació, no hauria d’estar disponible públicament.

Hi ha un doble raser en l’aplicació de la protecció de dades: mentre s’amaga la propietat de les empreses en paradisos fiscals, es venen les dades personals dels autònoms amb menys poder adquisitiu.
La transparència ha de ser un instrument per a equilibri de poders i no està renyida amb la preservació de la privacitat personal. És absolutament possible incloure les salvaguardes degudes per a qui no tinguin ingressos suficients (3,5 vegades l’IPREM) per permetre’s un domicili professional, mentre es permet conèixer la titularitat d’activitats professionals.

Hem proposat modificacions legals i recomanacions per a respectar la privacitat a la vegada que la transparència que ha de guiar tota actuació empresarial per no ocultar possibles casos de corrupció o males praxis.

A Xnet defensem que la democràcia sigui, entre altres coses, la vigilància ciutadana sobre les seves institucions. Per això s’ha de protegir al feble i controlar al fort ja que existeix una clara asimetria entre els poders establerts i la ciutadania. Considerem que part de la lluita per a una democràcia real és la d’acabar amb aquesta asimetria.

Usant el nou Reglament General de Protecció de Dades, conquesta de la societat civil organitzada, començarem diverses accions per seguir en el camí cap a una major i millor democràcia.

Anem per feina.

 

MODE D’ÚS:
COM ACTUAR EN LA VIDA REAL FENT SERVIR EL QUE EXPLIQUEM A #VENENMALDADES

A.- EXIGEIX LA MINIMITZACIÓ DE DADES QUE RECULLEN LES INSTITUCIONS I CORPORACIONS

• Quan et demanin les teves dades personals, tant mitjançant un formulari en paper, per Internet o fins i tot telefònicament, assegura’t que les dades que et requereixen i que proporciones són les mínimes indispensables per portar a terme el servei que et prestaran o la tasca que realitzaran (art. 5.1.c) del Reglament General de Protecció de Dades).

• Si no és així, tens dret a negar-t’hi i no poden no prestar-te el servei per no voler donar més dades de les necessàries (art. 6.3 de la Llei Orgànica 3/2018 de Protecció de Dades i garantia dels drets digitals(5)). Si demanen dades que no semblen adequades i pertinents d’acord amb l’anterior i consideres que demanen més dades de les necessàries informa’ls de que el principi de minimització del Reglament Europeu de Protecció de Dades diu que no poden demanar-te tantes dades.

• ATENCIÓ, en el cas de les entitats públiques, la Llei 39/2015 del Procediment Administratiu (LPAC), exigeix acreditar la identitat dels qui realitzin qualsevol actuació enfront d’aquestes, comprovant el DNI o document equivalent, i en l’àmbit digital mitjançant Cl@ve PIN, Cl@ve Permanent o DNI electrònic. Per tant, enfront aquestes entitats, i fins que es modifiqui la llei, es considera “normal” sol·licitar nom, cognoms i DNI per a la realització de qualsevol tràmit. Però res més. Si et demanen més tens dret a negar-te i no poden no prestar-te el servei per no voler donar més dades de les necessàries.

B.- NO DEIXIS QUE LA PROTECCIÓ DE DADES SIGUI UNA EXCUSA PER NO DONAR INFORMACIÓ QUE HA DE SER PÚBLICA

En cas que una entitat negui l’accés a informació pública al·legant protecció de dades, ha de tenir-se en compte que això no és sempre un motiu vàlid pel que no s’hagi de proporcionar.

Si la informació sol·licitada conté dades personals, tot i així, la institució podrà proporcionar la informació si es dissocien o anonimitzen les dades de caràcter personal, és a dir, s’impedeix identificar a les persones que apareixen en la informació sol·licitada.
 

C- DENUNCIAR AQUESTES MALES PRÀCTIQUES

Si et trobes en un d’aquests casos, avisa’ls de que comunicaràs el seu mal procedir / mala praxis a l’AEPD (només si es tracta del sector públic també pots recórrer a l’Autoritat autonòmica a Catalunya, País Basc i Andalusia). Per interposar una reclamació pots fer-ho als següents enllaços i pots indicar que ho fas seguint les directrius del web d’Xnet, així serà més eficaç, podrem reagrupar consultes per crear precedents generals i tindran més clar de què estàs parlant:

– AEPD:
https://sedeagpd.gob.es/sede-electronica-web/vistas/formNuevaReclamacion

– APDCAT (Catalunya):
https://apdcat.gencat.cat/ca/seu_electronica/tramits/denuncia/

– AVPD (País Basc):
https://www.avpd.euskadi.eus/s04-5273/es/contenidos/informacion/contacto/es_9493/es_contacto.html

– CTPDA (Andalusía):
https://www.ctpdandalucia.es/sites/default/files/inline-files/formulario_de_reclamacion_pd.pdf

Si pots, envia’ns la resposta que rebis a contact@xnet-x.net
 

____________________________________________________

(1)
https://blogs.publico.es/otrasmiradas/15834/proteccion-datos-obstaculo-lucha-corrupcion/
(2)
https://xnet-x.net/breve-guia-nuevo-reglamento-europeo-proteccion-datos-batalla-de-cuatro-anos/
(3)
https://www.elmundo.es/espana/2019/06/27/5d14b2a1fdddff95718b465f.html
(4)
https://elpais.com/politica/2020/02/04/actualidad/1580834062_879620.html
(5)
Considerando (43) del RGPD: “Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento.”