T'interessa

Informació general sobre protecció de dades

Informació general sobre protecció de dades

INFORMACIÓ GENERAL EN PROTECCIÓ DE DADES

La protecció de les persones físiques en relació amb el tractament de dades personals és un dret fonamental protegit per l'article 18.4 de la Constitució Espanyola. El Reglament General de Protecció de Dades pretén, amb la seua eficàcia directa sobre els Estats Membres de la Unió Europea, harmonitzar aquesta matèria, de manera que no existisquen diferències apreciables en la protecció dels drets dels ciutadans.

A continuació, s'exposa una breu explicació dels principals aspectes que conté la normativa reguladora de la protecció de dades de caràcter personal.

 

Definicions:

  1. Dada de caràcter personal:

Una dada personal és qualsevol informació sobre una persona física identificada o identificable (la persona interessada).

S'ha de considerar persona física identificable qualsevol persona la identitat de la qual es pot determinar, directament o indirectament, en particular mitjançant un identificador com, per exemple, un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona. 

  1. Tractament:

Qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals, ja siga per procediments automatitzats o no, com la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, acarament o interconnexió, limitació, supressió o destrucció;

  1. Responsable del tractament:

La persona física o jurídica, l’autoritat pública, el servei o un altre organisme que, només o juntament amb uns altres, determine els fins i mitjans del tractament.

En la Generalitat, cada conselleria i entitat del sector públic instrumental és responsable dels tractaments de la seua organització.

  1. Encarregat del tractament o encarregat:

La persona física o jurídica, l’autoritat pública, el servei o un altre organisme que tracte dades personals per compte del responsable del tractament.

La Direcció General de Tecnologies de la Informació i les Comunicacions (DGTIC), en l'exercici de les seues atribucions, és l'encarregada dels tractaments de dades personals que efectuen les conselleries i els seus organismes autònoms com a responsables.

Així mateix, seran encarregades totes aquelles entitats que, per mitjà d'un contracte, encàrrec a mitjà propi, encàrrec de gestió o conveni tracten dades de caràcter personal per compte de l'administració del Consell o el seu sector públic instrumental.

 

Principis d'actuació  general sota els quals han d'actuar els responsables

L'actuació dels responsables del tractament ha de respondre als principis regulats en l'article 5 del RGPD, i que es constitueixen en autèntiques obligacions:

  1. Principi de licitud:

Per a donar compliment al principi de licitud, los responsables del tractament en la Generalitat podran tractar dades de caràcter personal si disposen d'alguna de les següents bases de legitimació (article 6 del RGPD):

  • Que tinguen el consentiment de la persona afectada per a una o diverses finalitats específiques (el consentiment és de caràcter excepcional en les administracions públiques).
  • Que siga necessari per a executar un contracte en què la persona interessada és part, o per a aplicar mesures precontractuals a petició de la persona interessada.
  • Que siga necessari per a complir una obligació legal del responsable del tractament.
  • Que siga necessari per a protegir interessos vitals de la persona interessada o d'una altra persona física.
  • Que siga necessari per a complir una missió realitzada en interés públic o en l'exercici de poders públics atorgats a la persona responsable del tractament.

En el cas de tractaments necessaris per al compliment d'una obligació legal (lletra c) o d'una missió realitzada en interés públic o en l'exercici de poders públics (lletra e), la base del tractament ha d'estar prevista pel dret de la Unió o pel dret de l'estat membre que, en el nostre cas, ha de ser una norma amb rang de llei, tal com estableix la Llei orgànica 3/2018.

El tractament de categories especials de dades personals (dades genètiques, dades biomètriques, de salut, dades relatives a la vida sexual o que revelen l'origen ètnic, racional, les opinions polítiques, les conviccions religioses o filosòfiques o l'afiliació sindical) només està permès en les circumstàncies previstes en l'article 9 RGPD.

  1. Principi de transparència:

Aquest principi ha d'aplicar-se al llarg de tot el procés de tractament de les dades de caràcter personal.

Los responsables tenen l'obligació d'informar les persones afectades, tant quan les dades es recullen directament de la persona interessada, com quan no es recullen d'aquesta (articles 13 i 14 del RGPD), dels següents aspectes:  

  • La identitat i les dades de contacte del responsable.
  • Les dades del delegat/ada de protecció de dades.
  • Els fins del tractament a què es destinen les dades personals i la base jurídica del tractament.
  • Les persones destinatàries o les categories de les dades personals de persones destinatàries, si és el cas.
  • La intenció de transferir les dades a un tercer país o a una organització internacional i la base per a realitzar-ho.
  • El termini durant el qual es conservaran les dades.
  • L'existència del dret a sol·licitar al responsable del tractament l'accés a les dades personals relatives a la persona interessada, i la seua rectificació i supressió, o la limitació del seu tractament o a oposar-se a aquest.
  • El dret a retirar en qualsevol moment el consentiment que s'ha prestat.
  • El dret a presentar una reclamació davant una autoritat de control.
  • Si la comunicació de dades és un requisit legal o contractual o un requisit necessari per a subscriure un contracte
  • L'existència de decisions automatitzades, incloses la lògica aplicada i les seues conseqüències. 

En aquells casos en què les dades no s'hagen obtingut directament de la persona interessada (article 14 del RGPD), s'haurà d'informar, a més, de la categoria de les dades i de la font de la qual procedeixen.

La informació a les persones interessades, tant de respecte de les condicions dels tractaments que les afecten com en les respostes als exercicis de drets, s'ha de proporcionar de manera concisa, transparent, intel·ligible i de fàcil accés, en un llenguatge clar i senzill.

  1. Principi de minimització i proporcionalitat:

Els responsables recolliran únicament aquelles dades que siguen adequades, pertinents i limitades a les finalitats per als quals són tractades.

  1. Principi d'exactitud de les dades

Les dades han d'estar actualitzades i ser exactes. Per aquest motiu, els responsables adoptaran totes les mesures raonables perquè se suprimisquen o rectifiquen sense dilació aquelles dades que siguen inexactes respecte als fins per als quals es tracten.

  1. Principi de limitació en la conservació:

Los responsables hauran de conservar les dades durant el temps necessari per als fins del tractament. Només podran conservar-se durant períodes més llargs amb finalitats d'arxiu, interés públic, investigació científica o històrica o fins estadístics.

  1. Principi de seguretat i integritat:

Tenint en compte l'estat de la tècnica, les cotes d'aplicació, i la naturalesa, l'abast, el context i els fins del tractament, així com els regs de probabilitat i gravetat variables per als drets i llibertats de les persones físiques, los responsables aplicaran les mesures tècniques i adequades per a garantir un nivell de seguretat adequat al risc. Les mesures de seguretat es correspondran amb les establides pel Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració electrònica.

El risc pot afectar la seguretat de la informació, així com els  drets i llibertats de les persones afectades. L'anàlisi del risc requereix d'una avaluació per tractament, que haurà de fer-se a través d'un dels següents instruments: l'anàlisi de riscos o l'avaluació d'impacte (aquest últim en cas que el tractament comporte un alt risc).

  1. Principi de confidencialitat:

Los responsables estan subjectes al deure de confidencialitat. Aquesta obligació és complementària al deure de secret professional. Aquestes obligacions es mantindran encara que haja finalitzat la relació de l'obligat amb el responsable.

  1. Principi de responsabilitat proactiva:

És principi que suposa l'obligació del responsable de complir els principis de protecció de dades establits en l'art. 5.1 del RPGPD i la capacitat de demostrar aquest compliment. Això es tradueix en el fet que cada responsable ha de determinar les mesures tècniques i organitzatives necessàries per a complir la normativa en matèria de protecció de dades, tot això en funció de les dades que tracten, les finalitats amb les quals ho fa, el tipus d'operacions de tractament que duu a terme i el risc associat.

Les mesures tècniques i organitzatives per a protegir les dades de caràcter personal s'han de dur a terme des del disseny i per defecte. Això significa que:

  • Les mesures de protecció s'establiran en el mateix moment en el qual es determinen els mitjans del tractament.
  • Les mesures garantiran que només es tracten les dades personals necessàries per a la finalitat específica per a la qual són tractades.

 

Altres obligacions de les persones responsables:

  1. Registre d'activitats de tractament

Los responsables han de portar un Registre de les Activitats de Tractament (RAT) de la seua organització. Aquest registre ha de contindre, respecte de cada activitat, la informació que estableix l'article 30 del RGPD:

  • Nom i dades de contacte de l’entitat responsable i, si és el cas, la corresponsable, així com del Delegat/ada de Protecció de Dades, si n’hi ha.
  • Finalitats del tractament.
  • Descripció de categories de persones interessades i categories de dades personals tractades.
  • Transferències internacionals de dades.
  • Quan siga possible, terminis previstos per a suprimir les dades.
  • Quan siga possible, una descripció general de les mesures tècniques i organitzatives de seguretat.
  1. Notificació de les violacions de seguretat de les dades personals/bretxes de dades personals

Los responsables han de notificar les violacions de la seguretat de les dades personals que es produïsquen a l'autoritat de control. Aquesta notificació es realitzarà sense dilació indeguda i, si és possible, en un termini màxim de 72 hores des que tinguen constància, llevat que siga improbable que constituïsca un risc per als drets i les llibertats de les persones.

La notificació tindrà el contingut mínim establit en l'article 33.3 del RGPD.

Es considera que existeix constància d'una violació de la seguretat de les dades personals quan hi ha certesa que  aquesta s'ha produït i es té un coneixement suficient de la seua naturalesa i el seu abast. 

En cas que la notificació d'algun dels aspectes requerits no es puga fer dins de les 72 hores, es realitzarà posteriorment, acompanyada d'una explicació dels motius que han ocasionat el retard.

A més, quan siga probable que la violació comporte un alt risc per als drets de les persones interessades, el responsable haurà de comunicar-ho a aquestes sense dilació indeguda i en un llenguatge clar i senzill.

  1. Elecció i vinculació amb l’encarregat del tractament

Los responsables han de seleccionar encarregats que oferisquen garanties suficients per a aplicar les mesures tècniques i organitzatives apropiades, de manera que el tractament siga conforme al que s'estableix en el RGPD i en la Llei orgànica 3/2018. 

Així mateix, han de subscriure amb ells el contracte o acte jurídic que es preveu en l'article 28 del RGPD.

 

Obligacions dels encarregats:

El RGPD estableix una sèrie d'obligacions pròpies per als encarregats del tractament:

  1. Mantindre un Registre d'Activitats  de Tractament (RAT).
  2. Determinar les mesures de seguretat aplicables als tractaments que realitzen.
  3. Respectar el deure de confidencialitat.
  4. Designar una persona delegada de protecció de dades, en els casos en què així ho preveu el RGPD. 
  5. Possibilitat d'adherir-se  a codis de conducta o certificar-se en el marc dels esquemes de certificació previstos en el mateix RGPD.
  6. En cas que subcontracten operacions de tractament, cal triar subencarregats que oferisquen garanties suficients per a aplicar mesures tècniques i organitzatives apropiades, de manera que el tractament siga conforme als requisits del RGPD i la Llei orgànica 3/2018.

 

Drets de les persones interessades.

  1. Dret a la informació

El RGPD configura en els seus articles 13 i 14 el dret a la informació com un dels drets de la persona interessada per a garantir la transparència respecte al tractament de les seues dades de caràcter personal.

La informació s'ha de facilitar de manera concisa, transparent, intel·ligible i accessible, amb un llenguatge clar i senzill, especialment quan la informació es dirigisca a menors. S'han d'evitar les fórmules complicades i amb remissions a textos legals.

Per a més informació, cal consultar l'apartat anterior denominat “principi de transparència”.

  1. Dret d'accés, rectificació i oposició a les dades de caràcter personal i dret de supressió i limitació als tractaments de dades de caràcter personal.

Cadascun d'aquests drets, així com els límits al seu exercici es troben regulats en els articles 15 et seq. del RGPD i 13 et seq. de la Llei orgànica 3/2018.

  • Dret d'accés: La persona interessada tindrà dret a obtindre del responsable del tractament confirmació de si s'estan tractant o no dades personals que l’afecten i, en aquest cas, dret d'accés a les dades personals i a la següent informació:
    • Les finalitats del tractament, les categories de dades personals que es tracten i els destinataris.
    • El termini previst de conservació de les dades personals o els criteris utilitzats per a determinar-lo.
    • El dret a sol·licitar la rectificació o supressió de les dades, la limitació del tractament o el dret a oposar-s’hi.
    • El dret a presentar una reclamació.
    • L'origen de les dades, quan no hagen sigut facilitades per tu.
    • L'existència de decisions automatitzades, inclosa l'elaboració de perfils, la lògica aplicada i les conseqüències d'aquest tractament.
    • En cas de transferències internacionals de dades, les garanties adequades que s'ofereixen. ​
  • Dret de rectificació: La persona interessada té dret a obtindre, sense dilació, la rectificació de les seues dades personals inexactes. Segons els fins del tractament, també té dret al fet que es completen les dades personals que siguen incompletes, inclusivament mitjançant una declaració addicional.
  • Dret d'oposició: La persona interessada té dret a oposar-se al tractament de les seues dades personals quan el tractament es base en una missió realitzada en interés públic o en l'exercici de poders públics. L'oposició s'ha de fonamentar en motius relacionats amb la seua situació personal.
  • Dret de supressió (dret a l'oblit): La persona interessada té dret al fet que l'Administració procedisca a la supressió de les seues dades personals en els següents casos:
    • Quan les dades ja no són necessàries per a la finalitat per a la qual es van recollir.
    • Si es revoca el consentiment en el qual es basava el tractament.
    • Quan s’opose al tractament de les seues dades personals i no prevalguen altres motius legítims.
    • Les dades personals s'hagen tractat il·lícitament.
    • Les dades s'hagen de suprimir per a complir una obligació legal.
  • El dret de limitació és un nou dret en relació amb la protecció de dades, que presenta dues variants: la suspensió del tractament i la conservació.

La persona interessada pot sol·licitar la suspensió del tractament de les seues dades quan:​​​​​​​

  • Impugne l'exactitud de les seues dades personals, durant un termini que permeta a l'administració la seua verificació.
  • S'haja oposat al tractament de les seues dades personals i l'Administració estiga valorant si estima el seu dret.

La persona interessada pot sol·licitar la conservació de les seues dades quan:

  • El tractament siga il·lícit i s'haja oposat a la supressió de les  dades.
  • L'Administració ja no necessite les seues dades personals per als fins del tractament, però la persona les necessite per a la formulació, l'exercici o la defensa de reclamacions.

És important assenyalar que existeixen particularitats en l'aplicació d'aquests drets en l'àmbit de l'Administració sanitària respecte a la història clínica i respecte als registres de la policia autonòmica amb finalitats relacionades amb infraccions i sancions penals, que es regeixen per la Llei orgànica 7/2021, de 26 de maig. Aquesta llei és més restrictiva en l'exercici d'aquests drets per a evitar obstaculitzacions o interferències en investigacions de caràcter penal.

  1. Dret a interposar reclamacions

La persona interessada pot interposar una reclamació en cas de denegació de l'exercici dels drets, o si entén que la seua sol·licitud s'ha desestimat perquè no s'ha donat resposta dins del termini establit. Així mateix, pot interposar una reclamació en aquells casos en els quals detecte qualsevol possible infracció del que es disposa en la normativa en matèria de protecció de dades.

La reclamació es pot presentar prèviament davant la Delegació de Protecció de Dades de la Generalitat o directament davant l'Agència Espanyola de Protecció de Dades (AEPD). En qualsevol cas, davant la falta de contestació o la disconformitat amb la decisió comunicada per la Delegació, es pot presentar reclamació davant l'AEPD.

 

L'Agència Espanyola de Protecció de Dades:

L'Agència Espanyola de Protecció de Dades és una autoritat administrativa independent d'àmbit estatal amb personalitat jurídica i plena capacitat pública i privada, que actua amb plena independència dels poders públics en l'exercici de les seues funcions.

Correspon a l'Agència Espanyola de Protecció de Dades supervisar l'aplicació del RGPD i de la Llei orgànica 3/2018, oferir assessorament expert en qüestions relacionades amb la protecció de dades i tramiten reclamacions presentades per l'incompliment de la normativa reguladora de la protecció de dades, així com per la falta d'atenció  de l'exercici de drets.

Es poden consultar de manera detallada les seues funcions en els articles 57 i 58 del RGPD, així com en els articles 51 et seq. de la Llei orgànica 3/2018.