1. Conceptes generals

Una dada personal és qualsevol informació referida a una persona física identificada o identificable, per exemple el seu nom i cognoms, el número de telèfon mòbil, el número de DNI o qualsevol altra dada que la identifica.

Diem que són dades identificables totes les que es refereixen a una persona no identificada, però que es pot arribar a identificar, és a dir, que és identificable i se’n pot determinar la identitat a partir de qualsevol element, com podria ser un codi identificador, per exemple el número d’empleada o la matrícula d’un vehicle.

Cal tenir presents la Llei orgànica 3/2018 (LOPDGDD) estatal i la normativa catalana, així com les circulars que pugui dictar l’Autoritat Catalana de Protecció de Dades. Però és el reglament europeu (UE 2016/679, Reglament General de Protecció de Dades) la norma que regula de manera principal i preferent el dret fonamental a la protecció de dades. El poder de control de cada persona sobre les seves dades és una idea molt present en el reglament europeu de protecció de dades, d’obligat compliment en tots els estats de la Unió Europea des del maig de 2018 (es complementa amb la Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals).

Cal saber que la normativa sobre protecció de dades personals no s’aplica als tractaments efectuats per una persona física en l’exercici d’activitats exclusivament personals o domèstiques (per exemple, en incloure algú en una llista de contactes del mòbil, enviar un WhatsApp als amics o confeccionar un àlbum de fotografies de les vacances).

Cal afegir, finalment, que només les persones físiques són titulars d’aquest dret; les persones jurídiques, no (una altra cosa és que en un escrit o document d’una empresa hi poden haver dades del seu representant o altres persones, que sí que són dades personals), i que aquesta normativa de protecció de dades tampoc no s’aplica a persones difuntes. Les persones vinculades al difunt per raons familiars o els seus hereus poden sol·licitar l’accés a les seves dades personals, i la seva rectificació o supressió, tret que la persona morta ho hagués prohibit expressament.

És qualsevol manifestació de voluntat lliure, específica, informada i inequívoca, per la qual la persona interessada accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de les seves dades personals. Per considerar que la persona dona el consentiment, s’exigeix una acció afirmativa clara, de manera que no serveix el consentiment obtingut de manera tàcita, és a dir, no s’aplica al consentiment allò de qui no ha dit el contrari se suposa que està consentint.

Els menors d’edat poden consentir el tractament de les seves dades a partir dels 14 anys. En canvi, si el menor té una edat inferior als 14 anys, el consentiment ha de ser prestat pels pares o els representants legals.

El tractament de dades personals és qualsevol operació sobre dades personals, amb independència que es faci electrònicament o en paper. Es considera tractament de dades personals la seva recollida, però també la consulta, la utilització o difusió, inclús la seva destrucció, de manera que quan s’eliminen dades personals s’ha de fer amb seguretat i, per tant, no es pot llençar a la paperera un document amb dades personals.

El responsable del tractament és la persona física o jurídica, autoritat pública o qualsevol organisme que, sol o juntament amb d’altres, determina les finalitats i els mitjans del tractament. El responsable és qui decideix iniciar la recollida i el tractament de dades personals per considerar-les necessàries per a unes finalitats.

Quan dos o més responsables determinen conjuntament els objectius i mitjans de tractament es parla de corresponsabilitat. Hi hauria corresponsabilitat, per posar un cas, quan dues entitats locals decideixen mancomunar un servei que fins llavors prestaven per separat, i la prestació del servei implica tractar dades personals.

L’encarregat del tractament és la persona física o jurídica, autoritat o organisme que tracta dades personals per compte del responsable. Aquesta relació entre el responsable i l’encarregat s’ha de regular per mitjà d’un contracte, que ha de respectar un contingut mínim que estableix el reglament europeu de protecció de dades.

Són dades de categories especials les dades personals a les quals la normativa sobre protecció de dades els dona una protecció màxima. En aquest grup hi ha les dades relatives a l’origen ètnic o racial, opinions polítiques, religió, afiliació sindical, dades genètiques o biomètriques, dades de salut o les relatives a la vida sexual o l’orientació sexual.

Les dades biomètriques són les dades relatives a les característiques físiques, fisiològiques o conductuals d’una persona física, que permeten o confirmen la identificació única (per exemple, l’empremta dactilar).

Les dades genètiques són dades personals relatives a les característiques genètiques heretades o adquirides d’una persona física (per exemple, l’ADN).

Les dades de salut són les dades relatives a la salut física o mental d’una persona física que revelen informació sobre el seu estat de salut, inclosa la prestació de serveis d’atenció sanitària.

En relació amb aquestes categories especials de dades hi ha una prohibició general de tractament i només és possible tractar-les en casos molt específics.

L’elaboració de perfil és un tractament de dades per avaluar determinats aspectes personals d’un individu, en especial, per analitzar o predir aspectes relatius a les preferències personals, els interessos, la fiabilitat, el comportament, la ubicació o els moviments d’aquesta persona.

La pseudonimització consisteix a tractar les dades de manera que ja no es puguin atribuir a una persona sense utilitzar informació addicional, que ha de guardar-se per separat i amb mesures de seguretat molt estrictes. Aquest concepte no s’ha de confondre amb el concepte d’anonimització.

El Registre General de Protecció de Dades (RGPD en endavant o també reglament europeu) s’aplica a les dades pseudonimitzades, però no a les anonimitzades o dissociades, en les quals no es pot identificar la persona.

Les dades anònimes, en canvi, són aquelles en què s’ha trencat el fil conductor entre una informació i una persona física, de manera que no és possible reidentificar-la. Són dades en què la informació s’ha separat de la persona, i per això es parla també de dades dissociades, i no se’ls aplica la normativa de protecció de dades, a diferència del que passa amb les dades pseudonimitzades, a les quals sí que se’ls aplica.

La violació de seguretat de dades personals és qualsevol incident en la seguretat de les dades personals que ocasiona la pèrdua, la no disponibilitat o l’accés a les dades per part de persones no autoritzades. Afecta a:

• La confidencialitat.
• La integritat.
• La disponibilitat.

El reglament europeu ha suposat un canvi de paradigma, perquè en lloc d’establir unes mesures de seguretat concretes, com feia la normativa anterior, ara s’exigeix a les organitzacions que analitzin les dades personals que tracten en cada cas (tipologia, finalitats, context) i els possibles riscos. I a partir d’aquesta anàlisi, cada organització ha de decidir quines són les mesures apropiades per a la seguretat de les dades personals, és a dir, per garantir-ne la confidencialitat, la integritat i la disponibilitat.

El delegat de protecció de dades (DPD) és la persona referent de l’organització en protecció de dades que, entre altres requisits, ha de tenir experiència en aquesta matèria.

La designació d’una persona com a DPD és obligatòria en uns supòsits determinats, i en tot cas quan el responsable o encarregat del tractament és un organisme públic. Per tant, un ajuntament, un consell comarcal o una diputació estan obligats a disposar de delegat de protecció de dades.

Una de les funcions del DPD és la d’intervenir en reclamacions de les persones afectades davant possibles vulneracions de la normativa de protecció de dades. En concret, el DPD pot intervenir en dues situacions:

1. Per resoldre una reclamació que la persona afectada li dirigeixi directament, la qual s’ha de resoldre en el termini màxim de dos mesos.
2. Quan la persona presenta una reclamació davant l’autoritat de control competent (l’Autoritat Catalana de Protecció de Dades o l’Agència Espanyola de Protecció de Dades), aquesta podrà remetre la reclamació al DPD de l’entitat per tal que li doni resposta en el termini d’un mes.