1. Quins són els principis que cal tenir en compte en qualsevol tractament de dades?

A l’hora de tractar amb dades personals hi ha una sèrie de principis que s’han de tenir en compte i respectar. Es recullen en el reglament europeu i són els següents:

  • Principi de licitud.
  • Principi de lleialtat.
  • Principi de transparència.
  • Principi de limitació de la finalitat.
  • Principi de minimització de les dades.
  • Principi d’exactitud.
  • Principi de limitació del termini de conservació.
  • Principi d’integritat i confidencialitat.
  • Principi de responsabilitat proactiva o accountability.

Per saber-ne més

Podeu consultar aquesta breu càpsula informativa de l’APDCAT en relació amb els principis.

2. Què és el principi de licitud?

El principi de licitud implica que només es poden utilitzar les dades personals si es dona alguna circumstància o fonament que en permeti el seu ús. Per tant, abans d’iniciar la recollida o tractament de dades personals, cal tenir identificada alguna circumstància que ho legitimi. Les circumstàncies que permeten utilitzar dades personals lícitament són diverses, però caldrà que es doni igualment compliment a la resta de principis.

El principi de licitud està lligat a l’article 6 del RGPD, en el qual s’enumeren les bases jurídiques que poden fonamentar el tractament de dades personals, de manera que la seva concurrència converteix el tractament en lícit.

Les circumstàncies o fonaments que permeten tractar dades personals són les següents:

El consentiment de la persona afectada, que ha de reunir els requisits vistos en el bloc anterior. Recordem que per considerar vàlid el consentiment, aquest ha de ser lliure, específic, informat i inequívoc.

Exemple

Una llar d’infants municipal vol publicar a les xarxes socials fotografies de les diverses activitats que organitzen i on surten identificats els infants. Per fer-ho, cal demanar el consentiment als representants d’aquests.

Que el tractament sigui necessari en el marc d’una relació contractual. Això inclou la possibilitat d’utilitzar les dades abans d’establir aquesta relació.

Exemple

Demanar un pressupost també permet utilitzar les dades de contacte dels representants de les empreses contractades (empleats) per una entitat local.

El tractament és lícit quan és necessari per donar compliment a una obligació imposada per una llei.

Exemple

La Llei de transparència obliga les administracions públiques a publicar en els portals de transparència molta informació sense necessitat del consentiment de la persona interessada, tot i que aquesta s’hi pot oposar si està en una situació de vulnerabilitat que desaconselli tal publicació, com ara una persona que és víctima de violència de gènere.

Una altra circumstància que permet utilitzar dades personals és quan el tractament és necessari per al compliment d’una missió en interès públic o en exercici de poders públics o, en altres paraules, per exercir les competències que s’atribueixen a una Administració pública.

Exemple

Quan una persona demana a l’ajuntament una llicència per construir un habitatge, no cal obtenir el consentiment de la persona sol·licitant per tractar les seves dades, ja que s’exerceix una competència municipal prevista a la Llei.

De la mateixa manera, quan un policia local atura un vehicle que presumptament ha comès una infracció de trànsit i recull les dades del conductor, no necessita el seu consentiment, atès que està exercint una potestat pública.

Sabies que…

Aquesta és la circumstància que dona cobertura a la majoria de tractaments de dades efectuats per les entitats del sector públic, com ara les entitats locals, per exemple quan un ajuntament tramita un procediment sancionador arran d’una denúncia de trànsit formulada per la policia local.

També es considera lícit el tractament quan és necessari per a l’interès legítim del responsable o d’un tercer.

Exemple

Una empresa que enregistra les trucades telefòniques d’atenció al client per raons de seguretat o per avaluar la qualitat de l’atenció.

Aquest interès legítim no és aplicable a les administracions públiques quan exerceixen les seves funcions. En aquest punt, cal saber que la llei orgànica de protecció de dades permet a les administracions públiques facilitar les dades personals que els sol·licitin les persones físiques o les empreses privades, sempre que les administracions apreciïn que hi ha en els sol·licitants un interès legítim que prevalgui.

Exemple

Aquest seria el cas d’un pare o mare que paga els estudis universitaris de la seva filla, i es dirigeix a la universitat per conèixer les notes obtingudes per la seva filla major d’edat.

Per saber-ne més

Podeu consultar aquest article "La disposició addicional desena de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals: una alternativa al dret d'accés a la informació pública?" publicat als Espais Temàtics de l’Escola d’Administració Pública de Catalunya (EAPC): Gestió de la informació: transparència i protecció de dades.

Aquesta és una circumstància que només entra en joc si no hi ha alternativa i que s’aplica en situacions en què la persona interessada no està capacitada per donar el seu consentiment, o bé quan el tractament de dades és necessari en situacions d’emergència humanitària, com ara catàstrofes naturals o el control d’epidèmies.

Sabies que…

Si es tracten categories especials de dades (com ara salut, religió, origen ètnic, opinions polítiques, etc.), a més d’ajustar-se a algun dels fonaments abans enumerats, ha de concórrer també en alguna de les diverses circumstàncies que el reglament europeu exigeix per tractar aquesta categoria de dades, com ara que el consentiment que hagi donat la persona interessada sigui explícit, la qual cosa exigiria que fos exprés, com ara per escrit; o que el tractament sigui necessari per raons d’un interès públic essencial previst en una llei.

Aquesta última circumstància permetria a una entitat local comprovar la situació de discapacitat d’una persona amb la finalitat de verificar si es compleixen les condicions necessàries per a la percepció d’una prestació social, segons preveu la llei.

3. Què és el principi de lleialtat?

El principi de lleialtat prohibeix recollir dades personals per mitjans fraudulents, deslleials o il·lícits.

Exemple

Un exemple de recollida de dades deslleial seria el d’una enquesta de satisfacció dels usuaris sobre la qualitat d’un servei prestat per una diputació, en què s’assegura que es fa de manera anònima, però resulta que això no és cert, i que es poden vincular les respostes a la persona que fa l’enquesta.

4. Què és el principi de transparència?

El principi de transparència obliga a informar les persones interessades del que es farà amb les seves dades quan es recullen a través de qualsevol formulari, i també entra en joc aquest principi quan les persones demanen accedir a les seves dades o exerceixen altres drets.

Exemple

Quan empleneu el formulari que facilita l’ajuntament per demanar un certificat d’empadronament, se us ha d’informar sobre diversos aspectes relatius al tractament de les vostres dades, com ara la finalitat per a la qual s’utilitzaran o els drets que podeu exercir.

El principi de transparència obliga el responsable a facilitar tota la informació exigida pel RGPD quan:

  • Es compleix amb el deure d’informació.
  • S’exerceix qualsevol dret (accés, supressió, etc.).
  • Es comunica als afectats una violació de seguretat.

5. Què és el principi de limitació de la finalitat?

El principi de limitació de la finalitat implica que les dades han de ser recollides amb unes finalitats determinades, explícites i legítimes, i posteriorment no s’han de tractar de manera incompatible amb aquestes finalitats.

Exemple

Si una regidora a l’oposició d’un ajuntament accedeix a uns expedients administratius en exercici del seu dret d’accés en funcions de fiscalització, si en aquells expedients hi consten dades personals, no podria utilitzar-les per enviar informació electoral.

Important

Quant a això, les dades recollides per a una finalitat concreta també es poden utilitzar amb finalitats d’arxiu, de recerca científica i històrica o estadística. El reglament europeu considera que aquestes finalitats són sempre compatibles amb la finalitat inicial que havia justificat la recollida de les dades.

D’altra banda, el reglament europeu permet tractar les dades amb una finalitat diferent de la perseguida inicialment, si existeix consentiment de la persona interessada, o bé si així ho estableix una norma europea o dels estats membres per satisfer interessos públics, com ara la seguretat pública, la potestat d’inspecció, etc.

Fora d’aquests dos casos, el reglament europeu fixa uns criteris per determinar si el tractament posterior és compatible amb l’inicial, a través d’un test de verificació segons la relació entre una finalitat i l’altra, el context, la naturalesa de les dades, etc.

6. Què és el principi de minimització de les dades?

El principi de minimització de les dades exigeix que les dades personals tractades siguin les estrictament necessàries per assolir la finalitat perseguida, i cal evitar, doncs, tractar dades que serien desproporcionades. Així mateix, les dades només es poden tractar si la finalitat del tractament no es pot complir a través d’altres mitjans.

Exemple

Seria excessiu incloure en el peu de signatura del correu electrònic corporatiu de la persona treballadora una fotografia amb la seva imatge.

Sabies que…

Una altra mostra d’aquest principi la trobem en la Llei orgànica de protecció de dades, on s’ha establert la manera amb què s’han d’identificar les persones interessades en notificacions per edicte al butlletí oficial (quan no es poden notificar personalment a la persona interessada) i en la publicació d’actes administratius.

Així, en les notificacions publicades al butlletí oficial, la identificació cal fer-la exclusivament amb el número complet del DNI o equivalent, sense afegir-hi el nom i cognoms (per exemple: 12345678A)

Mentre que en la publicació d’actes administratius amb dades personals, com ara llistes d’admesos i exclosos a processos selectius, la identificació s’ha de fer amb el nom i cognoms i el número del DNI només parcial (en concret les xifres numèriques que ocupen les posicions 4, 5, 6 i 7. Seguint l’exemple, les xifres del DNI per publicar serien: *4567). I està absolutament prohibit publicar de manera conjunta el nom i cognoms i el número del DNI sencer.

7. Què és el principi d’exactitud?

El principi d’exactitud obliga a tractar dades personals que siguin exactes i que estiguin actualitzades. Així mateix, cal suprimir o rectificar les dades personals que siguin inexactes o obsoletes. Aquest principi està vinculat amb el dret de rectificació.

Sabies que…

No és imputable al responsable del tractament la inexactitud de les dades, si s’han obtingut directament de la mateixa persona o d’un registre públic.

D’altra banda, la llei orgànica de protecció de dades autoritza les administracions públiques a comprovar l’exactitud de les dades de la persona interessada, quan la persona sol·licitant declari dades que ja consten en poder de les administracions públiques.

Exemple

Si una persona presenta una sol·licitud a la Diputació en què afirma que està al corrent de les seves obligacions tributàries, la Diputació, per comprovar la certesa d’aquesta manifestació, no necessita obtenir el consentiment de la persona sol·licitant.

8. Què és el principi de limitació del termini de conservació?

El principi de limitació del termini de conservació comporta que la conservació de les dades amb què es pugui identificar les persones només s’ha de mantenir durant el temps necessari per a les finalitats perseguides. Superat aquest període, només es podran conservar per a fins d’investigació, estadístics o d’arxiu en interès públic. Aquest principi està vinculat al dret de supressió.

Exemple

Un exemple seria la publicació del resultat d’un procés selectiu en un ajuntament celebrat diversos anys enrere en què consten les dades de les persones participants. Si bé la difusió inicial era lícita, amb el pas del temps, aquesta esdevé innecessària per assolir la finalitat perseguida. Per tant, si es manté publicada més enllà de l’estrictament necessari, s’estaria infringint el principi de limitació del termini de conservació.

Idea clau

El principi de limitació del termini de conservació prohibeix mantenir les dades més enllà del temps necessari per als fins del tractament.

9. Què és el principi d’integritat i confidencialitat?

El principi d’integritat i confidencialitat obliga a aplicar les mesures apropiades per garantir la seguretat de les dades i evitar tractaments il·lícits, pèrdua i destrucció.

Entre altres mesures, aquest principi exigeix que, per entrar en un sistema d’informació que permet accedir a dades personals d’altres, la persona s’hagi d’identificar amb el codi d’usuari i contrasenya, que no pot ser genèric ni es pot facilitar a altres persones.

Exemple

Si es guarden fitxers amb dades personals en un llapis de memòria, un portàtil o un altre dispositiu similar, cal encriptar-lo perquè en cas de pèrdua una altra persona no hi pugui accedir.

En connexió amb aquest principi, s’imposa un deure de confidencialitat a totes les persones empleades del responsable o encarregat, respecte de les dades personals que puguin conèixer per raó de les seves funcions, fins i tot un cop extingida la relació laboral.

Exemple

Així, si per motius de feina, una persona empleada pública té coneixement d’un problema que té una veïna, no pot utilitzar aquesta informació fora de l’àmbit estrictament professional, i encara menys divulgar-la.

10. Què és el principi de responsabilitat proactiva o accountability?

El principi de responsabilitat proactiva o accountability exigeix al responsable del tractament una actitud conscient, diligent i proactiva en relació amb tots els tractaments de dades personals.

Recau en el responsable, per tant, el deure d’assegurar que es compleixen totes les obligacions imposades per la normativa de protecció de dades. I no només ha de complir, sinó que ha de tenir la capacitat de demostrar-ho.

El reglament europeu conté diverses manifestacions referents a aquest principi, en forma d’obligacions.