



































Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity
Encuentra los documentos específicos para los exámenes de tu universidad
Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades
Responde a preguntas de exámenes reales y pon a prueba tu preparación
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Comunidad
Pide ayuda a la comunidad y resuelve tus dudas de estudio
Ebooks gratuitos
Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity
explicacion protección de datos
Tipo: Resúmenes
1 / 43
Esta página no es visible en la vista previa
¡No te pierdas las partes importantes!




































Març 2025
TEMA 44 – TÈCNIC SUPERIOR GESTIÓ AJUNTAMENT DE BARCELONA
L'article 1 del RGPD determina l'objecte de protecció del nou reglament europeu:
“1. Aquest reglament estableix les normes relatives a la protecció de les persones físiques pel que fa al tractament de les dades personals i les normes relatives a la lliure circulació d’aquestes dades.
_2. Aquest reglament protegeix els drets i les llibertats fonamentals de les persones físiques i, en particular, el seu dret a la protecció de les dades personals.
Per determinar l'objecte de protecció establert pel RGPD cal tenir en compte que és una norma que s'emmarca dins de la normativa europea i que, per tant, a més de garantir el conjunt de drets i llibertats i, en concret, el dret a la protecció de dades personals, també vol garantir el progrés econòmic i social, l’enfortiment i la convergència de les economies dins del mercat interior, així com el benestar de les persones físiques, com s'estableix en els considerants del reglament.
D'altra banda, és important fixar-nos que no només busca protegir el dret a la protecció de dades sinó el conjunt de drets i llibertats de les persones físiques. Pensem que, amb les tecnologies emergents i el seu potencial d'intrusió en la vida de les persones, el conjunt de drets i llibertats de les persones es veuen sotmesos a noves i importants pressions
que cal tenir presents en el moment d'establir els mecanismes de garantia.
Com ja passava amb la normativa actual, la protecció que atorga el RGPD s’aplica a les persones físiques, independentment de la nacionalitat o el lloc de residència, amb relació al tractament de les seves dades personals. No s'aplica a les persones jurídiques.
És important familiaritzar-se i comprendre els principals conceptes que s’utilitzen en l’àmbit de protecció de dades.
A continuació s’enumeren els que s’han considerat essencials, i es pot consultar el conjunt de definicions a l’article 4 del RGPD.
En concret, els conceptes clau són:
-Dada personal: qualsevol informació sobre una persona física identificada o identificable (la persona interessada). S’ha de considerar persona física identificable qualsevol persona la identitat de la qual es pot determinar, directament o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona (art. 4.1 del RGPD).
Per facilitar la comprensió d'aquesta definició, el RPGD especifica que les persones físiques poden ser associades a identificadors en línia facilitats pels seus dispositius, aplicacions, eines i protocols, com adreces dels protocols d'Internet, identificadors de sessió en forma de "cookies" o altres identificadors, com etiquetes de radiofreqüència. Això pot deixar empremtes que, en particular, en ser combinades amb identificadors únics i altres dades rebudes pels servidors, poden ser usats per a elaborar perfils de les persones físiques i identificar-les.
-Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d'una persona física, que proporcionen una informació única sobre la seva fisiologia o salut, obtingudes de l'anàlisi d'una mostra biològica d’aquesta persona (art. 4. del RGPD).
Les dades genètiques ja tenien la consideració de dades especialment protegides en el marc de la Directiva 95/46, però només com a part de les dades relacionades amb la salut. El RGPD els separa com a categoria amb entitat pròpia, al marge de la seva implicació en el terreny de la salut, de manera que estén la protecció especial a tractaments relacionats, per exemple, amb la filiació.
-Dades biomètriques: dades personals obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física, que permeten o confirmen la identificació única d'aquesta persona, com ara imatges facials o dades dactiloscòpiques (art. 4.14 del RGPD).
Respecte a aquesta definició cal assenyalar que les dades biomètriques tindran la condició de dades sensibles només quan siguin utilitzades per identificar unívocament a una persona. Una fotografia, per exemple, conté dades biomètriques, però el seu tractament no està
-Responsable del tractament: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que, sol o juntament amb d’altres, determina les finalitats i els mitjans del tractament; si el dret de la UE o dels estats membres determina les finalitats i els mitjans del tractament, el responsable del tractament o els criteris específics per al seu nomenament els pot establir el dret de la UE o dels estats membres (art.4.7 del RGPD).
En l'àmbit de la Generalitat, la figura de responsable del tractament, considerant la normativa aplicable, recaurà en la persona titular del Departament o de la màxima direcció en el cas d’organismes autònoms, entitats públiques empresarials, etc.
No obstant això, cal realitzar la següent consideració:
-Cada titular de departament serà responsable dels seus respectius tractaments, és a dir, sobre aquells sobre els que decideixi (per exemple, el tractament de dades relatiu als seus recursos humans o videovigilància de les seves instal·lacions)
També tenen aquesta condició de responsables, en la mesura que tractin dades de caràcter personal, les entitats locals, les entitats d'àmbit territorial inferior al municipal, les àrees metropolitanes i les mancomunitats.
Així mateix, aquesta condició també recauria sobre els ens que formin part de l'Administració Institucional de la corporacions locals, com podria ser organismes autònoms i entitats públiques empresarials locals.
Els ajuntaments són responsables del tractament de les dades personals que efectuïn. Si compten amb Administració Institucional, serà responsable cada un dels ens que formin part de la mateixa respecte als tractaments que duguin a terme.
-Encarregat del tractament: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que tracta dades personals per compte del responsable del tractament (art.4.8 del RGPD).
Per exemple, quan un departament o entitat institucional encarrega a un tercer (una empresa):
La relació entre responsable i encarregat haurà d'estar regulada en un contracte o instrument jurídic, a la qual ens referirem més endavant.
-Destinatari: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme al qual es comuniquen dades personals, tant si és un tercer com si no. Això no obstant, les autoritats públiques que poden rebre dades personals en el marc d'una investigació concreta, no s’han de considerar com a destinataris, de conformitat amb el dret de la UE o dels estats membres. El tractament d’aquestes dades efectuat per aquestes autoritats
públiques és conforme a les normes en matèria de protecció de dades que són aplicables a les finalitats del tractament (art. 4.9 del RGPD).
-Tercer: persona física o jurídica, autoritat pública, servei o organisme diferent de la persona interessada, del responsable del tractament, de l'encarregat del tractament i de les persones autoritzades per tractar les dades personals sota l'autoritat directa del responsable o de l'encarregat (art. 4.10 del RGPD).
-Tractament transfronterer:
a) El tractament de dades personals efectuat en el context de les activitats d'establiments en més d'un estat membre d'un responsable o d’un encarregat del tractament a la UE, si el responsable o l'encarregat és establert en més d'un estat membre.
b) El tractament de dades personals efectuat en el context de les activitats d'un únic establiment d'un responsable o d’un encarregat del tractament a la UE, però que afecta o pot afectar substancialment persones interessades en més d'un estat membre (art. 4.23 del RGPD).
-Establiment principal:
a) Pel que fa a un responsable del tractament amb establiments en més d'un estat membre: el lloc de la seva administració central a la UE, tret que les decisions sobre les finalitats i els mitjans del tractament es prenguin en un altre establiment del responsable a la UE i aquest últim establiment tingui el poder de fer aplicar aquestes decisions, en aquest cas, l’establiment que hagi adoptat dites decisions s’ha de considerar establiment principal.
b) Pel que fa a un encarregat del tractament amb establiments en més d'un estat membre: el lloc de la seva administració central a la UE o, si no en té, l'establiment de l'encarregat a la UE en el qual es desenvolupen les principals activitats de tractament en el context de les activitats d'un establiment de l'encarregat, en la mesura que l'encarregat és subjecte a obligacions específiques d’acord amb aquest reglament (art. 4.16 del RGPD).
-Consentiment de la persona interessada: qualsevol manifestació de voluntat lliure, específica, informada i inequívoca per la qual la persona interessada accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de dades personals que l’afecten (art. 4.11 del RGPD).
-Limitació del tractament: el marcatge de les dades de caràcter personal conservades, amb la finalitat de limitar-ne el tractament en el futur (art. 4.3 del RGPD).
-Violació de la seguretat de les dades personals: qualsevol violació de la seguretat que ocasiona la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d'una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades (art. 4.12 del RGPD).
Les dades personals seran recollides amb fins determinats, explícits i legítims, i no seran tractats de manera incompatible amb aquestes finalitats. No es considera incompatible amb els fins inicials, el tractament posterior de les dades amb fins d'arxiu d'interès públic, fins d'investigació científica i històrica o fins estadístics.
MINIMITZACIÓ DE DADES
Les dades personals seran adequades, pertinents i limitats al que és necessari en relació amb els fins per als quals són tractats.
EXACTITUD
Les dades personals seran exactes i si cal actualitzats, adoptant-se mesures raonables perquè es suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes als fins per als quals es tracten.
LIMITACIÓ DEL TERMINI DE CONSERVACIÓ
Les dades personals seran mantinguts de manera que es permeti la identificació dels afectats no més temps del necessari per als fins del tractament.
Podran conservar durant períodes més llargs sempre que es tractin exclusivament amb fins d'arxiu d'interès públic, fins d'investigació científica i històrica o fins estadístiques, sense perjudici de l'aplicació de les corresponents mesures tècniques i organitzatives apropiades que imposa el RGPD. (veure més endavant la relació d’aquest principi amb l’apartat “La conservació i l’eliminació de les dades personals a l’administració.”
INTEGRITAT I SEGURETAT
Les dades personals seran tractades de manera que es garanteixi la seva adequada seguretat, incloent la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, aplicant les mesures tècniques i d'organització apropiades.
RESPONSABILITAT PROACTIVA
El responsable del tractament serà responsable de complir aquests principis i capaç de demostrar el compliment.
Per tant, aquests principis s'han de complir per les administracions quan realitzin el tractament de dades de caràcter personal dels afectats.
El dret a la protecció de dades personals com a tal no apareix reconegut a la Constitució Espanyola. Va ser el Tribunal Constitucional qui el va configurar a partir de l’article 18.4 de la CE, interpretada conformement als convenis i tractats internacionals.
L’article 18.4 de la CE estableix que: “ 4. La llei ha de limitar l’ús de la informàtica per garantir l’honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets .”
El TC, amb la sentència al cas Olaverri, va reconèixer l’any 1993 l’existència d’un dret fonamental autònom que garantia a les persones controlar la informació que feia referència a la seva vida, que és a més un instrument per garantir el conjunt de drets i llibertats que es puguin veure afectats pel tractament de dades personals.
A Espanya, la primera norma que va regular aquest dret va ser la Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de les dades de caràcter personal. Aquesta norma va ser derogada per la Llei orgànica 15/1999, de protecció de dades de caràcter personal (en endavant LOPD), que és la norma interna de transposició de la Directiva 95/46/CE del Parlament Europeu i del Consell, de 24 d'octubre de 1995, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades.
Posteriorment, la LOPD va ser desenvolupada pel Reial decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desenvolupament de la LOPD.
A Catalunya, s'ha creat una autoritat de control específica per garantir el dret a la protecció de dades. La Llei 5/2002, de 19 d'abril, de l'Agència Catalana de Protecció de Dades va crear aquesta institució. Aquesta llei ha estat derogada per la Llei 32/2010, d'1 d'octubre, de l'Autoritat Catalana de Protecció de Dades. Altrament, cal indicar que el mateix Estatut d'autonomia de Catalunya reconeix, a l'article 31, el dret a la protecció de les dades personals.
Actualment, és d’aplicació el Reglament (UE) 2016/679 del Parlament i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades (en endavant RGPD) i pel qual es deroga la Directiva 95/46/CE que es va aprovar a l’abril del 2016.
Aquesta nova regulació es fa mitjançant un reglament europeu que és d’aplicació directa, és a dir, que no requereix cap norma de transposició a l’ordenament jurídic intern. Tot i això, atesa la complexitat i l'especialitat de la matèria, es considera convenient l’elaboració de normes que complementin la regulació; en aquest sentit, el 5 de desembre de 2018, es va aprovar la Llei òrganica 3/2018, de protecció de dades personals i garantia dels drets digitals.
El RGPD és d’obligat compliment a partir del 25 de maig de 2018, data fins a la qual les entitats s'han tingut d'adaptar a les noves obligacions establertes al Reglament. La LOPD i el RLOPD han continuat, fins al 25 de maig de 2018, sent de plena aplicació. A partir d'aquesta data, queden derogats els aspectes contraris al RGPD.
Cal tenir present que el RGPD no afecta l'àmbit d'actuació de l’APDCAT establert per l’Estatut d’autonomia de Catalunya i la Llei 32/2010, tot i que s’ha dictat una norma posterior per adaptar les seves funcions i àmbit d’actuació, especialmente quan al règim sancionador.
Legislació europea
Tal com comentavem anteriorment ren relació a la limitació del termini de conservació, les dades personals seran mantingudes de manera que es permeti la identificació dels afectats no més temps del necessari per als fins del tractament.
Podran conservar durant períodes més llargs sempre que es tractin exclusivament amb fins d'arxiu d'interès públic, fins d'investigació científica i històrica o fins estadístiques, sense perjudici de l'aplicació de les corresponents mesures tècniques i organitzatives apropiades que imposa el RGPD.
Així doncs, caldrà valorar, junt amb la creació del tractament, quina és la base legitimadora i la normativa que empara el tractament de les dades personals a fi de poder determinar els terminis de conservació. Per exemple:
Per a aquells casos en els quals no sigui tan evident la previsió de resposta a altres obligacions legals, és recomanable consultar les eines elaborades per la Comissió municipal d'avaluació i accés a la documentació.
La CMAAD és l'òrgan col·legiat de caràcter tècnic responsable de determinar els valors dels documents i analitzar-ne els continguts amb la finalitat de proposar-ne els terminis de conservació i el règim d'accés.
Funcions de la CMAAD:
resolució de les queixes o denúncies presentades per particulars pel que fa a l'accés als documents.
Composició de la CMAAD
Eines de la CMAAD
Eliminació de documents
Departament de Cultura de la Generalitat de Catalunya, sobre avaluació i tria de documentació de l’Administració pública, no podrà ser eliminat cap document anterior a l’ de gener de 1940.
Drets, deures i garanties derivades del règim jurídic de la protecció de dades de caràcter personal.
a. Els drets de la persona interessada
Els drets que recull el RGPD són el dret d’informació, el dret d’accés, el dret de rectificació, el dret de supressió (dret a l’oblit), el dret a la limitació del tractament, el dret a la portabilitat de les dades, el dret d’oposició i les decisions individuals automatitzades.
En el mateix sentit la LOPDGDD es remet a la redacció del RGPD a l’hora de regular- los, introduint només algunes concrecions que després s’esmenten.
El dret d’informació
El RGPD vol augmentar la transparència dels tractaments de dades personals i per això reforça la informació que cal facilitar a la persona interessada. La informació es configura com un dret de les persones afectades.
Així, el RGPD estableix que el responsable del tractament ha de facilitar a la persona interessada la informació relativa al tractament de dades que vulgui portar a terme de manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, especialment quan aquesta informació vagi adreçada a un menor.
La informació a les persones interessades s’ha de facilitar per escrit o per altres mitjans, inclosos els electrònics quan escaigui. La informació es pot transmetre en combinació amb icones normalitzades que proporcionin de manera fàcilment visible, intel·ligible i clarament llegible, una visió adequada de conjunt del tractament previst. Les icones que es presentin en format electrònic han de ser llegibles mecànicament (art. 12 del RGPD).
Informació que cal facilitar quan les dades personals s’obtenen de la persona interessada:
El RGPD amplia, respecte del que establia l’article 5 de la LOPD, les qüestions sobre les quals cal informar la persona interessada i estableix que, a més, se l’ha d’informar de: les dades de contacte del delegat de protecció de dades; la base jurídica del tractament; l’interès legítim perseguit en què es fonamenta el tractament, si escau; la intenció de transferir les dades a un país tercer o a una organització internacional i la base per fer-ho, si escau; el termini durant el qual es conservaran les dades; el dret a sol·licitar la portabilitat de les
dades; el dret a retirar en qualsevol moment el consentiment prestat, si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte; el dret a presentar una reclamació davant una autoritat de control, i l’existència de decisions automatitzades, inclosa la lògica aplicada i les seves conseqüències.
Així, l’article 13 del RGPD estableix que, en el moment de l’obtenció de les dades, el responsable del tractament ha d’informar la persona interessada sobre:
Si les dades es volen utilitzar posteriorment per a una finalitat diferent a aquella per a la qual es van recollir, cal informar prèviament la persona interessada sobre aquesta altra finalitat i sobre qualsevol altra informació addicional pertinent.
No cal informar la persona interessada quan ja disposi d’aquesta informació.
Informació que cal facilitar quan les dades personals no s’obtenen de la persona interessada
L’article 14 del RGPD determina que, quan les dades no s’obtenen de la persona interessada, a més dels aspectes als quals s’ha fet referència en l’apartat anterior, el responsable del fitxer ha d’informar la persona interessada sobre:
d'informar els afectats s'han d'adaptar a les circumstàncies de cada un dels mitjans emprats per a la recopilació o registre de les dades.
Per exemple, algunes de les formes més habituals de recollida de dades i, en conseqüència, a través dels quals cal informar, poden ser:
D'altra banda, les comunicacions a l'afectat sobre dades ja disponibles, o tractaments addicionals, poden fer-se arribar, entre altres mitjans, per correu postal, missatgeria electrònica, així com notificacions emergents en serveis i aplicacions.
Les característiques de cada un dels mitjans varien pel que fa a extensió, disponibilitat d'espai, llegibilitat, possibilitat de vincular informacions, etc. En qualsevol cas, la informació a les persones interessades ha de proporcionar-: amb un llenguatge clar i senzill, de manera concisa, transparent, intel·ligible i de fàcil accés.
El dret d’accés
L’article 15 del RGPD disposa que la persona interessada té dret que el responsable del tractament li confirmi si està o no tractant dades personals seves i, en cas afirmatiu, té dret d’accés a les dades, i en concret que se li faciliti informació sobre:
El responsable del tractament ha de facilitar una còpia de les dades personals tractades, sempre que no afecti negativament els drets i les llibertats d’altres.
Quan la sol·licitud es faci a través de mitjans electrònics, la informació s’ha de proporcionar en format electrònic, tret que la persona interessada demani que se li faciliti d’una altra manera.
El dret de rectificació
La persona interessada té dret a obtenir la rectificació de les seves dades personals que siguin inexactes. Tenint en compte la finalitat del tractament, té dret que es completin les seves dades incomplertes (art. 16 del RGPD).
El responsable ha de comunicar la rectificació efectuada a cada un dels destinataris a qui s’hagin comunicat les dades, tret que sigui impossible o exigeixi un esforç desproporcionat. El responsable ha d’informar la persona interessada sobre els destinataris, si ho demana (art. 19 del RGPD).
El dret de supressió (dret a l’oblit)
La persona interessada té dret a obtenir la supressió de les seves dades personals quan (art. 17 del RGPD):
Si el responsable del tractament ha comunicat o ha fet públiques les dades i aquestes s’han de suprimir, ha d’adoptar mesures raonables per informar de la supressió a altres responsables que estiguin tractant les dades. El responsable ha d’informar la persona interessada sobre els destinataris de les dades, si ho demana.
El RGPD estableix algunes excepcions a l’exercici del dret de supressió, com ara que no és aplicable quan el tractament sigui necessari:
La persona interessada té dret que les seves dades es transmetin directament de responsable a responsable quan sigui tècnicament possible.
Aquest dret no s’aplica al tractament que sigui necessari per complir una missió realitzada en interès públic o en l’exercici de poders públics del responsable del tractament.
El dret a la portabilitat de les dades no pot afectar negativament els drets i les llibertats d’altres.
El dret ’oposició La persona interessada té dret a oposar-se en qualsevol moment, per motius relacionats amb la seva situació particular, que les seves dades personals siguin tractades, quan el tractament es porta a terme per complir una missió realitzada en interès públic, per exercir poders públics o per satisfer interessos legítims, incloent-hi elaborar perfils (art. 21 del RGPD).
El responsable del tractament ha de deixar de tractar les dades, tret que acrediti motius legítims imperiosos per al tractament que prevalguin sobre els interessos, els drets i les llibertats de la persona interessada o per formular, exercir o defensar reclamacions.
Quan la persona interessada s’oposi al tractament de les seves dades amb finalitats de màrqueting directe, inclosa l’elaboració de perfils relacionats amb aquesta, les seves dades s'han de deixar de tractar amb aquesta finalitat.
Cal informar la persona interessada clarament sobre la possibilitat d’exercir el dret d’oposició, com a molt tard, en el moment de la primera comunicació amb la persona interessada.
Si el tractament es porta a terme en el context de la utilització de serveis de la societat de la informació, la persona interessada pot exercir el dret d’oposició a través de mitjans automatitzats que apliquin especificacions tècniques.
Si les dades es tracten amb finalitats científiques, històriques o estadístiques, la persona interessada, per motius relacionats amb la seva situació particular, té dret a oposar-se al tractament de les seves dades, tret que sigui necessari per complir una missió realitzada per raons d’interès públic.
Decisions individuals automatitzades, inclosa l’elaboració de perfils
Qualsevol persona interessada té dret a no ser objecte d’una decisió basada únicament en el tractament automatitzat, inclosa l’elaboració de perfils, que produeixi efectes jurídics sobre ella o l'afecti significativament (art. 22 del RGPD).
No obstant això, la persona interessada no té aquest dret quan la decisió:
En els tres casos s’han d’establir mesures adequades per salvaguardar els drets i les llibertats i els interessos legítims de la persona interessada, que en els dos primers casos (contracte o consentiment explícit) han d'incloure, com a mínim, el dret a obtenir intervenció humana per part del responsable, a expressar el seu punt de vista i a impugnar la decisió.
Les decisions incloses en aquests tres casos no es poden basar en categories especials de dades, tret que es disposi del consentiment de la persona interessada o el seu tractament sigui necessari per raons d’interès públic.
Exercici dels drets de la persona interessada
El responsable del tractament ha de facilitar a la persona interessada l’exercici dels drets d’accés, rectificació, supressió, limitació del tractament, portabilitat de les dades i oposició i a no ser objecte de decisions individuals automatitzades (art. 12 del RGPD).
El responsable ha d’atendre la sol·licitud d’exercici del dret en el termini d’un mes des de la recepció, prorrogable dos mesos més en cas necessari, segons la complexitat i el nombre de sol·licituds. S’ha d’informar la persona interessada de la pròrroga dins el termini del primer mes (des que es rep la sol·licitud), i indicar els motius de la dilació.
Tot i que el RGPD no estableix una manera concreta per exercir els drets, sí que requereix als responsables que possibilitin la presentació de sol·licituds per mitjans electrònics, especialment quan les dades es tractin per aquests mitjans. A més, determina que, si la sol·licitud es presenta per mitjans electrònics, la informació s’ha de facilitar a través d’aquests mitjans si és possible, tret que la persona interessada demani que se li doni d’una altra manera.
En cas que el responsable no doni curs a la sol·licitud de la persona interessada, l’ha d’informar, dins el termini d’un mes d’haver-la rebut, de les raons per les quals no ha actuat, així com de la possibilitat de presentar una reclamació davant l’autoritat de control i que pot exercir accions judicials.
L’exercici de qualsevol dels drets té caràcter gratuït. Si les sol·licituds són infundades o excessives, especialment perquè són repetitives, el responsable pot cobrar un cànon raonable segons els costos administratius que es derivin de facilitar la informació, la comunicació o l’actuació demanada, o es pot negar a actuar davant la sol·licitud. Li correspon al responsable la càrrega de demostrar el caràcter infundat o excessiu de la sol·licitud.
El responsable ha de prendre les mesures raonables per verificar la identitat de la persona afectada que exerceix un dret. Si té dubtes raonables quant a la identitat de qui presenta la sol·licitud, pot demanar informació addicional per confirmar-ne la identitat.
El responsable pot comptar amb la col·laboració dels encarregats per atendre l’exercici