PROTECCI DE DADES 1 La protecci de dades

PROTECCIÓ DE DADES - 1 La protecció de dades de caràcter personal. El règim jurídic de la protecció de dades de caràcter personal.

PROTECCIÓ DE DADES - 2 1. Terminologia de la protecció de dades 2. La Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal (LOPD): ÀMBIT D’APLICACIÓ I EXCEPCIONS A L’ÀMBIT D’APLICACIÓ 3. Excepcions al consentiment de l’interessat 4. Els drets dels ciutadans en matèria de protecció de dades: DRETS ARCO 5. Funcions de les agències de protecció de dades 6. Registre de Protecció de dades de Catalunya 7. Reglament de la llei 15/1999 de protecció de dades 8. NOU REGLAMENT PROTECCIÓ DE DADES

PROTECCIÓ DE DADES - 3 1. TERMINOLOGIA

PROTECCIÓ DE DADES - 4 • Autodeterminació informativa: dret que reconeix a la persona la facultat de decidir quan i com està disposada a permetre que siguin difoses les seves dades o a difondre-les ella mateixa. • Dades de caràcter personal: qualsevol informació referent a persones físiques identificades o identificables. Entesa la informació no només com a constitució psicosomàtica, sinó també en quant a la seva situació o estatus social. Les dades de caràcter personal inclouen: • Dades personals públiques • Dades personals privades • Dades personals sensibles • Dades públiques: dades personals que són conegudes per un nombre important de persones sense que el titular de les dades necessàriament ho sàpiga. Normalment la persona no pot impedir la seva difusió dintre d’uns límits de respecte; afegint, a més, que la consciència social és favorable a la seva publicitat. És freqüent la seva difusió com si no es tractés de dades personals. Exemples: nom, cognoms, edat, sexe, professió. . . Malgrat que un es pot negar a donar-les, no pot impedir la difusió una vegada conegudes.

PROTECCIÓ DE DADES - 5 • Dades privades: aquelles dades personals que tenen regulades i taxades les situacions o circumstàncies en les quals les persones estan obligades a donar-les, o posar-les en coneixement de tercer. La consciència social és favorable a impedir la seva difusió. Exemples: adreça, Nº compte. . . • Dades sensibles (especialment protegides): són aquelles dades personals referides a les característiques morals o físiques de les persones que, en principi, no són d'interès per a la resta i no afecten, en general a la societat. Exemples: l’origen racial, les opinions polítiques, les conviccions religioses, la salut, la vida sexual, les condemnes criminals (aquest és un tema difícil, ja que de vegades es consideren dades privades, penseu en la difusió del nom i cognoms dels pedòfils o dels maltractadors. . . )

PROTECCIÓ DE DADES - 6 • Tractament de dades: les operacions i els procediments tècnics de caràcter automatitzat o no, que permetin recollir, gravar, conservar, elaborar, modificar, bloquejar i cancel·lar, així com les cessions de dades que derivin de comunicacions, consultes, interconnexions i transferències • Afectat o interessat: persona física titular de les dades • Consentiment de l’interessat: qualsevol manifestació de la voluntat, lliure inequívoca, específica i informada, mitjançant la qual l’interessat consenti el tractament de dades personals que el concerneixin • Cessió o comunicació de dades: qualsevol revelació de dades efectuada a una persona diferent de l'interessat. • Dissociar o anonimitzar: separar les dades que identifiquen plenament a les persones de les que no

PROTECCIÓ DE DADES - 7 • Fonts accessibles al públic: els fitxers que poden ser consultats per qualsevol persona, sense que ho impedeixi una norma limitativa o sense altra exigència que, i s’escau, l’abonament d’una contraprestació. Només es consideren fons d’accés públic: • El cens PROMOCIONAL ****(cal comentar alguna cosa) • Els repertoris telefònics • Llistes de persones que pertanyen a grups professionals. Aquestes llistes només han de portar, nom, professió, activitat, grau acadèmic, direcció i indicació de la seva pertinença al grup. • Diaris, butlletins oficials i mitjans de comunicació.

PROTECCIÓ DE DADES - 8 2. LA LLEI DE PROTECCIÓ DE DADES: ÀMBIT D’APLICACIÓ I EXCEPCIONS A L’APLICACIÓ La Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal (LOPD)

PROTECCIÓ DE DADES - 9 PREVI • Constitució: no es pronuncia clarament: • Art 20. 1: dret a comunicar o rebre lliurament informació. • Art. 105. b: la llei “regularà” l’accés del ciutadans als arxius i registres (llei 30/1992) • Art. 18. 4: la llei limitarà l’ús de la informàtica per tal de garantir l’honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets.

PROTECCIÓ DE DADES - 10 Llei Orgànica 15/1999 de 13 de desembre de protecció de dades de caràcter personal LOPD: (BOE 298/2000). Recordeu també que aquesta llei quan parla de tractament de dades es refereix tant al tractament automatitzat com al que no està automatitzat. Àmbit d’aplicació La Llei Orgànica de protecció de dades de caràcter personal serà d'aplicació a les dades de caràcter personal registrades en suport físic, que les faci susceptibles de tractament, i a tota modalitat d'ús posterior d'aquestes dades pels sectors públic i privat. Concretament, es regirà per la referida Llei Orgànica tot tractament de dades de caràcter personal: a)Quan el tractament sigui efectuat en territori espanyol en el marc de les activitats del responsable del tractament. b) Quan al responsable del tractament no establert en territori espanyol, li sigui d'aplicació la legislació espanyola en aplicació de normes de Dret internacional públic.

PROTECCIÓ DE DADES - 11 c) Quan el responsable del tractament no estigui establert en territori de la Unió Europea i utilitzi en el tractament de dades mitjans situats en territori espanyol, tret que els dits mitjans s'utilitzin únicament amb fins de trànsit. En canvi la Llei 15/1999 exclou del seu àmbit d'aplicació: a) Els fitxers mantinguts persones físiques en l'exercici d'activitats exclusivament personals o domèstiques. b) Els fitxers sotmesos a la normativa sobre protecció de matèries classificades. c) Els fitxers establerts per a la investigació del terrorisme i de formes greus de delinqüència organitzada. Així mateix la llei preveu que es regiran per les seves disposicions específiques, i per allò especialment previst, si escau, per la Llei Orgànica 15/1999 els següents tractaments de dades personals:

PROTECCIÓ DE DADES - 12 a) Els fitxers regulats per la legislació de règim electoral. b) Els que serveixin a fins exclusivament estadístics, i estiguin emparats per la legislació estatal o autonòmica sobre la funció estadística pública. c) Els que tinguin per objecte l'emmagatzematge de les dades contingudes en els informes personals de qualificació que es refereix la legislació del règim del personal de les Forces Armades. d) Els derivats del Registre Civil i del Registre Central de penats i rebels. e) Els procedents d'imatges i sons obtinguts mitjançant la utilització de videocàmeres per les Forces i Cossos de Seguretat, de conformitat amb la legislació sobre la matèria.

PROTECCIÓ DE DADES - 13 1. Principis de protecció de dades a) En el moment de l’obtenció de les dades • Han de ser adequades a la seva finalitat i mai excessives • S’utilitzaran exclusivament per la finalitat per a la qual s’han recollit • Hauran d’ésser exactes i estar actualitzades • Una vegada que deixin d’ésser necessàries, es cancel·laran

PROTECCIÓ DE DADES - 14 b) Pel que fa a la informació que es facilita al titular de les dades, cal detallar: • La finalitat i el destí del fitxer que emmagatzema les dades • Si la resposta al qüestionari o formulari és obligatòria o voluntària • Les conseqüències de la captura de les dades • Els drets d’accés, rectificació, cancel·lació i oposició que pot exercir l’afectat • La identitat i la direcció del responsable del fitxer

PROTECCIÓ DE DADES - 15 c) Principi general sobre la qualitat de les dades: • Dades adequades, pertinents i no excessives • No es podran utilitzar per finalitats diferents d’aquelles per què van ser recollides • Exactes i posades al dia • Si no són exactes o estan incompletes han d'ésser cancel·lades • Han d’ésser cancel·lades quan no siguin necessàries • No seran conservades quan deixin d’ésser útils, llevat d’obligacions fiscals, assegurances. . . ) • S’emmagatzemaran de manera que l’afectat pugui accedir • La llei prohibeix la recollida de dades per mitjans fraudulents

PROTECCIÓ DE DADES - 16 d) Dades especialment protegides (IMPORTANT) • Referents a ideologies, religió o creences • Dades que es refereixen a l’origen racial, la salut o la vida sexual Es prohibeix crear o mantenir fitxers amb la finalitat exclusiva d’emmagatzemar dades que revelin la ideologia , religió creences, l’origen racial o la vida sexual¡¡¡ Poden ser objecte de tractament les dades de caràcter personal sense el consentiment de l’interessat quan aquest tractament sigui necessari per a la prevenció o per al diagnòstic mèdics, la prestació d’assistència sanitària o de tractaments mèdics o la gestió de serveis sanitaris, sempre que el tractament de dades, l’efectuï un professional sanitari subjecte al secret professional. Es podran obtenir aquestes dades quan siguin absolutament necessaris per als fins d’una investigació concreta realitzada per les forces o cossos de seguretat.

PROTECCIÓ DE DADES - 17 e) Seguretat de les dades: recordeu que hi ha un responsable del fitxer que haurà d’evitar l’alteració, pèrdua o l’accés no autoritzat. Es prohibeix el tractament de dades amb sistemes que no reuneixin les condicions adequades (un altre cosa es quines són aquestes condicions) f) Deure d’ésser secret (cap comentari encara que es donen casos de venda d’arxius)

PROTECCIÓ DE DADES - 18 3. EXCEPCIONS AL CONSENTIMENT DEL CIUTADÀ

PROTECCIÓ DE DADES - 19 Sobre el consentiment de l’interessat: • El tractament automatitzat requerirà el consentiment inequívoc de l’interessat • El consentiment no és vàlid quan les dades es recapten per mitjans fraudulents, deslleials o il·lícits • El consentiment podrà ser revocat per causes justificades però sense efectes retroactius • En cas de dades referents a la ideologia, la religió o creences s’haurà d’advertir sobre el dret a no prestar consentiment • Serà requisit de validesa del consentiment que de manera prèvia i inequívoca s’adverteixi a l’interessat de l’existència d’un fitxer automatitzat, finalitat, destinataris de la informació, caràcter obligatori o facultatiu de les seves respostes, conseqüències de l’obtenció de dades o la negativa a subministrar-les, la possibilitat d’exercir dret d’accés, rectificació i cancel·lació i la identitat i direcció del responsable del fitxer

PROTECCIÓ DE DADES - 20 MOLT IMPORTANT: EXCEPCIONS AL CONSENTIMENT (A 11 I 21) • Que la llei disposi altre cosa (genial) • Que la informació es reculli en fonts accessibles al públic (dades de telèfons. . . ) • Que es refereixi a persones vinculades per una relació comercial, laboral o administrativa i siguin necessàries pel manteniment de les relacions (podem crear fitxers de personal a la feina sense consentiment o si hi ha relació comercial laboral i administrativa) • Quan el destinatari sigui el Defensor del Poble, Ministeri Fiscal jutges o tribunals (A Catalunya Síndic Comptes i Síndic de Greuges) • Quan la cessió es produeix a altres administracions amb la mateixa finalitat que havien estat recollides i/o per motius estadístics, històrics o científics • Quan la cessió de dades relatives a la salut sigui necessària per solucionar una urgència.

PROTECCIÓ DE DADES - 21 4. DRETS DELS CIUTADANS EN MATERIA DE PROTECCIÓ DE DADES

PROTECCIÓ DE DADES - 22 Els principal són els ARCO però a banda tenim alguns més: a)Dret a la impugnació de valoracions, es a dir a no veure’s sotmesos a decisions basades en un tractament de dades destinat a avaluar aspectes de la seva personalitat b)Dret de consulta del Registre general de Protecció de Dades c)Dret a conèixer l’existència de tractament de dades de caràcter personal d)Indemnització

PROTECCIÓ DE DADES - 23 Però els principala són els ARCO (ACCÉS-RECTIFICACIÓ-CANCEL·LACIÓ - OPOSICIÓ) Dret d’Accés: • • • És el dret d'un mateix a sol·licitar i obtenir informació gratuïtament sobre si les seves dades personals es tracten, amb quina finalitat i quins usos concrets, d'on s'han tret, si s'han comunicat o es pretenen comunicar i a qui. El pot exercir la persona afectada o un representant en nom seu (en el cas de menors de 14 anys, persones discapacitades, persones més grans de 14 anys si la llei ho exigeix, o quan la persona afectada designi voluntàriament algú que la representi) No es pot exercir si no ha passat encara un any des que es va exercir per darrer cop, tret que hi hagi un interès legítim. La persona responsable té un mes per contestar des que rep la sol·licitud, i ho ha de fer tant si té les dades com si no les té. Si la persona responsable contesta, però no hi adjunta la informació que es demana, té deu dies, a partir del moment en què ha contestat, per fer efectiu el dret d'accés. Si no contesta dins aquest termini, s'hi pot interposar reclamació de tutela de drets. Excepcions a aquest dret: Si hi ha una prohibició legal. Si hi ha perill per a la defensa de l'Estat. Per qüestions de seguretat pública. Per protegir els drets i les llibertats de tercers. Per necessitats d'una investigació policial. Per assegurar el compliment de les obligacions tributàries. Si la Hisenda pública està inspeccionant la persona afectada.

PROTECCIÓ DE DADES - 24 Dret de Rectificació: • • És el dret d'un mateix a rectificar gratuïtament les seves dades personals quan siguin errònies o incompletes. El pot exercir la persona afectada o un representant en nom seu (en el cas de menors de 14 anys, persones discapacitades, persones més grans de 14 anys si la llei ho exigeix, o quan la persona afectada designi voluntàriament algú que la representi). La persona responsable té deu dies per contestar des que rep la sol·licitud, i ho ha de fer tant si té les dades com si no les té. Si no contesta dins aquest termini, s'hi pot interposar reclamació de tutela de drets. Excepcions a aquest dret: Si hi ha una prohibició legal. Si hi ha perill per a la defensa de l'Estat. Per qüestions de seguretat pública. Per protegir els drets i les llibertats de tercers. Per necessitats d'una investigació policial. Per assegurar el compliment de les obligacions tributàries. Si la Hisenda pública està inspeccionant la persona afectada.

PROTECCIÓ DE DADES - 25 Dret de Cancel·lació: • • És el dret d'un mateix a suprimir gratuïtament les seves dades personals quan siguin inadequades, excessives o innecessàries, o quan es conservin durant un temps superior al que pertoqui, o siguin contràries a la LOPD. La cancel·lació origina el bloqueig de les dades, i només s'han de conservar a la disposició d'administracions públiques, jutges i tribunals per atendre les responsabilitats que hi pugui haver. Una vegada passat el termini de prescripció, s'han de suprimir les dades. El pot exercir la persona afectada o un representant en nom seu (en el cas de menors de 14 anys, persones discapacitades, persones més grans de 14 anys si la llei ho exigeix, o quan la persona afectada designi voluntàriament algú que la representi). Els familiars d'una persona difunta poden exercir aquest dret davant els responsables dels fitxers que continguin dades d'aquesta persona (han de comunicar i acreditar aquest fet). La persona responsable té deu dies per contestar des que rep la sol·licitud, i ho ha de fer tant si té les dades com si no les té. Si no contesta dins aquest termini, s'hi pot interposar reclamació de tutela de drets. Excepcions a aquest dret: Si hi ha una prohibició legal. Si hi ha perill per a la defensa de l'Estat. Per qüestions de seguretat pública. Per protegir els drets i les llibertats de tercers. Per necessitats d'una investigació policial. Per assegurar el compliment de les obligacions tributàries. Si la Hisenda pública està inspeccionant la persona afectada.

PROTECCIÓ DE DADES - 26 Dret de Oposició: • • És el dret d'un mateix a sol·licitar gratuïtament que no es tractin les seves dades personals. Aquest dret es pot exercir en els casos següents: • Quan no sigui necessari el seu consentiment per tractar les dades sempre que hi hagi un motiu legítim fonamentat relatiu a una situació personal concreta i cap llei no digui el contrari. • Quan es tracti de fitxers amb una finalitat publicitària i de prospecció comercial. El pot exercir la persona afectada o un representant en nom seu (en el cas de menors de 14 anys, persones discapacitades, persones més grans de 14 anys si la llei ho exigeix, o quan la persona afectada designi voluntàriament algú que la representi). La persona responsable té deu dies per contestar des que rep la sol·licitud, i ho ha de fer tant si té les dades com si no les té. Si no contesta dins aquest termini, s'hi pot interposar reclamació de tutela de drets. Excepcions a aquest dret: Si hi ha una prohibició legal.

PROTECCIÓ DE DADES - 27 5. FUNCIONS DE LES AGÈNCIES DE PROTECCIÓ DE DADES

PROTECCIÓ DE DADES - 28 La Agencia Española de Protección de Datos: www. agpd. es

PROTECCIÓ DE DADES - 29 • Naturalesa i règim jurídic: • Ens de dret públic amb personalitat jurídica pròpia • Actua amb independència de les administracions públiques. Però en l’exercici de les seves funcions públiques es regeix per la Llei 30/1992 • El seu règim patrimonial i de contractació es regeix pel Dret Privat. • Funcions: • Té atorgades funcions de compliment de la legislació sobre protecció de dades. (Fitxers públics, privats i codis tipus) • Òrgans de l’agència: • El Director: nomenat per 4 anys entre els components del Consejo Consultivo, per Reial Decret.

PROTECCIÓ DE DADES - 30 • Òrgans de l’agència: • El Consejo Consultivo: òrgan assessor del director de l’agència • Registro General de Protección de Datos: òrgan de gestió de la inscripció de fitxers amb dades personals

PROTECCIÓ DE DADES - 31 l’Autoritat Catalana de Protecció de Dades

PROTECCIÓ DE DADES - 32 L’article 41. 1 de la Llei Orgànica 15/1999, de Protecció de Dades Personals, reconeix la competència dels òrgans autonòmics respecte dels fitxers de dades de caràcter personal creats o gestionats per les comunitats autònomes i per l’Administració local en el seu àmbit.

PROTECCIÓ DE DADES - 33 L’Autoritat Catalana de Protecció de Dades: • Legislació: • Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades • Resolució de 15 de desembre de 2003, per la qual s’aproven els suports normalitzats per formalitzar les inscripcions al registre de Protecció de Dades de Catalunya.

PROTECCIÓ DE DADES - 34 L’Autoritat Catalana de Protecció de Dades: • Naturalesa i règim jurídic: • Ens de dret públic amb personalitat jurídica pròpia • Actua amb independència de les administracions públiques. • Objecte: • Vetllar pel respecte dels drets fonamentals i les llibertats públiques dels ciutadans en allò que concerneix les operacions fetes mitjançant processos automatitzats o manuals de dades personals. • Actuar amb objectivitat i plena independència de les administracions públiques en l’exercici de les seves funcions, sense subjecció a cap mandat imperatiu ni instrucció.

PROTECCIÓ DE DADES - 35 L’Autoritat Catalana de Protecció de Dades: • Àmbit d’actuació: NO INCLOU TOTES LES INSTITUCIONS, ENTITATS, ORGANITZACIONS O EMPRESES DE CATALUNYA. LA LEGISLACIÓ ACTUAL LIMITA LA SEVA AUTORITAT A: • Control de fitxers creats i als tractament de dades personals duts a terme (codis tipus) en el conjunt d’institucions, organismes, ens i entitats públiques i privades totalment o majoritàriament integrades o dependents de la Generalitat de Catalunya, els ens locals i les universitats de Catalunya. • No té competència en les transferències internacionals de dades (competència de l’Agència de Protecció de Dades estatal)

PROTECCIÓ DE DADES - 36 L’Autoritat Catalana de Protecció de Dades: • Funcions: • Vetllar pel compliment de la legislació vigent sobre protecció de dades de caràcter personal, especialment en allò referent als drets d’informació, accés, rectificació, cancel·lació i oposició. • Dictar les instruccions necessàries per adequar els tractaments de dades personals a la legislació vigent. • Vetllar pel compliment de les disposicions de la Llei d’estadística de Catalunya respecte a la recollida de dades i al secret estadístic. • Requerir als encarregats i responsables del tractament de les dades l’adopció de mesures per complir la llei i en el seu cas ordenar el cessament dels tractaments i la cancel·lació de fitxers.

PROTECCIÓ DE DADES - 37 L’Autoritat Catalana de Protecció de Dades: • Funcions: • Proporcionar informació sobre els drets de les persones en matèria de tractament de dades personals: • Informació als interessats dels fitxers en els quals figuren les seves dades, finalitat i responsables (consulta gratuïta al Registre de Protecció de Dades de Catalunya) • Òrgan receptor de reclamacions ¡¡obligada a mantenir secret el denunciant –copia article -¡¡ • Obtenir dels responsables del fitxers informació i ajuda per l’exercici de les seves funcions • Potestat d’inspecció

PROTECCIÓ DE DADES - 38 6. REGISTRE DE PROTECCIÓ DE DADES DE CATALUNYA

PROTECCIÓ DE DADES - 39 1. Què s'ha d'inscriure? S'han d'inscriure com a fitxers de titularitat pública a l'RPDC els que tenen com a responsable les institucions públiques de Catalunya: Generalitat, les administracions locals, les entitats autònomes i les altres entitats de dret públic que depenen de les administracions autonòmica o locals o que presten serveis o acompleixen activitats per compte propi per mitjà de qualsevol forma de gestió directa o indirecta, les universitats públiques que integren el sistema universitari català, i les corporacions de dret públic que exerceixen les seves funcions exclusivament en l'àmbit territorial de Catalunya, sempre que tinguin com a finalitat l'exercici de potestats de dret públic. 2. Com s'ha d'inscriure? a) Disposició general/acord: Segons el que estableixen l'article 20 de la LOPD i l'article 52 de l'RLOPD, de forma prèvia a la notificació i a la sol·licitud d'inscripció en el Registre dels fitxers de titularitat pública, el responsable del fitxer ha de crear, modificar o suprimir el fitxer per mitjà d'una disposició de caràcter general o acord i publicar al diari o butlletí oficial corresponent aquesta disposició o acord.

PROTECCIÓ DE DADES - 40 La creació, la modificació i la supressió de fitxers dels quals sigui responsable l'Administració de la Generalitat de Catalunya s'han de fer per mitjà d'ordre del conseller corresponent (Disposició final tercera de la Llei 32/2010, de l'1 d'octubre, de l'Autoritat Catalana de Protecció de Dades). • Important: La modificació de determinats aspectes de la creació d’un fitxer, com les finalitats o el tipus de dades tractades pot afectar al nivell de seguretat exigible segons l’establert a l’art. 81 del RLOPD i, en aquest cas, seria necessari modificar-lo en la mateixa disposició general. b) Contingut de la disposició: L'article 20 de la LOPD esmentat i l'article 54 del Reglament de la llei determinen el contingut que ha de tenir la disposició o acord, entre d’altres: La identificació del fitxer o tractament, que n'ha d'indicar la denominació, així com la descripció de la finalitat i els usos previstos. La indicació del col·lectiu de persones sobre les quals es pretén obtenir dades de caràcter personal o que estiguin obligades a subministrar-les. El procediment de recollida de les dades…. .

PROTECCIÓ DE DADES - 41 7. REGLAMENT DE LA LLEI 15/1999 DE PROTECCIÓ DE DADES

PROTECCIÓ DE DADES - 42 REIAL DECRET 1720/2007, DE 21 DE DESEMBRE PEL QUAL S’APROVA EL REGLAMENT DE DESENVOLUPAMENT DE LA LOPD El Reial decret, que va entrar en vigor el 19 d’abril de 2008, derogava el Reial decret 994/1999, d’ 11 de juny, pel qual s’aprova el Reglament de mesures de seguretat dels fitxers automatitzats que continguin dades de caràcter personal. També derogava el Reial decret 1332/1994, de 20 de juny, pel qual es desenvolupaven determinats aspectes de la Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de les dades de caràcter personal. 1. Innovacions més destacables La norma inclou expressament en el seu àmbit d'aplicació als fitxers i tractaments de dades no automatitzades (en paper) i fixa criteris específics sobre mesures de seguretat dels mateixos. Igualment, regula tot un procediment per a garantir que qualsevol persona, abans de consentir que les seves dades siguin recollides i tractades, pugui tenir un ple coneixement de la utilització que aquestes dades vagin a tenir.

PROTECCIÓ DE DADES - 43 Encara que la norma no és d'aplicació a persones mortes, per a evitar situacions doloroses als seus afins es preveu que aquests puguin comunicar al responsable del fitxer la defunció i sol·licitar la cancel·lació de les dades. Per a millor garantir el dret de les persones a controlar l'exactitud i utilització de les seves dades personals, s'exigeix de manera expressa al responsable d'aquests fitxers de dades que concedeixi a l'interessat un mitjà senzill i gratuït per a permetre exercitar el seu dret d'accés, rectificació, cancel·lació i oposició. En la mateixa línia, es prohibeix exigir a l'interessat l'enviament de cartes certificades o semblants, o la utilització de mitjans de telecomunicacions que impliquin el pagament d'una tarifa addicional.

PROTECCIÓ DE DADES - 44 2. Increment de mesures de seguretat S'incrementa la protecció oferta a les dades de caràcter personal en diversos aspectes: Passen d'un nivell bàsic de seguretat al nivell mig els fitxers de les Entitats Gestores i Serveis Comuns de la Seguretat Social que tinguin relació amb les seves competències i les mútues d'accidents de treball i de malalties professionals de la Seguretat Social. També passen al nivell mig de seguretat els fitxers que continguin dades de caràcter personal sobre característiques o personalitat dels ciutadans que permetin deduir el seu comportament. Igualment, des d'un nivell bàsic passen al nivell mig els fitxers dels quals són responsables els operadors de serveis de comunicacions electròniques disponibles al públic o explotin xarxes públiques de comunicacions electròniques sobre dades de tràfic i de localització.

PROTECCIÓ DE DADES - 45 A més, s'exigeix a aquests operadors establir un registre d'accés a tals dades per a determinar qui ha intentat accedir a aquestes dades, data i hora que s'ha intentat aquest accés i si ha estat autoritzat o denegat. Des del nivell bàsic de seguretat passen a un nivell alt totes les dades derivades de la violència de gènere. Sobre aquestes i les restants dades personals incloses en el nivell alt de seguretat s'incorpora l'obligació de xifrar-les si es troben emmagatzemades en dispositius portàtils. S'exigeix que els productes de programari destinats al tractament de dades personals incloguin en la seva descripció el nivell de seguretat, ja sigui bàsic, mig o alt. Per altra banda, s'estableixen certes especificitats per facilitar la implantació de mesures de seguretat, que incidiran sobretot en l'àmbit de les PYMES.

PROTECCIÓ DE DADES - 46 Per exemple, bastarà amb aplicar les mesures de seguretat de nivell bàsic, en lloc de les de nivell alt, respecte a dades especialment protegides quan només s'utilitzin per al pagament de quotes a les entitats de les quals els titulars de les dades siguin membres. El mateix es permet respecte a les dades referents exclusivament al grau de discapacitat o la simple declaració de la condició de discapacitat o invalidesa, quan tinguin per única finalitat complir una obligació legal. Això és particularment aplicable a les dades relatives a l'afiliació sindical o respecte a la salut en els fitxers de nòmines. 3. Mesures de seguretat específiques per a fitxers i tractaments no informatitzats (paper) El Reglament concedeix una atenció especial a aquests dispositius d'emmagatzematge i custòdia de documents, amb la finalitat que es garanteixi la confidencialitat i integritat de les dades que contenen.

PROTECCIÓ DE DADES - 47 S'exigeix l'aplicació d'uns criteris d'arxiu que garanteixin la correcta conservació dels documents i l'exercici del dret d'oposició al tractament, rectificació i cancel·lació de les dades. Els armaris, arxivadors i altres elements d'emmagatzematge, haurien de disposar de mecanismes adequats de tancament (clau) que impedeixin l'accés a la documentació persones no autoritzades. Mentre aquesta documentació no estigui arxivada, la persona que estigui al seu càrrec haurà de custodiar-la, impedint que accedeixi a ella qui no estigui autoritzat. Quan aquests fitxers continguin dades incloses en un nivell de seguretat alt (ideologia, afiliació sindical, religió, creences, origen racial, salut, vida sexual, dades recaptades per la policia sense consentiment dels afectats o actes derivats de violència de gènere), haurien d'estar en àrees tancades amb el dispositiu de seguretat pertinent (portes amb clau), però, si per les característiques dels locals, no pot complir-se aquesta mesura, es permet aplicar altra alternativa que impedeixi a les persones que no estan autoritzades l'accés a aquesta documentació.

PROTECCIÓ DE DADES - 48 Segons l’Article 81 Aplicació dels nivells de seguretat 1. Tots els fitxers o tractaments de dades de caràcter personal han d'adoptar les mesures de seguretat qualificades de nivell bàsic. 2. A més de les mesures de seguretat de nivell bàsic s’implantaran mesures de nivell mitjà en els següents fitxers: a) Els relatius a la comissió d'infraccions administratives o penals. b) Solvència patrimonial i crèdit. c) Es relacionin amb l'exercici de les seves potestats tributàries. d) Aquells els responsables dels quals siguin les entitats financeres per a finalitats relacionades amb la prestació de serveis financers. e) Aquells els responsables dels quals siguin les entitats gestores i serveis comuns de la Seguretat Social i es relacionin amb l'exercici de les seves competències. De la mateixa manera, aquells dels quals siguin responsables mútues d'accidents de treball i malalties professionals de la Seguretat Social. f) Aquells que continguin un conjunt de dades de caràcter personal que ofereixin una definició de les característiques o de la personalitat dels ciutadans i que permetin avaluar determinats aspectes de la personalitat o del comportament dels mateixos.

PROTECCIÓ DE DADES - 49 3. A més de les mesures de nivell bàsic i mitjà, les mesures de nivell alt s'han d'aplicar en els següents fitxers o tractaments de dades de caràcter personal: a) Els que es refereixin a dades d'ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual. b) Els que continguin o es refereixin a dades obtingudes per a fins policials sense consentiment de les persones afectades. c) Els que continguin dades derivades d'actes de violència de gènere. 4. Als fitxers dels quals siguin responsables els operadors que prestin serveis de comunicacions electròniques disponibles al públic o explotin xarxes públiques de comunicacions electròniques respecte a les dades de tràfic i a les dades de localització, s'aplicaran, a més de les mesures de seguretat de nivell bàsic i mig, la mesura de seguretat de nivell alt.

PROTECCIÓ DE DADES - 50 5. En cas de fitxers o tractaments de dades d'ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual només s'han d'implantar les mesures de seguretat de nivell bàsic quan: a) Les dades s'utilitzin amb l'única finalitat de realitzar una transferència dinerària a les entitats de les que els afectats siguin associats o membres. b) Es tracti de fitxers o tractaments en els que de forma incidental o accessòria es continguin aquelles dades sense tenir relació amb la seva finalitat. 6. També es poden implantar les mesures de seguretat de nivell bàsic en els fitxers o tractaments que continguin dades relatives a la salut, referents exclusivament al grau de discapacitat o la simple declaració de la condició de discapacitat o invalidesa de l'afectat, amb motiu del compliment de deures públics.

PROTECCIÓ DE DADES - 51 4. Tractament de dades de menors d'edat Com a regla general, es prohibeix demanar o tractar dades de menors de catorze anys sense el consentiment dels seus pares Si són majors d'aquesta edat, no s'exigeix dit consentiment, tret que siguin actes que els menors de divuit anys no puguin realitzar sense permís patern. Si, a més, es pretén recollir dades amb informació relativa als membres del grup familiar o les seves característiques, serà necessari que els titulars dels mateixos donin el seu consentiment. A més, els menors d'edat han de ser informats amb un llenguatge clar, que els sigui fàcilment comprensible i s'haurà de garantir que s'ha comprovat l'edat del menor i l'autenticitat del consentiment prestat.

PROTECCIÓ DE DADES - 52 5. Fitxers sobre solvència patrimonial i crèdit Per a la inclusió d'aquestes dades, a més de l'existència prèvia d'un deute certa, vençut i exigible que hagi resultat impagat, és necessari que no s'hagi fet una reclamació de tipus judicial, arbitral o administrativa sobre el mateixa. A més, és precisa la notificació de la inclusió, imposada per la Llei Orgànica de Protecció de Dades, de manera que no s'incloguin aquells deutes respecte de les quals no consti la recepció d'aquesta notificació. En tant que el deute hagi estat pagat, haurien de ser cancel·lats de manera immediata les dades relatives a ell. També es prohibeix mantenir en els fitxers referent a això el denominat “saldo zero”. S'estableix la responsabilitat del creditor, o persona que actuï pel seu compte, si aporta dades inexactes per a la seva inclusió en el fitxer.

PROTECCIÓ DE DADES - 53 Es regula de forma detallada el deure informació al deutor. En primer lloc, ha de ser advertit de la seva possible inclusió en el fitxer en el moment de subscriure un contracte del que pugui derivar-se un deute futur. En cas d'impagament, ha d'informar-se al deutor, tant amb caràcter previ a la inclusió de la dada en el fitxer, com en els trenta dies següents a la inclusió. 6. Regulació d'activitats de publicitat i prospecció comercial L'entitat que contracti amb una empresa la realització d'una campanya publicitària estarà obligada a assegurar-se que aquesta ha recaptat les dades complint amb tot l'establert en la Llei. Serà obligatori el consentiment de l'afectat perquè els responsables de diferents fitxers puguin creuar les seves dades per a promocionar o comercialitzar productes o serveis. Es regulen les denominades “llistes d'exclusió” o “llistes Robinson” perquè qualsevol afectat, que obligatòriament ha de ser informat de la seva existència, pugui comunicar al responsable d'un fitxer que no desitja rebre publicitat. Aquestes llistes seran d'obligada consulta prèvia per part de qui realitzi activitats de publicitat o prospecció comercial. https: //www. agpd. es/portalweb. AGPD/Canal. Del. Ciudadano/derechos_publicidad/ publicidad_no_deseada-ides-idphp. php https: //www. listarobinson. es/

PROTECCIÓ DE DADES - 54 Davant la creixent externalizació d'aquests serveis d'obtenció de dades, es regulen de manera detallada les relacions entre el responsable del tractament i l'encarregat del mateix. Així, el responsable del fitxer que encarregui aquesta contractació haurà de vigilar que l'encarregat al que va a contractar reuneix les garanties per a complir el règim de protecció de les dades, especialment quant a la seva conservació i seguretat. Com regla general, perquè l'encarregat del tractament contractat pugui al seu torn subcontractar alguns dels serveis, ha d'estar autoritzat pel responsable del fitxer o tractament. S'exigeixen determinats requisits d'actuació per part del subcontractista, a fi que el responsable del fitxer mai perdi el coneixement i control sobre els tractaments realitzats, en última instància, en el seu nom i el seu compte. 7. Targeta sanitària Per a facilitar l'assistència sanitària pel sistema Nacional de Salut i facilitar la utilització de la targeta sanitària individual, expressament s'aclareix que no és necessari el consentiment de l'interessat per a la comunicació de dades sobre la salut, fins i tot a través de mitjans electrònics, entre els diferents centres, quan es realitzi per a l'atenció sanitària de les persones.

PROTECCIÓ DE DADES - 55 8. Transferències internacionals de dades S'estableix un règim sistemàtic de les mateixes, amb la possibilitat que el Director de l'Agència Espanyola de Protecció de Dades declari l'existència d'un nivell adequat de protecció en un Estat respecte del que no existeixi la Decisió adequada per part de la Unió Europea. També s'aclareixen els supòsits en es podran aportar garanties que permetin l'autorització d'una transferència per part del Director, incloent en aquest apartat les denominades “binding corporate rules”, o codis interns dels grups multinacionals d'empreses, l'incompliment de les quals pogués ser denunciat davant l'Agència. S'introdueix l'opció de suspensió o revocació d'una determinada transferència que hagués estat prèviament autoritzada per part del Director de l'Agència Espanyola de Protecció de Dades quan s'hagués donat incompliment o falta de garanties.

PROTECCIÓ DE DADES - 56 Tenint en compte les sensibilitats que es poguessin donar en la transferència internacional de dades, sobretot quan pugui implicar la deslocalització de serveis prestats en territori espanyol, s'inclourà un procediment d'autorització d'un tràmit d'informació pública, on es podran aportar al·legacions sobre la legalitat d'aquestes actuacions. Sobre la potestat sancionadora de l'Agència Espanyola de Protecció de Dades, no es modifiquen les infraccions, sancions o quantia de les multes, però sí s'introdueix un límit temporal de dotze mesos a la durada de la incoació d'un expedient sancionador. Transcorregut aquest termini sense un procediment sancionador, aquestes actuacions prèvies s'entendran com caducades.

PROTECCIÓ DE DADES - 57 9. Infraccions i sancions (MODIFICACIÓ LLEI 2/2011) Tipus d’infraccions a) Lleus: • No remetre a les Agències de Protecció de Dades les notificacions previstes a la Llei de Protecció de Dades o les seves disposicions de desplegament. • No sol·licitar la inscripció del fitxer de dades de caràcter personal en el Registre General de Protecció de Dades. • L'incompliment del deure d'informació a l'afectat sobre el tractament de les seves dades de caràcter personal quan les dades siguin recollides del propi interessat. • La transmissió de les dades a un encarregat del tractament sense informar a l’interessat (s’enten que hem donat les dades nosaltres sino no seria lleu)

PROTECCIÓ DE DADES - 58 b) Greus: • Procedir a la creació de fitxers de titularitat pública o iniciar la recollida de dades de caràcter personal per als mateixos, sense autorització de disposició general, publicada en el "Butlletí Oficial de l'Estat" o diari oficial corresponent. • Tractar dades de caràcter personal sense obtenir el consentiment de les persones afectades, quan aquest sigui necessari d'acord amb el que disposa aquesta Llei i les seves disposicions de desplegament. (Excepte sensibles que és molt greu) • Tractar dades de caràcter personal o utilitzar-les posteriorment amb conculcació dels principis i garanties que estableix l'article 4 (qualitat de les dades: exactes, al dia. . . ) • La vulneració del deure de guardar secret sobre el tractament de les dades de caràcter personal. • L'impediment o l'obstaculització de l'exercici dels drets d'accés, rectificació, cancel·lació i oposició. • L'incompliment del deure d'informació a l'afectat sobre el tractament de les seves dades de caràcter personal quan les dades no hagin estat recollides del propi interessat. • L'incompliment dels restants deures de notificació o requeriment a l'afectat imposats per aquesta Llei i les seves disposicions de desplegament.

PROTECCIÓ DE DADES - 59 b) Greus: • Mantenir els fitxers, locals, programes o equips que continguin dades de caràcter personal sense les degudes condicions de seguretat que per via reglamentària es determinin. • No atendre els requeriments o les advertències de l'Agència Espanyola de Protecció de Dades o no proporcionar a aquella tots els documents i informacions siguin sol·licitats per la mateixa. • L'obstrucció a l'exercici de la funció inspectora. • La comunicació o cessió de les dades de caràcter personal sense comptar amb legitimació per a això en els termes que preveu aquesta Llei i les seves disposicions reglamentàries de desplegament, llevat que la mateixa sigui constitutiva d'infracció molt greu

PROTECCIÓ DE DADES - 60 c) Molt greus: • La recollida de dades en forma enganyosa o fraudulenta. • Tractar o cedir les dades de caràcter personal de caràcter sensible sense el consentiment del ciutadà. • No cessar en el tractament il·lícit de dades de caràcter personal quan existís un previ requeriment del director de l'Agència Espanyola de Protecció de Dades per a això. • La transferència internacional de dades de caràcter personal amb destinació a països que no proporcionin un nivell de protecció equiparable sense autorització del director de l'Agència Espanyola de Protecció de Dades excepte en els supòsits en què d'acord amb aquesta Llei i les seves disposicions de desplegament dita autorització no resulta necessària C) Tipus de sancions Les infraccions lleus seran sancionades amb multa de 900 a 40. 000 euros. Les infraccions greus seran sancionades amb multa de 40. 001 -300. 000 euros. Les infraccions molt greus seran sancionades amb multa de 300. 001 -600. 000 euros.

PROTECCIÓ DE DADES - 61 La quantia de les sancions es graduarà atenent als següents criteris: a) El caràcter continuat de la infracció. b) El volum dels tractaments efectuats. c) La vinculació de l'activitat de l'infractor amb la realització de tractaments de dades de caràcter personal. d) El volum de negoci o activitat de l'infractor. e) Els beneficis obtinguts com a conseqüència de la comissió de la infracció. f) El grau d'intencionalitat. g) La reincidència per comissió d'infraccions de la mateixa naturalesa. h) La naturalesa dels perjudicis causats a les persones interessades oa terceres persones. i) L'acreditació que amb anterioritat als fets constitutius d'infracció l'entitat imputada tenia implantats procediments adequats d'actuació en la recollida i tractament de Ios dades de caràcter personal, sent la infracció conseqüència d'una anomalia en el funcionament d'aquests procediments no deguda a una falta de diligència exigible a l'infractor. j) Qualsevol altra circumstància que sigui rellevant per determinar el grau d'antijuridicitat i de culpabilitat presents en l'actuació infractora

PROTECCIÓ DE DADES - 62 D) Prescripció • Les infraccions molt greus prescriuran als tres anys, les greus als dos anys i les lleus a l’any. • El termini de prescripció començarà a comptar-se des del dia en què la infracció s’hagués comès. • Interromprà la prescripció la iniciació, amb coneixement de l’interessat, del procediment sancionador, i es reprendrà el termini de prescripció si l’expedient sancionador estigués paralitzat durant més de sis mesos per causes no imputables al presumpte infractor. • Les sancions imposades per faltes molt greus prescriuran als tres anys, les imposades per faltes greus als dos anys i les imposades per faltes lleus a l’any. • El termini de prescripció de les sancions començarà a comptar-se des de l’endemà d’aquell dia en què adquireixi fermesa la resolució per la qual s’imposa la sanció. • La prescripció s’interromprà per la iniciació, amb coneixement de l’interessat, del procediment d’execució, i tornarà a transcórrer el termini si aquest està paralitzat durant més de sis mesos per causa no imputable a l’infractor.

PROTECCIÓ DE DADES - 63 8. NOU REGLAMENT PROTECCIÓ DE DADES

PROTECCIÓ DE DADES - 64 1. Àmbit d’aplicació

PROTECCIÓ DE DADES - 65 El Reglament amplia l'àmbit d'aplicació territorial als responsables i als encarregats del tractament no establerts en la UE, quan les activitats de tractament estan relacionades amb l'oferta de béns o serveis o amb el control del comportament de les persones, si tenen lloc en la UE.

PROTECCIÓ DE DADES - 66 2. Principis de protecció de dades

PROTECCIÓ DE DADES - 67 L’RGPD conté molts conceptes, principis i mecanismes similars als que estableixen la Directiva 95/46 i les normes nacionals que l'apliquen. No obstant això, l’RGPD modifica alguns aspectes del règim actual i conté noves obligacions que cada organització ha d’analitzar i aplicar tenint en compte les seves pròpies circumstàncies.

PROTECCIÓ DE DADES - 68 La innovació més gran de l’RGPD per als responsables la constitueixen dos elements de caràcter general: • El principi de “responsabilitat proactiva” • “L’enfocament de risc”

PROTECCIÓ DE DADES - 69 El principi de “responsabilitat proactiva” És la necessitat que el responsable del tractament apliqui mesures tècniques i organitzatives apropiades, a fi de garantir i poder demostrar que el tractament és conforme al Reglament.

PROTECCIÓ DE DADES - 70 “L’enfocament de risc” L’RGPD assenyala que les mesures adreçades a garantir-ne el compliment han de tenir en compte la naturalesa, l'àmbit, el context i les finalitats del tractament, així com el risc per als drets i les llibertats de les persones.

PROTECCIÓ DE DADES - 71 Cal recordar en relació a aquests dos punts Qui és responsable del tractament? És responsable aquell que decideix sobre la finalitat i usos del tractament. Té un poder de decisió sobre què fer amb les dades de caràcter personal.

PROTECCIÓ DE DADES - 72 Qui és encarregat del tractament? És encarregat aquell accedeix i / o tracta les dades de caràcter personal d'acord amb les instruccions del Responsable per raó de la prestació d'un servei al responsable. No té poder de decisió sobre les finalitats del tractament de les dades, ni els pot fer servir per el seu interès propi.

PROTECCIÓ DE DADES - 73 Exemples d’encarregats tractament: Els prestadors de serveis de hosting, les gestories que confeccionen les nòmines, els prestadors de serveis informàtics, els prestadors de serveis d'enviament de cartes i paqueteria, els prestadors de serveis de destrucció confidencial, gestors de serveis públics municipals.

PROTECCIÓ DE DADES - 74 Qui ha d'adoptar les mesures tècniques i organitzatives? Tant el responsable com l'encarregat han d'implantar les mesures tècniques i organitzatives necessàries per garantir el compliment del Reglament.

PROTECCIÓ DE DADES - 75 Al responsable se li trasllada la càrrega de la prova d'acreditar que ha estat diligent en l'elecció de l'encarregat i que aquest ofereix garanties suficients de compliment del Reglament pel que fa a coneixements especialitzats, fiabilitat i recursos

PROTECCIÓ DE DADES - 76 Com pot provar el responsable que l'encarregat compleix? El responsable haurà de sol·licitar a l'encarregat que li demostri el compliment de les mesures de seguretat necessàries en l'accés i tractament de les dades personals per compte del responsable.

PROTECCIÓ DE DADES - 77 La forma més ràpida que estableix el Reglament és que aquell s'hagi adherit a codis de conducta o que tingui un certificat de compliment de protecció de dades emès per l'autoritat de control competent i / o per organisme de certificació acreditat.

PROTECCIÓ DE DADES - 78 3. Noves categories especials de dades

PROTECCIÓ DE DADES - 79 A banda de les dades especialment protegides que ja preveia l’LOPD, que ara passen a denominar-se “categories especials de dades”, el Reglament inclou dues noves categories especials de dades:

PROTECCIÓ DE DADES - 80 • Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d’una persona física que proporcionen una informació única sobre la fisiologia o la salut d’aquella persona, obtingudes en particular de l’anàlisi d’una mostra biològica.

PROTECCIÓ DE DADES - 81 • Dades biomètriques: dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d’una persona física que permeten o confirmen la identificació única d’aquesta persona (imatges facials, dades dactiloscòpiques, etc. ).

PROTECCIÓ DE DADES - 82 4. Consentiment

PROTECCIÓ DE DADES - 83 L’RGPD requereix que l'interessat presti el consentiment mitjançant una declaració inequívoca o una acció afirmativa clara. Als efectes del nou Reglament, les caselles ja marcades, el consentiment tàcit o la inacció no constitueixen un consentiment vàlid.

PROTECCIÓ DE DADES - 84 Segons l’article 28. 2 de la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques: • “Els interessats no estan obligats a aportar documents que hagi elaborat qualsevol Administració, independentment del fet que la presentació dels documents esmentats tingui caràcter preceptiu o facultatiu en el procediment de què es tracti, sempre que l'interessat hagi expressat el seu consentiment perquè es consultin o sol·licitin. Es presumeix que la consulta o l'obtenció és autoritzada pels interessats llevat que al procediment hi consti la seva oposició expressa o que la llei especial aplicable requereixi un consentiment exprés. • En absència d'oposició de l'interessat, les administracions públiques han de sol·licitar els documents electrònicament a través de les seves xarxes corporatives o mitjançant una consulta a les plataformes d'intermediació de dades o altres sistemes electrònics habilitats a l'efecte. • Quan es tracti d'informes preceptius ja elaborats per un òrgan administratiu diferent del que tramita el procediment, aquests s'han de remetre en el termini de deu dies a comptar de la seva sol·licitud. Complert aquest termini, s'ha d'informar l'interessat que pot aportar aquest informe o esperar que el remeti l'òrgan competent. ”

PROTECCIÓ DE DADES - 85 Per tant, els responsables que efectuen tractaments basats en aquest consentiment per omissió haurien d'evitar continuar obtenint aquesta modalitat de consentiment i revisar aquests tractaments de manera que, a partir de maig de 2018, s'hagin adequat a les previsions de l’RGPD.

PROTECCIÓ DE DADES - 86 En quines situacions cal que el consentiment sigui explícit? L’RGPD preveu algunes situacions en què el consentiment ha de ser explícit. Aquesta garantia addicional afecta els casos següents: • Tractament de categories especials de dades • Adopció de decisions automatitzades • Transferències internacionals • Encara que les diferències entre el consentiment inequívoc, tal com el defineix l’RGPD, i el consentiment explícit poden semblar difícils d'apreciar, hi ha situacions en què el consentiment pot ser inequívoc i atorgar-se de forma implícita. Un exemple seria quan es dedueix d'una acció de la persona interessada que decideix continuar navegant per una pàgina web, i accepta així que s'utilitzin galetes (cookies) per monitoritzar la seva navegació.

PROTECCIÓ DE DADES - 87 5. Consentiment dels menors

PROTECCIÓ DE DADES - 88 En l'àmbit dels serveis de la societat de la informació, el consentiment dels menors només és vàlid si tenen més de 16 anys. No obstant això, els estats membres de la UE poden rebaixar l'edat fins als 13 anys. A més, el llenguatge utilitzat per informar-los els ha de ser comprensible. ARA MATEIX 14 ANYS

PROTECCIÓ DE DADES - 89 6. Dret a la informació

PROTECCIÓ DE DADES - 90 El nou Reglament configura la informació com un dret de les persones afectades i amplia les qüestions sobre les quals cal informar-les:

PROTECCIÓ DE DADES - 91 • • • Les dades de contacte delegat de protecció de dades La base jurídica del tractament Els interessos legítims perseguits en què es fonamenta el tractament La intenció de transferir les dades a un tercer país o a una organització internacional i la base per fer-ho El termini durant el qual es conservaran les dades El dret a sol·licitar la portabilitat (article 20 del reglament) el dret a la portabilitat permet als individus sol·licitar a una empresa les seves dades personals en un format digital estandarditzat i facilita en gran mesura la transmissió d'aquestes dades a altres empreses El dret a retirar en qualsevol moment el consentiment que s'hagi prestat Si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte El dret a presentar una reclamació davant una autoritat de control L'existència de decisions automatitzades, inclosa la lògica aplicada i les seves conseqüències.

PROTECCIÓ DE DADES - 92 Com s’ha de proporcionar la informació a les persones interessades? L’RGPD disposa que la informació als interessats, tant respecte de les condicions dels tractaments que els afecten com en les respostes als exercicis de drets, s’ha de proporcionar de forma concisa, transparent, intel·ligible i de fàcil accés, en un llenguatge clar i senzill. En aquest aspecte, va més enllà del que disposa l’LOPD, que tan sols exigeix que la informació es presti de manera expressa, precisa i inequívoca.

PROTECCIÓ DE DADES - 93 7. Drets dels interessats

PROTECCIÓ DE DADES - 94 L’RGPD incorpora el dret a l’oblit, com un dret vinculat al dret de supressió, i el dret a la portabilitat: Les persones interessades tenen dret a obtenir la supressió de les dades (“dret a l’oblit”), quan:

PROTECCIÓ DE DADES - 95 • Les dades ja no són necessàries per a la finalitat per a la qual es van recollir. • Es revoca el consentiment en el qual es basava el tractament. • L’interessat s’oposa al tractament. • Les dades s’han tractat il·lícitament. • Les dades s’han de suprimir per complir una obligació legal. • Les dades s‘han obtingut en relació amb l’oferta de serveis de la societat de la informació adreçats a menors.

PROTECCIÓ DE DADES - 96 8. Inscripció i notificació de fitxers

PROTECCIÓ DE DADES - 97 L’RGPD suprimeix, a partir del 25 de maig de 2018, la necessitat de crear formalment els fitxers i notificar-los al registre de protecció de dades de les autoritats de control.

PROTECCIÓ DE DADES - 98 9. Delegat de protecció de dades

PROTECCIÓ DE DADES - 99 El Reglament introdueix la figura delegat de protecció de dades, que pot formar part de la plantilla del responsable o de l’encarregat o actuar en el marc d’un contracte de serveis. Cal designar un delegat de protecció de dades en els casos següents:

PROTECCIÓ DE DADES - 100 • Quan el tractament l’efectua una autoritat o un organisme públic (tret de jutjats i tribunals). En aquest cas, es pot designar un únic delegat de protecció de dades per a diverses d’aquestes autoritats o organismes. • Quan el tractament requereix l’observació habitual i sistemàtica d’interessats a gran escala. • Quan el tractament té per objecte categories especials de dades personals o dades relatives a condemnes o infraccions penals.

PROTECCIÓ DE DADES - 101 El delegat de protecció de dades té, entre d’altres, les funcions següents: • Informar i assessorar el responsable o l’encarregat i els treballadors sobre les obligacions que imposa la normativa de protecció de dades. • Supervisar el compliment de la normativa. • Assessorar respecte de l’avaluació d’impacte relativa a la protecció de dades. • Cooperar amb l’autoritat de control. • Actuar com a punt de contacte per a qüestions relatives al tractament.

PROTECCIÓ DE DADES - 102 10. Mesures de seguretat

PROTECCIÓ DE DADES - 103 A diferència de la normativa actual, el Reglament no estableix un llistat de les mesures de seguretat que són d’aplicació d’acord amb la tipologia de dades objecte de tractament, sinó que estableix que el responsable i l’encarregat del tractament han d’aplicar mesures tècniques i organitzatives adequades al risc que comporta el tractament. Això implica haver de fer una avaluació dels riscos que comporta cada tractament, per determinar les mesures de seguretat que cal implementar.

PROTECCIÓ DE DADES - 104 Com es duu a terme una anàlisi de riscos? El tipus d'anàlisi varia segons els tipus de tractament, la naturalesa de les dades que es tracten, el nombre d'interessats afectats o la quantitat i varietat de tractaments que una mateixa organització efectua. En les grans organitzacions, com a norma general aquesta anàlisi s’ha de dur a terme utilitzant alguna de les metodologies d'anàlisi de risc existents.

PROTECCIÓ DE DADES - 105 En responsables de dimensions menors i amb tractaments de poca complexitat, aquesta anàlisi hauria de ser el resultat d'una reflexió, mínimament documentada, sobre les implicacions dels tractaments en els drets i les llibertats de les persones interessades. Aquesta reflexió ha de donar resposta a qüestions com les següents:

PROTECCIÓ DE DADES - 106 • Es tracten dades sensibles? • Es tracten dades d'una gran quantitat de persones? • El tractament inclou l'elaboració de perfils? • Les dades obtingudes de les persones interessades es creuen amb altres de disponibles en altres fonts? • Es pretén utilitzar les dades obtingudes amb una finalitat per a un altre tipus de finalitats? • S'estan tractant grans quantitats de dades, incloses tècniques d'anàlisi massiva tipus big data? • S'utilitzen tecnologies especialment invasives per a la privacitat, com les relatives a geolocalització, videovigilància a gran escala o certes aplicacions de la internet de les coses?

PROTECCIÓ DE DADES - 107 Com més gran és el nombre de respostes afirmatives, més elevat és el risc que es pot derivar del tractament. D'aquesta manera, si la resposta a aquestes preguntes i a d’altres del mateix tipus és negativa, és raonable concloure que l'organització no efectua tractaments que generin un nivell de risc elevat i que, per tant, no ha de posar en marxa les mesures previstes per a aquests casos.

PROTECCIÓ DE DADES - 108 11. Notificació de violacions de seguretat

PROTECCIÓ DE DADES - 109 Si es produeix una violació de la seguretat, el responsable ha de notificarho a l’autoritat de control en un termini màxim de 72 hores, llevat que sigui improbable que constitueixi un risc per als drets i les llibertats de les persones.

PROTECCIÓ DE DADES - 110 A més, quan sigui probable que la violació comporti un alt risc per als drets de les persones interessades, el responsable els l’ha de comunicar sense dilacions indegudes i en llenguatge clar i senzill, tret que:

PROTECCIÓ DE DADES - 111 • El responsable hagués adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles per a persones no autoritzades. • Hagi aplicat mesures posteriors que garanteixen que ja no hi ha la probabilitat que es concreti l’alt risc. • Suposi un esforç desproporcionat.

PROTECCIÓ DE DADES - 112 12. Finestreta única

PROTECCIÓ DE DADES - 113 Aquest sistema permet que els ciutadans i també els responsables establerts en diferents estats membres o que efectuïn tractaments que afecten diferents estats membres tinguin una única autoritat de protecció de dades com a interlocutora.

PROTECCIÓ DE DADES - 114 13. Actuacions han d’emprendre els responsables i els encarregats del tractament, per adequar la seva activitat a la nova regulació

PROTECCIÓ DE DADES - 115 • Documentar les activitats de tractament • Revisar els mecanismes de recollida del consentiment • Revisar les clàusules informatives • Revisar les clàusules dels encàrrecs de tractament • Fer l’avaluació d’impacte relativa a la protecció de dades • Fer una consulta prèvia a l’autoritat de protecció de dades • Revisar els mecanismes utilitzats per transferir dades a tercers països • Avaluar i implantar les mesures de seguretat • Establir un protocol per notificar les violacions de seguretat • Designar un delegat de protecció de dades • Formar el personal