L’obligació del Responsable del tractament de dades és tractar les dades de manera lícita tot garantint els drets i llibertats de les persones propietàries de les dades.
El tractament tan sols serà lícit si:
-
L’interessat ha donat el seu consentiment per al tractament de les seves dades personals per a una o diverses finalitats específiques.
-
És necessari per al compliment d’una obligació legal aplicable al Responsable del tractament.
-
És necessari per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al Responsable del tractament.
-
És necessari per a l’execució d’un contracte en el qual l’interessat és part o per a l’aplicació a petició de l’interessat de mesures precontractuals.
-
És necessari per protegir interessos vitals de l’interessat o d’una altra persona física.
Les administracions majoritàriament tractem dades per una obligació legal o per a l’acompliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al Responsable del tractament, sense oblidar la relació contractual entre el personal i l’organització per a la qual presta serveis.
Cal el consentiment sempre que es tractin dades de menors o categories especials.
[…] «Encarregat del tractament» o «Encarregat»: la persona física o jurídica, autoritat pública, servei o altre organisme que tracti dades personals per compte del Responsable del tractament.
Sempre hi haurà d’haver un contracte (conveni…) que vinculi l’Encarregat amb el Responsable del tractament.
La Diputació actua com a Encarregada del tractament de les dades dels ens locals en les seves funcions d’assistència i cooperació. Hi haurà un conveni o una sol·licitud de Catàleg de Xarxa que estableixi les obligacions. Els ens locals són els que tenen les competències en la matèria i per tant són els Responsables del tractament de les seves dades personals.
Les administracions públiques estan obligades a comptar amb un Delegat de protecció de dades.
El Delegat de protecció de dades és la persona que s’encarrega d’assegurar que l’organització compleixi els seus deures en aquesta matèria.
És molt convenient familiaritzar-se amb tota la informació disponible a l’hora de realitzar aquestes accions. És molt probable que existeixin indicacions específiques, una llista de les persones facultades per autoritzar un tractament, i se’ns digui com ho hem de demanar i com ho hem de fer.
De no fer-ho així, resulta que estem utilitzant informació al marge de les pràctiques establertes i sense coneixement de l’organització. I això suposa un risc elevat, no només es tractaria d’una pràctica indeguda sinó que a més a més l’equip de seguretat no ens podria ajudar a aplicar les polítiques més adequades per garantir la confidencialitat, integritat i disponibilitat de la informació.
Que les dades personals estiguin en un arxiu al nostre ordinador o que les tinguem en suport paper no exclou el nostre deure de complir amb les normes de protecció de dades. En moltes ocasions exportem dades dels sistemes de l’organització a Word, Excel, etc., i les conservem per exemple per comoditat. D’altres, realitzem aquests tractaments sense informar-ne l’organització, sense que ho sàpiga ningú.
En tots aquests casos, el problema no consisteix només a pensar que no s’aplica la normativa, també afectem a la certesa de la informació i posem en risc la seguretat.