Preguntes generals

  1. Àmbit d'aplicació
  2. Conceptes generals
  3. Consentiment
  4. Transferència internacional de dades
  5. Videovigilància
  6. Mesures de seguretat

1. Àmbit d’aplicació

És aplicable la normativa de protecció de dades de caràcter personal als organismes públics?

La LOPDGDD és aplicable a les dades de caràcter personal registrades en suport físic, que les faci susceptibles de tractament, i a qualsevol modalitat d’ús posterior d’aquestes dades pels sectors públic i privat.

Afecta tots els organismes (públics i privats) que tracten (en paper o en suport electrònic) dades de persones físiques (empleats, col·laboradors, clients,...) per garantir el dret fonamental a la intimitat i la privacitat.

No és aplicable a les dades de persones jurídiques, ni als fitxers que es limitin a incorporar les dades de les persones físiques que hi prestin els seus serveis, consistents únicament en el nom i cognoms, les funcions o llocs exercits, així com l’adreça postal o electrònica, telèfon i número de fax professionals.

Els tràmits de l’administració electrònica estan subjectes al règim de protecció de dades de caràcter personal?

Perquè l’administració electrònica es desenvolupi adequadament resulta indispensable aplicar-hi el RGPD. El respecte al dret fonamental a la protecció de dades és un element essencial que, en cap cas, es pot obviar a l’hora d’implantar l’e-administració en un organisme públic. Per aconseguir aquest objectiu, cal analitzar els procediments de l’e-administració des del punt de vista del compliment del RGPD, amb una anàlisi de l’impacte en la privacitat.

És aplicable la normativa de protecció de dades a les persones mortes?

El RGPD no és aplicable a les dades referides a persones mortes. No obstant això, les persones vinculades al mort, per raons familiars o anàlogues, es poden dirigir als responsables dels tractaments que continguin dades de la persona morta amb la finalitat de notificar l’òbit, aportant l’acreditació suficient, i sol·licitar, l'accés, la rectificació o la supressió de les dades, excepte quan la persona morta ho hagi prohibit expressament o així ho determini una llei.

2. Conceptes generals

Quins principis regeixen la normativa de protecció de dades?

Els principis de la proporcionalitat, de la qualitat de les dades, del deure d'informació en la recollida, del consentiment de l'afectat, de les dades especialment protegides, de la seguretat de les dades, del deure de secret, de la comunicació de dades i de l'accés a les dades per compte de tercers.

Què és el principi de qualitat de les dades?

Les dades de caràcter personal només es poden recollir i tractar quan siguin adequades, pertinents i no excessives amb relació a l'àmbit i les finalitats determinades, explícites i legítimes per a les quals s'han obtingut.

Què és una dada de caràcter personal?

Qualsevol informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus referent a persones físiques identificades o identificables.

Una persona identificable és qualsevol persona la identitat de la qual es pugui determinar, directament o indirecta, mitjançant qualsevol informació referida a la seva identitat física, fisiològica, psíquica, econòmica, cultural o social. Una persona física no es considera identificable si la identificació requereix terminis o activitats desproporcionats.

L’adreça electrònica és una dada personal?

Com a informació alfanumèrica referent a una persona física la identitat de la qual es pot determinar, directament o indirectament, l’adreça electrònica és una dada personal.

Què són dades especialment protegides?

Les dades de caràcter personal especialment protegides són aquelles que, per la seva especial condició, requereixen majors garanties i requisits per al seu ús legítim. Les podem classificar en dos grups:

Les dades de caràcter personal que revelin la ideologia, l’afiliació sindical, la religió i les creences, només poden ser objecte de tractament amb el consentiment exprés i per escrit de l’afectat.

Les dades de caràcter personal que facin referència a l'origen ètnic o racial, dades genètiques, dades biomètriques dirigides a identificar de manera inequívoca a una persona física, dades relatives a la salut, dades relatives a la vida sexual, o a l'orientació sexual de les persones físiques, només poden ser recollides, tractades i cedides quan, per raons d’interès general, així ho disposi una llei o l’afectat hi consenti expressament.

Què es considera tractament de dades?

Qualsevol operació o procediment tècnic, ja sigui automatitzat o no, que permeti la recollida, gravació, conservació, elaboració, consulta, utilització, modificació, cancel·lació, bloqueig o supressió, així com les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències.

Quins drets tenen els ciutadans en l’àmbit de la protecció de dades de caràcter personal?

Els drets d’accés, rectificació, oposició, supressió, portabilitat i limitació en el tractament, formen part essencial del dret fonamental a la protecció de dades.

El dret d’accés permet al ciutadà dirigir-se al responsable d'un fitxer determinat per demanar informació sobre les dades personals incloses en un fitxer per conèixer, de manera gratuïta, l'existència de tractament de les dades, la finalitat, l'origen de les dades i les comunicacions realitzades o previstes.

El dret de rectificació té com a finalitat corregir les dades personals inexactes o incompletes de manera que les dades personals responguin amb veracitat a la situació actual de l’interessat. Cal aportar documentació justificativa de la rectificació sol·licitada.

El dret d’oposició té com a finalitat l’exclusió del tractament de les dades personals o el cessament del tractament en els supòsits prevists al Reglament de desplegament de la LOPD. Cal aportar documentació que acrediti els motius fonamentats i legítims de l’oposició sol·licitada.

El dret de portabilitat. L’exercici d’aquest dret té com a finalitat transmetre les dades personals d’un responsable del tractament a un altre, o bé sol·licitar l’entrega de les dades en un format estructurat, d’ús comú i lectura mecànica.

El dret de supressió o "dret a l'oblit". L'exercici d'aquest dret té com a finalitat esborrar les dades de l'interessat o bé, impedir la difusió d'informació personal a través d'Internet.

El dret a la limitació del tractament. L’exercici d’aquest dret té com a finalitat que no s’apliquin a les dades de caràcter personal de l’interessat, les operacions de tractament que en cada cas corresponen.

3. Consentiment

És necessari el consentiment de la persona afectada per tractar les seves dades personals?

El consentiment és qualsevol manifestació de la voluntat lliure, inequívoca, específica i informada, mitjançant la qual l’interessat consenti el tractament de dades personals que el concerneixen. El tractament de les dades de caràcter personal requereix el consentiment inequívoc de l’afectat, llevat que la llei disposi una altra cosa.

No cal el consentiment quan:

  • les dades de caràcter personal es recullen per a l'exercici de les funcions pròpies de les administracions públiques en l'àmbit de les seves competències
  • es refereixen a les parts d'un contracte o negoci, i són necessàries per al seu manteniment o compliment
  • el tractament té com a finalitat protegir un interès vital de la persona interessada
  • les dades figuren en fonts accessibles al públic

És necessari el consentiment de la persona afectada per tractar dades de salut?

Les dades de caràcter personal que facin referència a la salut poden ser objecte de tractament quan sigui necessari per a la prevenció o per al diagnòstic mèdics, la prestació d’assistència sanitària o de tractaments mèdics o la gestió de serveis sanitaris, sempre que el tractament de dades, l’efectuï un professional sanitari subjecte al secret professional o una altra persona subjecta a una obligació equivalent de secret.

Les dades de salut només poden ser recollides, tractades i cedides quan, per raons d’interès general, així ho disposi una llei o l’afectat hi consenti expressament. 

És necessari el consentiment del titular de la pàtria potestat o tutela per tractar dades personals de menors d’edat?

Cal obtenir el consentiment del pare, mare, o, en el seu cas, del tutor/a en el cas de menors de 14 anys o de persones discapacitades (amb diversitat funcional).

El consentiment sempre ha de ser exprés o per escrit?

El consentiment sempre ha de ser exprés, amb una declaració afirmativa. Per tant, no s'admet el consentiment tàcit.

En el cas d’emplenar una sol·licitud, no es considerarà consentiment les caselles ja marcades, el silenci o la inacció.

En el cas de dades especialment protegides (relatives a l’origen racial o ètnic, a la salut i a la vida sexual), el consentiment ha de ser sempre exprés.

En el cas de dades relatives a la ideologia, l’afiliació sindical, la religió i les creences, el consentiment també ha de ser exprés.

Es pot publicar la foto d’una persona sense el seu consentiment?

Una informació gràfica o fotogràfica (una imatge) que identifica o que permet determinar la identitat d’una persona sense un esforç desproporcionat és una dada de caràcter personal. La publicació d’una foto d’una persona identificada o identificable és una cessió de dades personals que requereix el consentiment de la persona afectada.

Ara bé, si les imatges es recullen en un lloc públic i amb finalitat informativa, no cal demanar el consentiment de les persones fotografiades, sempre que la imatge s'emmarqui en el context informatiu, no sigui l'objectiu principal de la càmera i no afecti la intimitat de la persona fotografiada.

Es poden publicar dades personals en una notícia d’un diari o en una web?

El dret fonamental a la protecció de dades de caràcter personal no és un dret absolut i pot topar amb —i poden prevaler— altres drets fonamentals, com ara el dret a la llibertat d'expressió (la manifestació d'una opinió) o el dret d'informació (el dret que té qualsevol persona a donar i a rebre informació).

Si les dades es publiquen en el context informatiu, amb finalitat informativa, no cal demanar el consentiment de la persona afectada.

4. Transferència internacional de dades

Es poden transferir dades personals a qualsevol país?

Per regla general, sols es poden fer transferències internacionals de dades, és a dir, moviments que suposen una transmissió de dades fora del territori de l’Espai Econòmic Europeu, quan la Comissió hagi decidit que el tercer país, pot garantir un nivell de protecció adequat. Aquesta transferència no requerirà cap autorització específica. 

Si la Comissió no s'ha pronunciat respecte d'un tercer país, el responsable o l'encarregat del tractament sols podrà transmetre les dades personals si aquell tercer país pot oferir unes garanties adequades, i a més a més que els interessats comptin amb drets exigibles i accions legals efectives.

5. Videovigilància

Es poden posar càmeres de videovigilància a qualsevol lloc?

La instal·lació de càmeres de videovigilància comporta una recollida de dades consistents en imatges de persones que poden ésser identificades o identificables, que tenen la consideració de dades personals en la mesura que permetin la identificació efectiva d’una persona. Per això, la instal·lació d’un sistema de videovigilància i els tractaments posteriors de les imatges, o de les imatges i veus, que se’n derivin estan subjectes a la normativa sobre protecció de dades personals, sens perjudici d’altra normativa aplicable i del respecte a altres drets fonamentals, com ara el dret a la intimitat i a la pròpia imatge.

Pel que fa a la ubicació de les càmeres, cal cercar una orientació que eviti la captació incidental d’imatges de la via pública o de persones que es reuneixen en un lloc de descans i convé evitar la utilització de sistemes de videovigilància en l’àmbit acadèmic o laboral, atès que pot resultar no-adequada al principi de proporcionalitat en la mesura que no sigui necessari per a la seguretat de persones i instal·lacions.

6. Mesures de seguretat

Què és una incidència en l’àmbit de la protecció de dades personals?

S’entén per incidència qualsevol anomalia que afecti o pugui afectar la seguretat de les dades (per exemple, una caiguda súbita de tensió que apagui els sistemes, o un accés indegut de tercers aliens, o la pèrdua de suports físics com ara CD-ROM, memòries o discs portàtils USB, etc).

Alguns exemples d’incidències podrien ser:

  • Oblit de contrasenya
  • Sospita d’ús indegut de contrasenya
  • Pèrdua de suports informàtics
  • Infecció per virus d’un arxiu o d’una aplicació
  • Accessos no autoritzats a dependències que contenen sistemes d’informació amb dades protegides
  • Enviament d’informació personal a una adreça equivocada
  • Donar informació sensible a persones alienes
  • Avaria de disc dur que provoqui pèrdua de dades
  • Caiguda de la xarxa
  • Petició de recuperació de dades