Saltar al contingut principal

Línies bàsiques de la protecció de dades personals al sector públic (amb qüestionaris d'autoavaluació)

Nombre de lectures: 0

← Unitat 1 | Unitat 3 →

Unitat 2. Què entenem per "dades personals"? Com les hem de tractar?

2.1 Què són les dades personals?

Les dades personals són totes les dades que permeten identificar, directa o indirectament, una persona. Algunes dades són útils exclusivament per identificar les persones; d’altres permeten conèixer aspectes de la seva personalitat, avaluar la persona o conèixer aspectes de la seva història i circumstàncies (estudis, família, vida laboral, salut, etc.).

Tipus de dades personals

  • Dades identificadores: nom, adreça, fotografia o DNI.
  • Dades de característiques personals: lloc de naixement, nacionalitat o sexe.
  • Dades de circumstàncies socials: aficions, estils de vida, situació familiar, etc.
  • Dades acadèmiques i professionals: historial acadèmic i experiència professional.
  • Dades economicofinanceres: dades bancàries, assegurances, subsidis, targetes de crèdit, etc.
  • Dades d’ocupació laboral: cos, categoria, lloc de treball, historial laboral, etc.
  • Dades relatives a la comissió d’infraccions penals: delictes, etc.
  • Categories especials de dades: salut, dades genètiques, dades biometriques dirigides a identificar a una persona de manera unívoca, ideologia, afiliació sindical, religió, creences, vida sexual i origen racial o ètnic.
Dades personals: qualsevol informació sobre una persona física identificada o identificable (persona interessada). S’ha de considerar persona física identificable qualsevol persona la identitat de la qual es pot determinar, directament o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona.

De quin tipus pot ser la informació de les persones?

Pot ser de diversos tipus (numèrica, alfabètica, gràfica, fotogràfica, acústica) i es pot referir a un tret físic de la persona, a la capacitat intel·lectual, als gustos i les preferències, a l'activitat, a la situació econòmica o social, als estudis, a la professió, a la salut, etc.

Identificació directa i indirecta

La informació pot permetre identificar directament una persona (quan disposem del nom i cognoms, d’una fotografia, del DNI, etc.), o bé pot identificar-la indirectament (quan disposem d’una informació que no està vinculada directament a una persona concreta, però l’associem amb altres dades que sí que ens permeten identificar-la sense esforços desproporcionats).

Titularitat de les dades personals

Les dades de caràcter personal que tracten les entitats, empreses o altres ens per dur a terme les seves funcions, no els pertanyen, sinó que pertanyen a les persones a qui fan referència. Aquestes són les autèntiques propietàries de la seva informació personal.


↑ Índex de la unitat

2.2 Quines dades es consideren "categories especials de dades"?

Són les dades que revelin:

  • L'origen ètnic o racial
  • Opinions polítiques
  • Conviccions religioses o filosòfiques
  • L'afiliació sindical
  • La salut
  • La vida sexual o l'orientació sexual de la persona
  • Dades genètiques
  • Dades biomètriques adreçades a identificar de manera unívoca la persona.
El RGPD ha inclòs aquestes dues últimes dades en les categories especials de dades:

Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d'una persona física, que proporcionen una informació única sobre la fisiologia o la salut d'aquesta persona, obtingudes en particular de l'anàlisi d'una mostra biològica.

Dades biomètriques: dades personals obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física, que permeten o confirmen la identificació única d'aquesta persona (imatges facials, dades dactiloscòpiques, etc.).

El RGPD estableix condicions especials per poder tractar aquestes dades?

Sí, com a regla general el RGPD prohibeix el tractament d’aquest tipus de dades tret que es donin determinades excepcions.

El tractament d’aquest tipus d’informació requereix un rigor especial en el compliment dels principis de la protecció de dades i és sotmès a unes condicions especials, tant pel que fa a la manera com s’ha d’obtenir el consentiment, que ha de ser explícit, com a les mesures de seguretat aplicables.

Per això, cal establir els protocols necessaris per al tractament adequat d’aquesta informació, tant durant l'activitat habitual del responsable del tractament, com durant activitats extraordinàries.

Si voleu consultar les excepcions que permeten el tractament de categories especials de dades cliqueu en aquest enllaç.


↑ Índex de la unitat

2.3 Qui és qui en el tractament de les dades personals?

Responsable del tractament: la persona física o jurídica, autoritat pública, servei o altre organisme que sol o amb d'altres determini els fins i els mitjans del tractament; p. ex., un ajuntament que tracta les dades per exercir les seves competències.
Encarregat del tractament: la persona física o jurídica, autoritat pública, servei o organisme que presta al responsable un servei que comporta el tractament de dades personals per compte d'aquest; p. ex., l'empresa d'informàtica en núvol (cloud computing) que l'ajuntament contracta per emmagatzemar les dades personals que tracta.

En el cas de les administracions públiques, a qui es considera responsable de tractament?

Normalment és responsable del tractament l’òrgan administratiu que té competències sobre la matèria en relació amb la qual o per a l’exercici de la qual es requereix el tractament de dades personals, sempre que aquest tingui capacitat per prendre decisions sobre la finalitat i els mitjans d’aquest tractament.

Les persones interessades han de poder identificar fàcilment qui pren les decisions sobre les finalitats. En relació amb els tractaments de dades efectuats per les administracions públiques es pot fer constar com a responsable del tractament un òrgan administratiu de l’Administració corresponent (conselleria, direcció general, alcaldia, regidoria, gerència, etc.).

Com es regula la relació entre el responsable del tractament i l'encarregat del tractament?

Aquesta regulació s’ha d'establir a través d'un contracte, conveni o acord, o d'un acte jurídic que els vinculi. El contracte o l’acte jurídic ha de constar per escrit, incloent-hi el format electrònic.

El contracte ha d’establir com a mínim l'objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals i les categories de persones interessades, així com les obligacions i els drets del responsable. El contracte també ha d'establir si, un cop finalitzada la prestació dels serveis, les dades s'han de tornar a la persona responsable o s'han de destruir.

El responsable del tractament pot triar qualsevol encarregat del tractament?

Segons el principi de responsabilitat proactiva, el responsable, entre altres mesures, ha de triar un encarregat del tractament que garanteixi i estigui en condicions de demostrar que el tractament es duu a terme conformement al RGPD. Per tant, hi ha un deure de diligència a l’hora d’escollir l'encarregat.

Trobareu la informació necessària i models orientatius per elaborar el contracte/acord d’encarregat de tractament en aquest enllaç.


↑ Índex de la unitat


Practiquem el que hem après: qüestionari de la unitat 2

← Unitat 1 | Unitat 3 →

Torna a munt
× Tanqueu els crèdits
Autoria i llicència

Autores dels continguts (2011): Joana Marí Cardona i Glòria Freixa Vilardell

Revisió dels continguts fins a l'actualitat: Joana Marí Cardona i Santi Farré Tous

Coordinació tècnica i pedagògica: Servei de Formació per a la Generalitat de l'EAPC

La imatge de portada és de Geralt i s'ha obtingut a Pixabay.

L'Escola d'Administració Pública de Catalunya, amb la voluntat de contribuir a la lliure difusió del coneixement i seguint el que estableix la Recomanació de la Comissió Europea sobre gestió de la propietat intel·lectual, difon aquests materials sota una llicència creative commons by-nc-sa, que n'autoritza l'ús, doncs:

  • citant-ne font i autoria,
  • amb finalitats no comercials, i
  • per fer-ne obres derivades que compleixin les condicions anteriors i es difonguin amb el mateix tipus de llicència.

Llicència de Creative Commons
Aquesta obra està subjecta a una llicència de Reconeixement-NoComercial-CompartirIgual 4.0 Internacional de Creative Commons.