[Ciutadania 365] Protecció de dades de caràcter personal

Una dada personal és qualsevol informació referida a una persona física identificada o identificable, per exemple el seu nom i cognoms, el número de telèfon mòbil, el número de DNI o qualsevol altra dada que la identifica.

Diem que són dades identificables totes les que es refereixen a una persona no identificada, però que es pot arribar a identificar, és a dir, que és identificable i se’n pot determinar la identitat a partir de qualsevol element, com podria ser un codi identificador, per exemple el número d’empleada o la matrícula d’un vehicle.

Cal tenir presents la Llei orgànica 3/2018 (LOPDGDD) estatal i la normativa catalana, així com les circulars que pugui dictar l’Autoritat Catalana de Protecció de Dades. Però és el reglament europeu (UE 2016/679, Reglament General de Protecció de Dades) la norma que regula de manera principal i preferent el dret fonamental a la protecció de dades. El poder de control de cada persona sobre les seves dades és una idea molt present en el reglament europeu de protecció de dades, d’obligat compliment en tots els estats de la Unió Europea des del maig de 2018 (es complementa amb la Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals).

Cal saber que la normativa sobre protecció de dades personals no s’aplica als tractaments efectuats per una persona física en l’exercici d’activitats exclusivament personals o domèstiques (per exemple, en incloure algú en una llista de contactes del mòbil, enviar un WhatsApp als amics o confeccionar un àlbum de fotografies de les vacances).

Cal afegir, finalment, que només les persones físiques són titulars d’aquest dret; les persones jurídiques, no (una altra cosa és que en un escrit o document d’una empresa hi poden haver dades del seu representant o altres persones, que sí que són dades personals), i que aquesta normativa de protecció de dades tampoc no s’aplica a persones difuntes. Les persones vinculades al difunt per raons familiars o els seus hereus poden sol·licitar l’accés a les seves dades personals, i la seva rectificació o supressió, tret que la persona morta ho hagués prohibit expressament.

És qualsevol manifestació de voluntat lliure, específica, informada i inequívoca, per la qual la persona interessada accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de les seves dades personals. Per considerar que la persona dona el consentiment, s’exigeix una acció afirmativa clara, de manera que no serveix el consentiment obtingut de manera tàcita, és a dir, no s’aplica al consentiment allò de qui no ha dit el contrari se suposa que està consentint.

Els menors d’edat poden consentir el tractament de les seves dades a partir dels 14 anys. En canvi, si el menor té una edat inferior als 14 anys, el consentiment ha de ser prestat pels pares o els representants legals.

El tractament de dades personals és qualsevol operació sobre dades personals, amb independència que es faci electrònicament o en paper. Es considera tractament de dades personals la seva recollida, però també la consulta, la utilització o difusió, inclús la seva destrucció, de manera que quan s’eliminen dades personals s’ha de fer amb seguretat i, per tant, no es pot llençar a la paperera un document amb dades personals.

El responsable del tractament és la persona física o jurídica, autoritat pública o qualsevol organisme que, sol o juntament amb d’altres, determina les finalitats i els mitjans del tractament. El responsable és qui decideix iniciar la recollida i el tractament de dades personals per considerar-les necessàries per a unes finalitats.

Quan dos o més responsables determinen conjuntament els objectius i mitjans de tractament es parla de corresponsabilitat. Hi hauria corresponsabilitat, per posar un cas, quan dues entitats locals decideixen mancomunar un servei que fins llavors prestaven per separat, i la prestació del servei implica tractar dades personals.

L’encarregat del tractament és la persona física o jurídica, autoritat o organisme que tracta dades personals per compte del responsable. Aquesta relació entre el responsable i l’encarregat s’ha de regular per mitjà d’un contracte, que ha de respectar un contingut mínim que estableix el reglament europeu de protecció de dades.

Són dades de categories especials les dades personals a les quals la normativa sobre protecció de dades els dona una protecció màxima. En aquest grup hi ha les dades relatives a l’origen ètnic o racial, opinions polítiques, religió, afiliació sindical, dades genètiques o biomètriques, dades de salut o les relatives a la vida sexual o l’orientació sexual.

Les dades biomètriques són les dades relatives a les característiques físiques, fisiològiques o conductuals d’una persona física, que permeten o confirmen la identificació única (per exemple, l’empremta dactilar).

Les dades genètiques són dades personals relatives a les característiques genètiques heretades o adquirides d’una persona física (per exemple, l’ADN).

Les dades de salut són les dades relatives a la salut física o mental d’una persona física que revelen informació sobre el seu estat de salut, inclosa la prestació de serveis d’atenció sanitària.

En relació amb aquestes categories especials de dades hi ha una prohibició general de tractament i només és possible tractar-les en casos molt específics.

L’elaboració de perfil és un tractament de dades per avaluar determinats aspectes personals d’un individu, en especial, per analitzar o predir aspectes relatius a les preferències personals, els interessos, la fiabilitat, el comportament, la ubicació o els moviments d’aquesta persona.

La pseudonimització consisteix a tractar les dades de manera que ja no es puguin atribuir a una persona sense utilitzar informació addicional, que ha de guardar-se per separat i amb mesures de seguretat molt estrictes. Aquest concepte no s’ha de confondre amb el concepte d’anonimització.

El Registre General de Protecció de Dades (RGPD en endavant o també reglament europeu) s’aplica a les dades pseudonimitzades, però no a les anonimitzades o dissociades, en les quals no es pot identificar la persona.

Les dades anònimes, en canvi, són aquelles en què s’ha trencat el fil conductor entre una informació i una persona física, de manera que no és possible reidentificar-la. Són dades en què la informació s’ha separat de la persona, i per això es parla també de dades dissociades, i no se’ls aplica la normativa de protecció de dades, a diferència del que passa amb les dades pseudonimitzades, a les quals sí que se’ls aplica.

La violació de seguretat de dades personals és qualsevol incident en la seguretat de les dades personals que ocasiona la pèrdua, la no disponibilitat o l’accés a les dades per part de persones no autoritzades. Afecta a:

• La confidencialitat.
• La integritat.
• La disponibilitat.

El reglament europeu ha suposat un canvi de paradigma, perquè en lloc d’establir unes mesures de seguretat concretes, com feia la normativa anterior, ara s’exigeix a les organitzacions que analitzin les dades personals que tracten en cada cas (tipologia, finalitats, context) i els possibles riscos. I a partir d’aquesta anàlisi, cada organització ha de decidir quines són les mesures apropiades per a la seguretat de les dades personals, és a dir, per garantir-ne la confidencialitat, la integritat i la disponibilitat.

El delegat de protecció de dades (DPD) és la persona referent de l’organització en protecció de dades que, entre altres requisits, ha de tenir experiència en aquesta matèria.

La designació d’una persona com a DPD és obligatòria en uns supòsits determinats, i en tot cas quan el responsable o encarregat del tractament és un organisme públic. Per tant, un ajuntament, un consell comarcal o una diputació estan obligats a disposar de delegat de protecció de dades.

Una de les funcions del DPD és la d’intervenir en reclamacions de les persones afectades davant possibles vulneracions de la normativa de protecció de dades. En concret, el DPD pot intervenir en dues situacions:

1. Per resoldre una reclamació que la persona afectada li dirigeixi directament, la qual s’ha de resoldre en el termini màxim de dos mesos.
2. Quan la persona presenta una reclamació davant l’autoritat de control competent (l’Autoritat Catalana de Protecció de Dades o l’Agència Espanyola de Protecció de Dades), aquesta podrà remetre la reclamació al DPD de l’entitat per tal que li doni resposta en el termini d’un mes.

A l’hora de tractar amb dades personals hi ha una sèrie de principis que s’han de tenir en compte i respectar. Es recullen en el reglament europeu i són els següents:

• Principi de licitud.
• Principi de lleialtat.
• Principi de transparència.
• Principi de limitació de la finalitat.
• Principi de minimització de les dades.
• Principi d’exactitud.
• Principi de limitació del termini de conservació.
• Principi d’integritat i confidencialitat.
• Principi de responsabilitat proactiva o accountability.

El principi de licitud implica que només es poden utilitzar les dades personals si es dona alguna circumstància o fonament que en permeti el seu ús. Per tant, abans d’iniciar la recollida o tractament de dades personals, cal tenir identificada alguna circumstància que ho legitimi. Les circumstàncies que permeten utilitzar dades personals lícitament són diverses, però caldrà que es doni igualment compliment a la resta de principis.

El principi de licitud està lligat a l’article 6 del RGPD, en el qual s’enumeren les bases jurídiques que poden fonamentar el tractament de dades personals, de manera que la seva concurrència converteix el tractament en lícit.

Les circumstàncies o fonaments que permeten tractar dades personals són les següents:

El principi de lleialtat prohibeix recollir dades personals per mitjans fraudulents, deslleials o il·lícits.

El principi de transparència obliga a informar les persones interessades del que es farà amb les seves dades quan es recullen a través de qualsevol formulari, i també entra en joc aquest principi quan les persones demanen accedir a les seves dades o exerceixen altres drets.

El principi de transparència obliga el responsable a facilitar tota la informació exigida pel RGPD quan:

• Es compleix amb el deure d’informació.
• S’exerceix qualsevol dret (accés, supressió, etc.).
• Es comunica als afectats una violació de seguretat.

El principi de limitació de la finalitat implica que les dades han de ser recollides amb unes finalitats determinades, explícites i legítimes, i posteriorment no s’han de tractar de manera incompatible amb aquestes finalitats.

D’altra banda, el reglament europeu permet tractar les dades amb una finalitat diferent de la perseguida inicialment, si existeix consentiment de la persona interessada, o bé si així ho estableix una norma europea o dels estats membres per satisfer interessos públics, com ara la seguretat pública, la potestat d’inspecció, etc.

Fora d’aquests dos casos, el reglament europeu fixa uns criteris per determinar si el tractament posterior és compatible amb l’inicial, a través d’un test de verificació segons la relació entre una finalitat i l’altra, el context, la naturalesa de les dades, etc.

El principi de minimització de les dades exigeix que les dades personals tractades siguin les estrictament necessàries per assolir la finalitat perseguida, i cal evitar, doncs, tractar dades que serien desproporcionades. Així mateix, les dades només es poden tractar si la finalitat del tractament no es pot complir a través d’altres mitjans.

El principi d’exactitud obliga a tractar dades personals que siguin exactes i que estiguin actualitzades. Així mateix, cal suprimir o rectificar les dades personals que siguin inexactes o obsoletes. Aquest principi està vinculat amb el dret de rectificació.

D’altra banda, la llei orgànica de protecció de dades autoritza les administracions públiques a comprovar l’exactitud de les dades de la persona interessada, quan la persona sol·licitant declari dades que ja consten en poder de les administracions públiques.

El principi de limitació del termini de conservació comporta que la conservació de les dades amb què es pugui identificar les persones només s’ha de mantenir durant el temps necessari per a les finalitats perseguides. Superat aquest període, només es podran conservar per a fins d’investigació, estadístics o d’arxiu en interès públic. Aquest principi està vinculat al dret de supressió.

El principi d’integritat i confidencialitat obliga a aplicar les mesures apropiades per garantir la seguretat de les dades i evitar tractaments il·lícits, pèrdua i destrucció.

Entre altres mesures, aquest principi exigeix que, per entrar en un sistema d’informació que permet accedir a dades personals d’altres, la persona s’hagi d’identificar amb el codi d’usuari i contrasenya, que no pot ser genèric ni es pot facilitar a altres persones.

En connexió amb aquest principi, s’imposa un deure de confidencialitat a totes les persones empleades del responsable o encarregat, respecte de les dades personals que puguin conèixer per raó de les seves funcions, fins i tot un cop extingida la relació laboral.

El principi de responsabilitat proactiva o accountability exigeix al responsable del tractament una actitud conscient, diligent i proactiva en relació amb tots els tractaments de dades personals.

Recau en el responsable, per tant, el deure d’assegurar que es compleixen totes les obligacions imposades per la normativa de protecció de dades. I no només ha de complir, sinó que ha de tenir la capacitat de demostrar-ho.

El reglament europeu conté diverses manifestacions referents a aquest principi, en forma d’obligacions.

El principi de responsabilitat proactiva implica que el responsable del tractament ha d’adoptar les mesures tècniques i organitzatives apropiades per tal de garantir i poder demostrar que el tractament de dades personals és conforme amb el reglament europeu.

La responsabilitat proactiva té diverses manifestacions, en forma d’obligacions dirigides als responsables del tractament, i si s’escau, als encarregats. Aquestes obligacions són les següents:

• Política de protecció de dades.
• Registre d’activitat de tractament.
• Protecció de dades en el disseny i per defecte.
• Avaluacions d’impacte sobre la protecció de dades.
• Consulta prèvia.
• Seguretat de les dades.
• Notificació de violacions de seguretat.

Les polítiques de protecció de dades es configuren com una de les mesures tècniques i organitzatives que ha d’adoptar el responsable.

Les entitats del sector públic estan obligades a disposar d’un registre o inventari de les activitats de tractament (conegut com a RAT), i a més, l’han de publicar per mitjans electrònics. De fet, la normativa de transparència inclou el RAT entre les informacions sotmeses a publicitat activa, de manera que s’hi ha de poder accedir a través dels portals de transparència.

El reglament europeu disposa quin ha de ser el contingut d’aquest registre (finalitats del tractament, categories de persones interessades i de dades personals, i descripció general de les mesures tècniques i organitzatives de seguretat, entre d’altres).

En determinats supòsits, també és aplicable als encarregats del tractament l’obligació de disposar del RAT, amb un contingut similar.

En primer lloc, la protecció de dades en el disseny implica tenir en compte totes les obligacions i requisits imposats per la normativa de protecció de dades, des que es projecta un nou tractament.

En concret, obliga a implantar les mesures adequades, com ara la pseudonimització; aplicar els principis de la protecció de dades, i integrar les garanties necessàries per complir les obligacions que imposa el reglament europeu per protegir els drets de les persones interessades.

I, en segon lloc, la protecció de dades per defecte consisteix a oferir les màximes garanties de privacitat de “fàbrica” i assegurar-se que només es tracten les dades necessàries per a cada finalitat.

Les avaluacions d’impacte relatives a la protecció de dades s’han d’efectuar abans d’iniciar el tractament. Ara bé, les avaluacions d’impacte no s’exigeixen per a qualsevol tractament de dades personals, sinó només quan hi ha un risc alt per als drets i llibertats de les persones, ja sigui per la naturalesa del tractament, l’abast i el context, les finalitats o l’ús de noves tecnologies.

El reglament europeu conté una llista de tractaments en els quals es requereix l’avaluació d’impacte relativa a la protecció de dades personals, com ara quan la finalitat és l’avaluació «sistemàtica i exhaustiva» d’aspectes de la persona realitzada de manera automatitzada.

La llista de supòsits en què, segons el reglament europeu, cal efectuar l’avaluació d’impacte per considerar que són tractaments de risc alt, no té el caràcter de llista tancada, i per això la llei orgànica de protecció de dades conté una llista de tractaments en els quals hi pot haver «riscos superiors», fet que pot obligar a portar a terme l’avaluació d’impacte.

Entre d’altres, es refereix a casos en què es poden generar situacions de discriminació, usurpació d’identitat o frau, pèrdues financeres, dany per a la reputació o en què es pot privar els afectats dels seus drets i llibertats.

El contingut mínim que ha de tenir l’avaluació d’impacte, si aquesta és obligatòria, és el següent:

• Una descripció del tractament, com ara el cicle de vida de les dades.
• La finalitat o base jurídica.
• L’avaluació de la necessitat i la proporcionalitat del tractament.
• L’avaluació dels riscos i les mesures per minimitzar-los, etc.

Si com a resultat de l’avaluació d’impacte, el responsable continua observant un risc elevat que no es pot mitigar o reduir per mitjans raonables d’acord amb la tecnologia disponible i els costos de l’aplicació, ha de consultar l’autoritat de control, abans d’iniciar aquell tractament. L’autoritat ha d’assessorar el responsable, però també pot prohibir-ne el tractament.

El reglament europeu obliga a adoptar les mesures adequades o apropiades, per tal de garantir la seguretat de les dades. Per determinar quines són les mesures de seguretat adequades, cal efectuar l’anàlisi de riscos corresponent.

L’anàlisi de riscos ha de tenir en compte els elements següents:

• La naturalesa de les dades (per exemple, si es tracten categories especials de dades).
• El nombre de persones interessades afectades o la quantitat (volum de les dades).
• La varietat de tractaments (per exemple, si permet l’elaboració de perfils).

El reglament europeu preveu que les mesures de seguretat poden consistir en:

• Reduir al mínim el tractament de dades.
• La pseudonimització o xifrat de les dades.
• La capacitat per garantir la confidencialitat, la integritat, la disponibilitat i la resiliència permanent dels sistemes i dels serveis de tractament, és a dir, la capacitat de resistir o de recuperar-se (per exemple, davant l’atac d’un hacker).
• La capacitat de restaurar la disponibilitat i l’accés a les dades personals de manera ràpida, en cas d’incident físic o tècnic (per exemple, amb les còpies de seguretat).
• Un procés per verificar, avaluar i valorar regularment l’eficàcia de les mesures de seguretat (per exemple, això s’aconseguiria mitjançant auditories d’aquestes mesures).

En tot cas, constitueix també una mesura de seguretat el fet que els responsables i els encarregats garanteixin que qualsevol persona que actuï sota la seva autoritat i accedeixi a dades personals, com seria el cas del seu personal, tracti les dades segons les instruccions del responsable.

Aquesta obligació comporta que, davant qualsevol violació o incident de seguretat de les dades que pateixi una organització i que comporti un risc per als drets i llibertats de les persones afectades, ha de ser notificat a l’autoritat de protecció de dades competent. Així, si un ajuntament català pateix una violació de seguretat que afecta la confidencialitat, la integritat o la disponibilitat de les dades, ha de notificar-ho a l’APDCAT.

Cal notificar una violació de seguretat a l’autoritat de protecció de dades competent sense dilació, com a màxim dins de les 72 hores següents al moment en què es té constància de la violació.

En canvi, si és improbable que la violació constitueixi un risc per als drets i llibertats de les persones, no cal efectuar aquesta notificació.

En els casos en què s’ha de notificar a l’autoritat per no poder-se qualificar d’improbable el risc, si el responsable considera que la violació de seguretat pot comportar un risc alt per als drets i llibertats de les persones, a més de notificar-la a l’autoritat, s’ha de comunicar a les persones afectades, a les quals s’han d’oferir recomanacions per mitigar els riscos.

En tot cas, davant qualsevol mena d’incident que pugui afectar la seguretat de les dades, inclús en els casos que no requereixi la notificació a l’autoritat, l’entitat responsable del tractament ha de documentar l’incident internament, anotant els fets, els efectes i les mesures correctores adoptades.

El dret d’informació consisteix en proporcionar a la persona afectada determinada informació quan es recullen les seves dades. Aquest dret està relacionat amb el principi de transparència que consagra el reglament europeu i es troba en el bloc de les preguntes inicials.

El dret d’informació permet a les persones exercir el poder de control respecte a les seves dades personals. Aquest dret de controlar la seva informació personal només serà efectiu si se’ls informa prèviament sobre els usos de les dades, entre altres coses.

La informació s’ha de facilitar de manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, especialment quan aquesta informació vagi adreçada a un menor.

• Si les dades es recullen directament de la mateixa persona, la informació se li ha de facilitar en el moment de la recollida.
• Si, per contra, les dades no s’obtenen de la persona interessada, sinó d’una altra font (per exemple, d’una altra administració), la informació s’ha de facilitar en el termini d’un mes des que es reben les dades.

El reglament europeu preveu uns supòsits en què no cal informar la persona interessada, com ara quan aquesta ja disposa de la informació.

Pel que fa al contingut de la informació que s’ha de facilitar, en el cas d’obtenir-se les dades directament de la persona interessada, el reglament europeu obliga el responsable a informar en el moment de la recollida sobre diverses qüestions:

• Qui és el responsable i com contactar amb ell.
• Dades de contacte del delegat de protecció de dades, les finalitats del tractament i la seva base jurídica.
• Els destinataris o categoria de destinataris a qui es poden comunicar les dades.
• El termini de conservació de les dades.
• La possibilitat d’exercir els drets que coneixeràs més endavant.
• El dret a retirar el consentiment.
• El dret a reclamar davant de l’autoritat de control.
• Etc.

Si les dades no s’han obtingut directament de la persona interessada, el reglament europeu disposa que també s’ha d’informar sobre les categories de dades que es tracten, la font o l’origen d’on procedeixen les dades personals i, si escau, si procedeixen de fonts d’accés públic, com ara Internet.

Els drets que pot exercir qualsevol persona respecte a les seves dades són els següents:

• Accés.
• Rectificació.
• Supressió.
• Oposició.
• Limitació.
• Portabilitat.
• I el dret a no ser objecte de decisions automatitzades.

Abans de descriure’ls, convé saber quatre coses sobre com exercir tots aquests drets. El primer que cal saber és que aquests drets són personalíssims.

En segon lloc, cal tenir present que el termini per contestar la sol·licitud d’exercici de qualsevol dels drets esmentats és d’un mes, termini que es pot ampliar a dos mesos en determinats supòsits.

Si el responsable considera que ha de denegar el dret exercit (accés, supressió, etc.), ha de donar igualment resposta com a màxim en un mes. També ha d’informar la persona sobre el seu dret a presentar una reclamació davant l’autoritat de control corresponent, que en el cas de les administracions públiques catalanes és l’APDCAT.

L’exercici de qualsevol dret és gratuït, però si les sol·licituds són manifestament infundades o excessives, especialment perquè són repetitives, el responsable del tractament pot cobrar un import raonable o inadmetre la sol·licitud.

En el cas del dret d’accés, es considera repetitiu si s’exerceix més d’una vegada en sis mesos, tret que hi hagi una causa legítima per fer-ho.

Finalment, cal posar de manifest que el reglament europeu preveu una sèrie de límits en l’exercici d’aquests drets (la seguretat pública, la funció inspectora, la protecció de drets d’altres persones, etc.).

Si una persona exerceix aquest dret i el responsable tracta les seves dades personals, ha de facilitar-li una còpia de les dades que està tractant, i també una altra informació addicional, que és en gran part coincident amb el contingut del dret d’informació (finalitats del tractament, categories de dades personals, destinataris, etc.).

La primera còpia de la informació que es faciliti en resposta a la sol·licitud d’accés és gratuïta.

El dret d’accés previst per la normativa de protecció de dades, que té per objecte que qualsevol persona pugui conèixer quines dades seves són objecte de tractament per part d’un responsable, i com les tracta, no s’ha de confondre amb el dret d’accés a la informació pública, regulat per la normativa de transparència, el qual té com a finalitat que qualsevol persona pugui conèixer l’activitat de l’Administració, amb la finalitat de poder-la fiscalitzar.

Així doncs, si una persona demana a la Diputació l’accés a informació que només conté dades seves, aquesta sol·licitud s’haurà de resoldre amb la legislació de protecció de dades, ja que en aquest cas la finalitat és controlar la seva informació personal, de manera que no s’aplicaria aquí la legislació de transparència.

Mitjançant el dret de rectificació la persona pot sol·licitar la modificació de les dades que siguin inexactes o que es completin aquelles que són incompletes. Quan s’exerceix aquest dret:

• S’ha d’indicar en la sol·licitud de rectificació a quines dades es refereix, i la rectificació que s’ha de fer.
• Cal acompanyar, quan calgui, la documentació justificativa de la inexactitud o del caràcter incomplet de les dades objecte de tractament.

Aquest és el dret de la persona afectada a suprimir les seves dades personals en uns casos determinats que enumera el reglament europeu:

• Quan les dades ja no són necessàries per a les finalitats perseguides.
• Quan la persona interessada retira el seu consentiment.
• Si s’oposa al tractament i no prevalen altres motius legítims per al tractament.
• Si les dades s’han tractat il·lícitament.
• Si les dades s’han de suprimir per una obligació legal.
• Si són dades que afecten menors.

Per acabar, respecte al dret de supressió, heu de tenir present que el reglament europeu enumera uns supòsits en què aquest dret no s’aplica, com ara quan el tractament és necessari per donar compliment a una obligació legal, quan s’exerceix la llibertat d’expressió i informació, per finalitats d’arxiu o bé en cas de reclamacions.

Un cop les dades han estat suprimides, cal comunicar-ho a l’interessat, i si el responsable les havia fet públiques, n’ha de demanar la supressió. En el cas de les xarxes socials i serveis equivalents, preval el dret a l’oblit en relació amb les dades personals publicades per aquesta persona.

Les dades suprimides s’hauran de bloquejar, com es fa amb les dades rectificades.

El dret de limitació del tractament permet a la persona interessada exigir que les dades només es puguin utilitzar en determinades circumstàncies. En altres paraules, és com suspendre o posar en pausa el tractament de les dades, però sense eliminar-les.

El dret a la limitació del tractament es pot sol·licitar en uns supòsits concrets:

El dret de portabilitat de les dades, que es pot exercir si el tractament s’efectua per mitjans automatitzats o si aquest es basa en el consentiment de la persona afectada, o en l’execució d’un contracte.

En els casos en què procedeix aquest dret, la persona afectada podria demanar el trasllat de les seves dades a un altre responsable, o també demanar que se li facilitessin per tal de lliurar-les a un altre responsable. Tindria algunes semblances amb la portabilitat d’una línia de telèfon mòbil, en què es trasllada la línia de mòbil d’una operadora a una altra.

El dret d’oposició, en virtut del qual se sol·licita al responsable que cessi en un determinat tractament de les dades, i aquesta petició es motiva en la situació personal de qui ho demana, com podria ser una persona víctima de violència de gènere, un testimoni protegit, etc.

Aquest dret es pot exercir quan el tractament es fonamenta en:

• L’interès públic o en l’exercici de poders públics conferits al responsable.
• L’interès legítim perseguit pel responsable del tractament o per un tercer.
• Que es faci amb finalitats de recerca científica, històrica o amb finalitats estadístiques, tret que sigui necessari per complir una missió realitzada per raons d’interès públic.

El dret a no ser objecte de decisions individuals automatitzades, inclou l’elaboració de perfils.

Aquest dret a no ser objecte de decisions automatitzades, però, no existeix quan la decisió:

• És necessària per a l’execució d’un contracte entre la persona interessada i el responsable del tractament.
• Es basa en el consentiment explícit de la persona interessada.
• Està autoritzada per una llei.

Davant qualsevol eventual vulneració dels deures imposats pel Reglament General de Protecció de Dades europeu o dels drets reconeguts a les persones, es pot presentar una reclamació davant l’autoritat de control competent.

• En relació amb els tractaments efectuats per les entitats del sector públic català, com els ajuntaments, els consells comarcals o les diputacions, l’autoritat de control competent és l’Autoritat Catalana de Protecció de Dades (APDCAT).
• Si el responsable del tractament és una persona física, una empresa privada o l’Administració de l’Estat, l’autoritat competent és l’Agència Espanyola de Protecció de Dades (AEPD).

En funció de la vulneració de la normativa de protecció de dades, la llei orgànica de protecció de dades distingeix dos tipus de procediments.

• En el cas d’una reclamació per desatenció d’una sol·licitud d’exercici dels drets (accés, rectificació, supressió, etc.), hi haurà un procediment que es coneix com de tutela de drets i que no és un procediment sancionador.
• Qualsevol altra vulneració podrà donar lloc a un procediment sancionador (per exemple, si es publiquen dades personals excessives i, per tant, es vulnera el principi de minimització).

Si una persona pateix danys i perjudicis a conseqüència d’una infracció del reglament europeu, té dret a rebre una indemnització per part del responsable o de l’encarregat del tractament. En el cas de les administracions públiques, aquest dret es tramita per mitjà del procediment de responsabilitat patrimonial.

El reglament europeu estableix dues llistes d’infraccions, les quals es poden sancionar amb multes de 10 o 20 milions d’euros com a màxim o d’una quantia equivalent al 2 % o el 4 % del volum de negoci. Les multes han de ser proporcionades i dissuasives.

La llei orgànica de protecció de dades també preveu dues mesures addicionals per al cas d’infraccions comeses per entitats del sector públic.

1. La possibilitat que l’autoritat de protecció de dades proposi la iniciació d’actuacions disciplinàries, si en la comissió de la infracció hi ha intervingut una persona empleada pública i hi ha indicis suficients. Aquesta mesura està pensada per a casos en què la persona empleada actua amb dol o negligència greu (per exemple, si un empleat públic accedeix a dades d’un expedient d’un veí per xafardejar).
2. La segona mesura es reserva per a aquells supòsits en què intervenen autoritats o directius del sector públic en la comissió de la infracció, i s’acrediti l’existència prèvia d’informes tècnics o recomanacions que l’advertien que aquell tractament de dades no era correcte, però que no s’havien atès degudament.

Càpsules informatives sobre protecció de dades. Autoritat Catalana de Protecció de Dades.

Definicions . Autoritat Catalana de Protecció de Dades.

Vídeo: El valor de les dades personals. Escola d’Administració Pública de Catalunya i Autoritat Catalana de Protecció de Dades. 2022.

Espais Temàtics: Gestió de la informació: transparència i protecció de dades. Escola d’Administració Pública de Catalunya.

Guia pràctica sobre l’avaluació d’impacte relativa a la protecció de dades. Autoritat Catalana de Protecció de Dades. 2022.

Guia per al compliment del deure d’informar a l’RGPD. Autoritat Catalana de Protecció de Dades. 2018.

Podcast Parlem de dades. Escola d’Administració Pública de Catalunya i Autoritat Catalana de Protecció de Dades. 2022.