← Cuadernos Lacre

Analisia · 2026ko maiatzak 16

RGPD eta mezularitza profesionala: zergatik hausten dituzten gehienek arauak jakin gabe

Ia bulego, kontsulta edo aholkularitza-enpresa guztiek bidaltzen dituzte bezeroen dokumentuak zerbitzaria Europako Ekonomia Eremutik kanpo duten aplikazioen bidez. Borondate txarrik gabe, baina kasu askotan erregelamendua hautsiz, inork ohartarazi gabe.

Uste baino urrunago bidaiatzen duen dokumentua

Eguneroko egoera bat: zerga-aholkulari batek bezero baten datuak dituen dokumentu bat jasotzen du mezularitza bidez. Saltzaile batek aurrekontu bat bidaltzen dio kide bati txat bidez. Mediku batek txosten kliniko bat partekatzen du kide batekin bide beretik. Inork ez du bi aldiz pentsatzen. Normala da. Erosoa da. Egunero Europako hiri guztietako bulego guztietan egiten dena da.

Baina dokumentu horrek, kasu askotan, Ameriketako Estatu Batuetako zerbitzari batera bidaiatu berri du. Gordeta geratu da —behin-behinean bada ere, "enkriptatuta" bada ere— profesionalak zein bere bezeroak kontrolatzen ez duten hodei batean. Edukiari lotutako metadatuak teknikoki indexatu ditzaketen sistemetatik igaro da. Eta Europako Datuen Babeserako Erregelamendu Orokorrak nahiko gauza argiak ditu horri buruz esateko.

Arauak eskatzen duena

RGPDak —eta, ondorioz, Europar Batasuneko Justizia Auzitegiaren jurisprudentziak (bereziki 2020ko Schrems II epaia, C-311/18)— Europako herritarren datu pertsonalak behar bezala babestuta egon behar dutela ezartzen du. Datu horiek Europako Ekonomia Eremutik ateratzen badira, tratamenduaren arduradunak bermatu behar du jasotzaileak Europakoaren "funtsean baliokidea" den babes-maila eskaintzen duela. Praktikan, horrek esan nahi du bezeroen datuak zerbitzariak AEBetako jurisdikziopean dituzten zerbitzuen bidez bidaltzea, inpaktu-ebaluaziorik egin gabe eta berme osagarririk —kontratu-klausula estandarrak, neurri tekniko gehigarriak, hala nola enkriptatze egiaztagarria, etab.— ezarri gabe, erregelamendua haustea izan daitekeela. Orain arte inork ezer esan ez badu ere.

Eta ez da soilik mezuen edukia. Metadatuak —nork zer bidaltzen dion nori, noiz, zenbatetan, nondik— datu pertsonalak ere badira araudiaren arabera, Datuen Babeserako Europako Batzordearen behin eta berriz egindako interpretazioaren arabera. Erabiltzaile baten komunikazio profesionaletik metadatuak biltzen dituen zerbitzu batek erabiltzaile horren bezeroen datu pertsonalak tratatzen ari da, haiek jakin gabe edo tratamendu horretarako inolako baimenik eman gabe.

Pentsamendu-eskema arrunta —"aplikazioa idazteko bakarrik erabiltzen dut; aplikazioa ez da nire bezeroaren datu-hornitzailea"— juridikoki okerra da. Bezeroaren datuak hirugarren baten azpiegituratik igarotzen badira, hirugarren hori datu horiek tratatzen ari da. Eta tratatzen baditu, legezko oinarri bat, datuak tratatzeko kontratu bat eta berme egokiak egon behar dira.

Nor den arduraduna

Legezko erantzukizuna nork duen ez da galdera akademikoa. RGPDak tratamenduaren arduraduna (zein datu eta zertarako tratatzen diren erabakitzen duena) eta tratamenduaren eragilea (arduradunaren izenean materialki egiten duena) bereizten ditu. Bezeroen dokumentuak bidaltzen dituen profesionala arduraduna da. Mezularitza-aplikazioaren hornitzailea, kasu askotan, tratamenduaren eragilea da de facto. Tratamendu-kontraturik gabe —eta kontratu horrek jaso beharko lituzkeen klausula gehienik gabe—, arduradunak ez du bere betebeharra bete.

Interpretazio onbera hau da: "profesional gehienek ez dakite hori". Interpretazio zorrotza hau da: "legea ez ezagutzeak ez du betetzetik scutatzen". Eta gai honi buruz kontsultatutako datu-babesean espezializatutako edozein abokaturen interpretazioa zorrotza izan ohi da.

Norentzat den garrantzitsua zehazki

Noizean behin bada ere hirugarrenen informazio pertsonalarekin jarduten duen edozein profesional edo enpresarentzat:

  • Bezeroen dokumentazioa jasotzen duten abokatuak (kontratuak, demandak, adierazpenak, ondare-txostenak).
  • Osasun-datuak partekatzen dituzten medikuak eta beste osasun-profesional batzuk —RGPDaren 9. artikuluaren arabera kategoria berezitzat hartzen direnak, babes-erregimen indartuarekin—.
  • Identifikazio-, zerga- eta banku-datuekin jarduten duten zerga-aholkulariak eta kudeatzaile administratiboak.
  • Langileen lan- eta pertsona-dokumentazioa kudeatzen duten Giza Baliabideen sailak.
  • Bezero potentzialen eta oraingoen kontaktu-datuak eta askotan negozio-informazio sentikorra jasotzen duten ordezkari komertzialak.

Kasu guztietan, informazioa RGPDak babesten du. Kasu guztietan, ohiko praktikan, informazio hori jurisdikzioak berme gehigarririk gabe Europako esparruaren "funtsean baliokide" gisa deklaratzea ahalbidetzen ez duten kanaletatik igarotzen da. Ez asmo txarragatik. Ohituragatik baizik. Eta hamabost urtez erosotasuna betetzearen aurretik jarri duen azpiegitura teknologiko baten ondorioz.

"Denek egiten dute" argudioa

Zuhurra da eragozpen ohikoena aurreikustea: "denek berdin egiten badute, ezin da benetako arazoa izan". Argudio guztiz ulergarria da, eta juridikoki ez du inolako indarrik. Praktika bat hedatua izateak ez du erregelamenduarekin bat datorrenik egiten. Datuen babeserako agintariek hainbat enpresa zigortu dituzte azken urteotan, ikuskapen-unera arte kaltegabeak ziruditen mezularitza-erabilerengatik, hain zuzen ere.

Gaur egungo errealitate operatiboa da arriskua baxua dela probabilitateari dagokionez —oso arraroa da Agintaritzaren ikuskapen batek tamaina ertaineko bulego baten mezularitza-tresna espezifikoak auditatzea—, baina handia eraginari dagokionez, gauzatzen bada. Gehienek hartzen dutela jakin gabe hartzen duten arriskua da. Hau da, erabilitako tresna tratamenduaren arduradunaren legezko erantzukizunarekin lerrokatuta dagoen baloratu gabe.

Aztarna digitalak atzerako indarra du

Bada bigarren argudio bat, aurrekoaren ia simetrikoa, aurreikustea merezi duena: "hau arazo larria balitz, administrazioa hasiko zen dagoeneko kontrolatzen". Gaur egun ikusten den errealitateak arrazoia ematen dio azalean. Mezularitzaren erabilera desegokiagatiko ikuskapenak enpresa txikietan eta, batez ere, autonomoetan ia ez dira existitzen gaur egun —ez portaera onartuta dagoelako, administrazioari Europako zati handi batean milioika behartu auditatzeko beharrezko giza baliabideak falta zaizkiolako baizik.

Hori da gaur egun ikusten den praktikak iradokitzen duena. Baina ez da hurrengo hamarkadak iradokitzen duena. Bi bektore batzen ari dira oreka aldatzeko epe nahiko laburrean.

Lehenik: aztarna digitalak atzerako indarra du. Zerbitzari zentrala duen aplikazio baten bidez bidalitako mezu bakoitza erregistratuta geratzen da —metadatuetan gutxienez— irauten duen azpiegitura batean. Duela sei hilabete bidalitakoa teknikoki gaur egun oraindik auditagarria da. Gaur bidaltzen dena hemendik bost urtera auditagarria izango da. Oraingo ikuskapen-eza ez da etorkizuneko ikuskapen-ezaren bermea. Balorazioaren atzeratzea da, ez salbuespena.

Bigarrenik: administrazioaren ikuskapen-gaitasuna bizkortu egingo da. Adimen artifizialeko tresnak kontrol-prozesuetan sartzeak orain arte —de facto, ez de jure— enpresa txikiak eta autonomoak babestu dituen giza botila-lepoa ezabatzen du. Metadatu masiboak, zerga-aitorpenak, merkataritza-erregistroak eta segurtasun-hausteen jakinarazpen-betebeharrak gurutzatzeko gai den sistema batek ez du ikuskatzailerik behar: sarbidea behar du. Eta sarbidea Europan legezko presentzia duten hornitzaileei egindako errekerimenduen bidez gaur egungo arau-esparruan guztiz bideragarria da.

Horri giza baliabideena ez den beste faktore erabakigarri bat gehitzen zaio: Europako estatuak zorpetze etengabean daude eta, ia salbuespenik gabe, zerga-oinarria zabaldu behar dute. RGPDa ez betetzearen ondoriozko zehapen administratiboa, termino fiskal hutsetan, diru-sarrera iturri hazkorra eta politikoki erosoa da. Hau ez da suposizio bat: Europako datu-babeserako agintarien urteko txostenetan ikus daitekeen joera da, non zehapenen bolumen osoa gora doan hainbat ekitalditan jarraian.

Arduradunarentzako ondorio operatiboa ez da alarmista, soila baizik: gaur egun bezeroekin komunikazioa nola kudeatzen den erabakitzea ikuskapena datorren urteko ikuskapen-gaitasunaren arabera baloratzen da, ez oraingoaren arabera. Eta gaitasun hori, arrazoizko epe baten barruan, gaur egungoa baino nabarmen desberdina izango da. Gaur gauzak ondo egiten hasten dena ez da gaurtik aurrera soilik ondo egongo: une honetatik aurrera sortutako aztarna arauarekin bat etorriko da, eta horrek atzerako eraginarekin babesten du datorren aldia. Lehen bezala jarraitzen duenak aztarna auditagarri bat metatuko du, eta haren adostasuna datozen urteetako estandarren —eta baliabideen— arabera baloratuko da.

Zer aldatzen den beste arkitektura batekin

Badira alternatiba teknikoak non datuak hirugarrenen azpiegituretan gordetzen ez diren, eta horren ordez bidaltzailearen gailutik hartzailearenera zuzenean bidaiatzen duten. Arkitektura horretan, nazioarteko transferentziei dagokienez RGPDa betetzea ez dago klausula-kontratu estandarren mende, ezta hornitzailearen borondate onaren edo etorkizuneko auditorien mende ere. Transferentziarik ez egotearen mende dago. Eta existitzen ez dena ezin da hautsi.

Hau ez da irtenbide esklusiboa, ezta irtenbide posible bakarra ere. Baina egituraz desberdina da, eta araudia betetzea prozedurazko eranskin bat izateari uzten dio eta diseinuaren zuzeneko ondorio bihurtzen da. Arduradun gisa duen erantzukizuna serio hartzen duen profesional batentzat, alde horrek aldea eragiten du.

Cuadernos-en hurrengo aleak xehetasunez aztertuko du Schrems II epaia eta AEBetako hodei-zerbitzuen mende dauden enpresa txiki eta ertainentzat dituen ondorio praktikoak, argitaratu eta bost urtera.

Iturriak eta arau-esparrua

  • 2016/679 (EB) Erregelamendua (RGPD), bereziki nazioarteko transferentziei buruzko V. kapitulua.
  • EBAko C-311/18 epaia ("Schrems II"), 2020ko uztailaren 16koa.
  • EDPB – 01/2020 gomendioak, transferentzia-tresnak osatzen dituzten neurriei buruzkoak.
  • Datuen babeserako agintariak – Urteko txostenak, ingurune profesionaletan berehalako mezularitza modu desegokian erabiltzeagatiko zehapen-kasuekin.

Azken irakurketak