Administració digital i protecció de dades: tensions, desafiaments i garanties en l’era de la transparència

L’administració electrònica no és només un canvi de suport, és un gir de mentalitat. Cada vegada que entres en un portal i fas un clic, deixes un rastre que serveix tant per auditar com per vigilar. Aquella suposada eficiència que ens prometen porta també una fragilitat que no sempre s’explica.

1) L’administració electrònica com a oportunitat i risc

Els portals digitals són còmodes, sí: pots fer tràmits des de casa sense esperar cues. Però alerta, aquesta comoditat converteix el ciutadà en algú que sempre està sent registrat. I no tots estem disposats a viure en aquesta mena d’aparador permanent.

Ja ho deia Valero Torrijos fa anys: l’eficàcia administrativa mai és neutral. Com més digital és el sistema, més gran es fa l’asimetria amb la ciutadania. I aquí ve la meva opinió: aquest poder sense contrapès es torna perillós. Un error en paper es podia corregir ràpid; en digital, un error es clona a gran escala. L’eficiència té un preu i no sempre se’ns avisa.

2) Transparència i exposició

La transparència sona fantàstica en democràcia: “més dades, més confiança”. Però siguem sincers, la transparència absoluta frega l’exhibicionisme. Realment necessitem llistats amb noms complets circulant per internet? El que es pensava com un servei públic, sovint acaba trencant la confiança social.

Cerrillo ja alertava que la rendició de comptes pot tornar-se espectacle. I té raó. Si volem portals útils, no podem despullar el ciutadà. La transparència està bé, però sempre amb mesura. La dignitat personal val més que uns quants clics de més en un cercador.

3) El marc europeu de referència

Europa fa anys que ens posa normes per recordar que la privacitat no és un luxe, és un dret. El RGPD va ser un punt d’inflexió: ja no n’hi ha prou amb papers, ara cal demostrar cada decisió tecnològica. I, la veritat, això incomoda més d’una administració que preferiria continuar en automàtic.

El bo és que aquest canvi ens obliga a prendre’ns la privacitat seriosament, com un hàbit diari, no com una nota al peu.

4) Noves capes reguladores

El RGPD és la base, però l’envolta un ecosistema de normes que mareja: ENS, Data Act, AI Act… A vegades sembla un sudoku jurídic. Tot i això, hi ha una idea clara: ja no val dir “no ho sabia”.

L’AI Act, per exemple, demana que els algoritmes siguin auditables. I aquí hi ha la clau: si un algoritme reparteix beques, no pot ser una caixa negra. El ciutadà té dret a entendre què passa dins. M’hi mullo: qui tem la transparència en algoritmes, alguna cosa té per amagar.

5) Encarregats i proveïdors

Externalitzar serveis tecnològics està bé, però no t’eximeix de responsabilitat. Si una administració contracta un proveïdor i després se’n desentén, l’únic que aconsegueix és multiplicar les bretxes.

L’APDCAT ho deixa clar: el responsable últim continua sent l’administració. Delegar no és desentendre’s. I el ciutadà no hauria de pagar la factura de la negligència institucional.

6) Educació i menors

Els menors són sempre els més exposats. Publiquen sense mesurar conseqüències, i el problema és que moltes vegades ni els adults sabem guiar-los. Aquí és on entren programes com CLI–PROMETEO: ensenyar des de contrasenyes fins a com reaccionar davant del ciberassetjament.

El RGPD ja posa condicions especials, però siguem realistes: si la interfície no és comprensible per a un nano de 13 anys, alguna cosa falla en el disseny. Educar no és burocràcia, és prevenció.

7) Dades sanitàries

El cas VISC+ ens va ensenyar una cosa incòmoda: l’anonimat total és un miratge. Sempre hi ha risc de reidentificació. I si creues diverses bases de dades, aquest risc es dispara.

La medicina personalitzada necessita dades, però fins a quin punt pot el pacient convertir-se en un llibre obert? Aquí toca ser clars: la ciència avança, però no a costa de la dignitat.

8) Smart cities

Les ciutats intel·ligents sonen modernes: sensors, càmeres, dades per gestionar millor el trànsit. El problema és que, si no hi ha límits, acabem en un panòptic urbà amb forma de semàfor.

L’APDCAT ho repeteix: privacitat des del disseny. Perquè sí, volem innovació, però ningú vol viure en una ciutat que el vigila fins i tot quan creua un pas de vianants.

9) Privacitat per disseny

La privacitat per defecte no és postureig legal, és cultura. Significa pensar en la protecció des de l’inici. No com un pedaç, sinó com a part de l’ADN dels sistemes.

Exemples n’hi ha molts: portals que només demanen el mínim o expedients escolars anonimitzats. El curiós és que, quan es fa bé, la gent ni ho nota. I aquí hi ha la gràcia: l’ètica es converteix en bona enginyeria.

10) Bones pràctiques

Hi ha unes regles bàsiques que haurien d’estar tatuades a la pell de qualsevol administració: recollir només les dades necessàries, fixar terminis de conservació, exigir contractes durs als proveïdors, avaluar impactes, configurar la privacitat per defecte i auditar des de fora.

Sona tècnic? Potser sí, però en realitat parlem de política pura. Així és com l’Estat demostra que respecta la seva ciutadania.

11) Tensions inevitables

Transparència contra privacitat, eficiència contra justícia… Aquestes tensions són inevitables. I cal dir-ho: no existeix un equilibri etern. Cada decisió obre un nou front. L’important és tenir clar cap a on inclinem la balança.

12) Connexions i aprenentatges creuats

Aquí és on hi ha el més interessant: els textos acadèmics obren debats, les institucions intenten respondre i les escoles converteixen tot això en hàbits. Cap capa no n’hi ha prou sola. La clau és en el diàleg entre totes.

Si falta aquesta coherència, el sistema es converteix en un trencaclosques a mig fer.

13) Reptes futurs

La intel·ligència artificial en l’administració multiplica els riscos. No és paranoia: un algoritme mal dissenyat pot decidir beques o ajudes de manera injusta. I encara que l’AI Act demana transparència, tots sabem com és de fàcil caure en la temptació d’utilitzar caixes negres.

El mateix amb la identitat digital europea: pràctica, sí, però també un caramel per als hackers. Si falla, falla tot. Aquí no val regatejar en seguretat.

14) Correu electrònic a la feina

El correu electrònic continua sent l’eina estrella en oficines i administracions. Però alerta: no és només una bústia digital, també és un aparador de com tractem la informació. Un mal ús pot obrir la porta a filtracions o, pitjor encara, a sancions.

Un parell de recomanacions bàsiques:

  • Revisa sempre els destinataris. Aquest “respondre a tots” pot ficar-te en un embolic si comparteixes dades sensibles amb qui no toca.

  • Evita adjuntar documents amb informació personal sense necessitat. I si no hi ha cap altra opció, millor protegir-los amb contrasenya.

  • No barregis el que és laboral amb el que és personal. Utilitzar el correu de la feina per qüestions privades acaba sent un risc (i a més sol estar prohibit).

I què passa amb signar o xifrar els correus? Doncs depèn del nivell de seguretat que necessitis:

  • Signar digitalment serveix per demostrar que el missatge ve de tu i no ha estat manipulat pel camí. En tràmits oficials o comunicacions amb valor jurídic, és més que recomanable.

  • Xifrar els correus garanteix que només el destinatari pugui llegir-ne el contingut. No cal per a tot, però si treballes amb dades de salut, nòmines o expedients disciplinaris, el xifrat hauria de ser la norma.

15) Càmeres de seguretat i videovigilància

Les càmeres de seguretat són pertot arreu: a l’entrada del metro, a l’oficina i fins i tot a la comunitat de veïns. I alerta, gravar imatges no és gratuït en termes de privacitat. Cada vegada que una càmera t’enfoca, s’estan tractant dades de caràcter personal (sí, la teva cara compta com a dada).

La normativa diu que les càmeres només poden utilitzar-se per al que s’ha autoritzat (normalment, seguretat). No val allò de posar una càmera “per si de cas” i després aprofitar-la per a altres finalitats. A més, la gent ha de saber que està sent gravada: d’aquí els famosos cartells grocs amb la icona de la càmera.

Si la càmera també recull so, la cosa es complica més: el nivell d’intrusió és superior i només pot justificar-se en casos molt concrets. I el més important: les gravacions no es poden guardar eternament; passat un temps raonable (en molts casos, un mes), s’han d’esborrar.

Drets ARCO

Els famosos drets ARCO (Accés, Rectificació, Cancel·lació i Oposició), te’ls explico com si estiguéssim prenent un cafè:

  • Accés: Bàsicament significa que pots preguntar: “Quines dades meves tens?”. I l’empresa o administració està obligada a ensenyar-te-les. És com mirar l’inventari de la teva pròpia informació.

  • Rectificació: Si veus que alguna cosa està malament (una adreça antiga, un error a la teva data de naixement, el que sigui), pots dir: “Ei, corregeix això”. I no és un favor, és el teu dret.

  • Cancel·lació: Aquí parlem d’esborrar. Si una entitat ja no necessita les teves dades per a la finalitat per la qual les va recollir, pots demanar que les elimini. Alerta: no sempre te les poden esborrar (per exemple, en historials mèdics o dades fiscals les han de conservar per llei).

  • Oposició: Aquest és el “no vull que facis servir les meves dades per això”. El cas típic: una empresa té les teves dades perquè vas comprar alguna cosa, però no vols que t’atordeixin amb publicitat. Aleshores dius: “m’hi oposo” i haurien d’aturar-ho.

Bàsicament els ARCO són com un comandament a distància sobre les teves dades personals. Et permeten veure-les, corregir-les, esborrar-les (quan toca) o posar un stop a certs usos. I la gràcia és que no has de donar mil explicacions: n’hi ha prou amb demanar-ho i l’empresa o administració ha de respondre dins del termini.

Normativa

Normativa reguladora de l’Autoritat

  • [CAT | ES | EN] Estatut d’autonomia de Catalunya (arts. 4.1, 15, 20, 23, 27, 28, 30, 31, 76, 78, 156, 182.3) (DOGC núm. 4680, de 20.07.06)

  • [CAT | ES | EN] Llei 32/2010, de 1 d’octubre, de l’Autoritat Catalana de Protecció de Dades (DOGC núm. 5731, de 8.10.2010)

  • [CAT | ES | EN] Decret 48/2003, de 20 de febrer, pel qual s’aprova l’Estatut de l’Agència Catalana de Protecció de Dades (DOGC núm. 3835, de 04.03.2003)

Normativa estatal

  • [CAT | ES | EN] Constitució espanyola (arts. 10, 14, 16, 18, 20, 53 i 105)

  • [CAT | ES | EN] Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (BOE núm. 298, de 14.12.1999)

  • [CAT | ES | EN] Reial decret 1720/2007, de 21 de desembre, de protecció de dades de caràcter personal (BOE núm. 17, de 19.01.2008)

El Consell Assessor de Protecció de Dades

Darrere de l’Autoritat Catalana de Protecció de Dades no hi ha només l’equip que hi treballa dia a dia, també hi ha un òrgan que fa de brúixola: el Consell Assessor. La seva missió és aportar criteri, donar opinions independents i, en definitiva, vigilar que les decisions de l’Autoritat no es prenguin en el buit.

Algunes de les seves funcions més rellevants són:

  • Proposar al Parlament qui hauria de ser la persona que dirigeixi l’Autoritat.

  • Revisar i opinar sobre les instruccions que l’APDCAT vulgui aprovar.

  • Analitzar el pressupost anual abans que tiri endavant.

  • Assessorar el director o directora de l’Autoritat en qualsevol tema que se li plantegi.

  • Informar sobre la plantilla de personal, tant fixa com eventual.

  • I, a més, elaborar estudis i recomanacions sobre com millorar la protecció de dades a Catalunya.

Dit clar: el Consell Assessor no executa, però sí marca el rumb. És com aquell grup de persones que, amb perspectiva i experiència, posen sobre la taula allò que des de dins a vegades costa veure.

El nostre tancament

L’administració digital està reescrivint el contracte social. Cada decisió sobre dades marca la qualitat de la nostra democràcia. I, t’agradi o no, la confiança és més fràgil que qualsevol sistema informàtic.

La rapidesa importa, però la justícia importa més. Al final, la democràcia digital no es mesurarà per la velocitat dels seus tràmits, sinó per com respecta la intimitat de qui està a l’altre costat de la pantalla.