Recurs bàsic sobre els aspectes fonamentals sobre la protecció de dades, la seguretat, el tractament de dades i el Reglament Europeu de Protecció de dades. Adreçat als empleats públics dels ens locals.
Com és un dia laboral a la vida de qualsevol persona? Probablement t’has llevat ben d’hora per anar a la feina i és molt possible que el teu despertador hagi estat un telèfon. Per ser més concrets, un smartphone. Potser la primera cosa que has fet és obrir una pantalla i descobrir que ahir a la nit les teves amistats van anar a dormir tard veient un programa concret de televisió. Les llistes de WhatsApp tenen desenes de comentaris. Per sort les tens silenciades. Però et pica la curiositat i comproves si el tema ha estat trending topic a Twitter. Potser continuaràs fent servir el mòbil per consultar l’agenda del dia i triaràs la roba en funció de la informació en pantalla sobre el temps a la teva ciutat.
Fa deu minuts que t’has llevat i acabes de compartir la teva vida amb gairebé una desena de companyies:
T’has parat a pensar a quines dades accedeixen totes aquestes empreses o proveïdors?
Això no és bo ni dolent, tu vas triar un determinat smartphone i vas contractar una companyia de telefonia. A cada aplicació “gratuïta” que has instal·lat has acceptat un contracte i unes “polítiques de privacitat”. I no vas configurar els permisos del teu telèfon mòbil, no és una cosa que et preocupi.
Ens estimem més fer servir “gratis” els recursos d’Internet, però en realitat no són gratis, ja que els finança l’explotació d’informació personal.
Sabies que…
“Conan Mobile” és una aplicació gratuïta desenvolupada per INCIBE i l’Oficina de Seguretat de l’Internauta que t’ajuda a protegir el teu dispositiu mòbil Android. Et permet conèixer l’estat de seguretat del teu dispositiu, mostrant-te solucions a possibles riscos als que estigui exposat i proporcionant-te alguns consells que t’ajudaran a millorar la seva seguretat.
Per a més informació, visita l'Oficina de Seguretat de l'Internauta.
I pot ser que et preguntis:
I totes aquestes empreses poden fer el que els doni la gana? El que fan és il·legal?
I la resposta és no, gràcies a la normativa sobre protecció de dades. A la Unió Europea, el Reglament General de Protecció de Dades (RGPD) s’aplica a totes aquestes entitats. Si no compleixen amb les nostres normes a partir del 25 de maig del 2018 podran ser multades amb quantitats de fins a 20 milions d’euros o el 4% de la seva facturació anual arreu del món.
T’hem explicat el que passa durant els primers minuts del dia. Si t’atures només un segon a pensar en el món que t’envolta descobriràs que gairebé tot depèn d’un tractament de dades, de gestionar informació en temps real:
La nostra societat no pot funcionar sense gestionar volums enormes d’informació i molta d’aquesta informació és “la teva” informació, la de la teva família, la dels teus fills.
T’agradaria que estigués protegida? I què faràs a la teva feina quotidiana per contribuir a protegir-la?
La primera dècada del segle XXI ho va canviar tot. Ja no n’hi havia prou amb visitar pàgines web. Els serveis de blog van permetre tenir webs a aquells que no sabíem programar. Les xarxes socials ens van ajudar a compartir, a l’oci, a buscar feina. Amb Twitter vam aprendre a dir molt en només 140 caràcters. Ara, cadascú de nosaltres pot ser el protagonista de la seva història a les xarxes. I s’hi van sumar el telèfon mòbil i les tauletes, i amb la mobilitat noves maneres de comunicar, de fer les coses i fins i tot de consumir els mitjans de comunicació, la televisió o el cinema.
Vivim en el món de les xarxes socials, dels objectes connectats, dels smartphones.
Es tracta d’una societat interconnectada en la qual la distinció entre el món físic i el món virtual comença a estar mancada de sentit, en la qual la nostra vida o és digital o no serà.
Pensa per un instant:
Des del 2017 parlem de l’arrencada de la Quarta Revolució Industrial, de la revolució de la transformació digital. D’un món d’intel·ligència artificial, automatització, robotització… Per arribar aquí hem necessitat tecnologies addicionals:
Els ordinadors són unitats físiques limitades. Un cop esgotades les possibilitats necessitem una màquina addicional per poder continuar treballant. Abans del núvol, incloure un sol document més en una carpeta quan la memòria de l’ordinador s’havia esgotat implicava comprar i instal·lar un nou disc dur. Fins i tot comprar un ordinador més potent i substituir-lo. Però la computació al núvol és diferent. Milers d’ordinadors s’associen i distribueixen les tasques d’emmagatzematge i computació assignant recursos d’una manera dinàmica, en temps real. De sobte, les administracions ben proveïdes o grans companyies com Google, Microsoft, Amazon o l’espanyola Telefónica poden oferir al sector públic i al sector privat una potència enorme de càlcul, processament i emmagatzematge d’informació fent que les possibilitats de disposar d’informació es multipliquin d’una manera exponencial.
La tecnologia necessària per explotar tota la informació de la que hem estat parlant és el que s’anomena Big Data. En realitat és un conjunt de tecnologies que inclou l’aprenentatge automàtic per part de les màquines –conegut com a machine learning i intel·ligència artificial-, que permeten l’explotació de milions de dades en temps real. Big Data s’alimenta d’un conjunt de tecnologies que permeten utilitzar informació de múltiples fonts –de bases de dades de tota mena-, d’Internet, de documents…
Un tercer element present a les nostres vides tanca el cercle de la transformació digital. Es tracta de l’anomenat Internet of Things (IoT). La miniaturització dels processadors permet que moltíssims objectes emmagatzemin informació o es connectin a Internet. L’IoT inclou els wearables –rellotges, ulleres o roba connectada a Internet-, o els electrodomèstics com les Smart TV. Les nostres cases es robotitzen i s’administren a distància. Existiran milers de sensors a qualsevol ciutat intel·ligent. Totes aquestes tecnologies significaran noves maneres de viure, noves maneres de fer les coses, noves maneres de treballar.
Els qui treballem en una Administració coneixem la importància de la gestió de grans volums d’informació i com les tecnologies de la informació poden suposar una revolució per a la nostra feina individual, per al disseny de polítiques públiques i l’atenció a la ciutadania.
Quanta més informació i de més qualitat gestionem, més senzilla serà l’atenció al ciutadà. Aspirem al desenvolupament d’una administració a mida de la ciutadania.
Aquesta societat de la transformació digital implica un compromís dels poders públics en la millora de les condicions de formació i la capacitació dels individus, i determina la necessitat de desenvolupar eines normatives que assegurin que en la gestió d’aquesta informació es garanteixen els drets de les persones, la seva llibertat de decisió i la seguretat de la informació.
Un dels canvis profunds relacionats amb l’evolució d’Internet i les xarxes socials es refereix a la construcció de la nostra pròpia identitat en un món connectat. Des d’un punt de vista subjectiu, gairebé tothom podria respondre amb força seguretat a la pregunta “qui soc jo?” Segurament serviria una resposta senzilla. Cadascú de nosaltres és una mica la suma d’una història personal, d’uns estudis, d’un conjunt de relacions afectives, de percepcions i maneres de veure la realitat. En el territori més acotat i segur de la professió som perfectament capaços de definir-nos. En essència, som allò que diu el nostre currículum.
Tanmateix, la realitat a les xarxes és molt diferent.
A Internet no som qui creiem ser, sinó el que diuen els primers 20 resultats en un cercador.
Quan qualsevol de nosaltres entaula una relació professional, quan presenta el seu currículum per a un lloc de treball, immediatament el buscaran. Es verificaran els resultats que ofereix el cercador, es mirarà d’indagar en el perfil de xarxes socials, i essencialment en tres d’elles: Facebook, LinkedIn i Twitter. I tota aquesta informació proporcionarà com a resultat la definició de la nostra personalitat per al conjunt de la societat.
Podem veure com canvia radicalment la concepció de la personalitat en el context de les xarxes socials. Una part de la seva configuració ve definida per les nostres pròpies accions. Cada comentari que publiquem, cada fotografia que pugem, cada acció que realitzem, les persones amb les quals ens relacionem… Qualsevol acció serà indexada, analitzada i classificada segons un determinat patró de conducta.
Per als nostres proveïdors de serveis de la societat de la informació, com ara cercadors, apps o xarxes socials, som una cosa diferent d’allò que creiem que som.
Cada acció a Internet va acompanyada de milers de transaccions automatitzades realitzades en qüestió de segons per part d’intel·ligències artificials. Aquestes estratègies permeten a les empreses obtenir dades molt fiables a les quals sumen l’anàlisi del context de la socialització a Internet.
Com s’ha vist, navegar per Internet i fer servir determinats serveis té un preu, i aquest preu és la nostra privacitat, les nostres dades. Les màquines saben qui ets, coneixen les teves aspiracions, els teus interessos i desitjos, fins i tot abans que tu. Això suposa un canvi profund de la nostra identitat i ens obliga a mantenir una tensió vigilant si volem decidir en llibertat quina identitat volem tenir a Internet.
Els usuaris necessitem eines que ens serveixin per garantir els nostres drets, per poder utilitzar les xarxes socials en llibertat amb la plena seguretat que no serem discriminats, que la nostra informació no serà utilitzada amb la finalitat de manipular la nostra identitat o les nostres preferències.
Et proposem una activitat sobre la teva identitat digital. Ves al teu cercador i posa el teu nom i cognoms “entre cometes” i esbrina què diuen de tu les xarxes. Reflecteixen la realitat? Has descobert res que no esperessis? Vols que “oblidi una informació”? I si no hi ha informació sobre tu, no pateixis, senzillament vol dir que o bé no desenvolupes activitat a Internet o bé et protegeixes.
Estem en un escenari en el qual les oportunitats per al desenvolupament humà es multipliquen de manera exponencial, però també els riscos als quals ens podem veure exposats.
Fa uns anys, l’autoritat italiana de protecció de dades va ser preguntada respecte a la instal·lació d’un sistema de videovigilància en els sistemes de transport públic d’un ajuntament important. Entre les seves recomanacions va incloure no enregistrar imatges tan directes de les persones com perquè es pogués saber quin diari estaven llegint. Es tractava de preservar la seva identitat en els aspectes relacionats amb la llibertat ideològica.
Actualment existeixen múltiples possibilitats de repercutir en els drets de les persones tractant la seva informació personal.
Què passaria si…
… cada vegada que assisteixes a una manifestació l’Estat sol·licités les dades de localització del teu telèfon mòbil a la teva companyia telefònica? I si algú utilitzés aquesta informació per confeccionar una llista de persones categoritzada d’acord amb la seva ideologia potencial i utilitzable per manipular el vot en la campanya electoral?
… els bancs, a l’hora d’atorgar o denegar un crèdit, tinguessin en compte el comportament a les xarxes socials? I si el neguessin als qui segons els seus perfils a les xarxes socials desenvolupen comportaments perillosos, contraris al sistema, o ideològicament poc convenients?
…el nostre accés a una feina depengués d’una anàlisi genètica?
La informació és poder, i en el món de les xarxes socials la informació sobre les persones pot proporcionar el més gran dels poders, el de generar una societat vigilada, el de controlar els individus.
La multitud d’exemples en els que un tractament de dades de caràcter personal pot ser perillós perquè afavoreix la discriminació és amplíssima. Però no només és important protegir la informació sinó també la seva veracitat. Per exemple, un simple error en una base de dades pot limitar el nostre dret d’accés a prestacions socials, la concessió d'un crèdit depèn de la informació continguda en bases de dades sobre morosos, etc.
Gran part del nostre futur, de la nostra vida, depèn del fet que la informació sigui veraç, adequada i tractada d’una manera responsable en el context i per a les finalitats determinades que procedeixi en cada moment.
Gran part del nostre futur, de la nostra vida, depèn del fet que la informació sigui veraç, adequada i tractada d’una manera responsable i per a les finalitats determinades en un context concret.
És essencial controlar qui tracta les nostres dades, com i per a què. I ho fem perquè la normativa ens concedeix drets.
La finalitat última d’aquest control, i del marc regulador, és assegurar-se que qui tracta les dades ho farà amb finalitats lícites, amb el consentiment i si escau amb el coneixement de la persona les dades de la qual es tracten, en un marc que té com a finalitat última garantir la llibertat.
Per això podem afirmar que, quan es protegeixen les dades, es protegeix a les persones.
La informació circula a gran velocitat en qüestió de segons per tot el món. Quan la informació es publica a Internet, podem estar segurs que perdrem a la pràctica tota possibilitat de control, perquè serà copiada i reproduïda milers de vegades a milers de llocs diferents.
D’altra banda, cada vegada és més gran el nombre d’aparells que es connecten a Internet. En molt poc temps, els nostres habitatges obriran les seves finestres al món Internet amb desenes d’objectes connectats cada dia. Precisament per això, la seguretat és fonamental.
Resulta necessari, si no indispensable, assegurar-nos que la informació està protegida, adequadament custodiada i que ningú la pot alterar o utilitzar per fer mal.
És per això que la seguretat persegueix tres objectius fonamentals.
Però el principal protagonista de la seguretat no són les màquines, no són els programes antivirus o de protecció, ni tan sols els informàtics responsables de la seguretat.
El principal protagonista de la seguretat ets tu. És cada usuari d’un sistema d’informació.
Quan et compromets amb la seguretat i adoptes un comportament responsable:
Per això, la seguretat és un element fonamental en un instrument de garantia de la privacitat. Sense seguretat no hi ha vida privada.
Com reaccionaries si sabessis que la teva xarxa social és vulnerable, que hi ha qui accedeix a la missatgeria privada del teu mòbil i que hi ha tercers que estan coneixent els teus pensaments més íntims?
En el context del nostre lloc de treball som nosaltres els qui ens assegurem que d’altres se sentin segurs, que puguin confiar que tractarem les seves dades d’una manera exquisida, amb les màximes garanties.
El nostre compromís amb la seguretat ha de ser lleial, inqüestionable i fins i tot militant, recorda-ho: no protegim dades, protegim les persones.
Per a la societat en la qual vivim, per a la transformació digital, la informació i el coneixement posseeixen un valor essencial. Els processos d’innovació, canvi tecnològic i internacionalització han de complir amb el Reglament General de Protecció de Dades (RGPD) i garantir la seguretat de l’usuari.
La seguretat resulta fonamental per garantir el funcionament adequat de tots els sistemes, tractin o no dades de caràcter personal. A més a més, resulta essencial en qualsevol procés de gestió que requereixi l’ús de tecnologies de la informació i, a la pràctica, es projecta sobre la manera d’ordenar l’activitat de les organitzacions.
Per tant, resulta molt convenient explicitar els valors positius que aporta la implementació de les mesures de seguretat:
A la pràctica, la seguretat afecta totes les formes d’organització i els seus suports, així com qualsevol mètode utilitzat per transmetre coneixement, dades i idees.
La implementació de mesures de seguretat permet dipositar prou confiança sobre la capacitat d’aquesta informació i dels sistemes per sostenir el funcionament adequat de les funcions i els valors de l’entitat.
D’altra banda, el RGPD racionalitza el deure de seguretat assenyalant un conjunt d’idees que seran fonamentals:
Les organitzacions disposen de polítiques i/o normatives de seguretat. Es tracta d’informació que es comunica als usuaris i que sol estar a disposició a la intranet corporativa. Solen ser extenses, de vegades difícils d’entendre, i solen generar certa angoixa als seus destinataris. Però és important que entenguem fins a quin punt una conducta aparentment innòcua pot repercutir en la nostra organització.
Imaginem per un instant tres persones, evidentment fictícies:
En Jordi ha rebut un correu electrònic enviat pels seus amics. El nostre protagonista fa servir el correu de la feina per a assumptes personals, se subscriu amb ell a alertes dels seus programes preferits i comparteix des del seu compte corporatiu arxius de tota mena. Aquest cop el missatge inclou un arxiu que li juren que és divertidíssim, quan el punxes s’executa una mena de vídeo molt graciós. L’executa i a més el comparteix amb tots els seus col·legues a l’organització. L’arxiu instal·la un programa maliciós que posa en greu perill els sistemes.
Què passa a partir d’aquí?
El divertiment d’en Jordi Sirga ha tingut el cost següent:
Aquest exemple només vol posar de manifest com un comportament banal, veure un vídeo que ens passa un amic, pot posar en perill una organització.
Tot i que aquí no podem explicar en profunditat les obligacions que s’imposen a un usuari, ni simplificar-les, mirarem d’oferir quines són les més habituals i la finalitat que persegueixen en cada cas.
Objectiu
Protegir els sistemes d’informació de l’accés de persones no autoritzades.
Per exemple, les següents mesures organitzatives tenen a veure amb el control d’accés:
Objectius
Objectiu
Impedir que les amenaces presents a las xarxes impactin en l’esfera de seguretat de l’organització.
Objectius
Existeix una mesura addicional que resulta fonamental: la notificació d’incidents de seguretat. Una incidència és qualsevol anomalia que afecti o pogués afectar a la seguretat de les dades. Per tant, és impossible a priori establir-ne un catàleg. N’hi ha algunes que són òbvies i comuns:
És fonamental entendre, assumir i aplicar que detectar un incident fins i tot quan sigui degut a un error humà propi no criminalitza qui ho fa. L’error greu, la infracció, consisteix a no notificar la incidència perquè posa en perill tota l’organització.
Veiem-ne un cas:
Un usuari comença el dia i en arribar al seu lloc de treball descobreix que l’ordinador està engegat. L’usuari aplica el sentit comú, creu que probablement va fer clic a ‘reiniciar’ o que una instal·lació d’actualitzacions del sistema operatiu va reiniciar l’equip. Imaginem que l’usuari acaba de realitzar aquest curs i pensa dues coses:
Seguim amb el nostre esforç d’imaginació. Imaginem que des d’aquest terminal es gestionen les nòmines de 10.000 treballadors i es té autorització per transferir diners als seus comptes. Si el nostre usuari notifica l’incident, pot ser que no passi res i efectivament sigui que l’ordinador es va reiniciar. Però, ¿i si lladres digitals s’han infiltrat a l’empresa de seguretat i han disposat de tota la nit per atacar els sistemes?
Tu decideixes quin usuari seràs, si el que va actuar notificant un incident encara que pogués semblar lleu, o el que no ho va fer.
Les normes de seguretat poden ser més extenses que les que reproduïm aquí i més complexes quan el perfil del lloc ho exigeixi, però el valor sempre és el mateix:
El teu compromís amb la seguretat és essencial per a tota l’organització.
Localitza a la teva organització les polítiques de seguretat, les mesures de seguretat i les recomanacions o instruccions de seguretat per als usuaris i familiaritza-t’hi.
El sector privat i el sector públic necessiten tractar cert volum de dades per a funcionar. Una gran part d’aquestes dades son de caràcter personal. Tractar dades utilitzant tecnologies de la informació pot afectar als drets de las persones. Per això, cal definir un marc normatiu que permeti tractar les dades i alhora protegir els drets de les persones.
És el moment de descriure alguns aspectes bàsics d’aquesta regulació. Però abans cal desfer algunes confusions i errors de judici que solen ser habituals a l’hora d’enfocar aquesta matèria.
1a Confusió
Tots tenim aspectes de la nostra vida personal que volem mantenir reservats i això fa que la intimitat sigui un concepte molt proper. Des dels mitjans, se’ns transmet certa diferenciació entre el que és públic i el que és privat. Se’ns diu que tot allò que passa en públic està a disposició de qualsevol.
Existeixen exemples que demostren el contrari. Hi ha diverses sentències des de fa anys que afecten a famosos molt coneguts que reconeixen el seu dret a la vida privada en espais públics. Totes aquestes sentències venen a dir que aquestes persones tenen dret a poder anar de compres, estar privadament amb la seva parella en una platja pública o dinar en un restaurant sense que la premsa en pugui captar imatges. “Estar en públic” no dona cap dret als mitjans. Per tenir-hi dret, el que és rellevant és que passi alguna cosa d’interès públic. Els tribunals han entès que quan passeges amb la teva parella per la platja, i aquesta no és un personatge públic, estàs fent una cosa privada. Que un restaurant no és un lloc tan públic com sembla. O que tens dret a anar a comprar en xandall, arreglat però informal.
A partir d’aquesta confusió inicial, a la nostra feina només atribuïm valor a aquelles dades que pertanyen al vessant més íntim. No dubta ningú que una dada que afecta la salut d’una persona o la seva vida sexual sigui una cosa particularment delicada i important a la qual cal parar molta atenció. Al contrari, no ens sembla que sigui molt rellevant el nom i els cognoms d’aquella persona, una determinada fotografia o una adreça de correu electrònic. De manera inconscient establim una divisió entre el que considerem que pertany a la intimitat, i que per tant cal protegir, i certes dades personals que no tindrien importància.
I amb aquesta òptica,
2a Confusió
I aquesta és la qüestió que ha tingut en compte el nostre Tribunal Constitucional en la sentència 292/2000 en la qual es va reconèixer el dret fonamental a la protecció de dades.
A la pregunta sobre quines dades estan protegides el Tribunal Constitucional respon que:
«[Està protegit] qualsevol mena de dada personal, sigui o no íntima, el coneixement o utilització de la qual per part de tercers pugui afectar els seus drets, siguin o no fonamentals, perquè el seu objecte no és només la intimitat individual, que per a això hi ha la protecció que atorga l’article 18.1 CE, sinó les dades de caràcter personal. Per tant, també abasta aquelles dades personals públiques que, pel fet de ser-ho, de ser accessibles al coneixement de qualsevol, no escapen al poder de disposició de l’afectat perquè així ho garanteix el seu dret a la protecció de dades. També per això, el fet que les dades siguin de caràcter personal no vol dir que només tinguin protecció les relatives a la vida privada o íntima de la persona, sinó que les dades emparades són totes aquelles que identifiquin o permetin la identificació de la persona, podent servir per a la confecció del seu perfil ideològic, racial, sexual, econòmic o de qualsevol altra índole, o que serveixin per a qualsevol altra utilitat que en determinades circumstàncies constitueixi una amenaça per a l’individu» (STC 292/2000).
3a Confusió
Ara ja sabem que allò rellevant per complir amb la normativa és tractar les dades. Convé tenir en compte des d’aquest moment que moltes vegades gestionem dades en els nostres propis ordinadors.
4a Confusió
5a Confusió
Una altra qüestió d’enfocament molt comú consisteix a identificar la legitimació per al tractament, i les condicions d’ús i recollida de les dades, amb el fet que perseguim una finalitat positiva que beneficiarà les persones segons el nostre criteri.
6a Confusió
Pots pensar que com a usuari no et preocupa massa aquesta qüestió perquè el tema de la protecció de dades és cosa dels responsables d’informàtica o dels serveis jurídics. Que a tu no t’afecta i, en tot cas, si hi ha una infracció solen sancionar l’organització. A més, si és una Administració no hi ha sancions econòmiques. Això, que pot ser cert, no implica que no es pugui causar un dany a les persones afectades i pugui també afectar al prestigi de l’entitat per a la qual es treballa.
Les organitzacions hauran de portar un “registre dels tractaments”. Per conèixer en realitat quins tractaments existeixen i com es tracten les dades personals serà necessari auditar, preguntar als usuaris. Quan la teva organització decideixi realitzar aquesta auditoria hauries de proporcionar informació transparent perquè puguin no només complir amb la norma sinó també ajudar-te.
Per saber quan cal aplicar la normativa de protecció de dades personals és important tenir clars alguns conceptes bàsics i identificar i corregir alguns errors comuns d’apreciació. El primer que ens interessa és ser capaços de reconèixer quan estem davant d’una dada de caràcter personal i saber que estem tractant dades.
Hem instal·lat una videocàmera que grava els accessos al nostre edifici, publiquem una llista de dades de funcionaris públics a l’agenda de contactes de la nostra corporació, tenim arxivats negatius fotogràfics o radiografies, algú ens ha enviat un currículum per correu electrònic, una persona ha participat fent un comentari a l’espai de govern obert de la nostra web… Estem tractant dades?
Per oferir claredat a l’hora d’aplicar la normativa, les lleis de protecció de dades han establert definicions dels conceptes més importants. El Reglament General de Protecció de Dades de la Unió Europea no n’és una excepció, i ha inclòs diferents definicions que ens interessen.
[…] «dades personals»: tota informació sobre una persona física identificada o identificable («l’interessat»); es considerarà persona física identificable tota persona la identitat de la qual es pugui determinar, directament o indirecta, en particular mitjançant un identificador, com per exemple un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona; […]
Hem de parar atenció a alguns elements d’aquesta definició per després poder-los aplicar a la nostra pràctica quotidiana:
Què vol dir ser identificable?
Podem entendre què vol dir identificable amb un exemple pràctic.
És molt probable que cada matí en arribar a la feina trobem a la porta d’entrada un rètol informatiu que ens informa que hi ha càmeres de videovigilància. També el trobarem en supermercats o en estacions de tren. Apliquen la normativa de protecció de dades per informar que algú pot estar captant imatges que es consideren dades de caràcter personal.
Pensem en un context laboral. A la nostra feina no disposen de tecnologia que permeti identificar les persones de manera automàtica. No se solen fer servir sistemes de vigilància tan sofisticats. No obstant, per establir si hem arribat a temps o no al nostre lloc de treball, n’hi hauria prou que algú de recursos humans confrontés la fotografia de la nostra fitxa personal amb les imatges de la franja horària de les vuit a les deu.
De fet, el Reglament de la LOPD indica que una persona és identificable quan la seva identitat «es pugui determinar, directament o indirecta, mitjançant qualsevol informació referida a la seva identitat física, fisiològica, psíquica, econòmica, cultural o social». I posa una segona condició: que la identificació no requereixi terminis o activitats desproporcionats. I això ens porta a la segona característica de la definició: una dada aporta “informació” i aquesta pot ser de tota mena. La normativa espanyola es refereix a informació «numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altra mena».
Si tenim en compte aquestes definicions legals, el ventall de supòsits que abasta el concepte “dades” és amplíssim.
N’hi ha alguns que són evidents, com el nom i els cognoms d’una persona, però també una fotografia, una radiografia, l’estat o el número de compte bancari o de targeta de crèdit, el número de la seguretat social o de la targeta SIP, una adreça de correu electrònic… Alguns d’aquests proporcionen identificabilitat per ells mateixos. Una adreça física no ens diu res, però, ¿i si demanem una còpia simple al Registre de la propietat? Altres tindran un valor en relació amb una persona. Si en una classe a la Facultat de Medicina s’utilitza una anàlisi clínica de la qual s’han eliminat totes les dades d’identificació, aquesta informació no diu res en termes de personalitat, però si hi fossin s’estaria revelant informació confidencial.
El Reglament General de Protecció de Dades de la Unió Europea ens ofereix en l’article 4 les definicions de tractament i fitxer:
[…] «tractament»: Qualsevol operació o conjunt d’operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com ara la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, confrontació o interconnexió, limitació, supressió o destrucció;
[…] «fitxer»: Tot conjunt estructurat de dades personals, accessibles d’acord amb criteris determinats, ja sigui centralitzat, descentralitzat o repartit de manera funcional o geogràfica;
La normativa s’aplica als tractaments i, com acabem de veure, la seva definició és molt àmplia.
Qualsevol acció que es fa amb una dada suposa un tractament.
Solem tenir un enfocament equivocat, ja que tendim a tenir una visió molt limitada del concepte de tractament i de fitxers, ja que el limitem a l’ús d’uns programaris concrets.
Podríem enumerar una vintena de categories de sistemes més habituals (el Registre d’entrada de documents i la seu electrònica, el de recursos humans, el de prevenció de riscos laborals, el de gestió acadèmica…). Des del punt de vista de l’usuari no format en protecció de dades, seria només a aquests sistemes als que se’ls aplicaria la normativa. I, erròniament, solem creure que no se li aplicaria, per exemple, a la llista dels proveïdors d’un departament en “Word” elaborada i mantinguda per personal d’administració d’aquest departament o a una llista en paper dels assistents a una jornada. Aquesta és una idea errònia que cal desterrar d’arrel.
Acabarem amb una altra idea errònia:
El consentiment ha estat específicament definit per la normativa europea:
[…] «consentiment de l’interessat»: tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual l’interessat accepta, per mitjà d’una declaració o d’una clara acció afirmativa, el tractament de dades personals que li concerneixen;
Segons el RGPD, per “consentir” hem de fer “alguna cosa” que demostri que estem dient “sí”, omplir una fitxa, fer clic a Acceptar, marcar una casella… I el que és més important, el Responsable, qui tractarà les dades, ha de poder “demostrar” que nosaltres consentim.
La llei considera com a especials una sèrie de dades per la seva incidència en la intimitat, les llibertats públiques i els drets fonamentals de la persona, i cal protegir-les més que la resta de dades personals.
El Reglament General de Protecció de Dades considera especialment valuosos determinats tipus de dades:
[…] «dades genètiques»: dades personals relatives a les característiques genètiques heretades o adquirides d’una persona física que proporcionin una informació única sobre la fisiologia o la salut d’aquella persona, obtinguts en particular de l’anàlisi d’una mostra biològica de tal persona;
«dades biomètriques»: dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o de conducta d’una persona física que permetin o confirmin la identificació única d’aquesta persona, com ara imatges de la cara o empremtes dactilars;
«dades relatives a la salut»: dades personals relatives a la salut física o mental d’una persona física, inclosa la prestació de serveis d’atenció sanitària, que revelen informació sobre el seu estat de salut passat, present i futur; […]
Hi ha dades que poden facilitar la discriminació de les persones. En aquest cas, la regla que s’aplica és que si no hi ha consentiment o una autorització de la Llei, està prohibit tractar-les.
[…] Queden prohibits el tractament de dades personals que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l’afiliació sindical, i el tractament de dades genètiques, dades biomètriques dirigides a identificar de manera unívoca una persona física, dades relatives a la salut o dades relatives a la vida sexual o les orientacions sexuals d’una persona física (Article 9, RGPD).
Com és lògic, una prohibició absoluta podria impedir contra tota raó tasques essencials, per exemple, en salut o serveis socials. Un cas clar en matèria de salut: si una persona entra inconscient i molt greu en un hospital, no se li demana el consentiment per tractar dades de salut, se li salva la vida.
Per això, la normativa permet tractar-les:
En tots els casos anteriors veiem que hi ha present algun interès públic estratègic.
Podríem posar molts exemples.
[…] «Responsable del tractament» o «Responsable»: la persona física o jurídica, autoritat pública, servei o altre organisme que, sol o conjuntament amb altres, determini els fins i mitjans del tractament; si el Dret de la Unió o dels Estats membres determina els fins i mitjans del tractament, també podrà el Dret de la Unió o dels Estats membres establir el responsable del tractament o els criteris específics per al seu nomenament;
Per això, en tots aquells casos que decidim tractar dades, crear una base de dades, etc., hem de tenir en compte que si ho fem sense subjectar-nos a les regles internes, o incomplint la regulació, l’organització on servim podrà ser sancionada com a responsable d’un tractament contrari a la normativa.
L’obligació del Responsable del tractament de dades és tractar les dades de manera lícita tot garantint els drets i llibertats de les persones propietàries de les dades.
El tractament tan sols serà lícit si:
Les administracions majoritàriament tractem dades per una obligació legal o per a l’acompliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al Responsable del tractament, sense oblidar la relació contractual entre el personal i l’organització per a la qual presta serveis.
Cal el consentiment sempre que es tractin dades de menors o categories especials.
[…] «Encarregat del tractament» o «Encarregat»: la persona física o jurídica, autoritat pública, servei o altre organisme que tracti dades personals per compte del Responsable del tractament.
Sempre hi haurà d’haver un contracte (conveni…) que vinculi l’Encarregat amb el Responsable del tractament.
La Diputació actua com a Encarregada del tractament de les dades dels ens locals en les seves funcions d’assistència i cooperació. Hi haurà un conveni o una sol·licitud de Catàleg de Xarxa que estableixi les obligacions. Els ens locals són els que tenen les competències en la matèria i per tant són els Responsables del tractament de les seves dades personals.
Les administracions públiques estan obligades a comptar amb un Delegat de protecció de dades.
El Delegat de protecció de dades és la persona que s’encarrega d’assegurar que l’organització compleixi els seus deures en aquesta matèria.
És molt convenient familiaritzar-se amb tota la informació disponible a l’hora de realitzar aquestes accions. És molt probable que existeixin indicacions específiques, una llista de les persones facultades per autoritzar un tractament, i se’ns digui com ho hem de demanar i com ho hem de fer.
De no fer-ho així, resulta que estem utilitzant informació al marge de les pràctiques establertes i sense coneixement de l’organització. I això suposa un risc elevat, no només es tractaria d’una pràctica indeguda sinó que a més a més l’equip de seguretat no ens podria ajudar a aplicar les polítiques més adequades per garantir la confidencialitat, integritat i disponibilitat de la informació.
Que les dades personals estiguin en un arxiu al nostre ordinador o que les tinguem en suport paper no exclou el nostre deure de complir amb les normes de protecció de dades. En moltes ocasions exportem dades dels sistemes de l’organització a Word, Excel, etc., i les conservem per exemple per comoditat. D’altres, realitzem aquests tractaments sense informar-ne l’organització, sense que ho sàpiga ningú.
En tots aquests casos, el problema no consisteix només a pensar que no s’aplica la normativa, també afectem a la certesa de la informació i posem en risc la seguretat.
L’Ajuntament actua com a responsable del tractament de les dades utilitzades per a la gestió interna o per a activitats pròpies de les seves competències (segons la Llei 7/1985 de bases de règim local, art. 25, 26 i 27).
Les organitzacions (ajuntaments, diputacions…) en són les responsables. Les dues figures obligatòries que ha de tenir qualsevol ens local són l’alcalde o alcaldessa, com a responsable del tractament de dades, i el delegat de protecció de dades (DPD).
Cada ajuntament haurà adoptat una estructura diferent en funció de la població, els recursos i la maduresa en la matèria.
Per exemple, en un ajuntament petit, segurament el DPD serà extern. En la majoria dels casos, serà personal de la Diputació qui n'assumirà les funcions. D’igual manera que el responsable de seguretat TI serà extern, l’empresa o professional que presti el suport tecnològic també.
En una organització gran, com per exemple la Diputació de Barcelona, l’estructura serà més complexa i hi pot haver més figures i rols.
Tractar dades no és una cosa que puguem decidir lliurement. El marc d’autonomia de l’usuari de qualsevol organització ve definit pel seu perfil funcional i són realment pocs els autoritzats a prendre una decisió d’aquesta transcendència. En aquest sentit, i de manera molt genèrica, podrem identificar dos supòsits:
Aquest supòsit es dona quan amb motiu de la nostra feina estem autoritzats a realitzar determinats tractaments en el marc de les nostres tasques.
Quines implicacions té?
En aquests casos, l’organització ha registrat el tractament, ha identificat els usuaris i els ha atorgat certs permisos, etc.
Com cal procedir?
Treballar seguint les polítiques, els criteris i els mitjans que ha establert l’organització.
Aquest supòsit es dóna quan necessitem dur a terme un tractament per al qual no disposem de recursos o autorització.
Quines implicacions té?
Qualsevol decisió que suposi un nou tractament de dades personals, per senzill que resulti, està subjecte a regles i no el podem fer lliurement.
La regulació estableix de manera molt precisa que l’organització per a la qual treballem és la responsable d’aquest tractament. En serà per tant responsable el nostre ajuntament.
Com cal procedir?
Plantejar el cas al Delegat de protecció de dades.
Esbrinar quins són els procediments que cal seguir a l’organització per al tractament d’aquestes dades.
No prendre cap decisió a compte i risc propi.
Tractar dades:
És fonamental que seguim les recomanacions i procediments fixats per la nostra administració.
En relació amb el tractament de dades, els empleats tenen dret a disposar de les eines i procediments per a un ús acurat de la informació que els faciliti les tasques que tenen assignades.
Cadascun dels ens locals facilitaran als seus empleats les dades de contacte (l’adreça electrònica, el nom…) del delegat de protecció de dades, figura que és obligatòria, així com els canals d’assistència per a la resolució dels dubtes generats en la protecció de dades que hagin previst.
Els empleats tenen el deure de complir les obligacions establertes per l’ens local a les seves polítiques, els manuals i les circulars i de col·laborar activament per aconseguir les finalitats definides. L’incompliment de la llei té conseqüències.
En paraules del Tribunal Constitucional:
El dret fonamental a la protecció de dades consisteix a atribuir a les persones una facultat de control sobre les seves dades personals.
Si no tenim informació sobre els tractaments de les nostres dades ens trobaríem totalment desarmats, incapaços de reaccionar davant d’un tractament que no ens resulti convenient.
Aquesta facultat s’exerceix a través d’una sèrie de poders, de potestats o de drets que constitueixen el nostre objecte d’estudi.
Aquests drets es recullen a partir del 2018 al Reglament Europeu de Protecció de Dades, conegut també com a Reglament General de Protecció de Dades (RGPD) que:
Les facultats d’accedir, rectificar i cancel·lar són molt importants, per exemple, en l’àmbit de l’administració electrònica.
Aquests drets formaven part de la Llei Orgànica de Protecció de Dades (LOPD 15/99) i van prendre el nom de “drets ARCO”. La Regulació Europea actualitza aquests drets.
Veiem com es traslladen al Reglament Europeu els drets ARCO de l’antiga Llei Orgànica de Protecció de Dades:
Veiem, de manera introductòria, un cas il·lustratiu sobre l’exercici de drets en el nou marc normatiu, el Reglament Europeu de Protecció de Dades (RGPD):
Què passa si demano un préstec i me’l deneguen i no sé per què?
Moltes vegades això es deu al fet que una entitat ha inscrit en un fitxer d’informació sobre solvència patrimonial –el que col·loquialment anomenem fitxers de morosos– que li devem una quantitat. Si jo no dec res, però no sé quin fitxer ha consultat el meu banc, qui ha notificat el deute i com fer que aquesta anotació desaparegui, el resultat pràctic és que “mai” podré demanar un crèdit personal o hipotecari perquè per al mercat financer “soc un mal pagador o una mala pagadora”.
Per a això necessitem:
El Reglament Europeu, a més d’aquests drets (coneguts com drets ARCO), ens concedeix, addicionalment, nous drets:
El deure d’informació serveix per conèixer exactament en què consistirà el tractament.
L’organització que tractarà les dades –ja sigui amb el nostre consentiment o de manera obligatòria– ha de facilitar una mínima informació que es troba regulada en el RGPD de manera diferenciada d’altres informacions (política de cookies, avís legal, bases d’un concurs…).
Generalment, la informació mínima que s’ha de facilitar, se sol estructurar per “capes”. A la primera capa se’ns ofereix una informació bàsica que s’ha d’acompanyar d’informació addicional per conèixer amb detall els aspectes que poden ser rellevants. En concret, la informació que ens han d’oferir ha de ser la següent:
El “Responsable” del tractament. Implica informar de:
La “Finalitat” i base jurídica del tractament. És a dir, informar sobre les finalitats per a les quals es tractaran les dades i les lleis que ho sustenten. Qui tracti les dades només les pot utilitzar per a la finalitat sobre la que hem estat informats.
Les categories de dades personals. S’ha d’especificar quines categories i tipus de dades es tractaran. Per exemple, el domicili particular, en certes situacions, és una dada d’identificació més sensible i íntima que un correu electrònic.
Els destinataris de les dades (de cessions o transferències). L’objectiu d’aquesta informació és que siguem capaços d’avaluar a qui es cediran les nostres dades i, en cas necessari, ens hi puguem adreçar per exercir la nostra capacitat de control. Per això, s’ha d’informar de la intenció del Responsable de transferir dades personals a un destinatari en un tercer país o organització internacional i en quines condicions.
Les nostres dades es recullen al nostre país però poden acabar sent utilitzades a qualsevol altre tercer país no integrat a la Unió Europea o a l’Espai Econòmic Europeu. Quan es dona aquesta circumstància es produeix una transferència internacional.
Només es poden transferir dades a països segurs (és a dir, amb legislació homologable i reconeguts com a tal per la Comissió Europea) o que hagin ofert garanties adequades i les transferències hagin estat autoritzades.
Terminis de conservació de dades. El termini durant el qual es conservaran les dades personals o, quan això no sigui possible, els criteris utilitzats per determinar aquest termini.
Interessos legítims. Informar dels interessos legítims del Responsable del tractament o d’un tercer quan el tractament es basi en aquesta habilitació.
Els drets que es poden exercir. S’ha d’informar que una persona té el dret de sol·licitar al Responsable del tractament:
Les dades personals que són requisit legal contractual o necessari. S’ha de comunicar si les dades personals sol·licitades són un requisit legal o contractual, o un requisit necessari per subscriure un contracte. De la mateixa manera, si l’interessat està obligat a facilitar les dades personals i està informat de les possibles conseqüències de no facilitar-les.
L’existència de decisions automatitzades. S’ha d’informar de l’existència de decisions automatitzades, inclosa l’elaboració de perfils. En aquests casos s’ha de facilitar informació significativa sobre la lògica aplicada, i també sobre la importància i les conseqüències previstes d’aquest tractament per a l’interessat.
I si es produeix un canvi de finalitat?
Un canvi de finalitat, fins i tot quan es tracti d’una finalitat “compatible”, pot repercutir notablement sobre els drets i interessos de les persones les dades de les quals es tracten.
En aquests casos, el Responsable no pot realitzar el tractament sense passar novament pel tràmit d’informació que ha de garantir que tinguem una idea clara de què es farà amb les nostres dades.
És fonamental definir molt bé les finalitats d’un tractament. Com més bé les definim, i com més precisos siguem, menys dificultats trobarem en el tractament posterior de les dades.
I si les dades no les he facilitat jo al Responsable?
No sempre les dades arriben a una organització després d’haver interactuat amb el seu titular. Pot ser que les hagi notificat un tercer, a qui els hi havíem donat en origen, o pot ser que s’hagin localitzat en recursos disponibles per a tothom.
Per això, l’obligació d’informar no només correspon als qui directament han recollit les nostres dades sinó que també afecta aquells casos en els quals les dades han estat obtingudes sense la nostra participació, o bé perquè s’han localitzat en alguna mena d’entorn de caràcter públic, o bé perquè les ha facilitat un tercer.
Ens han d’informar de tot el que hem indicat i també sobre “la font de la que procedeixen les dades personals i, si escau, si procedeixen de fonts d’accés públic”.
¿Recordes que si algú notifica a un fitxer de solvència patrimonial i crèdit que ets morós mai més podràs contractar un préstec? ¿I d’on ha tret les dades aquella entitat tan pesada que no para d’enviar-te publicitat? Si ni l’una ni l’altra t’expliquen quin és l’origen de les dades, no et podràs dirigir mai a l’entitat que les va tractar en primer lloc, les va cedir i/o publicar per impedir aquest tipus d’ús.
I de quina manera me n’han d’informar?
La normativa apunta que s’ha de fer d’una manera clara, senzilla i el més comprensible possible. Especialment si es tracta de menors, el llenguatge s’haurà d’adaptar a la seva edat.
Quan es redacta una clàusula informativa en la recollida de dades cal procurar ser clars, utilitzar un text llegible, en una mida igual que la de la pàgina, i incloure-la abans de la funció d’acceptació.
Al llarg de la història d’Internet s’han fet servir moltes estratègies d’informació no massa esportives. La més comú consisteix a posar la informació sobre privacitat en una pàgina secundària i enllaçar-la, ja que ningú punxa mai aquests enllaços. De vegades el text resulta il·legible des de la pantalla d’un mòbil. En d’altres ocasions són informacions molt llargues i avorrides de llegir.
Localitza les polítiques de privacitat de la teva organització i algun/alguns models d’imprès que s’hi fan servir i verifica si compleixen amb les previsions normatives. A més a més, és clara i fàcil d’entendre?
Imaginem alguns supòsits habituals:
La normativa ens concedeix el dret:
En l’apartat dedicat al “dret de transparència de la informació” s’expliquen més detalladament cadascuna de les informacions a les quals es té dret d’accés.
Si ens hi fixem, existeix una correlació pràcticament exacta amb el principi d’informació i transparència. Per tant, qui tracta dades té un deure de transparència en fins a tres moments diferents:
Els drets de rectificació i supressió serveixen essencialment per assegurar la certesa de la informació i, si escau, per eliminar determinada informació quan existeixi una causa per fer-ho.
L’exercici del dret de rectificació comporta la possibilitat de modificar les dades quan resultin inexactes, incomplets, incorrectes.
L’interessat podrà exercir aquest dret presentant una sol·licitud de rectificació a l’organització responsable del tractament de dades.
Aquest dret, que abans (en els drets ARCO) s’anomenava de cancel·lació, té per objecte el dret a obtenir la supressió de les dades personals.
Aquest és un dret que, per exercir-lo, cal que concorrin certes circumstàncies:
a) O bé que les dades personals:
b) O bé que l’interessat:
La supressió implica que les dades desapareixen del sistema d’informació, tot i que podem sol·licitar que es mantinguin bloquejades sense utilitzar a fi de presentar reclamacions o demandes per a la tutela dels nostres drets o el rescabalament de danys.
Un problema molt específic es produeix quan les dades s’han facilitat a tercers, o s’han fet públiques a Internet i han estat indexades. És aquí quan ens enfrontem al que s’ha anomenat el “dret a l’oblit”.
Com hem anat explicant, Internet guarda un rastre de tot el que fem. És el cercador el que decideix quina informació indexa primer. Les seves regles se’ns escapen i per tant no sabem per què una determinada informació apareix en primer lloc. Si aquesta informació perjudica el nostre honor o intimitat tenim un problema.
Quan una Administració publica per error un requeriment de pagament d’una multa. Sempre apareixerem com a “infractors”. Des de fa anys, el Butlletí Oficial de la Província inclou instruccions informàtiques per evitar la indexació. Això no obstant, de vegades la publicació d’aquesta informació per part de tercers la fa visible als cercadors.
En aquests casos, la normativa europea obliga el Responsable no només a suprimir les dades sinó també a adoptar mesures raonables per informar els responsables que estiguin tractant les dades personals de la sol·licitud de supressió de l’interessat, de qualsevol enllaç a aquestes dades personals, o de qualsevol còpia o rèplica d’aquestes dades. En tot cas, no és una obligació absoluta, ja que dependrà de la tecnologia disponible i del cost de la seva aplicació.
El que ens permet aquesta modalitat de dret a l’oblit és demanar-li al cercador que no editi a un país concret les cerques que responguin al criteri “Nom Cognoms”. Així, si per exemple un assetjador o assetjadora ens maltractés en un blog personal, amb independència de les accions directes contra l’autor d’aquesta conducta, podríem demanar als cercadors que s’ometin els resultats de la cerca.
Però aquest dret a la supressió o a l’oblit no és absolut i no s’aplicarà quan el tractament sigui necessari:
Per saber-ne més
Per entendre bé els problemes associats al dret a l’oblit a Internet, recomanem cercar a Internet “Marta Bobo” “anorexia”. S’hi pot apreciar l’impacte d’Internet a la vida d’una persona. És molt interessant, i un dels primers resultats, l’article de la defensora del lector del diari El País (15/05/2011).
El primer cas de dret a l’oblit el va exercir un professor, els estudiants del qual van trobar un requeriment de pagament de sanció publicat en un Butlletí Oficial de Província. L’Ajuntament responsable, en lloc de notificar l’impagament d’una sanció per infracció de l’article que fos de les ordenances municipals, va expressar clarament que la multa se li imposava per “orinar a la via pública”. Passats mesos o anys, ¿diu res, aquesta informació, sobre les competències reals de la persona? El podria perjudicar en l’accés a una feina?
Organitzacions com les administracions solen publicar molta informació a Internet. En gran part és informació personal la indexació de la qual pot perjudicar els drets o interessos de les persones concernides, o senzillament molestar-les. És per això que sembla necessari tenir en compte certes recomanacions:
Si la normativa ha previst que es puguin tractar dades personals sense el nostre consentiment, ens proporciona com a contrapartida la possibilitat d’oposar-nos-hi.
En principi, aquest dret l’exercirem aportant motius relacionats amb la nostra situació particular. Davant d’aquest exercici de drets, el Responsable haurà de ponderar els motius al·legats per l’interessat i els atendrà si no és que acredita motius legítims imperiosos per al tractament que prevalguin per damunt dels interessos, drets i llibertats de l’interessat, o per a la formulació, l’exercici o la defensa de reclamacions.
Es poden proposar dos exemples molt clars sobre aquest tipus de dret.
La normativa regula supòsits específics:
Es tracta de drets nous en la normativa actual i que contribueixen a oferir garanties addicionals als interessats.
La normativa defineix així la limitació del tractament:
[…] «limitació del tractament»: el marcatge de les dades de caràcter personal conservades amb la finalitat de limitar-ne el tractament en el futur;
[…] En els fitxers automatitzats, la limitació del tractament s’ha de realitzar, en principi, per mitjans tècnics, de manera que les dades personals no siguin objecte d’operacions de tractament ulterior ni es puguin modificar. El fet que el tractament de les dades personals estigui limitat s’ha d’indicar clarament en el sistema.
Suspensió del tractament de dades
Aquest dret permet sol·licitar al Responsable que suspengui el tractament de dades quan:
Conservació de dades
Aquest dret també permet sol·licitar al Responsable que conservi les teves dades personals quan:
En els casos de conservació es tracta d’evitar la supressió o el tractament de les dades que queden bloquejades, o per entendre-ho més gràficament congelades, sense que el Responsable pugui modificar-les o eliminar-les.
El Reglament General de Protecció de Dades proposa diversos mètodes per bloquejar o congelar les dades:
Anomenem portabilitat a la possibilitat de descarregar les nostres dades o de migrar-les a una altra plataforma s’anomena portabilitat (com fan les companyies de telefonia).
En moltes ocasions ens hem registrat en un lloc o hem contractat un servei que de mica en mica hem deixat d’utilitzar. Això no obstant, mantenim el nostre perfil o registre perquè no ens podem emportar les nostres dades, que de vegades inclouen documents, milers de fotografies o vídeos, i no existeix cap manera d’exportar-los conjuntament, s’han de baixar d’un en un.
La normativa europea reconeix a l’interessat el dret de rebre les dades personals que li hagi facilitat a un Responsable del tractament, en un format estructurat, d’ús comú i lectura mecànica. Així mateix, a transmetre-les a un altre Responsable del tractament sense que ho impedeixi el Responsable al qual les hagués facilitat.
Però això passarà quan concorrin certes condicions:
El lloc adient seria la seu electrònica del teu Ajuntament. Comprova si hi ha informació sobre drets, i sobre els tràmits i les sol·licituds per exercir-los, i si es pot consultar el registre d’activitats del tractament.
Saps on tens disponibles les eines per treballar: manuals, protocols, circulars elaborades pel teu Ajuntament? El teu DPD te n’informarà.
A la web de l’APDCAT pots trobar:
Si per aquesta via no s’ha pogut resoldre, si s’estima oportú es pot presentar una reclamació davant de l'Autoritat Catalana de Protecció de Dades (APDCAT) a través del seu web: apdcat.cat > Drets i obligacions > Reclamar i denunciar