GUIA DE PROTECCIÓ DE DADES PERSONALS

Aquesta guia té per objectiu donar les pautes bàsiques per al compliment de les obligacions establertes en matèria de protecció de dades personals d’acord amb el que estableix el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en el que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades i per el qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades, d’ara endavant RGPD) així com la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (d’ara endavant LOPDGDD).

· IDEES GENERALS

D’acord amb el que estableix l’art.4 de l’RGPD, s’entén per dada personal tota informació sobre una persona física identificada o identificable, (l’interessat). Així mateix, s’ha de tenir en compte que aquesta normativa només afecta a persones físiques, deixant fora de l’àmbit d’aplicació de la mateixa, les dades els titulars de les quals siguin entitats o persones jurídiques.

Queden excloses de l’àmbit d’aplicació de l’RGPD, les activitats no compreses dins de l’àmbit d’aplicació del Dret de la Unió Europea, els Estats membres quan actuïn en l’àmbit d’aplicació de la política exterior i seguretat comú, les realitzades per persones físiques dins l’àmbit exclusivament domèstic i aquelles realitzades per part de les autoritats competents amb fins de prevenció, investigació, detecció o enjudiciament d’infraccions penals, o d’execució de sancions penals.

L’RGPD s’aplica al tractament de dades personals en el context de les activitats d’un establiment del responsable o de l’encarregat en la Unió Europea, independentment de que el tractament tengui lloc a la Unió o no, així com en quan els interessats resideixin a la Unió, en els casos esmentats a l’art.3.2 RGPD

Per tal d’entendre correctament les obligacions i pautes establertes en aquesta guia, es fonamental tenir presents algunes definicions donades per el propi RGPD:

Tractament: qualsevol operació o conjunt d’operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, confrontació o interconnexió, limitació supressió o destrucció.

Fitxer: tot conjunt estructurat de dades personals, accessibles d’acord amb criteris determinats, ja sigui centralitzat, descentralitzat o repartit de forma funcional o geogràfic.

Responsable del Tractament o Responsable: la persona física o jurídica, autoritat pública, servei o altre organisme que, sol o juntament amb altres, determini els fins i mitjans del tractament.

Encarregat del Tractament o Encarregat: La persona física o jurídica, autoritat pública, servei o altra organisme que tracti dades per compte del responsable del tractament.

Destinatari: la persona física o jurídica, autoritat pública, servei o altre organisme al qual es comuniquin dades personals, es tracti o no d’un tercer.

L’RGPD estableix una sèrie de principis relatius al tractament, que s’han de tenir sempre en compte a l’hora de tractar dades personals. A continuació es detallen :

1. Licitud, lleialtat i transparència.

2. Limitació de la finalitat.

3. Minimització de dades.

4. Exactitud.

5. Limitació del termini de conservació.

6. Integritat i confidencialitat.

7. Responsabilitat proactiva.

· INSTRUCCIONS PER AL COMPLIMENT DE LES OBLIGACIONS EN MATÈRIA DE PROTECCIÓ DE DADES PERSONALS

Per al compliment de les obligacions establertes per la legislació vigent en matèria de protecció de dades, haurem de tenir en compte els principis anomenats anteriorment, així com la finalitat, la legitimació, els drets dels interessats o si es transfereixen dades a tercers. Per això recomanem la lectura de la Guía del Reglamento General de Protección de Datos para Responsables del Tratamiento de l’Agència Espanyola de Protecció de Dades (d’ara endavant AEPD) https://www.aepd.es/es/documento/guia-rgpd-pararesponsables-de-tratamiento.pdf-0. A continuació, exposem breument aquestes obligacions:

1. Només es podran tractar dades personals quan concorrin algun dels següents requisits:

L’interessat va donar el seu consentiment per al tractament de les seves dades personals per a un o diversos fins específics (A Espanya, l’edat mínima per a prestar el consentiment és de 14 anys d’acord amb l’establert a l’art.7 LOPDGDD).

El tractament és necessari per a l’execució d’un contracte en el qual l’interessat és part o per a l’aplicació a petició d’aquest de mesures precontractuals.

El tractament és necessari per al compliment d’una obligació legal aplicable al responsable del tractament per a protegir interessos vitals de l’interessat o d’una altra persona física, per al compliment d’una missió realitzada en interès públic o en l’exercici dels poders públics del responsable, o bé és necessari per a la satisfacció d’interessos legítims perseguits per el responsable o un tercer (sempre i quan no hi prevalguin drets fonamentals de l’interessat).

2. Si no concorren cap dels requisits esmentats en el punt anterior, haurem de sol·licitar el consentiment de l’interessat per tal de poder tractar les seves dades i revisar que no es tracti d’un dels supòsits que prohibeix l’ordenament jurídic.

3. Com a norma general, queden prohibits els tractaments de dades de categories especials, de manera que no es podran tractar dades personals que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques o la afiliació sindical, així com el tractament de dades genètiques o biomètriques dirigides a identificar de manera unívoca a una persona física, dades relatives a la salut o dades relatives a la vida o orientació sexual d’una persona física.

   No obstant, les dades mencionades en l’apartat anterior sí que podran ser tractades, sempre i quan l’interessat hagi prestat el seu consentiment específicament (excepte prohibició normativa), quan el tractament sigui necessari per al compliment d’obligacions i drets específics del responsable, o bé per a protegir els seus interessos vitals o els d’una altra persona així com en aquells casos en els quals el tractament es dugui a terme per part d’una associació o fundació sense ànim de lucre. També es podran tractar aquestes dades personals quan el tractament sigui necessari per a la formulació, l’exercici o la defensa de reclamacions, quan els tribunals actuïn en l’exercici de la funció judicial, per raons d’interès públic essencial, per a fins de medicina preventiva o laboral, així com amb fins d’arxiu en interès públic o fins estadístics entre d’altres.

4. La normativa estableix el deure de confidencialitat respecte dels tractaments de dades personals, per la qual cosa no es podran cedir dades personals a tercers si no concorren els requisits necessaris, enunciats en l’apartat anterior. Així mateix, aquest deure s’ha de complir en relació a àmbits, tenint cura sempre de que no es revelin dades personals dels interessats sense el degut consentiment. D’aquesta manera s’han de tenir en compte els següents punts:

Als espais físics no es deixarà informació que contengui dades personals a un lloc visible, deixant aquesta sempre a bon resguard, per tal d’evitar intromissions indegudes

Respecte del personal de l’entitat, haurà de mantenir el deure de confidencialitat, sense poder comunicar dades personals sense la corresponent autorització.

S’hauran d’adoptar els mitjans tècnics per tal d’evitar qualsevol tipus de fuga d’informació que pugui contenir dades personals.

5. És obligatori complir amb el deure d’informaciócada cop que se sol·liciten dades personals dels interessats, informant-los de les dades del responsable del tractament, així com dels drets que poden exercir en relació a les seves dades personals i tenint en compte que s’ha de deixar constància fidedigna del consentiment que hagi prestat l’interessat. S’adjunta com a Annex I, un model de clàusula d’informació bàsica de protecció de dades que s’ha de posar a l’abast dels interessats, cada cop que en sol·licitem les seves dades (si no s’inclou aquest model, s’ha d’incloure una clàusula que contengui els mateixos apartats). Aquesta informació se’ls haurà de proporcionar tant si es tracta d’una sol·licitud en format paper o electrònic. Per a més informació sobre com exercir el deure d’informar, podeu consultar la Guía para el cumplimiento del deber de informar de l’autoritat de control, l’AEPD en el següent enllaç:

https://www.aepd.es/es/documento/guiamodelo-clausula-informativa.pdf-0 .

6. A més del deure d’informació a través de la clàusula d’informació bàsica de protecció de dades, s’ha de tenir disponible una informació més detallada sobre protecció de dades, que l’interessat pugui consultar en qualsevol moment. Aquesta informació, pot estar present a la corresponent pàgina web, i es denominarà, Política de Privacitat. S’adjunta com a Annex II un model de Política de Privacitat. Podeu consultar el decàleg de l’AEPD per a l’adaptació a l’RGPD de polítiques de privacitat a Internet en l’enllaç

https://www.aepd.es/es/documento/decalogo-politicas-de-privacidadadaptacion-rgpd.pdf.

7. A les pàgines web, és obligatori que hi figuri la Política de Privacitat, així com la Política de Cookies. S’Adjunta com a Annex III un model de Política de cookies. També és obligatori complir amb una sèrie d’obligacions respecte de l’ús de les cookies en les webs, que resumidament són les següents:

Si s’empren cookies de les declarades no exemptes (estan exemptes les d’ entrada de l'usuari, d'autenticació o identificació d'usuari únicament de sessió, de seguretat de l'usuari, de sessió de reproductor multimèdia, de sessió per equilibrar la càrrega, de personalització de la interfície d'usuari, i algunes cookies Plugin per intercanviar continguts) s’ha d’advertir als usuaris preceptivament mitjançant un avís en els qual s’esmentin els tipus de cookies emprades així com una redirecció a l’apartat web de la Política de cookies, on hi apareix la informació corresponent de manera detallada.

En l’avís de cookies, l’usuari ha de tenir l’opció d’acceptar o rebutjar les cookies, expressament. El consentiment per a l’ús de cookies és obligatori i si l’usuari no el presta no es podran activar les cookies, de manera que aquestes hauran de romandre inactives durant tota la navegació de l’usuari i, en el seu cas, fins que aquest presti el seu consentiment.

Per a més informació respecte de les obligacions que s’han de complir respecte de les cookies pot consultar la Guía sobre el uso de las cookies de l’AEPD:

https://www.aepd.es/es/documento/guia-cookies.pdf

8. L’AEPD també promou el principi de privacitat des de el disseny, per tal de que la protecció de dades estigui present des de els primers moments. Podeu consultar-ne la Guía de Protección de Datos por Defecto en el següent enllaç:

https://www.aepd.es/es/documento/guia-proteccion-datos-pordefecto.pdf

· NOTES PER AL COMPLIMENT DE LES OBLIGACIONS DE PROTECCIÓ DE DADES

Són tractaments de dades personals aquells que suposin el tractament de dades com nom i llinatges, correu electrònic personal, número de telèfon, número de la Seguretat Social, número de DNI , NIE o passaport...

Sempre que puguem apreciar la presència de dades personals en els documents, actes o similars, estarem obligats a complir amb el disposat en la LOPDGDD i l’RGPD, sempre i quan no concorrin cap de les situacions exceptuades .

Quan facem fotografies en les quals hi apareguin persones, haurem de sol·licitar el respectiu consentiment, donat que la imatge és una dada personal i, a més, ve protegida per el dret d’imatge. En aquesta sol·licitud de consentiment, la persona interessada haurà d’identificar-se, plasmant el seu nom i número de DNI i haurà de prestar el consentiment específic per al tractament concret que es sol·liciti. A més en l’autorització, haurem de donar a l’interessat la informació bàsica de protecció de dades.

Quan es vulguin publicar dades personals als mitjans de comunicació i xarxes socials, generalment s’haurà de sol·licitar el consentiment dels interessats.

Es recomanable que les carpetes, documents o arxius físics que contenguin dades personals, estiguin guardats a llocs on no hi pugui accedir el públic i prenent la màxima precaució per tal d’evitar qualsevol tipus d’intromissió.

Respecte de les obligacions en relació a les pàgines web, s’ha de destacar que els Annexos que formen part d’aquesta guia són models que contenen els apartats requerits, sens perjudici d’altres models igualment vàlids. A més, donat que aquests Annexos són genèrics, cada Responsable del Tractament haurà d’adaptar les clàusules en ells exposades , i completar els apartats corresponents depenent del seu cas concret.

En relació amb els apartats que han de figurar a les pàgines web, s’ha de destacar que han d’estar a un lloc visible per a l’usuari i accessible a ell en qualsevol moment de la navegació (per exemple en la part inferior de tots els sites que visiti l’usuari). Aquests apartats han de figurar amb un tamany raonable que permeti una fàcil identificació per part de l’usuari.

Respecte de les obligacions anunciades en matèria de cookies, s’ha de poder acreditar el seu compliment. Per a acreditar que l’usuari ha prestat el consentiment per a l’ús de cookies, s’ha d’habitar la corresponent eina a la pàgina web, que permeti registrar la direcció IP de l’usuari en fer click a acceptar cookies, així com la data i hora exactes.

Les indicacions donades en aquesta guia són d’obligat compliment d’acord amb el que disposa la normativa vigent en matèria de protecció de dades. El seu incompliment total o parcial, pot donar lloc a una sanció per part de l’autoritat de control, l’AEPD, per la qual cosa recomanem seguir totes les indicacions i consultar la pàgina web de l’AEPD per a estar informats de qualsevol novetat en relació a la protecció de dades personals