Unitat 2. Què entenem per "dades personals"? Com les hem de tractar?
2.1 Què són les dades personals?
Les dades personals són totes les dades que permeten identificar, directa o indirectament, una persona. Algunes dades són útils exclusivament per identificar les persones; d’altres permeten conèixer aspectes de la seva personalitat, avaluar la persona o conèixer aspectes de la seva història i circumstàncies (estudis, família, vida laboral, salut, etc.).
Tipus de dades personals
- Dades identificadores: nom, adreça, fotografia o DNI.
- Dades de característiques personals: lloc de naixement, nacionalitat o sexe.
- Dades de circumstàncies socials: aficions, estils de vida, situació familiar, etc.
- Dades acadèmiques i professionals: historial acadèmic i experiència professional.
- Dades economicofinanceres: dades bancàries, assegurances, subsidis, targetes de crèdit, etc.
- Dades d’ocupació laboral: cos, categoria, lloc de treball, historial laboral, etc.
- Dades relatives a la comissió d’infraccions penals: delictes, etc.
- Categories especials de dades: salut, dades genètiques, dades biometriques dirigides a identificar a una persona de manera unívoca, ideologia, afiliació sindical, religió, creences, vida sexual i origen racial o ètnic.
De quin tipus pot ser la informació de les persones?
Pot ser de diversos tipus (numèrica, alfabètica, gràfica, fotogràfica, acústica) i es pot referir a un tret físic de la persona, a la capacitat intel·lectual, als gustos i les preferències, a l'activitat, a la situació econòmica o social, als estudis, a la professió, a la salut, etc.
Identificació directa i indirecta
La informació pot permetre identificar directament una persona (quan disposem del nom i cognoms, d’una fotografia, del DNI, etc.), o bé pot identificar-la indirectament (quan disposem d’una informació que no està vinculada directament a una persona concreta, però l’associem amb altres dades que sí que ens permeten identificar-la sense esforços desproporcionats).
Titularitat de les dades personals
Les dades de caràcter personal que tracten les entitats, empreses o altres ens per dur a terme les seves funcions, no els pertanyen, sinó que pertanyen a les persones a qui fan referència. Aquestes són les autèntiques propietàries de la seva informació personal.
2.2 Quines dades es consideren "categories especials de dades"?
Són les dades que revelin:
- L'origen ètnic o racial
- Opinions polítiques
- Conviccions religioses o filosòfiques
- L'afiliació sindical
- La salut
- La vida sexual o l'orientació sexual de la persona
- Dades genètiques
- Dades biomètriques adreçades a identificar de manera unívoca la persona.
Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d'una persona física, que proporcionen una informació única sobre la fisiologia o la salut d'aquesta persona, obtingudes en particular de l'anàlisi d'una mostra biològica.
Dades biomètriques: dades personals obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física, que permeten o confirmen la identificació única d'aquesta persona (imatges facials, dades dactiloscòpiques, etc.).
El RGPD estableix condicions especials per poder tractar aquestes dades?
Sí, com a regla general el RGPD prohibeix el tractament d’aquest tipus de dades tret que es donin determinades excepcions.
El tractament d’aquest tipus d’informació requereix un rigor especial en el compliment dels principis de la protecció de dades i és sotmès a unes condicions especials, tant pel que fa a la manera com s’ha d’obtenir el consentiment, que ha de ser explícit, com a les mesures de seguretat aplicables.
Per això, cal establir els protocols necessaris per al tractament adequat d’aquesta informació, tant durant l'activitat habitual del responsable del tractament, com durant activitats extraordinàries.
2.3 Qui és qui en el tractament de les dades personals?
En el cas de les administracions públiques, a qui es considera responsable de tractament?
Normalment és responsable del tractament l’òrgan administratiu que té competències sobre la matèria en relació amb la qual o per a l’exercici de la qual es requereix el tractament de dades personals, sempre que aquest tingui capacitat per prendre decisions sobre la finalitat i els mitjans d’aquest tractament.
Les persones interessades han de poder identificar fàcilment qui pren les decisions sobre les finalitats. En relació amb els tractaments de dades efectuats per les administracions públiques es pot fer constar com a responsable del tractament un òrgan administratiu de l’Administració corresponent (conselleria, direcció general, alcaldia, regidoria, gerència, etc.).
Com es regula la relació entre el responsable del tractament i l'encarregat del tractament?
Aquesta regulació s’ha d'establir a través d'un contracte, conveni o acord, o d'un acte jurídic que els vinculi. El contracte o l’acte jurídic ha de constar per escrit, incloent-hi el format electrònic.
El contracte ha d’establir com a mínim l'objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals i les categories de persones interessades, així com les obligacions i els drets del responsable. El contracte també ha d'establir si, un cop finalitzada la prestació dels serveis, les dades s'han de tornar a la persona responsable o s'han de destruir.
El responsable del tractament pot triar qualsevol encarregat del tractament?
Segons el principi de responsabilitat proactiva, el responsable, entre altres mesures, ha de triar un encarregat del tractament que garanteixi i estigui en condicions de demostrar que el tractament es duu a terme conformement al RGPD. Per tant, hi ha un deure de diligència a l’hora d’escollir l'encarregat.