Protecció de dades (bàsic)

En paraules del Tribunal Constitucional:

Si no tenim informació sobre els tractaments de les nostres dades ens trobaríem totalment desarmats, incapaços de reaccionar davant d’un tractament que no ens resulti convenient.

Aquesta facultat s’exerceix a través d’una sèrie de poders, de potestats o de drets que constitueixen el nostre objecte d’estudi.

Aquests drets es recullen a partir del 2018 al Reglament Europeu de Protecció de Dades, conegut també com a Reglament General de Protecció de Dades (RGPD) que:

• Substitueix les normatives nacionals dels països comunitaris, sent considerada normativa del país i d’aplicació directa.
• En el cas de l’Estat espanyol també s’actualitza el 2018 la Llei Orgànica de Protecció de Dades (LOPD) que complementarà el RGPD.

Les facultats d’accedir, rectificar i cancel·lar són molt importants, per exemple, en l’àmbit de l’administració electrònica.

Aquests drets formaven part de la Llei Orgànica de Protecció de Dades (LOPD 15/99) i van prendre el nom de “drets ARCO”. La Regulació Europea actualitza aquests drets.

Veiem com es traslladen al Reglament Europeu els drets ARCO de l’antiga Llei Orgànica de Protecció de Dades:

Veiem, de manera introductòria, un cas il·lustratiu sobre l’exercici de drets en el nou marc normatiu, el Reglament Europeu de Protecció de Dades (RGPD):

Per a això necessitem:

• El primer i més elemental dels drets: l’anomenada informació en la recollida o transparència. Si no sabem qui podria tractar les nostres dades o de fet les està tractant, difícilment podrem exercir cap mena de control.

• En segon lloc, hauríem de tenir la potestat d’autoritzar o no autoritzar que siguin tractades. En particular quan són especialment sensibles com les dades de salut. El dret fonamental a la protecció de dades ens atorga la facultat de consentir en el tractament. Tot i que veurem que aquesta facultat està sotmesa a excepcions. Però fins i tot en aquest cas, tenim el dret d’oposició, és a dir la possibilitat de justificar les raons per les quals un tractament obligatori no s’hauria de produir.

• D’altra banda, per poder saber quines dades nostres gestiona una entitat i si la informació és correcta, existeix l’anomenat exercici del dret d’accés.

• Finalment, què passa quan hi ha errors o quan no es tracten adequadament les dades o s’han recollit o utilitzat indegudament? Hem de tenir la possibilitat d’assenyalar al Responsable, o sigui qui tracta les dades, que les ha de rectificar o cancel·lar.

El Reglament Europeu, a més d’aquests drets (coneguts com drets ARCO), ens concedeix, addicionalment, nous drets:

• El dret a la limitació del tractament, o la possibilitat de demanar que les dades siguin bloquejades i ningú les pugui modificar mentre decidim, per exemple, si interposem alguna mena d’acció legal.

• El dret a l’oblit, és a dir el dret a que les dades siguin cancel·lades, o que sota certes circumstàncies es limiti l’accés a Internet als resultats dels cercadors.

• El dret a la portabilitat, que ens permet que en abandonar un proveïdor ens puguem emportar les dades en un format compatible susceptible de ser importat per altres sistemes.

L’organització que tractarà les dades –ja sigui amb el nostre consentiment o de manera obligatòria– ha de facilitar una mínima informació que es troba regulada en el RGPD de manera diferenciada d’altres informacions (política de cookies, avís legal, bases d’un concurs…).

Generalment, la informació mínima que s’ha de facilitar, se sol estructurar per “capes”. A la primera capa se’ns ofereix una informació bàsica que s’ha d’acompanyar d’informació addicional per conèixer amb detall els aspectes que poden ser rellevants. En concret, la informació que ens han d’oferir ha de ser la següent:

El “Responsable” del tractament. Implica informar de:

• La identitat i les dades de contacte del Responsable del tractament de dades (organització, empresa, administració).
• Una direcció física i/o electrònica.
• Dades de contacte del Delegat de protecció de dades.
• El nom del representant en cas d’entitats establertes fora d’Espanya.

La “Finalitat” i base jurídica del tractament. És a dir, informar sobre les finalitats per a les quals es tractaran les dades i les lleis que ho sustenten. Qui tracti les dades només les pot utilitzar per a la finalitat sobre la que hem estat informats.

Les categories de dades personals. S’ha d’especificar quines categories i tipus de dades es tractaran. Per exemple, el domicili particular, en certes situacions, és una dada d’identificació més sensible i íntima que un correu electrònic.

Els destinataris de les dades (de cessions o transferències). L’objectiu d’aquesta informació és que siguem capaços d’avaluar a qui es cediran les nostres dades i, en cas necessari, ens hi puguem adreçar per exercir la nostra capacitat de control. Per això, s’ha d’informar de la intenció del Responsable de transferir dades personals a un destinatari en un tercer país o organització internacional i en quines condicions.

Les nostres dades es recullen al nostre país però poden acabar sent utilitzades a qualsevol altre tercer país no integrat a la Unió Europea o a l’Espai Econòmic Europeu. Quan es dona aquesta circumstància es produeix una transferència internacional.

Terminis de conservació de dades. El termini durant el qual es conservaran les dades personals o, quan això no sigui possible, els criteris utilitzats per determinar aquest termini.

Interessos legítims. Informar dels interessos legítims del Responsable del tractament o d’un tercer quan el tractament es basi en aquesta habilitació.

Els drets que es poden exercir. S’ha d’informar que una persona té el dret de sol·licitar al Responsable del tractament:

• L’accés a les dades personals relatives a l’interessat, la seva rectificació o supressió, o la limitació del seu tractament.
• El dret a oposar-se al tractament.
• El dret a la portabilitat de les dades.
• El dret a retirar un consentiment que s’ha donat de manera explícita.
• El dret a presentar una reclamació davant d’una autoritat de control.

Les dades personals que són requisit legal contractual o necessari. S’ha de comunicar si les dades personals sol·licitades són un requisit legal o contractual, o un requisit necessari per subscriure un contracte. De la mateixa manera, si l’interessat està obligat a facilitar les dades personals i està informat de les possibles conseqüències de no facilitar-les.

L’existència de decisions automatitzades. S’ha d’informar de l’existència de decisions automatitzades, inclosa l’elaboració de perfils. En aquests casos s’ha de facilitar informació significativa sobre la lògica aplicada, i també sobre la importància i les conseqüències previstes d’aquest tractament per a l’interessat.

I si es produeix un canvi de finalitat?

Un canvi de finalitat, fins i tot quan es tracti d’una finalitat “compatible”, pot repercutir notablement sobre els drets i interessos de les persones les dades de les quals es tracten.

En aquests casos, el Responsable no pot realitzar el tractament sense passar novament pel tràmit d’informació que ha de garantir que tinguem una idea clara de què es farà amb les nostres dades.

I si les dades no les he facilitat jo al Responsable?

No sempre les dades arriben a una organització després d’haver interactuat amb el seu titular. Pot ser que les hagi notificat un tercer, a qui els hi havíem donat en origen, o pot ser que s’hagin localitzat en recursos disponibles per a tothom.

Per això, l’obligació d’informar no només correspon als qui directament han recollit les nostres dades sinó que també afecta aquells casos en els quals les dades han estat obtingudes sense la nostra participació, o bé perquè s’han localitzat en alguna mena d’entorn de caràcter públic, o bé perquè les ha facilitat un tercer.

Ens han d’informar de tot el que hem indicat i també sobre “la font de la que procedeixen les dades personals i, si escau, si procedeixen de fonts d’accés públic”.

I de quina manera me n’han d’informar?

La normativa apunta que s’ha de fer d’una manera clara, senzilla i el més comprensible possible. Especialment si es tracta de menors, el llenguatge s’haurà d’adaptar a la seva edat.

Al llarg de la història d’Internet s’han fet servir moltes estratègies d’informació no massa esportives. La més comú consisteix a posar la informació sobre privacitat en una pàgina secundària i enllaçar-la, ja que ningú punxa mai aquests enllaços. De vegades el text resulta il·legible des de la pantalla d’un mòbil. En d’altres ocasions són informacions molt llargues i avorrides de llegir.

Imaginem alguns supòsits habituals:

La normativa ens concedeix el dret:

• A accedir a les dades personals de manera gratuïta excepte si excedim certs límits raonables.
• A obtenir confirmació de si s’estan tractant o no dades personals que ens concerneixen, independentment de si hem tingut o no una relació prèvia amb l’entitat, o de si aquesta entitat és pública o privada. Fins i tot, en el cas que no tinguin ni una sola dada nostra, tenen igualment el deure d’informar-nos d’aquest fet.
• Quan l’interessat presenti la sol·licitud per mitjans electrònics, i si no és que el propi interessat sol·licita que se li faciliti d’una altra manera, la informació es facilitarà en un format electrònic d’ús comú.
• Per acabar, la normativa indica que el dret es concreta pel que fa a la materialitat de les dades en el fet que es facilitarà a l’interessat una còpia de les dades personals objecte de tractament.

En l’apartat dedicat al “dret de transparència de la informació” s’expliquen més detalladament cadascuna de les informacions a les quals es té dret d’accés.

Si ens hi fixem, existeix una correlació pràcticament exacta amb el principi d’informació i transparència. Per tant, qui tracta dades té un deure de transparència en fins a tres moments diferents:

• El de la recollida de les dades.
• El de la notificació a l’interessat quan no ha recollit les dades directament d’aquest.
• La resposta a l’interessat quan aquest exerceix el dret d’accés.

Els drets de rectificació i supressió serveixen essencialment per assegurar la certesa de la informació i, si escau, per eliminar determinada informació quan existeixi una causa per fer-ho.

L’exercici del dret de rectificació comporta la possibilitat de modificar les dades quan resultin inexactes, incomplets, incorrectes.

L’interessat podrà exercir aquest dret presentant una sol·licitud de rectificació a l’organització responsable del tractament de dades.

Aquest dret, que abans (en els drets ARCO) s’anomenava de cancel·lació, té per objecte el dret a obtenir la supressió de les dades personals.

Aquest és un dret que, per exercir-lo, cal que concorrin certes circumstàncies:

Un problema molt específic es produeix quan les dades s’han facilitat a tercers, o s’han fet públiques a Internet i han estat indexades. És aquí quan ens enfrontem al que s’ha anomenat el “dret a l’oblit”.

Com hem anat explicant, Internet guarda un rastre de tot el que fem. És el cercador el que decideix quina informació indexa primer. Les seves regles se’ns escapen i per tant no sabem per què una determinada informació apareix en primer lloc. Si aquesta informació perjudica el nostre honor o intimitat tenim un problema.

En aquests casos, la normativa europea obliga el Responsable no només a suprimir les dades sinó també a adoptar mesures raonables per informar els responsables que estiguin tractant les dades personals de la sol·licitud de supressió de l’interessat, de qualsevol enllaç a aquestes dades personals, o de qualsevol còpia o rèplica d’aquestes dades. En tot cas, no és una obligació absoluta, ja que dependrà de la tecnologia disponible i del cost de la seva aplicació.

Però aquest dret a la supressió o a l’oblit no és absolut i no s’aplicarà quan el tractament sigui necessari:

• Per exercir el dret a la llibertat d’expressió i informació.
• Per al compliment d’una obligació legal, o per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al Responsable, com en el cas d’una informació en un Butlletí per mandat legal.
• Per raons d’interès públic en l’àmbit de la salut pública.
• Amb finalitats d’arxiu en interès públic, finalitats d’investigació científica o històrica o finalitats estadístiques en la mesura que el dret pogués fer impossible o obstaculitzés greument l’assoliment dels objectius d’aquests tractaments.
• Per a la formulació, l’exercici o la defensa de reclamacions.

Organitzacions com les administracions solen publicar molta informació a Internet. En gran part és informació personal la indexació de la qual pot perjudicar els drets o interessos de les persones concernides, o senzillament molestar-les. És per això que sembla necessari tenir en compte certes recomanacions:

En principi, aquest dret l’exercirem aportant motius relacionats amb la nostra situació particular. Davant d’aquest exercici de drets, el Responsable haurà de ponderar els motius al·legats per l’interessat i els atendrà si no és que acredita motius legítims imperiosos per al tractament que prevalguin per damunt dels interessos, drets i llibertats de l’interessat, o per a la formulació, l’exercici o la defensa de reclamacions.

Es poden proposar dos exemples molt clars sobre aquest tipus de dret.

La normativa regula supòsits específics:

• Exercici de funcions públiques. Es pot exercir el dret d’oposició al·legant motius relacionats amb la nostra situació particular quan el tractament es va realitzar sense consentiment per ser necessari per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al Responsable del tractament.

• Interès legítim. En aquests casos també es podrà exercir de la mateixa manera el dret d’oposició. Cal recordar que aquests tractaments són possibles quan no prevalguin interessos o drets i llibertats fonamentals de l’interessat que requereixin la protecció de dades personals, en particular quan l’interessat sigui un infant. Per tant, és molt probable que l’acreditació d’aquests interessos, drets i llibertats o la invocació d’un interès superior del menor siguin fonaments molt adequats per obtenir el reconeixement del dret d’oposició.

• La publicitat. És el supòsit més senzill. Habitualment es recullen les nostres dades per a aquesta finalitat de fonts d’accés públic. També és legítim remetre informació publicitària als clients. Per molt beneficiosa que sigui per a l’economia, o per al propi Responsable, aquesta no és una finalitat imprescindible, ni hi depèn la nostra vida ni el futur del país. En aquesta mena de casos es reconeix a l’interessat el dret a oposar-se en tot moment al tractament de les dades personals que li concerneixin, inclosa l’elaboració de perfils quan estigui relacionada amb la citada publicitat. I el Responsable no té opció, les dades personals deixaran de ser tractades per a aquestes finalitats.

• Serveis de la societat d’informació. En la utilització d’aquests serveis, ens podrem oposar per mitjans automatitzats (l’opció de donar-se de baixa que apareix al butlletins, per exemple).

• Finalitats d’investigació científica o històrica o finalitats estadístiques. En aquests casos, l’interessat tindrà dret a oposar-se per motius relacionats amb la seva situació particular, si no és que resulta necessari per al compliment d’una missió realitzada per raons d’interès públic.

• Les decisions individuals automatitzades, inclosa l’elaboració de perfils. Cada vegada hi ha més àmbits en els que es fan servir programes d’intel·ligència artificial que permeten adoptar decisions automatitzades. Es tracta de tractaments amb un risc més gran de repercussió en els nostres drets. La normativa ens reconeix el dret a oposar-nos-hi quan es tracti d’una decisió basada únicament en un tractament automatitzat, o també quan es tractin categories especials de dades.

Es tracta de drets nous en la normativa actual i que contribueixen a oferir garanties addicionals als interessats.

La normativa defineix així la limitació del tractament:

Suspensió del tractament de dades

Aquest dret permet sol·licitar al Responsable que suspengui el tractament de dades quan:

• L’interessat impugni l’exactitud de les dades durant un termini que permeti al Responsable verificar-ne l’exactitud.
• L’interessat ha exercit el seu dret d’oposició al tractament de dades (en supòsits de tractament per a missions d’interès públic o interès legítim), mentre es verifica si els motius legítims del Responsable prevalen sobre els de l’interessat.

Conservació de dades

Aquest dret també permet sol·licitar al Responsable que conservi les teves dades personals quan:

• El tractament de dades sigui il·lícit i l’interessat s’oposi a la supressió de les seves dades i sol·liciti en el seu lloc, la limitació del seu ús.
• El Responsable ja no necessiti les dades per a les finalitats del tractament però l’interessat sí que les necessiti per a la formulació, exercici o defensa de reclamacions.

En els casos de conservació es tracta d’evitar la supressió o el tractament de les dades que queden bloquejades, o per entendre-ho més gràficament congelades, sense que el Responsable pugui modificar-les o eliminar-les.

El Reglament General de Protecció de Dades proposa diversos mètodes per bloquejar o congelar les dades:

• Traslladar permanentment les dades seleccionades a un altre sistema de tractament.
• Impedir l’accés d’usuaris a les dades personals seleccionades.
• Retirar temporalment les dades publicades d’un lloc d’Internet.
• Un cop bloquejades les dades, si el Responsable vol eliminar les restriccions al tractament, inclosa la supressió, n’haurà d’informar l’interessat abans de l’aixecament de la limitació.

La normativa europea reconeix a l’interessat el dret de rebre les dades personals que li hagi facilitat a un Responsable del tractament, en un format estructurat, d’ús comú i lectura mecànica. Així mateix, a transmetre-les a un altre Responsable del tractament sense que ho impedeixi el Responsable al qual les hagués facilitat.

Però això passarà quan concorrin certes condicions:

• Que el tractament es basi en el consentiment o en un contracte.
• Que el tractament s’efectuï per mitjans automatitzats.
• La portabilitat no afectarà negativament els drets i llibertats d’altres.
• Que sigui tècnicament sigui possible.

Entre els Serveis de la Seu electrònica trobem:

• A l’apartat de Protecció de dades: tota la informació de caràcter públic que volem fer arribar als ciutadans i resta de persones de les que tractem dades, com per exemple, el Registre de tractaments, la informació complementària sobre Videovigilància.

• A l’apartat Tràmits i serveis a la ciutadania > Drets de protecció de dades (ARCO): la informació i els formularis per a l’exercici de drets.

Si per aquesta via no s’ha pogut resoldre, si s’estima oportú es pot presentar una reclamació davant de l'Autoritat Catalana de Protecció de Dades (APDCAT) a través del seu web: apdcat.cat > Drets i obligacions > Reclamar i denunciar

A la Intradiba > Informació corporativa > Protecció de dades, es publiquen tot un seguit de recursos que es van actualitzant i que poden servir de suport.

Allà podràs trobar tota la documentació que necessites organitzada en els següents apartats:

• Protocols d'actuació, procediments i responsabilitats
• Vídeos
• Webs de protecció de dades
• Les dades de contacte de la Responsable corporativa de protecció de dades