En paraules del Tribunal Constitucional:
El dret fonamental a la protecció de dades consisteix a atribuir a les persones una facultat de control sobre les seves dades personals.
Si no tenim informació sobre els tractaments de les nostres dades ens trobaríem totalment desarmats, incapaços de reaccionar davant d’un tractament que no ens resulti convenient.
Aquesta facultat s’exerceix a través d’una sèrie de poders, de potestats o de drets que constitueixen el nostre objecte d’estudi.
Aquests drets es recullen a partir del 2018 al Reglament Europeu de Protecció de Dades, conegut també com a Reglament General de Protecció de Dades (RGPD) que:
Les facultats d’accedir, rectificar i cancel·lar són molt importants, per exemple, en l’àmbit de l’administració electrònica.
Aquests drets formaven part de la Llei Orgànica de Protecció de Dades (LOPD 15/99) i van prendre el nom de “drets ARCO”. La Regulació Europea actualitza aquests drets.
Veiem com es traslladen al Reglament Europeu els drets ARCO de l’antiga Llei Orgànica de Protecció de Dades:
Veiem, de manera introductòria, un cas il·lustratiu sobre l’exercici de drets en el nou marc normatiu, el Reglament Europeu de Protecció de Dades (RGPD):
Què passa si demano un préstec i me’l deneguen i no sé per què?
Moltes vegades això es deu al fet que una entitat ha inscrit en un fitxer d’informació sobre solvència patrimonial –el que col·loquialment anomenem fitxers de morosos– que li devem una quantitat. Si jo no dec res, però no sé quin fitxer ha consultat el meu banc, qui ha notificat el deute i com fer que aquesta anotació desaparegui, el resultat pràctic és que “mai” podré demanar un crèdit personal o hipotecari perquè per al mercat financer “soc un mal pagador o una mala pagadora”.
Per a això necessitem:
El Reglament Europeu, a més d’aquests drets (coneguts com drets ARCO), ens concedeix, addicionalment, nous drets:
El deure d’informació serveix per conèixer exactament en què consistirà el tractament.
L’organització que tractarà les dades –ja sigui amb el nostre consentiment o de manera obligatòria– ha de facilitar una mínima informació que es troba regulada en el RGPD de manera diferenciada d’altres informacions (política de cookies, avís legal, bases d’un concurs…).
Generalment, la informació mínima que s’ha de facilitar, se sol estructurar per “capes”. A la primera capa se’ns ofereix una informació bàsica que s’ha d’acompanyar d’informació addicional per conèixer amb detall els aspectes que poden ser rellevants. En concret, la informació que ens han d’oferir ha de ser la següent:
El “Responsable” del tractament. Implica informar de:
La “Finalitat” i base jurídica del tractament. És a dir, informar sobre les finalitats per a les quals es tractaran les dades i les lleis que ho sustenten. Qui tracti les dades només les pot utilitzar per a la finalitat sobre la que hem estat informats.
Les categories de dades personals. S’ha d’especificar quines categories i tipus de dades es tractaran. Per exemple, el domicili particular, en certes situacions, és una dada d’identificació més sensible i íntima que un correu electrònic.
Els destinataris de les dades (de cessions o transferències). L’objectiu d’aquesta informació és que siguem capaços d’avaluar a qui es cediran les nostres dades i, en cas necessari, ens hi puguem adreçar per exercir la nostra capacitat de control. Per això, s’ha d’informar de la intenció del Responsable de transferir dades personals a un destinatari en un tercer país o organització internacional i en quines condicions.
Les nostres dades es recullen al nostre país però poden acabar sent utilitzades a qualsevol altre tercer país no integrat a la Unió Europea o a l’Espai Econòmic Europeu. Quan es dona aquesta circumstància es produeix una transferència internacional.
Només es poden transferir dades a països segurs (és a dir, amb legislació homologable i reconeguts com a tal per la Comissió Europea) o que hagin ofert garanties adequades i les transferències hagin estat autoritzades.
Terminis de conservació de dades. El termini durant el qual es conservaran les dades personals o, quan això no sigui possible, els criteris utilitzats per determinar aquest termini.
Interessos legítims. Informar dels interessos legítims del Responsable del tractament o d’un tercer quan el tractament es basi en aquesta habilitació.
Els drets que es poden exercir. S’ha d’informar que una persona té el dret de sol·licitar al Responsable del tractament:
Les dades personals que són requisit legal contractual o necessari. S’ha de comunicar si les dades personals sol·licitades són un requisit legal o contractual, o un requisit necessari per subscriure un contracte. De la mateixa manera, si l’interessat està obligat a facilitar les dades personals i està informat de les possibles conseqüències de no facilitar-les.
L’existència de decisions automatitzades. S’ha d’informar de l’existència de decisions automatitzades, inclosa l’elaboració de perfils. En aquests casos s’ha de facilitar informació significativa sobre la lògica aplicada, i també sobre la importància i les conseqüències previstes d’aquest tractament per a l’interessat.
I si es produeix un canvi de finalitat?
Un canvi de finalitat, fins i tot quan es tracti d’una finalitat “compatible”, pot repercutir notablement sobre els drets i interessos de les persones les dades de les quals es tracten.
En aquests casos, el Responsable no pot realitzar el tractament sense passar novament pel tràmit d’informació que ha de garantir que tinguem una idea clara de què es farà amb les nostres dades.
És fonamental definir molt bé les finalitats d’un tractament. Com més bé les definim, i com més precisos siguem, menys dificultats trobarem en el tractament posterior de les dades.
I si les dades no les he facilitat jo al Responsable?
No sempre les dades arriben a una organització després d’haver interactuat amb el seu titular. Pot ser que les hagi notificat un tercer, a qui els hi havíem donat en origen, o pot ser que s’hagin localitzat en recursos disponibles per a tothom.
Per això, l’obligació d’informar no només correspon als qui directament han recollit les nostres dades sinó que també afecta aquells casos en els quals les dades han estat obtingudes sense la nostra participació, o bé perquè s’han localitzat en alguna mena d’entorn de caràcter públic, o bé perquè les ha facilitat un tercer.
Ens han d’informar de tot el que hem indicat i també sobre “la font de la que procedeixen les dades personals i, si escau, si procedeixen de fonts d’accés públic”.
¿Recordes que si algú notifica a un fitxer de solvència patrimonial i crèdit que ets morós mai més podràs contractar un préstec? ¿I d’on ha tret les dades aquella entitat tan pesada que no para d’enviar-te publicitat? Si ni l’una ni l’altra t’expliquen quin és l’origen de les dades, no et podràs dirigir mai a l’entitat que les va tractar en primer lloc, les va cedir i/o publicar per impedir aquest tipus d’ús.
I de quina manera me n’han d’informar?
La normativa apunta que s’ha de fer d’una manera clara, senzilla i el més comprensible possible. Especialment si es tracta de menors, el llenguatge s’haurà d’adaptar a la seva edat.
Quan es redacta una clàusula informativa en la recollida de dades cal procurar ser clars, utilitzar un text llegible, en una mida igual que la de la pàgina, i incloure-la abans de la funció d’acceptació.
Al llarg de la història d’Internet s’han fet servir moltes estratègies d’informació no massa esportives. La més comú consisteix a posar la informació sobre privacitat en una pàgina secundària i enllaçar-la, ja que ningú punxa mai aquests enllaços. De vegades el text resulta il·legible des de la pantalla d’un mòbil. En d’altres ocasions són informacions molt llargues i avorrides de llegir.
Localitza les polítiques de privacitat de la teva organització i algun/alguns models d’imprès que s’hi fan servir i verifica si compleixen amb les previsions normatives. A més a més, és clara i fàcil d’entendre?
Imaginem alguns supòsits habituals:
La normativa ens concedeix el dret:
En l’apartat dedicat al “dret de transparència de la informació” s’expliquen més detalladament cadascuna de les informacions a les quals es té dret d’accés.
Si ens hi fixem, existeix una correlació pràcticament exacta amb el principi d’informació i transparència. Per tant, qui tracta dades té un deure de transparència en fins a tres moments diferents:
Els drets de rectificació i supressió serveixen essencialment per assegurar la certesa de la informació i, si escau, per eliminar determinada informació quan existeixi una causa per fer-ho.
L’exercici del dret de rectificació comporta la possibilitat de modificar les dades quan resultin inexactes, incomplets, incorrectes.
L’interessat podrà exercir aquest dret presentant una sol·licitud de rectificació a l’organització responsable del tractament de dades.
Aquest dret, que abans (en els drets ARCO) s’anomenava de cancel·lació, té per objecte el dret a obtenir la supressió de les dades personals.
Aquest és un dret que, per exercir-lo, cal que concorrin certes circumstàncies:
a) O bé que les dades personals:
b) O bé que l’interessat:
La supressió implica que les dades desapareixen del sistema d’informació, tot i que podem sol·licitar que es mantinguin bloquejades sense utilitzar a fi de presentar reclamacions o demandes per a la tutela dels nostres drets o el rescabalament de danys.
Un problema molt específic es produeix quan les dades s’han facilitat a tercers, o s’han fet públiques a Internet i han estat indexades. És aquí quan ens enfrontem al que s’ha anomenat el “dret a l’oblit”.
Com hem anat explicant, Internet guarda un rastre de tot el que fem. És el cercador el que decideix quina informació indexa primer. Les seves regles se’ns escapen i per tant no sabem per què una determinada informació apareix en primer lloc. Si aquesta informació perjudica el nostre honor o intimitat tenim un problema.
Quan una Administració publica per error un requeriment de pagament d’una multa. Sempre apareixerem com a “infractors”. Des de fa anys, el Butlletí Oficial de la Província inclou instruccions informàtiques per evitar la indexació. Això no obstant, de vegades la publicació d’aquesta informació per part de tercers la fa visible als cercadors.
En aquests casos, la normativa europea obliga el Responsable no només a suprimir les dades sinó també a adoptar mesures raonables per informar els responsables que estiguin tractant les dades personals de la sol·licitud de supressió de l’interessat, de qualsevol enllaç a aquestes dades personals, o de qualsevol còpia o rèplica d’aquestes dades. En tot cas, no és una obligació absoluta, ja que dependrà de la tecnologia disponible i del cost de la seva aplicació.
El que ens permet aquesta modalitat de dret a l’oblit és demanar-li al cercador que no editi a un país concret les cerques que responguin al criteri “Nom Cognoms”. Així, si per exemple un assetjador o assetjadora ens maltractés en un blog personal, amb independència de les accions directes contra l’autor d’aquesta conducta, podríem demanar als cercadors que s’ometin els resultats de la cerca.
Però aquest dret a la supressió o a l’oblit no és absolut i no s’aplicarà quan el tractament sigui necessari:
Per saber-ne més
Per entendre bé els problemes associats al dret a l’oblit a Internet, recomanem cercar a Internet “Marta Bobo” “anorexia”. S’hi pot apreciar l’impacte d’Internet a la vida d’una persona. És molt interessant, i un dels primers resultats, l’article de la defensora del lector del diari El País (15/05/2011).
El primer cas de dret a l’oblit el va exercir un professor, els estudiants del qual van trobar un requeriment de pagament de sanció publicat en un Butlletí Oficial de Província. L’Ajuntament responsable, en lloc de notificar l’impagament d’una sanció per infracció de l’article que fos de les ordenances municipals, va expressar clarament que la multa se li imposava per “orinar a la via pública”. Passats mesos o anys, ¿diu res, aquesta informació, sobre les competències reals de la persona? El podria perjudicar en l’accés a una feina?
Organitzacions com les administracions solen publicar molta informació a Internet. En gran part és informació personal la indexació de la qual pot perjudicar els drets o interessos de les persones concernides, o senzillament molestar-les. És per això que sembla necessari tenir en compte certes recomanacions:
Si la normativa ha previst que es puguin tractar dades personals sense el nostre consentiment, ens proporciona com a contrapartida la possibilitat d’oposar-nos-hi.
En principi, aquest dret l’exercirem aportant motius relacionats amb la nostra situació particular. Davant d’aquest exercici de drets, el Responsable haurà de ponderar els motius al·legats per l’interessat i els atendrà si no és que acredita motius legítims imperiosos per al tractament que prevalguin per damunt dels interessos, drets i llibertats de l’interessat, o per a la formulació, l’exercici o la defensa de reclamacions.
Es poden proposar dos exemples molt clars sobre aquest tipus de dret.
La normativa regula supòsits específics:
Es tracta de drets nous en la normativa actual i que contribueixen a oferir garanties addicionals als interessats.
La normativa defineix així la limitació del tractament:
[…] «limitació del tractament»: el marcatge de les dades de caràcter personal conservades amb la finalitat de limitar-ne el tractament en el futur;
[…] En els fitxers automatitzats, la limitació del tractament s’ha de realitzar, en principi, per mitjans tècnics, de manera que les dades personals no siguin objecte d’operacions de tractament ulterior ni es puguin modificar. El fet que el tractament de les dades personals estigui limitat s’ha d’indicar clarament en el sistema.
Suspensió del tractament de dades
Aquest dret permet sol·licitar al Responsable que suspengui el tractament de dades quan:
Conservació de dades
Aquest dret també permet sol·licitar al Responsable que conservi les teves dades personals quan:
En els casos de conservació es tracta d’evitar la supressió o el tractament de les dades que queden bloquejades, o per entendre-ho més gràficament congelades, sense que el Responsable pugui modificar-les o eliminar-les.
El Reglament General de Protecció de Dades proposa diversos mètodes per bloquejar o congelar les dades:
Anomenem portabilitat a la possibilitat de descarregar les nostres dades o de migrar-les a una altra plataforma s’anomena portabilitat (com fan les companyies de telefonia).
En moltes ocasions ens hem registrat en un lloc o hem contractat un servei que de mica en mica hem deixat d’utilitzar. Això no obstant, mantenim el nostre perfil o registre perquè no ens podem emportar les nostres dades, que de vegades inclouen documents, milers de fotografies o vídeos, i no existeix cap manera d’exportar-los conjuntament, s’han de baixar d’un en un.
La normativa europea reconeix a l’interessat el dret de rebre les dades personals que li hagi facilitat a un Responsable del tractament, en un format estructurat, d’ús comú i lectura mecànica. Així mateix, a transmetre-les a un altre Responsable del tractament sense que ho impedeixi el Responsable al qual les hagués facilitat.
Però això passarà quan concorrin certes condicions:
El lloc adient seria la seu electrònica del teu Ajuntament. Comprova si hi ha informació sobre drets, i sobre els tràmits i les sol·licituds per exercir-los, i si es pot consultar el registre d’activitats del tractament.
Saps on tens disponibles les eines per treballar: manuals, protocols, circulars elaborades pel teu Ajuntament? El teu DPD te n’informarà.
A la web de l’APDCAT pots trobar:
Si per aquesta via no s’ha pogut resoldre, si s’estima oportú es pot presentar una reclamació davant de l'Autoritat Catalana de Protecció de Dades (APDCAT) a través del seu web: apdcat.cat > Drets i obligacions > Reclamar i denunciar