Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


protección datos de caracter personal, Resúmenes de Derecho

explicacion protección de datos

Tipo: Resúmenes

2025/2026

Subido el 28/04/2026

mar-valverde
mar-valverde 🇪🇸

1 documento

1 / 43

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
1
Març 2025
TEMA 44 – TÈCNIC SUPERIOR GESTIÓ AJUNTAMENT DE BARCELONA
PROTECCIÓ DE DADES DE CARÀCTER PERSONAL. NORMATIVA DE PROTECCIÓ DE DADES.
LA CONSERVACIÓ I L’ELIMINACIÓ DE LES DADES PERSONALS A L’ADMINISTRACIÓ. EL
REGISTRE D’ACTIVITATS DE TRACTAMENT. EL DELEGAT DE PROTECCIÓ DE DADES.
L’AVALUACIÓ D’IMPACTE DE PRIVACITAT. L’ALISI DE RISCOS I L’APLICACIÓ DE MESURES
DE SEGURETAT. TUTELA JUDICIAL. INFRACCIONS I SANCIONS. DRET A INDEMNITZACIÓ
----------------------------------------------------------------------------------------------------------------------
NORMATIVA I DOCUMENTS D’INTERES:
- Reglament (UE) 2016/679 relatiu a la protecció de les persones físiques en
allò referent al tractament de dades personals i a la lliure circulac d’aquestes
dades (RGPD)
- Llei Orgànica 3/2018, de 5 de desembre, de protecció de dades de caràcter
personal i garantia de drets digitals (LOPDGDD):
OBJECTE I CONCEPTES SICS:
L'article 1 del RGPD determina l'objecte de protecció del nou reglament
europeu:
“1. Aquest reglament estableix les normes relatives a la protecc de les persones físiques
pel que fa al tractament de les dades personals i les normes relatives a la lliure
circulacd’aquestes dades.
2. Aquest reglament protegeix els drets i les llibertats fonamentals de les persones físiques i,
en particular, el seu dret a la protecc de les dades personals.
3. La lliure circulacde les dades personals a la UE no s’ha de restringir ni prohibir per
motius relacionats amb la protecc de les persones físiques pel que fa al tractament de
dades personals.”
Per determinar l'objecte de protecció establert pel RGPD cal tenir en compte que és
una norma que s'emmarca dins de la normativa europea i que, per tant, a més de
garantir el conjunt de drets i llibertats i, en concret, el dret a la protecc de dades
personals, també vol garantir el progrés econòmic i social, l’enfortiment i la convergència de
les economies dins del mercat interior, així com el benestar de les persones físiques,
com s'estableix en els considerants del reglament.
D'altra banda, és important fixar-nos que no només busca protegir el dret a la protecc
de dades sinó el conjunt de drets i llibertats de les persones físiques. Pensem que, amb les
tecnologies emergents i el seu potencial d'intrusió en la vida de les persones, el conjunt
de drets i llibertats de les persones es veuen sotmesos a noves i importants pressions
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b

Vista previa parcial del texto

¡Descarga protección datos de caracter personal y más Resúmenes en PDF de Derecho solo en Docsity!

Març 2025

TEMA 44 – TÈCNIC SUPERIOR GESTIÓ AJUNTAMENT DE BARCELONA

PROTECCIÓ DE DADES DE CARÀCTER PERSONAL. NORMATIVA DE PROTECCIÓ DE DADES.

LA CONSERVACIÓ I L’ELIMINACIÓ DE LES DADES PERSONALS A L’ADMINISTRACIÓ. EL

REGISTRE D’ACTIVITATS DE TRACTAMENT. EL DELEGAT DE PROTECCIÓ DE DADES.

L’AVALUACIÓ D’IMPACTE DE PRIVACITAT. L’ANÀLISI DE RISCOS I L’APLICACIÓ DE MESURES

DE SEGURETAT. TUTELA JUDICIAL. INFRACCIONS I SANCIONS. DRET A INDEMNITZACIÓ

NORMATIVA I DOCUMENTS D’INTERES:

  • Reglament (UE) 2016/679 relatiu a la protecció de les persones físiques en allò referent al tractament de dades personals i a la lliure circulació d’aquestes dades (RGPD)
  • Llei Orgànica 3/2018, de 5 de desembre, de protecció de dades de caràcter personal i garantia de drets digitals (LOPDGDD):

OBJECTE I CONCEPTES BÀSICS:

L'article 1 del RGPD determina l'objecte de protecció del nou reglament europeu:

“1. Aquest reglament estableix les normes relatives a la protecció de les persones físiques pel que fa al tractament de les dades personals i les normes relatives a la lliure circulació d’aquestes dades.

_2. Aquest reglament protegeix els drets i les llibertats fonamentals de les persones físiques i, en particular, el seu dret a la protecció de les dades personals.

  1. La lliure circulació de les dades personals a la UE no s’ha de restringir ni prohibir per motius relacionats amb la protecció de les persones físiques pel que fa al tractament de dades personals.”_

Per determinar l'objecte de protecció establert pel RGPD cal tenir en compte que és una norma que s'emmarca dins de la normativa europea i que, per tant, a més de garantir el conjunt de drets i llibertats i, en concret, el dret a la protecció de dades personals, també vol garantir el progrés econòmic i social, l’enfortiment i la convergència de les economies dins del mercat interior, així com el benestar de les persones físiques, com s'estableix en els considerants del reglament.

D'altra banda, és important fixar-nos que no només busca protegir el dret a la protecció de dades sinó el conjunt de drets i llibertats de les persones físiques. Pensem que, amb les tecnologies emergents i el seu potencial d'intrusió en la vida de les persones, el conjunt de drets i llibertats de les persones es veuen sotmesos a noves i importants pressions

que cal tenir presents en el moment d'establir els mecanismes de garantia.

Com ja passava amb la normativa actual, la protecció que atorga el RGPD s’aplica a les persones físiques, independentment de la nacionalitat o el lloc de residència, amb relació al tractament de les seves dades personals. No s'aplica a les persones jurídiques.

És important familiaritzar-se i comprendre els principals conceptes que s’utilitzen en l’àmbit de protecció de dades.

A continuació s’enumeren els que s’han considerat essencials, i es pot consultar el conjunt de definicions a l’article 4 del RGPD.

En concret, els conceptes clau són:

-Dada personal: qualsevol informació sobre una persona física identificada o identificable (la persona interessada). S’ha de considerar persona física identificable qualsevol persona la identitat de la qual es pot determinar, directament o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona (art. 4.1 del RGPD).

Per facilitar la comprensió d'aquesta definició, el RPGD especifica que les persones físiques poden ser associades a identificadors en línia facilitats pels seus dispositius, aplicacions, eines i protocols, com adreces dels protocols d'Internet, identificadors de sessió en forma de "cookies" o altres identificadors, com etiquetes de radiofreqüència. Això pot deixar empremtes que, en particular, en ser combinades amb identificadors únics i altres dades rebudes pels servidors, poden ser usats per a elaborar perfils de les persones físiques i identificar-les.

-Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d'una persona física, que proporcionen una informació única sobre la seva fisiologia o salut, obtingudes de l'anàlisi d'una mostra biològica d’aquesta persona (art. 4. del RGPD).

Les dades genètiques ja tenien la consideració de dades especialment protegides en el marc de la Directiva 95/46, però només com a part de les dades relacionades amb la salut. El RGPD els separa com a categoria amb entitat pròpia, al marge de la seva implicació en el terreny de la salut, de manera que estén la protecció especial a tractaments relacionats, per exemple, amb la filiació.

-Dades biomètriques: dades personals obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física, que permeten o confirmen la identificació única d'aquesta persona, com ara imatges facials o dades dactiloscòpiques (art. 4.14 del RGPD).

Respecte a aquesta definició cal assenyalar que les dades biomètriques tindran la condició de dades sensibles només quan siguin utilitzades per identificar unívocament a una persona. Una fotografia, per exemple, conté dades biomètriques, però el seu tractament no està

-Responsable del tractament: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que, sol o juntament amb d’altres, determina les finalitats i els mitjans del tractament; si el dret de la UE o dels estats membres determina les finalitats i els mitjans del tractament, el responsable del tractament o els criteris específics per al seu nomenament els pot establir el dret de la UE o dels estats membres (art.4.7 del RGPD).

En l'àmbit de la Generalitat, la figura de responsable del tractament, considerant la normativa aplicable, recaurà en la persona titular del Departament o de la màxima direcció en el cas d’organismes autònoms, entitats públiques empresarials, etc.

No obstant això, cal realitzar la següent consideració:

-Cada titular de departament serà responsable dels seus respectius tractaments, és a dir, sobre aquells sobre els que decideixi (per exemple, el tractament de dades relatiu als seus recursos humans o videovigilància de les seves instal·lacions)

També tenen aquesta condició de responsables, en la mesura que tractin dades de caràcter personal, les entitats locals, les entitats d'àmbit territorial inferior al municipal, les àrees metropolitanes i les mancomunitats.

Així mateix, aquesta condició també recauria sobre els ens que formin part de l'Administració Institucional de la corporacions locals, com podria ser organismes autònoms i entitats públiques empresarials locals.

Els ajuntaments són responsables del tractament de les dades personals que efectuïn. Si compten amb Administració Institucional, serà responsable cada un dels ens que formin part de la mateixa respecte als tractaments que duguin a terme.

-Encarregat del tractament: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que tracta dades personals per compte del responsable del tractament (art.4.8 del RGPD).

Per exemple, quan un departament o entitat institucional encarrega a un tercer (una empresa):

  • L'elaboració de les nòmines del seu personal
  • La destrucció de documentació
  • El control de les càmeres de videovigilància
  • Gestió del cobrament d'impostos
  • Manteniment dels equips informàtics

La relació entre responsable i encarregat haurà d'estar regulada en un contracte o instrument jurídic, a la qual ens referirem més endavant.

-Destinatari: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme al qual es comuniquen dades personals, tant si és un tercer com si no. Això no obstant, les autoritats públiques que poden rebre dades personals en el marc d'una investigació concreta, no s’han de considerar com a destinataris, de conformitat amb el dret de la UE o dels estats membres. El tractament d’aquestes dades efectuat per aquestes autoritats

públiques és conforme a les normes en matèria de protecció de dades que són aplicables a les finalitats del tractament (art. 4.9 del RGPD).

-Tercer: persona física o jurídica, autoritat pública, servei o organisme diferent de la persona interessada, del responsable del tractament, de l'encarregat del tractament i de les persones autoritzades per tractar les dades personals sota l'autoritat directa del responsable o de l'encarregat (art. 4.10 del RGPD).

-Tractament transfronterer:

a) El tractament de dades personals efectuat en el context de les activitats d'establiments en més d'un estat membre d'un responsable o d’un encarregat del tractament a la UE, si el responsable o l'encarregat és establert en més d'un estat membre.

b) El tractament de dades personals efectuat en el context de les activitats d'un únic establiment d'un responsable o d’un encarregat del tractament a la UE, però que afecta o pot afectar substancialment persones interessades en més d'un estat membre (art. 4.23 del RGPD).

-Establiment principal:

a) Pel que fa a un responsable del tractament amb establiments en més d'un estat membre: el lloc de la seva administració central a la UE, tret que les decisions sobre les finalitats i els mitjans del tractament es prenguin en un altre establiment del responsable a la UE i aquest últim establiment tingui el poder de fer aplicar aquestes decisions, en aquest cas, l’establiment que hagi adoptat dites decisions s’ha de considerar establiment principal.

b) Pel que fa a un encarregat del tractament amb establiments en més d'un estat membre: el lloc de la seva administració central a la UE o, si no en té, l'establiment de l'encarregat a la UE en el qual es desenvolupen les principals activitats de tractament en el context de les activitats d'un establiment de l'encarregat, en la mesura que l'encarregat és subjecte a obligacions específiques d’acord amb aquest reglament (art. 4.16 del RGPD).

-Consentiment de la persona interessada: qualsevol manifestació de voluntat lliure, específica, informada i inequívoca per la qual la persona interessada accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de dades personals que l’afecten (art. 4.11 del RGPD).

-Limitació del tractament: el marcatge de les dades de caràcter personal conservades, amb la finalitat de limitar-ne el tractament en el futur (art. 4.3 del RGPD).

-Violació de la seguretat de les dades personals: qualsevol violació de la seguretat que ocasiona la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d'una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades (art. 4.12 del RGPD).

PRINCIPIS APLICABLES AL TRACTAMENT DE DADES PERSONALS

Les dades personals seran recollides amb fins determinats, explícits i legítims, i no seran tractats de manera incompatible amb aquestes finalitats. No es considera incompatible amb els fins inicials, el tractament posterior de les dades amb fins d'arxiu d'interès públic, fins d'investigació científica i històrica o fins estadístics.

MINIMITZACIÓ DE DADES

Les dades personals seran adequades, pertinents i limitats al que és necessari en relació amb els fins per als quals són tractats.

EXACTITUD

Les dades personals seran exactes i si cal actualitzats, adoptant-se mesures raonables perquè es suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes als fins per als quals es tracten.

LIMITACIÓ DEL TERMINI DE CONSERVACIÓ

Les dades personals seran mantinguts de manera que es permeti la identificació dels afectats no més temps del necessari per als fins del tractament.

Podran conservar durant períodes més llargs sempre que es tractin exclusivament amb fins d'arxiu d'interès públic, fins d'investigació científica i històrica o fins estadístiques, sense perjudici de l'aplicació de les corresponents mesures tècniques i organitzatives apropiades que imposa el RGPD. (veure més endavant la relació d’aquest principi amb l’apartat “La conservació i l’eliminació de les dades personals a l’administració.”

INTEGRITAT I SEGURETAT

Les dades personals seran tractades de manera que es garanteixi la seva adequada seguretat, incloent la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, aplicant les mesures tècniques i d'organització apropiades.

RESPONSABILITAT PROACTIVA

El responsable del tractament serà responsable de complir aquests principis i capaç de demostrar el compliment.

Per tant, aquests principis s'han de complir per les administracions quan realitzin el tractament de dades de caràcter personal dels afectats.

NORMATIVA DE LA PROTECCIÓ DE DADES DE CARÀCTER PERSONAL.

El dret a la protecció de dades personals com a tal no apareix reconegut a la Constitució Espanyola. Va ser el Tribunal Constitucional qui el va configurar a partir de l’article 18.4 de la CE, interpretada conformement als convenis i tractats internacionals.

L’article 18.4 de la CE estableix que: “ 4. La llei ha de limitar l’ús de la informàtica per garantir l’honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets .”

El TC, amb la sentència al cas Olaverri, va reconèixer l’any 1993 l’existència d’un dret fonamental autònom que garantia a les persones controlar la informació que feia referència a la seva vida, que és a més un instrument per garantir el conjunt de drets i llibertats que es puguin veure afectats pel tractament de dades personals.

A Espanya, la primera norma que va regular aquest dret va ser la Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de les dades de caràcter personal. Aquesta norma va ser derogada per la Llei orgànica 15/1999, de protecció de dades de caràcter personal (en endavant LOPD), que és la norma interna de transposició de la Directiva 95/46/CE del Parlament Europeu i del Consell, de 24 d'octubre de 1995, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades.

Posteriorment, la LOPD va ser desenvolupada pel Reial decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desenvolupament de la LOPD.

A Catalunya, s'ha creat una autoritat de control específica per garantir el dret a la protecció de dades. La Llei 5/2002, de 19 d'abril, de l'Agència Catalana de Protecció de Dades va crear aquesta institució. Aquesta llei ha estat derogada per la Llei 32/2010, d'1 d'octubre, de l'Autoritat Catalana de Protecció de Dades. Altrament, cal indicar que el mateix Estatut d'autonomia de Catalunya reconeix, a l'article 31, el dret a la protecció de les dades personals.

Actualment, és d’aplicació el Reglament (UE) 2016/679 del Parlament i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades (en endavant RGPD) i pel qual es deroga la Directiva 95/46/CE que es va aprovar a l’abril del 2016.

Aquesta nova regulació es fa mitjançant un reglament europeu que és d’aplicació directa, és a dir, que no requereix cap norma de transposició a l’ordenament jurídic intern. Tot i això, atesa la complexitat i l'especialitat de la matèria, es considera convenient l’elaboració de normes que complementin la regulació; en aquest sentit, el 5 de desembre de 2018, es va aprovar la Llei òrganica 3/2018, de protecció de dades personals i garantia dels drets digitals.

El RGPD és d’obligat compliment a partir del 25 de maig de 2018, data fins a la qual les entitats s'han tingut d'adaptar a les noves obligacions establertes al Reglament. La LOPD i el RLOPD han continuat, fins al 25 de maig de 2018, sent de plena aplicació. A partir d'aquesta data, queden derogats els aspectes contraris al RGPD.

Cal tenir present que el RGPD no afecta l'àmbit d'actuació de l’APDCAT establert per l’Estatut d’autonomia de Catalunya i la Llei 32/2010, tot i que s’ha dictat una norma posterior per adaptar les seves funcions i àmbit d’actuació, especialmente quan al règim sancionador.

Legislació europea

Tal com comentavem anteriorment ren relació a la limitació del termini de conservació, les dades personals seran mantingudes de manera que es permeti la identificació dels afectats no més temps del necessari per als fins del tractament.

Podran conservar durant períodes més llargs sempre que es tractin exclusivament amb fins d'arxiu d'interès públic, fins d'investigació científica i històrica o fins estadístiques, sense perjudici de l'aplicació de les corresponents mesures tècniques i organitzatives apropiades que imposa el RGPD.

Així doncs, caldrà valorar, junt amb la creació del tractament, quina és la base legitimadora i la normativa que empara el tractament de les dades personals a fi de poder determinar els terminis de conservació. Per exemple:

  • En el cas de dades fiscals, caldrà prendre com a referencia la normativa tributària que estableix que caldrà conservar-les durant 4 anys.
  • En el cas de respondre a activitats que poden ser incluides dins de les previstes a la normativa de prevenció del blanqueig i finançament terrorista, el termini será de 10 anys.
  • En el cas del padrò, el termini són 100 anys
  • Si les dades són objecte de procediment judicial, les dades es conservaran fins que finalitzi el procediment i els terminis de recurs que s’en dedueixin I així de forma succesiva haurem d’avaluar les dades que tractem.

Per a aquells casos en els quals no sigui tan evident la previsió de resposta a altres obligacions legals, és recomanable consultar les eines elaborades per la Comissió municipal d'avaluació i accés a la documentació.

La CMAAD és l'òrgan col·legiat de caràcter tècnic responsable de determinar els valors dels documents i analitzar-ne els continguts amb la finalitat de proposar-ne els terminis de conservació i el règim d'accés.

Funcions de la CMAAD:

  • Determinar el calendari de conservació dels documents.
  • Donar pautes sobre l'aplicació de la normativa d'accés i de reserva dels documents.
  • Definir el procediment administratiu per tramitar les propostes d'avaluació i els protocols d'eliminació.
  • Elaborar les normatives i instruccions sobre les competències de la Comissió, a les quals han d'estar subjectes les oficines municipals.
  • Elaborar manuals de procediments sobre accés, eliminació i conservació dels documents.
  • Assessorar i informar els òrgans i serveis municipals sobre avaluació, eliminació i accés a la documentació.
  • Informar sobre les reclamacions, les queixes o els suggeriments pel que fa a l'accés als documents.
  • Col·laborar amb el/la síndic/a de Greuges de l'Ajuntament en l'atenció i proposta de

resolució de les queixes o denúncies presentades per particulars pel que fa a l'accés als documents.

  • Emetre l'informe preceptiu exigit per la llei en casos d'autoritzacions excepcionals d'accés a documentació exclosa de consulta pública per interessos científics o culturals.

Composició de la CMAAD

  • President/a: el/la gerent de recursos.
  • Vicepresident/a: l'arxiver/a en cap. Vocals:
  • El/la secretari/ària general de l'Ajuntament de Barcelona, o persona en qui delegui.
  • El/la director/a dels serveis jurídics, o persona en qui delegui.
  • El/la director/a dels serveis informàtics i de tecnologies de la informació, o persona en qui delegui.
  • El/la director/a de l'Arxiu Històric de la Ciutat de Barcelona.
  • El/la director/a de l'Arxiu Municipal Contemporani de Barcelona.
  • El/la cap del Servei de Coordinació de Centres de la Direcció del Sistema Municipal d'Arxius.
  • El/la cap del Servei de Gestió Documental de la Direcció del Sistema Municipal d'Arxius, que exercirà també les funcions de la secretaria de la CMAAD.
  • Un/a historiador/a especialista en documentació municipal contemporània, designat/ada per l'alcalde/essa.
  • Un/a professor/a de l'àmbit universitari especialista en història contemporània, designat/ada per l'alcalde/essa.
  • A les sessions de la CMAAD, hi poden assistir persones representants de la unitat productora de la documentació a avaluar, així com especialistes en els temes que figuren a l'ordre del dia, amb veu però sense vot.

Eines de la CMAAD

  • Norma de conservació i accés: és l'instrument recapitulatiu que aplega totes les sèries documentals avaluades i informa de les seves característiques principals
  • Calendari de conservació i accés: és l'eina elaborada a partir de la Norma de conservació, i recull de manera abreujada i en forma de quadre la informació sobre els terminis de conservació, de transferència i el règim d'accés de cada sèrie documental.
  • Registre d'eliminacions de documents: és l'instrument que recull la informació de la documentació eliminada d'acord amb l'article 12 del Decret 13/2008, de 22 de gener, sobre accés, avaluació i tria de documents.
  • Manual d'avaluació: explica els òrgans, els procediments i els instruments d'avaluació.
  • Formularis: són les eines amb les quals s'apliquen els processos d'avaluació, que són els següents: proposta d'avaluació documental, sol·licitud d'eliminació de documents, autorització d'eliminació, informe de mostreig documental i acta d'eliminació de documents.

Eliminació de documents

Departament de Cultura de la Generalitat de Catalunya, sobre avaluació i tria de documentació de l’Administració pública, no podrà ser eliminat cap document anterior a l’ de gener de 1940.

Drets, deures i garanties derivades del règim jurídic de la protecció de dades de caràcter personal.

a. Els drets de la persona interessada

Els drets que recull el RGPD són el dret d’informació, el dret d’accés, el dret de rectificació, el dret de supressió (dret a l’oblit), el dret a la limitació del tractament, el dret a la portabilitat de les dades, el dret d’oposició i les decisions individuals automatitzades.

En el mateix sentit la LOPDGDD es remet a la redacció del RGPD a l’hora de regular- los, introduint només algunes concrecions que després s’esmenten.

El dret d’informació

El RGPD vol augmentar la transparència dels tractaments de dades personals i per això reforça la informació que cal facilitar a la persona interessada. La informació es configura com un dret de les persones afectades.

Així, el RGPD estableix que el responsable del tractament ha de facilitar a la persona interessada la informació relativa al tractament de dades que vulgui portar a terme de manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, especialment quan aquesta informació vagi adreçada a un menor.

La informació a les persones interessades s’ha de facilitar per escrit o per altres mitjans, inclosos els electrònics quan escaigui. La informació es pot transmetre en combinació amb icones normalitzades que proporcionin de manera fàcilment visible, intel·ligible i clarament llegible, una visió adequada de conjunt del tractament previst. Les icones que es presentin en format electrònic han de ser llegibles mecànicament (art. 12 del RGPD).

Informació que cal facilitar quan les dades personals s’obtenen de la persona interessada:

El RGPD amplia, respecte del que establia l’article 5 de la LOPD, les qüestions sobre les quals cal informar la persona interessada i estableix que, a més, se l’ha d’informar de: les dades de contacte del delegat de protecció de dades; la base jurídica del tractament; l’interès legítim perseguit en què es fonamenta el tractament, si escau; la intenció de transferir les dades a un país tercer o a una organització internacional i la base per fer-ho, si escau; el termini durant el qual es conservaran les dades; el dret a sol·licitar la portabilitat de les

dades; el dret a retirar en qualsevol moment el consentiment prestat, si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte; el dret a presentar una reclamació davant una autoritat de control, i l’existència de decisions automatitzades, inclosa la lògica aplicada i les seves conseqüències.

Així, l’article 13 del RGPD estableix que, en el moment de l’obtenció de les dades, el responsable del tractament ha d’informar la persona interessada sobre:

  • La identitat i les dades de contacte del responsable i, si escau, del seu representant.
  • Les dades de contacte del delegat de protecció de dades, si escau.
  • Les finalitats del tractament a què es destinaran les dades, la base jurídica del tractament i l’interès legítim, si escau.
  • Els destinataris o les categories de destinataris de les dades, si escau.
  • Les transferències internacionals de dades en el cas que n'hi hagin, i la decisió d’adequació de la Comissió Europea sobre el fet que compleixen el nivell adequat de protecció o l’adopció de garanties adequades o apropiades per garantir el nivell de protecció i els mitjans per obtenir-ne una còpia.
  • El termini de conservació de les dades o, en el cas que no sigui possible concretar- ho, els criteris utilitzats per determinar aquest termini.
  • El dret a sol·licitar l’accés a les dades, la rectificació o supressió de les dades, la limitació del tractament, l’oposició al tractament i la portabilitat de les dades.
  • El dret a retirar el consentiment en qualsevol moment, si aquest era la base per al tractament de les dades.
  • El dret a presentar una reclamació davant l’autoritat de control.
  • Si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte, i si la persona interessada està obligada a facilitar les dades i està informada de les conseqüències de no facilitar-les.
  • Si és el cas, l’existència de decisions automatitzades, inclosa l’elaboració de perfils, i la informació sobre la lògica aplicada, la importància i les conseqüències del tractament per a la persona interessada.

Si les dades es volen utilitzar posteriorment per a una finalitat diferent a aquella per a la qual es van recollir, cal informar prèviament la persona interessada sobre aquesta altra finalitat i sobre qualsevol altra informació addicional pertinent.

No cal informar la persona interessada quan ja disposi d’aquesta informació.

Informació que cal facilitar quan les dades personals no s’obtenen de la persona interessada

L’article 14 del RGPD determina que, quan les dades no s’obtenen de la persona interessada, a més dels aspectes als quals s’ha fet referència en l’apartat anterior, el responsable del fitxer ha d’informar la persona interessada sobre:

  • Les categories de dades personals de què es tracti.
  • La font de la qual procedeixen les dades personals i, si escau, si procedeixen de

d'informar els afectats s'han d'adaptar a les circumstàncies de cada un dels mitjans emprats per a la recopilació o registre de les dades.

Per exemple, algunes de les formes més habituals de recollida de dades i, en conseqüència, a través dels quals cal informar, poden ser:

  • Formularis paper
  • Telèfon
  • Via web
  • Registres d'apps
  • Dades de sensors (IOT)
  • Dades d'activitat personal

D'altra banda, les comunicacions a l'afectat sobre dades ja disponibles, o tractaments addicionals, poden fer-se arribar, entre altres mitjans, per correu postal, missatgeria electrònica, així com notificacions emergents en serveis i aplicacions.

Les característiques de cada un dels mitjans varien pel que fa a extensió, disponibilitat d'espai, llegibilitat, possibilitat de vincular informacions, etc. En qualsevol cas, la informació a les persones interessades ha de proporcionar-: amb un llenguatge clar i senzill, de manera concisa, transparent, intel·ligible i de fàcil accés.

El dret d’accés

L’article 15 del RGPD disposa que la persona interessada té dret que el responsable del tractament li confirmi si està o no tractant dades personals seves i, en cas afirmatiu, té dret d’accés a les dades, i en concret que se li faciliti informació sobre:

  • La finalitat del tractament.
  • Les categories de dades personals tractades.
  • Els destinataris o les categories de destinataris a qui s’han comunicat o es comunicaran les dades.
  • El termini de conservació de les dades o, en cas que no sigui possible concretar-ho, els criteris utilitzats per determinar aquest termini.
  • El dret a sol·licitar la rectificació o la supressió de les dades, la limitació del tractament o l’oposició a aquest tractament.
  • El dret a presentar una reclamació davant l’autoritat de control.
  • Si les dades no s’han obtingut de la persona interessada, qualsevol informació sobre el seu origen.
  • Si és el cas, l’existència de decisions automatitzades, inclosa l’elaboració de perfils, la informació sobre la lògica aplicada, la importància i les conseqüències del tractament per a la persona interessada.
  • En cas que es facin transferències internacionals de dades, les garanties adequades que s’ofereixen.

El responsable del tractament ha de facilitar una còpia de les dades personals tractades, sempre que no afecti negativament els drets i les llibertats d’altres.

Quan la sol·licitud es faci a través de mitjans electrònics, la informació s’ha de proporcionar en format electrònic, tret que la persona interessada demani que se li faciliti d’una altra manera.

El dret de rectificació

La persona interessada té dret a obtenir la rectificació de les seves dades personals que siguin inexactes. Tenint en compte la finalitat del tractament, té dret que es completin les seves dades incomplertes (art. 16 del RGPD).

El responsable ha de comunicar la rectificació efectuada a cada un dels destinataris a qui s’hagin comunicat les dades, tret que sigui impossible o exigeixi un esforç desproporcionat. El responsable ha d’informar la persona interessada sobre els destinataris, si ho demana (art. 19 del RGPD).

El dret de supressió (dret a l’oblit)

La persona interessada té dret a obtenir la supressió de les seves dades personals quan (art. 17 del RGPD):

  • Les dades ja no siguin necessàries per a la finalitat per a la qual es van recollir.
  • Es revoqui el consentiment en el qual es basava el tractament.
  • La persona interessada s’oposi al tractament (i no prevalguin altres motius legítims per portar-lo a terme).
  • Les dades s’hagin tractat il·lícitament.
  • S’hagi de complir una obligació legal.
  • Les dades s’hagin obtingut amb relació a l’oferta de serveis de la societat de la informació adreçada a menors.

Si el responsable del tractament ha comunicat o ha fet públiques les dades i aquestes s’han de suprimir, ha d’adoptar mesures raonables per informar de la supressió a altres responsables que estiguin tractant les dades. El responsable ha d’informar la persona interessada sobre els destinataris de les dades, si ho demana.

El RGPD estableix algunes excepcions a l’exercici del dret de supressió, com ara que no és aplicable quan el tractament sigui necessari:

  • Per exercir el dret a la llibertat d’expressió i d’informació.
  • Per complir amb una obligació legal o una missió realitzada en interès públic o en l’exercici de poders públics.
  • Per raons d’interès públic en l’àmbit de la salut pública.
  • Per finalitats d’arxiu en interès públic, científiques, històriques o estadístiques, en la mesura que el dret pugui fer impossible o obstaculitzar greument l’assoliment dels objectius del tractament.
  • Per formular, exercir o defensar reclamacions.

La persona interessada té dret que les seves dades es transmetin directament de responsable a responsable quan sigui tècnicament possible.

Aquest dret no s’aplica al tractament que sigui necessari per complir una missió realitzada en interès públic o en l’exercici de poders públics del responsable del tractament.

El dret a la portabilitat de les dades no pot afectar negativament els drets i les llibertats d’altres.

El dret ’oposició La persona interessada té dret a oposar-se en qualsevol moment, per motius relacionats amb la seva situació particular, que les seves dades personals siguin tractades, quan el tractament es porta a terme per complir una missió realitzada en interès públic, per exercir poders públics o per satisfer interessos legítims, incloent-hi elaborar perfils (art. 21 del RGPD).

El responsable del tractament ha de deixar de tractar les dades, tret que acrediti motius legítims imperiosos per al tractament que prevalguin sobre els interessos, els drets i les llibertats de la persona interessada o per formular, exercir o defensar reclamacions.

Quan la persona interessada s’oposi al tractament de les seves dades amb finalitats de màrqueting directe, inclosa l’elaboració de perfils relacionats amb aquesta, les seves dades s'han de deixar de tractar amb aquesta finalitat.

Cal informar la persona interessada clarament sobre la possibilitat d’exercir el dret d’oposició, com a molt tard, en el moment de la primera comunicació amb la persona interessada.

Si el tractament es porta a terme en el context de la utilització de serveis de la societat de la informació, la persona interessada pot exercir el dret d’oposició a través de mitjans automatitzats que apliquin especificacions tècniques.

Si les dades es tracten amb finalitats científiques, històriques o estadístiques, la persona interessada, per motius relacionats amb la seva situació particular, té dret a oposar-se al tractament de les seves dades, tret que sigui necessari per complir una missió realitzada per raons d’interès públic.

Decisions individuals automatitzades, inclosa l’elaboració de perfils

Qualsevol persona interessada té dret a no ser objecte d’una decisió basada únicament en el tractament automatitzat, inclosa l’elaboració de perfils, que produeixi efectes jurídics sobre ella o l'afecti significativament (art. 22 del RGPD).

No obstant això, la persona interessada no té aquest dret quan la decisió:

  • És necessària per celebrar o executar un contracte entre la persona interessada i un responsable del tractament
  • Es basa en el consentiment explícit de la persona interessada
  • Està autoritzada pel dret de la UE o dels estats membres.

En els tres casos s’han d’establir mesures adequades per salvaguardar els drets i les llibertats i els interessos legítims de la persona interessada, que en els dos primers casos (contracte o consentiment explícit) han d'incloure, com a mínim, el dret a obtenir intervenció humana per part del responsable, a expressar el seu punt de vista i a impugnar la decisió.

Les decisions incloses en aquests tres casos no es poden basar en categories especials de dades, tret que es disposi del consentiment de la persona interessada o el seu tractament sigui necessari per raons d’interès públic.

Exercici dels drets de la persona interessada

El responsable del tractament ha de facilitar a la persona interessada l’exercici dels drets d’accés, rectificació, supressió, limitació del tractament, portabilitat de les dades i oposició i a no ser objecte de decisions individuals automatitzades (art. 12 del RGPD).

El responsable ha d’atendre la sol·licitud d’exercici del dret en el termini d’un mes des de la recepció, prorrogable dos mesos més en cas necessari, segons la complexitat i el nombre de sol·licituds. S’ha d’informar la persona interessada de la pròrroga dins el termini del primer mes (des que es rep la sol·licitud), i indicar els motius de la dilació.

Tot i que el RGPD no estableix una manera concreta per exercir els drets, sí que requereix als responsables que possibilitin la presentació de sol·licituds per mitjans electrònics, especialment quan les dades es tractin per aquests mitjans. A més, determina que, si la sol·licitud es presenta per mitjans electrònics, la informació s’ha de facilitar a través d’aquests mitjans si és possible, tret que la persona interessada demani que se li doni d’una altra manera.

En cas que el responsable no doni curs a la sol·licitud de la persona interessada, l’ha d’informar, dins el termini d’un mes d’haver-la rebut, de les raons per les quals no ha actuat, així com de la possibilitat de presentar una reclamació davant l’autoritat de control i que pot exercir accions judicials.

L’exercici de qualsevol dels drets té caràcter gratuït. Si les sol·licituds són infundades o excessives, especialment perquè són repetitives, el responsable pot cobrar un cànon raonable segons els costos administratius que es derivin de facilitar la informació, la comunicació o l’actuació demanada, o es pot negar a actuar davant la sol·licitud. Li correspon al responsable la càrrega de demostrar el caràcter infundat o excessiu de la sol·licitud.

El responsable ha de prendre les mesures raonables per verificar la identitat de la persona afectada que exerceix un dret. Si té dubtes raonables quant a la identitat de qui presenta la sol·licitud, pot demanar informació addicional per confirmar-ne la identitat.

El responsable pot comptar amb la col·laboració dels encarregats per atendre l’exercici