Publicar dades personals a Internet: què es pot, què no i què hauries de pensar abans de fer-ho

Fa anys, penjar informació a Internet era gairebé un acte d’entusiasme: tot es publicava. Convocatòries, llistats, sancions, noms, resolucions… Sense filtre. Però quan els motors de cerca van començar a indexar-ho tot i la gent es va adonar que el seu nom podia aparèixer a Google durant anys per una multa o una beca, va arribar la reflexió: on és el límit entre la transparència i la privacitat?

L’Autoritat Catalana de Protecció de Dades (APDCAT) va publicar el 2008 una recomanació molt completa que continua sent de referència. Explica com han de difondre dades personals les administracions i entitats públiques quan utilitzen Internet. Anem a desgranar-la amb calma i en paraules planeres.

1. Publicar no és el mateix que informar

La primera cosa que aclareix la recomanació és que difondre dades personals a la xarxa no és un tràmit innocent. Abans, la informació era en taulers físics o butlletins que llegia poca gent. A Internet, qualsevol dada es converteix en permanent i accessible des de qualsevol lloc.

Per això, l’APDCAT diu que cada publicació ha de tenir una base legal i una finalitat clara. No val a dir “sempre ho hem fet així”. Només es poden publicar dades personals quan sigui necessari per complir una funció pública o per garantir drets dels ciutadans.

2. Principis bàsics: proporcionalitat i finalitat

Aquí la idea és simple: publica el just i necessari. Si l’objectiu és informar d’una resolució administrativa, potser n’hi ha prou amb el número d’expedient i no cal posar el nom complet de la persona.

A més, les dades només s’han de mantenir el temps indispensable per complir la finalitat. Un cop passat aquest termini, toca retirar-les o anonimitzar-les. El contrari, diu l’APDCAT, és una forma de sobreexposició.

3. La informació ha de ser exacta i actualitzada

Un altre punt que a vegades es passa per alt: no tot s’hi val amb tal de publicar ràpid. L’administració té l’obligació de comprovar que les dades que penja a la xarxa són correctes i actualitzades. Un error en una resolució, un nom mal escrit o una adreça que ja no correspon pot causar un dany real.

També s’insisteix en la responsabilitat de mantenir actualitzats els continguts i d’eliminar aquells que ja no siguin pertinents. Internet no pot ser un arxiu etern d’errors.

4. Legitimació: quan es pot i quan no es pot publicar

La difusió de dades personals s’ha de basar sempre en alguna d’aquestes situacions:

  • Una obligació legal expressa (per exemple, publicar resolucions judicials o convocatòries).

  • El consentiment de l’interessat.

  • O l’existència d’un interès públic clar.

Fora d’aquests casos, publicar dades personals en una web pública no és legítim.

I compte amb el “copiar i enganxar”: moltes vegades, la informació passa d’un document administratiu a una web sense revisió, quan en realitat hauria de passar per un procés d’adaptació o anonimització.

5. Els butlletins i taulers electrònics també compten

Pel fet de ser digitals no deixen de tenir límits. Si un ajuntament publica edictes, llistats o anuncis amb dades personals al seu tauler electrònic, ha de fer-ho seguint els mateixos criteris: només les dades imprescindibles, temps limitat d’exposició i retirada automàtica un cop complerta la finalitat.

Res de mantenir durant anys llistats antics d’opositors, sancionats o beneficiaris.

6. Indexació als cercadors: un problema modern

L’APDCAT va ser visionària a l’hora d’anticipar una cosa que avui és clau: els cercadors converteixen en permanent el que hauria de ser temporal.

Per això va recomanar mesures tècniques com:

  • Utilitzar etiquetes “no index” per evitar que Google o Bing emmagatzemin aquestes dades.

  • Limitar l’accés mitjançant identificadors o claus temporals.

  • Evitar que els documents PDF amb noms i cognoms apareguin en cerques generals.

La transparència no pot significar que el teu nom es converteixi en un resultat etern a Internet.

7. Difusió d’imatges i gravacions

El document també tracta un punt sensible: la publicació de fotografies, vídeos o gravacions de veu. Aquestes també es consideren dades personals.

Si hi apareixen persones identificables, cal tenir el seu consentiment previ o una justificació legal clara. Això s’aplica tant a actes públics com a material institucional. I si es difon a xarxes socials o plataformes obertes, el risc de pèrdua de control és encara més gran.

8. Mesures de seguretat i responsabilitat

Tota entitat pública que gestioni dades personals ha d’adoptar mesures tècniques per protegir-les: control d’accés, contrasenyes, registres de consulta, i sobretot, responsabilitat interna.

No val dir “ha estat un error de l’informàtic”. Si les dades estan exposades indegudament, l’administració en respon.

També es recomana designar responsables de contingut web, encarregats de revisar periòdicament quina informació continua essent necessària i quina s’ha d’eliminar.

9. Revisió i eliminació periòdica

Potser un dels apartats més assenyats del document. Internet no ha de ser un cementiri de dades.

L’APDCAT suggereix establir protocols de revisió periòdica per esborrar informació antiga, obsoleta o que ja no compleixi la seva funció.

Exemple: una convocatòria de beques publicada fa cinc anys ja no té sentit que continuï activa amb noms i cognoms dels participants.

10. Què fer si les teves dades apareixen a la xarxa

I si ets tu l’afectat, també tens eines. Pots:

  • Demanar la supressió o anonimització de la informació.

  • Exercir el teu dret a l’oblit (en la línia del RGPD).

  • Reclamar davant l’APDCAT si no obtens resposta.

L’organisme pot ordenar la retirada del contingut o imposar sancions si es detecta negligència.