Sou aquí:: inici

Continguts del curs virtual sobre línies bàsiques de la protecció de dades personals a les administracions públiques

  • Elaboració dels materials: octubre de 2011
  • Darrera actualització: octubre de 2018

El curs va dirigit al personal al servei de l’Administració pública que es vulgui formar en la normativa de protecció de dades de caràcter personal mitjançant un estudi dels seus aspectes més rellevants, ja sigui perquè es veuen obligats a tractar dades en l’exercici de les seves funcions, ja sigui perquè es tracta de persones interessades a millorar la seva formació en aquest àmbit.

Objectius

  • Adquirir coneixements sobre la importància del dret a la protecció de dades com a dret fonamental que garanteix els drets i les llibertats de les persones.
  • Aplicar els coneixements adquirits en el tractament de dades personals que hagi de dur a terme per complir les seves funcions.
  • Garantir els drets que tenen les persones en matèria de protecció de dades.
  • Defensar els àmbits de la privacitat i la protecció de dades en l’exercici de la funció pública.

Continguts

Autoria

  • Els continguts d'aquest curs han estat elaborats per Joana Marí i Glòria Freixa.
  • Coordinació tècnica i pedagògica: Eva Gea (Servei de Formació Contínua Professionalitzadora).

L'Escola d'Administració Pública de Catalunya, amb la voluntat de contribuir a la lliure difusió del coneixement i seguint el que estableix la Recomanació de la Comissió Europea sobre gestió de la propietat intel·lectual, difon aquests materials sota una llicència Creative Commons BY NC SA, que n'autoritza l'ús:

  • citant-ne font i autoria;
  • amb finalitats no comercials;
  • per fer-ne obres derivades que compleixin les condicions anteriors i es difonguin amb el mateix tipus de llicència.

Llicència de Creative Commons

Unitat 1. Per què el dret a la protecció de dades és un dret fonamental?

  • 1.1 Quines lleis el regulen?
  • 1.2 Quin és el contingut d'aquest dret?

El dret a la protecció de dades personals ha estat reconegut a partir de l'article 18.4 de la Constitució espanyola, i és inclòs dins de la secció 1 del capítol segon, on es regulen els drets fonamentals i les llibertats públiques. A més, és un dret que es fonamenta en els valors de la llibertat, la dignitat i el lliure desenvolupament de la personalitat.

També serveix per protegir la resta de drets i llibertats de les persones que es poden veure vulnerats mitjançant el tractament de les seves dades personals. Penseu, per exemple, com el filtratge de notícies que fan algunes xarxes socials pot limitar el dret a rebre informació i la llibertat d'expressió.

1.1 Quines lleis el regulen?

Constitució espanyola

La Constitució espanyola de 1978 va ser pionera en el reconeixement d'aquest dret, en tractar la greu afectació en la intimitat de les persones que el tractament informàtic de dades comporta, quan estableix en l'article 18.4 que la "llei ha de limitar l’ús de la informàtica per garantir l’honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets".

La primera llei que, a Espanya, va regular aquest dret va ser la Llei orgànica 5/1992, de 29 d'octubre, de regulació del tractament automatitzat de les dades personals, però només protegia davant del tractament automatitzat de les dades, i no s'aplicava als tractaments manuals.

L'any 1999, amb la transposició de la Directiva 95/46/CE a l'ordenament jurídic espanyol mitjançant la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), es va ampliar la protecció als tractaments manuals de dades personals.

Estatut d'autonomia de Catalunya

També es reconeix a l'Estatut d'autonomia de Catalunya de 2006, l'article 31 del qual recull de manera expressa el dret a la protecció de les dades personals, i indica que "Totes les persones tenen dret a la protecció de les dades personals contingudes en els fitxers que són competència de la Generalitat i tenen dret a accedir-hi, examinar-les i obtenir-ne la correcció. Una autoritat independent, designada pel Parlament, ha de vetllar perquè aquests drets siguin respectats, en els termes que estableixen les lleis".

Reglament general de protecció de dades

Des del 25 de maig de 2018 és d'obligat compliment el Reglament general de protecció de dades (RGPD), norma europea d'aplicació directa a tots els estats membres de la Unió Europea i que reforma el règim de protecció de dades a tota la Unió. La llei vigent fins a aquesta data era la LOPD, que fins que no sigui modificada només és aplicable mentre no contradigui el RGPD.

En data 26 d'octubre de 2018 (data en què s'han elaborat aquests materials), el Projecte de llei orgànica de protecció de dades, que ha de complementar el RGPD, està pendent d'aprovació pel Senat.

El dret a la protecció de les dades personals és un dret diferent al dret a la intimitat, ja que protegeix totes les dades personals (públiques o privades) davant dels tractaments manuals i automatitzats.

1.2 Quin és el contingut d'aquest dret?

El dret a la protecció de dades personals té per objectiu que cada persona pugui controlar l'ús que tercers fan de les seves dades personals. En concret, permet controlar:

  • qui té informació sobre nosaltres
  • quina és aquesta informació
  • d'on prové
  • per a quina finalitat s'utilitzen les dades i
  • a qui es faciliten.

Però no es tracta de protegir la intimitat de les persones, sinó del dret a tenir sota el nostre control les dades personals que ens afecten i que tracten terceres persones, físiques o jurídiques, públiques o privades, per complir determinades finalitats.

En tot cas, cal recordar que el dret a la protecció de dades, com qualsevol dret, no és un dret absolut i que es poden establir excepcions al control sobre les dades personals, per exemple quan així ho estableixi una llei.

A més, tenint en compte que, gràcies a les tecnologies emergents (dades massives [big data], intel·ligència artificial, Internet de les coses, etc.), les dades, en especial les personals, s'han convertit en el motor de la societat, de l'economia i de la política, cada cop es fa més evident que el dret a la protecció de dades és un dret essencial per garantir la resta de drets i llibertats, des del dret a la salut fins a la llibertat d'expressió.

Les dades personals no pertanyen a qui les gestiona, sinó a les persones titulars de les dades.

Índex de continguts

Unitat 2. Què entenem per dades personals? Com les hem de tractar?

  • 2.1 Què són les dades personals?
  • 2.2 Quines dades es consideren "categories especials de dades?
  • 2.3 Qui és qui en el tractament de les dades personals?

2.1 Què són les dades personals?

Les dades personals són totes les dades que permeten identificar una persona. Algunes dades són útils exclusivament per identificar les persones; d’altres permeten conèixer aspectes de la seva personalitat, avaluar la persona o conèixer aspectes de la seva història i circumstàncies (estudis, família, vida laboral, salut, etc.).

  • Dades identificadores, com ara el nom, l’adreça, una fotografia o el DNI.
  • Dades de característiques personals, com ara el lloc de naixement, la nacionalitat o el sexe.
  • Dades de circumstàncies socials, com ara aficions, estils de vida, situació familiar, etc.
  • Dades acadèmiques i professionals, com ara l’historial acadèmic i l’experiència professional.
  • Dades economicofinanceres, com ara dades bancàries, assegurances, subsidis, targetes de crèdit, etc.
  • Dades d’ocupació laboral, com ara el cos, la categoria, el lloc de treball, l'historial laboral, etc.
  • Dades relatives a la comissió d’infraccions penals, com ara delictes.
  • Categories especials de dades: dades de salut, ideologia, afiliació sindical, religió, creences, vida sexual i origen racial.

Dades personals: qualsevol informació sobre una persona física identificada o identificable (la persona interessada). S’ha de considerar persona física identificable qualsevol persona la identitat de la qual es pot determinar, directament o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona.

De quin tipus pot ser la informació de les persones?

Pot ser de diversos tipus (numèrica, alfabètica, gràfica, fotogràfica, acústica) i es pot referir a un tret físic de la persona, a la capacitat intel·lectual, als gustos i les preferències, a l'activitat, a la situació econòmica o social, als estudis, a la professió, a la salut, etc.

Identificació directa i indirecta

La informació pot permetre identificar directament una persona (quan disposem del nom i cognoms, d’una fotografia, del DNI, etc.), o bé pot identificar-la indirectament (quan disposem d’una informació que no està vinculada directament a una persona concreta, però l’associem amb altres dades que sí que ens permeten identificar-la sense esforços desproporcionats).

Titularitat de les dades personals

Les dades de caràcter personal que tracten les entitats, empreses o altres ens per dur a terme les seves funcions, no pertanyen a aquestes, sinó a les persones amb les quals es relacionen. Aquestes són les autèntiques propietàries de la seva informació personal.

2.2 Quines dades es consideren "categories especials de dades"?

Són les dades que revelin:

  • L'origen ètnic o racial
  • Opinions polítiques
  • Conviccions religioses o filosòfiques
  • L'afiliació sindical
  • Dades de salut
  • La vida sexual o l'orientació sexual de la persona
  • Dades genètiques
  • Dades biomètriques dirigides a identificar la persona.

El RGPD ha inclòs aquestes dues últimes dades en les categories especials de dades:

Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d'una persona física, que proporcionen una informació única sobre la fisiologia o la salut d'aquesta persona, obtingudes en particular de l'anàlisi d'una mostra biològica.

Dades biomètriques: dades personals obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física, que permeten o confirmen la identificació única d'aquesta persona (imatges facials, dades dactiloscòpiques, etc.).

El RGPD estableix condicions especials per poder tractar aquestes dades?

Sí, de fet, com a regla general, el RGPD prohibeix el tractament d’aquest tipus de dades tret que es donin determinades excepcions.

El tractament d’aquest tipus d’informació requereix un rigor especial en el compliment dels principis de la protecció de dades i està sotmès a unes condicions especials, tant pel que fa a la manera com s’ha d’obtenir el consentiment, com a les mesures de seguretat aplicables.

Per això, cal establir els protocols necessaris per al tractament adequat d’aquesta informació, tant durant l'activitat habitual del responsable del tractament, com durant activitats extraordinàries.

Si voleu consultar les excepcions que permeten el tractament de categories especials de dades cliqueu en aquest enllaç.

2.3 Qui és qui en el tractament de les dades personals"?

Responsable del tractament: la persona física o jurídica, autoritat pública, servei o altre organisme que sol o amb d'altres determini els fins i els mitjans del tractament; p. ex., un ajuntament que tracta les dades per exercir les seves competències.

Encarregat del tractament: la persona física o jurídica, autoritat pública, servei o altre organisme que tracti dades personals per compte del responsable del tractament; p. ex., l'empresa d'informàtica en núvol (cloud computing) que l'ajuntament contracta per emmagatzemar les dades personals que tracta.

Com es regula la relació entre el responsable del tractament i l'encarregat del tractament?

La regulació de la relació entre el responsable i l'encarregat del tractament s’ha d'establir a través d'un contracte, conveni o acord, o d'un acte jurídic que els vinculi. El contracte o l’acte jurídic ha de constar per escrit, incloent-hi el format electrònic.

El contracte ha d’establir com a mínim l'objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals i les categories de persones interessades, així com les obligacions i els drets del responsable. El contracte també ha d'establir si, un cop finalitzada la prestació dels serveis, les dades es tornaran a la persona responsable o es destruiran.

El responsable del tractament ha de triar un encarregat del tractament que ofereixi garanties suficients respecte de la implantació i el manteniment de les mesures tècniques i organitzatives apropiades, d'acord amb el que estableix el RGPD, i que garanteixi la protecció dels drets de les persones afectades. Per tant, hi ha un deure de diligència a l’hora d’escollir l'encarregat.

Trobareu la informació necessària i models orientatius per realitzar el contracte/acord d’encarregat de tractament en aquest enllaç.

Índex de continguts

Unitat 3. Quan podem tractar les dades personals?

  • 3.1 Què és un tractament de dades personals?
  • 3.2 Principis
  • 3.3 Bases que ens permeten tractar dades personals
  • 3.4 Transparència i obligació d'informar
  • 3.5 Registre d'activitats de tractament (RAT)
  • 3.6 Deure de secret
  • 3.7 Delegat de protecció de dades
  • 3.8 Avaluació de l'impacte sobre la protecció de dades
  • 3.9 Mesures de seguretat

3.1 Què és un tractament de dades personals?

Tractament: qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com la recollida, el registre, l’organització, l’estructuració, la conservació, l’adaptació o la modificació, l’extracció, la consulta, la utilització, la comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, acarament o interconnexió, limitació, supressió o destrucció.

3.2 Principis

Els tractaments de dades sempre s’han de dur a terme respectant els principis establerts pel RGPD:

Licitud, lleialtat i transparència

Les dades s’han de tractar amb licitud, lleialtat i transparència.

El responsable ha d’informar les persones interessades sobre el tractament que farà de les seves dades. Durant el tractament, les ha d’informar de tots els canvis que es produeixin sobre el tractament -si n'hi ha- i explicar-los com les afectaran.

Limitació de la finalitat

Les dades s’han de recollir amb finalitats determinades, explícites i legítimes, i posteriorment no s’han de tractar de manera incompatible amb aquestes finalitats.

No es considera incompatible amb les finalitats inicials quan aquestes dades es tractin posteriorment amb finalitats d'arxiu en interès públic, amb finalitats de recerca científica i històrica o amb finalitats estadístiques.

Minimització de les dades

Les dades han de ser adequades, pertinents i s’han de limitar al que sigui necessari en relació amb els fins per als quals es tracten.

Cal revisar amb cura les dades que es pretenen recollir perquè només es recullin les que, d’acord amb aquest principi, siguin necessàries per assolir la finalitat perseguida.

Exactitud

Les dades han de ser exactes i, si fos necessari, han d’estar actualitzades. S'han d’adoptar totes les mesures raonables perquè se suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes respecte als fins per als quals es tracten.

Limitació del termini de conservació

Les dades s’han de conservar de manera que es permeti la identificació de les persones interessades durant el temps estrictament necessari per als fins del tractament de dades personals.

Integritat i confidencialitat

Les dades s’han de tractar de manera que se’n garanteixi una seguretat adequada, incloent-hi la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de les mesures tècniques o organitzatives adequades.

Principi de responsabilitat proactiva o "accountability"

Aquest és un principi nou, que exigeix al responsable del tractament garantir i poder demostrar que el tractament es fa d’acord amb la normativa de protecció de dades i que ha adoptat les mesures més adequades per garantir els drets i les llibertats de les persones de qui tracta les dades.

El responsable, abans de començar el tractament, ha d'efectuar els passos següents:

  • Analitzar quines dades tracta i amb quines finalitats.
  • Analitzar quin tipus d'operacions de tractament du a terme.
  • Valorar el risc que pot generar aquest tractament i, d’acord amb aquesta valoració, adoptar les mesures pertinents.

Enfocament en el risc

Cada responsable del tractament i encarregat del tractament, atenent a les circumstàncies del tractament, ha d'adoptar les mesures que correspongui en funció dels riscos existents.

Protecció de dades des del disseny i per defecte

Aquesta obligació exigeix que els responsables del tractament, des del primer moment en què es comencen a plantejar una actuació que comporti el tractament de dades, pensin com s'ha de dissenyar tot el procés per implantar les mesures tècniques i organitzatives adequades perquè es compleixin de manera efectiva els principis de protecció de dades (p. ex., la pseudonimització, que permetria millorar la seguretat de les dades en cas d'accessos no autoritzats), i integrar les garanties necessàries en el tractament per complir els requeriments del RGPD.

A més, han d’aplicar les mesures tècniques i organitzatives adequades per garantir que, per defecte, només es tracten les dades personals necessàries per a cada finalitat específica del tractamentM p. ex., el disseny d'una app ha de partir de les màximes garanties per a la privacitat de les persones i que sigui aquesta qui vagi "obrint" aquestes mesures.

3.3 Bases que ens permeten tractar dades personals

Com a regla general, el tractament de dades personals es pot fonamentar en algun dels punts següents:

  • Consentiment
  • Contracte
  • Obligació legal aplicable al responsable del tractament
  • Protegir interessos vitals de la persona interessada o d'una altra persona física
  • Complir una missió realitzada en interès públic o en l'exercici de poders públics
  • Per satisfer interessos legítims perseguits pel responsable del tractament o per un tercer.

En aquest darrer supòsit, l’interès legítim, no s’aplica al tractament efectuat per les autoritats públiques en l'exercici de les seves funcions.

En el cas de tractar categories especials de dades, es regulen bases jurídiques específiques com, per exemple, el consentiment explícit.

Podeu trobar altres excepcions al consentiment explícit en aquest enllaç.

3.4 Transparència i obligació d'informar

Els responsables del tractament han de ser transparents al llarg de tot el procés de tractament de les dades, per exemple, disposar d’un avís de privacitat als webs de les entitats clarament visible.

Una de les maneres de ser transparents és complint el dret d'informació en el moment de la recollida de les dades, que obliga el responsable del tractament a facilitar tota la informació necessària per conèixer les circumstàncies del tractament i poder identificar les conseqüències que se'n poden derivar. El dret d'informació ha estat reforçat pel RGPD i exigeix informar, per exemple, de la base jurídica que legitima el tractament i dels terminis de conservació de les dades, i facilitar les dades de contacte del delegat de protecció de dades (DPO), entre altres qüestions.

Sobre el contingut de la clàusula informativa que s'ha de facilitar en el moment de recollir les dades, consulteu aquest enllaç.

3.5 Registre d'activitats de tractament (RAT)

Els responsables o els encarregats del tractament han d’elaborar un registre de les activitats del tractament que duguin a terme.

El RGPD disposa determinades excepcions a l’elaboració d’aquest registre.

Aquest és un instrument fonamental no només per la possible supervisió de l’Autoritat Catalana de Protecció de Dades (APDCAT), sinó també perquè té una imatge actualitzada dels tractaments existents a l’EAP, essencial per a la gestió de riscos. El registre ha de ser per escrit, incloent-hi el format electrònic, i s'ha de presentar a petició de l’APDCAT.

Com s’ha d’organitzar el registre d'activitats de tractament?

El registre es pot organitzar al voltant d'operacions de tractament concretes, vinculades a una finalitat bàsica comuna de totes les operacions (p. ex., gestió de recursos humans o gestió econòmica), o bé d’acord amb altres criteris.

En l'enllaç següent podreu obtenir més informació sobre el RAT.

3.6 Deure de secret

El responsable i l'encarregat del tractament i totes les persones que poden intervenir en qualsevol de les fases del tractament de dades de caràcter personal, estan obligats a guardar secret respecte d’aquestes dades.

Per garantir el compliment d’aquest deure, cal incorporar-lo i definir-lo en els contractes laborals, els protocols interns, les activitats formatives i les regulacions específiques que recullen els drets i les obligacions de les parts.

Aquesta obligació subsisteix fins i tot un cop finalitzi la relació amb el responsable.

3.7 Delegat de protecció de dades

El delegat de protecció de dades és la persona que s'encarrega de supervisar i assessorar el responsable i l'encarregat del tractament en tot allò que afecta el compliment de la normativa de protecció de dades, i és el punt de contacte amb les autoritats de protecció de dades. Per complir les seves funcions:

  • Ha de tenir total autonomia en la presa de decisions.
  • Ha de disposar de tots els recursos necessaris per desenvolupar la seva activitat.

S’ha de designar atenent a les seves qualitats professionals i, especialment, als coneixements especialitzats del dret, a la pràctica en matèria de protecció de dades i a la capacitat per exercir les funcions encomanades per la normativa.

El nomenament d'un delegat de protecció de dades és obligatori en el cas de les administracions públiques.

3.8 Avaluació de l'impacte sobre la protecció de dades

Quan sigui probable que un tractament comporti un risc alt per als drets i les llibertats de les persones físiques, per la seva naturalesa, abast, context o finalitats, especialment si s'utilitzen les noves tecnologies, el responsable, abans d'iniciar el tractament, ha de fer una avaluació de l'impacte de les operacions de tractament en la protecció de dades personals.

També cal fer-les, per exemple, si es fan perfils de les persones per prendre decisions amb efectes jurídics o que poden afectar significativament les persones, o si tracten categories especials de dades a gran escala.

3.9 Mesures de seguretat

El responsable i l’encarregat del tractament han d’aplicar mesures tècniques i organitzatives adequades al risc que comporta el tractament. Això implica fer una avaluació dels riscos que comporta cada tractament per determinar les mesures de seguretat que cal implementar.

Basant-se en la metodologia d'anàlisi de riscos escollida, un cop identificats, el responsable i l'encarregat han de determinar les mesures més adequades per eliminar-los o reduir-los. En el cas de les administracions públiques, s'ha d'aplicar l'Esquema nacional de seguretat.

Per al cas que s’hagi produït una violació de la seguretat de les dades, el responsable de tractament l’ha de notificar a l'autoritat de control sense dilació indeguda i, si és possible, en un termini màxim de 72 hores, tret que sigui improbable que constitueixi un risc per als drets i les llibertats de les persones.

A més, quan sigui probable que la violació comporti un alt risc per als drets de les persones, el responsable l'ha de comunicar a les persones afectades sense dilacions indegudes i en un llenguatge clar i senzill. Aquesta obligació està exceptuada en molt pocs casos.

Violacions de seguretat de les dades personals: tota violació de la seguretat que ocasiona la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d'una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.

Exemples de violacions de seguretat de les dades: situacions com la pèrdua o el robatori d’un ordinador portàtil, l’accés no autoritzat a la base de dades (fins i tot per part del propi personal), l’enviament d’informació personal a un destinatari erroni, l’alteració de dades sense autorització o la pèrdua de disponibilitat de les dades (p. ex., per haver patit un atac als sistemes amb un programari de segrest [ransomware], que xifra les dades).

El RGPD ha introduït variacions en les obligacions a complir. En l'enllaç següent trobareu resposta a algunes de les preguntes més freqüents.

A més, per conèixer més a fons les noves obligacions, podeu clicar a l'enllaç següent.

Índex de continguts

Unitat 4. Drets de la persona interessada

  • 4.1 Quins drets té el titular de les dades?
  • 4.2 Qui els pot exercir?
  • 4.3 Com s'exerceix?
  • 4.4 Termini per respondre
  • 4.5 Excepcions a aquest exercici

El dret a la protecció de dades personals s'exerceix mitjançant els drets d'accés, rectificació, supressió, oposició, limitació del tractament, portabilitat i dret a no veure's sotmès a decisions automatitzades, regulats en el capítol III del RGPD.

4.1 Quins drets té el titular de les dades?

Dret d’accés

Dret a saber si el responsable del tractament tracta les teves dades personals i, si és així, dret a accedir-hi i a obtenir la informació següent:

  • Les finalitats del tractament.
  • Les categories de dades personals.
  • Els destinataris o les categories de destinataris.
  • El termini de conservació de les dades personals o els criteris utilitzats per determinar-lo.
  • El dret a sol·licitar al responsable del tractament la rectificació o la supressió de les dades, la limitació del tractament o el dret a oposar-s’hi.
  • El dret a presentar una reclamació davant l’autoritat de control competent.
  • En cas de transferències internacionals de dades, les garanties adequades que s’ofereixen.

La persona interessada té dret a obtenir una còpia gratuïta de les dades objecte del tractament. Per a còpies posteriors, es pot establir un cànon segons els costos administratius. Si se sol·licita per mitjans electrònics, la persona interessada té dret a rebre la informació en aquest mateix format.

Dret de rectificació

Dret a rectificar les dades personals inexactes i que es completin les dades personals incompletes.

Cal que la persona interessada indiqui de manera clara i detallada el que es demana, a quines dades es refereix i quina correcció s'ha de fer. La sol·licitud ha d’anar acompanyada de la documentació que en justifica la rectificació.

Dret de supressió o dret a l’oblit

Dret a obtenir la supressió de les dades (dret a l'oblit), quan:

  • Les dades ja no són necessàries per a la finalitat per a la qual es van recollir.
  • Es revoca el consentiment en el qual es basava el tractament.
  • La persona interessada s'oposa al tractament.
  • Les dades s'han tractat il·lícitament.
  • Les dades s'han de suprimir per complir una obligació legal.
  • Les dades s'han obtingut en relació amb l'oferta de serveis de la societat de la informació adreçada a menors.

Quan el responsable ha fet públiques les dades personals i s'han de suprimir, ha de comunicar la supressió a cadascun dels destinataris, tret que sigui impossible o exigeixi esforços desproporcionats.

Es disposen algunes excepcions a l'exercici d'aquest dret com ara, per exemple, l'exercici del dret a la llibertat d'expressió i d'informació.

Dret a la limitació del tractament

La limitació de tractament significa que, a petició del titular de les dades, no s'utilitzaran les seves dades personals en les operacions de tractament que en cada cas correspondrien. Aquest dret es pot demanar, per exemple, quan s'han exercit els drets de rectificació o oposició i mentre el responsable determina, si escau, atendre la sol·licitud; o quan el tractament és il·lícit, cosa que determinaria l'esborrament de les dades, però la persona interessada s'hi oposa.

Dret a la portabilitat de les dades

Aquest dret atorga a la persona la possibilitat de rebre les dades personals que l’afecten en un format estructurat, d'ús comú i de lectura mecànica, quan el tractament està basat en el consentiment o en un contracte, i si el tractament es fa per mitjans automatitzats.

El dret a la portabilitat de dades inclou el dret que aquestes es transmetin directament de responsable a responsable, si és tècnicament possible.

No es pot exercir aquest dret quan el tractament es fonamenta en el compliment d’una missió d’interès públic o inherent a l’exercici del poder públic, com pot ser el cas de la majoria de tractaments que porten a terme les administracions públiques.

Dret d’oposició

Dret a oposar-se al tractament de les dades personals:

  • Quan el tractament es basa en l’interès públic o l'exercici de poders públics o en l’interès legítim. En aquest cas, l’oposició s’ha de fonamentar en motius relacionats amb la seva situació personal. El responsable del tractament ha de deixar de tractar-les, tret que el responsable acrediti un interès legítim imperiós que prevalgui sobre el de la persona interessada o sigui necessari per exercir o defensar reclamacions.
  • Quan el tractament té fins estadístics o de recerca científica o històrica i s’invoca un motiu relacionat amb la situació personal, llevat que sigui necessari per al compliment d’una missió en interès públic.
  • Quan el tractament té per objecte el màrqueting directe. En aquest cas es pot fer en qualsevol moment, sense necessitat de fonamentar la petició.

Dret a no ser objecte de decisions individuals automatitzades

Dret a no ser objecte d’una decisió basada només en el tractament automatitzat de les dades (p. ex., l’elaboració de perfils), si produeix efectes jurídics sobre la persona o l’afecta significativament.

4.2 Qui els pot exercir?

  • La persona afectada, si és major de 14 anys.
  • Un representant en nom seu (en el cas de menors de 14 anys, persones incapacitades o quan la persona afectada designi voluntàriament algú que la representi).

4.3 Com s'exerceix?

El dret a la protecció de dades s'exerceix davant del responsable del tractament mitjançant un escrit adreçat a l'entitat responsable del tractament amb el contingut següent:

  • Nom i cognoms de la persona que exerceix el dret i els del representant, si s'escau.
  • Fotocòpia del document que acrediti la identitat de la persona afectada (DNI, passaport o document equivalent), o instruments electrònics anàlegs (p. ex., certificat digital).
  • Document o instrument electrònic acreditatiu de la representació, si s'escau.
  • Petició concreta: cal indicar de manera clara i detallada el que es demana.
  • Adreça, data i signatura de la persona que exerceix el dret o del seu representant.
  • Cal adjuntar documents que acreditin el que es demana, si s'escau (p. ex., si es demana rectificar el cognom, cal aportar el DNI).
  • Es pot exercir a través dels serveis d'atenció al públic, d'informació o de reclamacions que tinguin les entitats, si aquestes així ho han disposat.
  • El procediment ha de ser senzill i gratuït (no es pot obligar a enviar cartes certificades o a trucar a un número de telèfon amb tarifació addicional). Es té dret a obtenir una còpia gratuïta de les dades objecte del tractament, però, per a còpies posteriors, es pot establir un cànon segons els costos administratius.
  • Si la informació se sol·licita per mitjans electrònics, la persona té dret a rebre la informació en aquest mateix format.

En alguns casos, si el responsable del tractament així ho determina, aquest dret es pot exercir davant l'encarregat del tractament.

Trobareu models d'exercici de cadascun dels drets d'autodeterminació informativa en l'enllaç següent.

4.4 Termini per respondre

El responsable del tractament ha de respondre en el termini d'un mes a partir de la recepció de la sol·licitud.

Aquest termini es pot prorrogar dos mesos més, si és necessari, tenint en compte la complexitat i el nombre de sol·licituds. El responsable ha d’informar el sol·licitant de qualsevol d’aquestes pròrrogues dins del termini del mes en què s'ha de resoldre, i indicar els motius del retard.

Si la persona interessada presenta la sol·licitud per mitjans electrònics, sempre que sigui possible la informació s’ha de facilitar per aquests mateixos mitjans, tret que sol·liciti que es faci d'una altra manera.

4.5 Excepcions a aquest exercici

Es poden limitar els drets de la persona interessada en els supòsits següents:

  • La seguretat de l'Estat.
  • La defensa.
  • La seguretat pública.
  • La prevenció, la investigació, la detecció o l’enjudiciament d'infraccions penals o l'execució de sancions penals, incloent-hi la protecció davant d'amenaces a la seguretat pública i la seva prevenció.
  • La protecció de la independència judicial i dels procediments judicials.
  • La prevenció, la investigació, la detecció i l'enjudiciament d'infraccions de normes deontològiques en les professions regulades.
  • Una funció de supervisió, d’inspecció o de reglamentació que estigui vinculada, fins i tot ocasionalment, a l'exercici de l'autoritat.
  • La protecció de la persona interessada o dels drets i les llibertats dels altres.
  • L'execució de demandes civils.
  • Altres objectius importants d'interès públic general de la Unió o d'un Estat membre, en particular un interès econòmic o financer important, fins i tot en els àmbits fiscal, pressupostari i monetari, en la sanitat pública i en la seguretat social.

Els límits han de ser regulats per una norma amb rang de llei.

Índex de continguts

Annex: organismes de suport i webgrafia d'interès

  • 1. Organismes de suport
  • 2. Webgrafia d'interès

1. Organismes de suport

L'Autoritat Catalana de Protecció de Dades (APDCAT) és l'organisme independent que té per objecte garantir, en l'àmbit de les competències de la Generalitat, els drets a la protecció de dades personals i d'accés a la informació que hi està vinculada (article 1 de la Llei 32/2010, d'1 d'octubre, de l'Autoritat Catalana de Protecció de Dades). Així, l'APDCAT vetlla perquè les entitats del sector públic que tracten les dades personals dels ciutadans de Catalunya respectin el dret a la protecció de dades de caràcter personal. Des d'aquesta institució també s'informa les persones sobre els seus drets, com s'exerceixen i què poden fer en cas que no siguin respectats.

Els ens que estan dins l'àmbit d'actuació de l'APDCAT (article 3 de la Llei 32/2010 i article 156 de l'Estatut d'autonomia de Catalunya) són:

  • Les institucions públiques de Catalunya.
  • L'Administració de la Generalitat i els ens locals de Catalunya, així com les entitats vinculades o dependents, ja siguin entitats de dret públic o privat.
  • Les altres entitats de dret privat que presten serveis públics, així com les persones que compleixen funcions públiques en matèries competència de la Generalitat o ens locals.
  • Les universitats públiques i privades que integren el sistema universitari català.
  • Les corporacions de dret públic de Catalunya.

Amb relació a aquestes entitats, l'APDCAT exerceix els poders que li atribueix l’article 58 del RGPD:

  • Poders d’investigació, com el de sol·licitar informació al responsable del tractament i a l'encarregat del tractament, i fer auditories.
  • Poders correctius indicats, entre els quals hi ha el d’imposar multes.
  • Poders d'autorització i consultius següents, que van des de resoldre les consultes prèvies, fins a autoritzar transferències internacionals.

Entre les funcions que desenvolupa l'APDCAT, i que li atribueix l'article 58 del RGPD, podem destacar, entre d'altres:

  • Controlar i garantir l’aplicació del RGPD
  • Resoldre reclamacions
  • Fer investigacions
  • Promoure codis tipus
  • Fomentar la creació de mecanismes de certificació de la protecció de dades i de segells i marques de protecció de dades
  • Promoure la sensibilització i facilitar informació a les persones
  • Assessorar els responsables i els encarregats del tractament
  • Cooperar amb altres autoritats de control i prestar assistència mútua amb la finalitat de garantir la coherència
  • Adoptar les clàusules contractuals tipus.

2. Webgrafia d'interès

Autoritat Catalana de Protecció de Dades

Agencia Española de Protección de Datos