COM GESTIONAR LES DADES PERSONALS A L’ENTITAT

Per tal d’entendre el concepte de protecció de dades i el seu abast, començarem fent una sèrie de definicions

Dades de caràcter personal: El concepte de dades personal engloba tota la informació sobre una persona física identificada o identificable. És a dir, qualsevol dada que puguem relacionar amb una persona determinada, per qualsevol mitjà, ja sigui directament o indirectament.

Tractament de dades: qualsevol operació o conjunt d’operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, acarament o interconnexió, limitació, supressió o destrucció.

Elaboració de perfils: Es denomina així qualsevol forma de tractament automatitzat de dades personals que consisteixi a utilitzar dades personals per a avaluar determinats aspectes personals d’una persona física, en particular per a analitzar o predir aspectes relatius al rendiment professional, situació econòmica, salut, preferències personals, interessos, fiabilitat, comportament, ubicació o moviments.

Pseudonimizació: el tractament de dades personals de manera tal que ja no puguin atribuir-se a una persona concreta sense utilitzar informació addicional, sempre que aquesta informació addicional figuri per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s’atribueixin a una persona física identificada o identificable.

Fitxer: conjunt estructurat de dades personals, accessibles conformement a criteris determinats, ja sigui centralitzat, descentralitzat o repartit de forma funcional o geogràfica.

Responsable del tractament: persona física o jurídica, autoritat pública, servei o un altre organisme que, sola o juntament amb altres, determini les finalitats i mitjans del tractament

Encarregada del tractament: persona física o jurídica, autoritat pública, servei o altre organisme que tracti dades personals per compte del responsable del tractament.

Principis relatius al tractament

El Reglament europeu estableix els principis sota els que cal tractar les dades personals. Aquests són:

  • El tractament que es faci de les dades ha de ser lícit, lleial i transparent en relació amb la persona interessada.
  • Les dades s’han de recollir amb finalitats determinades, explícites i legítimes, i no poden ser tractades ulteriorment de manera incompatible amb aquestes finalitats. Han de ser adequades, pertinents i limitades al a les finalitats per a les quals s’han de tractar («minimització de dades»).
  • Les dades que es conservin han de ser exactes i han d’estar actualitzades.
  • Cal adoptar totes les mesures raonables perquè se suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes respecte a les finalitats per als quals es tracten («exactitud»);
  • S’han de mantenir de manera que pugui identificar les persones interessades el temps estrictament necessari per a les finalitats del tractament («limitació del termini de conservació»).
  • Les dades han de ser tractades de tal manera que se’n garanteixi una seguretat adequada, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o mal accidental, mitjançant l’aplicació de mesures tècniques o organitzatives apropiades («integritat i confidencialitat»). La persona responsable del tractament serà responsable del compliment de les obligacions de seguretat i ha de ser capaç de demostrar-ho («responsabilitat proactiva»).

Obtenció de les dades

Per a poder tractar les dades d’una altra persona, cal que hi hagi una raó que ens doni dret a fer-ho. D’aquesta raó se’n diu causa de legitimació. En la normativa vigent, les causes de legitimació son les següents:

  • Consentiment.
  • Relació contractual.
  • Interessos vitals de l’interessat o d’altres persones.
  • Obligació legal per part de la persona responsable.
  • Interès públic o exercici de poders públics.
  • Interessos legítims prevalents del responsable o de tercers als que es comuniquen les dades

Abans de l’entrada en vigor del Reglament, es permetia donar el consentiment al tractament de forma tàcita, és a dir, si la persona interessada no s’hi negava, s’entenia que donava el consentiment. En la norma actual la persona interessada ha de donar el seu consentiment explícit per tal que aquest sigui vàlid.

Per tant, quan no tinguem aquest consentiment ens caldrà acreditar que tenim un interès legítim per a conservar-les i tractar-les. Un exemple. La responsabilitat derivada de contracte es mantén durant 15 anys. Per tant, si hem formalitzat un contracte amb una persona física, estarem legitimades per conservar la informació relativa a aquest durant aquests quinze anys, perquè en cas contrari, si la part desitgés demanar-nos responsabilitats, no podríem acreditar que hem complert la nostra obligació contractual.

Cal tenir en compte també la legitimació “qualificada” és a dir, la que es necessita per tractar dades especialment protegides, com per exemple: dades personals que revelin l’origen ètnic o racial, opinions polítiques, conviccions religioses, afiliació sindical, dades genètiques, biomètrics, etc…

En general, es prohibeix aquest tractament tret que existeixi un consentiment explícit per part de l’interessat o bé, concorrin una sèrie de circumstàncies:

  • Compliment d’obligacions i exercicis de drets en l’àmbit del Dret Laboral i de la seguretat i protecció social.
  • Protecció d’Interessos vitals de l’interessat
  • Tractament efectuat en l’àmbit de fundacions o associacions la finalitat de les quals sigui política, filosòfica, religiosa o sindical.
  • Tractament de dades manifestament públiques.
  • Tractaments necessaris per a la formulació, exercici o defensa de reclamacions, o tractaments efectuats per tribunals en l’exercici de la seva funció judicial.
  • Per raó d’interès públic en l’àmbit de la salut pública.
  • És necessari amb finalitats d’arxiu i interès públic, finalitats de recerca científica o històrica o finalitats estadístiques.

Finalment, pel que concerneix el tractament de dades personals procedents de nens o menors, es considerarà vàlid aquest tractament si existeix un consentiment per part del menor, quan aquest tingui mínim 16 anys i, els serveis rebuts hagin estat catalogats com a “serveis procedents de la societat de la informació”. En aquest punt, el Reglament deixa marge, permet que cada estat reguli l’edat mínima per donar el consentiment. La LOPD estableix aquesta edat en 14 anys.

Informació

Cal informar de la recollida de dades, de la legitimació per a recollir-les, de les finalitats per a les que es recull i dels drets de les persones de les quals es recull dades. És molt important facilitar la informació de forma clara, sense remissions a lleis i en termes comprensibles per a les persones interessades.

Els drets ARCO

ARCO és una acrònim dels drets de les persones interessades respecte de les seves dades, que recollia la legislació anterior. Vegem el seu significat:

Accés:

La persona interessada té dret a adreçar-se a la persona responsable del tractament per a conèixer si està tractant o no les seves dades de caràcter personal i, en cas que s’estigui realitzant aquest tractament obtenir informació sobre:

  • Obtenir còpia de les teves dades personals que són objecte de tractament.
  • Les finalitats del tractament.
  • Les categories de dades personals de què es tracti.
  • Els destinataris o les categories de destinataris als quals es van comunicar o seran comunicats les dades personals, en particular destinataris en països no comunitaris o organitzacions internacionals.
  • El termini previst de conservació de les dades personals o, si no és possible conèixer-lo, els criteris utilitzats per a determinar aquest termini
  • L’existència del dret a sol·licitar del responsable la rectificació, la supressió o la limitació del tractament de dades personals relatives a l’interessat, o a oposar-se a aquest tractament.
  • El dret a presentar una reclamació davant una autoritat de control.
  • L’existència de decisions automatitzades, inclosa l’elaboració de perfils, i, almenys en aquests casos, informació significativa sobre la lògica aplicada, així com la importància i les conseqüències previstes d’aquest tractament per a la persona interessada.

Rectificació:

La persona interessada ha d’obtenir sense dilació indeguda del responsable del tractament la rectificació de les seves dades personals inexactes. Tenint en compte les finalitats del tractament, demanar que es completin les dades personals que siguin incompletes, fins i tot mitjançant una declaració addicional. Cal que la persona interessada indiqui a quines dades es refereix i quina correcció s’interessa, justificadament.

Oposició

La persona interessada es pot oposar al fet que el responsable realitzi un tractament de les dades personals en els següents supòsits:

  • Quan la causa de legitimació del tractament sigui l’interès públic o l’interès legítim, fins i tot davant l’elaboració de perfils: L’oposició comporta que el responsable deixi de tractar les dades tret que acrediti motius imperiosos que prevalguin sobre els interessos, drets i llibertats de la persona interessada, o per a la formulació, l’exercici o la defensa de reclamacions
  • Quan el tractament tingui com a finalitat el màrqueting directe, inclosa també l’elaboració de perfils anteriorment citada. En el moment en que la persona interessada exerciti aquest dret per a aquesta finalitat, les dades personals deixaran de ser tractades per a aquestes finalitats.

Dret de supressió

La persona interessada pot reclamar que se suprimeixin les seves dades al responsable del tractament (dret a l’oblit) en aquests casos.

  • Quan ja no siguin necessàries per les finalitats per als quals van ser recollides.
  • Quan la persona interessada retira el consentiment prestat, si no hi ha altra causa que legitimi el tractament.
  • Si la persona interessada s’ha oposat al tractament de les seves dades personals en exercitar el dret d’oposició i no hi ha causa per denegar-lo.
  • Si les dades personals han estat tractades il·lícitament.
  • Si les dades personals han de suprimir-se per al compliment d’una obligació legal establerta en el Dret de la Unió o dels Estats membres que s’apliqui al responsable del tractament.
  • Si les dades personals s’han obtingut en relació amb l’oferta de serveis de la societat de la informació aplicables al tractament de dades dels menors.

A banda d’això, el reglament introdueix el dret a la limitació del tractament de les dades, que es materialitza en dos casos

la suspensió del tractament mentre es gestiona alguna petició relacionada a mb l’exactitud de les dades o sobre legitimitat en el tractament.

La conservació, quan la persona s’oposa a l’ús de les dades perquè el tractament és il·lícit però demana que es conservin o quan a la persona interessada li calguin per a l’exercici de reclamacions.

Portabilitat. D’acord amb el que explica l’AEPD, la finalitat d’aquest nou dret és reforçar encara més el control de les persones interessades sobre les seves dades personals, de manera que quan el tractament s’efectuï per mitjans automatitzats, aquesta persona pugui rebre les seves dades personals en un format estructurat, d’ús comú, de lectura mecànica i interoperable, i pugui transmetre’ls a un altre responsable del tractament, sempre que el tractament es legitimi sobre la base del consentiment o en el marc de l’execució d’un contracte.

Les persones responsables

El Reglament de dades personals estableix obligacions tant per a la persona responsable de les dades, com per a la persona encarregada del seu tractament. Aquestes obligacions tenen un abast ampli, i són tant de registre, com de seguretat, com d’informació.

Les persones responsables i les encarregades del tractament de les dades han d’efectuar una anàlisi de seguretat que permeti establir les mesures tècniques i organitzatives apropiades per a garantir un nivell de seguretat adequat en funció dels riscos detectats en l’anàlisi prèvia.

En cas de hi hagi un trencament de la seguretat, cal notificar l’autoritat de protecció de dades a menys que la pèrdua no pugui suposar un risc per als drets i llibertats de les persones propietàries de les dades. En alguns casos, han de notificar les persones interessades per tal que prenguin les mesures d’autodefensa corresponents

En conclusió. El Reglament de Protecció de dades imposa obligacions a totes les persones jurídiques (o les físiques si ho fan en el marc de la seva activitat professional), que recullin dades de tercers. Aquestes obligacions comprenen la legitimació per a la presa de dades, la informació en termes comprensibles a les persones interessades, la conservació de les dades en entorns segurs i l’ús responsable d’aquestes dades. Fa un pas mes enllà en aquesta matèria i inclou sancions pecuniàries a les persones que infringeixin de forma greu els seus preceptes.

A efectes informatius, L’Agència Espanyola de Protecció de Dades publica tota una sèrie de guies i documents per tal d’ajudar les persones a tractar les dades amb seguretat.


Publicat per La Qperativa

A la Qperativa parlem d'economia solidària. A crear empresa des d'una perspectiva mes justa i equilibrada.

Deixa un comentari

Fill in your details below or click an icon to log in:

WordPress.com Logo

Esteu comentant fent servir el compte WordPress.com. Log Out /  Canvia )

Google photo

Esteu comentant fent servir el compte Google. Log Out /  Canvia )

Twitter picture

Esteu comentant fent servir el compte Twitter. Log Out /  Canvia )

Facebook photo

Esteu comentant fent servir el compte Facebook. Log Out /  Canvia )

S'està connectant a %s

Create your website at WordPress.com
Get started
%d bloggers like this: