Saltar al contingut principal

Línies bàsiques de la protecció de dades personals al sector públic (amb qüestionaris d'autoavaluació)

Nombre de lectures: 0

← Unitat 2 | Unitat 4 →

Unitat 3. Quan podem tractar les dades personals?

3.1 Què és un tractament de dades personals?

Tractament: qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com la recollida, el registre, l’organització, l’estructuració, la conservació, l’adaptació o la modificació, l’extracció, la consulta, la utilització, la comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, acarament o interconnexió, limitació, supressió o destrucció.


↑ Índex de la unitat

3.2 Principis

Els tractaments de dades sempre s’han de dur a terme respectant els principis establerts pel RGPD:

Licitud, lleialtat i transparència

Les dades s’han de tractar amb licitud, lleialtat i transparència.

El responsable ha d’informar les persones interessades sobre el tractament que farà de les seves dades. Durant el tractament, les ha d’informar de tots els canvis que es produeixin sobre el tractament -si n'hi ha- i explicar-los com les afectaran.

Limitació de la finalitat

Les dades s’han de recollir amb finalitats determinades, explícites i legítimes, i posteriorment no s’han de tractar de manera incompatible amb aquestes finalitats.

No es considera incompatible amb les finalitats inicials que aquestes dades es tractin posteriorment amb finalitats d'arxiu en interès públic, amb finalitats de recerca científica i històrica o amb finalitats estadístiques.

Minimització de les dades

Les dades han de ser adequades i pertinents i s’han de limitar al que sigui necessari en relació amb les finalitats per a les quals es tracten.

Cal revisar amb cura les dades que es pretenen recollir perquè només es recullin les que, d’acord amb aquest principi, siguin necessàries per assolir la finalitat perseguida.

Aquest principi exigeix, també, adoptar el sistema de tractament menys intrusiu per als drets de les persones.

Exactitud

Les dades han de ser exactes i, si fos necessari, han d’estar actualitzades. S'han d’adoptar totes les mesures raonables perquè se suprimeixin o es rectifiquin sense dilació les dades personals que siguin inexactes respecte a les finalitats per a les quals es tracten.

Limitació del termini de conservació

Les dades s’han de conservar de manera que es permeti la identificació de les persones interessades durant el temps estrictament necessari per a les finalitats del tractament de dades personals.

Integritat i confidencialitat

Les dades s’han de tractar de manera que se’n garanteixi una seguretat adequada, incloent-hi la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de les mesures tècniques i organitzatives adequades.

En el cas de les administracions públiques, l'Esquema Nacional de Seguretat és l'eina per concretar les mesures de seguretat a aplicar un cop valorat el nivell de risc.

Principi de responsabilitat proactiva o "accountability"

Aquest és un principi nou, que exigeix al responsable del tractament garantir i poder demostrar que el tractament es fa d’acord amb la normativa de protecció de dades i que ha adoptat les mesures més adequades per garantir els drets i les llibertats de les persones de qui tracta les dades.

El responsable, abans de començar el tractament, ha d'efectuar els passos següents:

  • Analitzar quines dades tracta i amb quines finalitats.
  • Analitzar quin tipus d'operacions de tractament du a terme.
  • Valorar el risc que pot generar aquest tractament i, d’acord amb aquesta valoració, adoptar les mesures pertinents.

Enfocament en el risc

Cada responsable i cada encarregat del tractament, atenent a les circumstàncies del tractament concret que realitza, ha d'adoptar les mesures tècniques i organitzatives que correspongui en funció dels riscos específics existents.

Aquestes mesures s'han d'adoptar atenent a totes les característiques del tractament: tipus de dades tractades, si es tracten dades de col·lectius vulnerables (menors, pacients, etc. ), manera de recollir les dades, etc.

Protecció de dades des del disseny i per defecte

Aquesta obligació exigeix que els responsables del tractament, des del primer moment en què es comencen a plantejar una actuació que comporti el tractament de dades, pensin com s'ha de dissenyar tot el procés per implantar les mesures tècniques i organitzatives adequades perquè es compleixin de manera efectiva els principis de protecció de dades (p. ex., la pseudonimització, que permetria millorar la seguretat de les dades en cas d'accessos no autoritzats), i integrar les garanties necessàries en el tractament per complir els requeriments del RGPD.

A més, han d’aplicar les mesures tècniques i organitzatives adequades per garantir que, per defecte, només es tracten les dades personals necessàries per a cada finalitat específica del tractament; p. ex., el disseny d'una app ha de partir de les màximes garanties per a la privacitat de les persones, i una aplicació per trobar restaurant no ha de portar mai per defecte la geolocalització.


↑ Índex de la unitat

3.3 Bases que ens permeten tractar dades personals

El tractament de dades personals es pot fonamentar en algun dels punts següents:

  • Consentiment
  • Contracte
  • Obligació legal aplicable al responsable del tractament
  • Protegir interessos vitals de la persona interessada o d'una altra persona física
  • Complir una missió realitzada en interès públic o en l'exercici de poders públics
  • Per satisfer interessos legítims perseguits pel responsable del tractament o per un tercer.

Aquest darrer supòsit, l’interès legítim, no s’aplica al tractament efectuat per les autoritats públiques en l'exercici de les seves funcions. A més, per aplicar-lo cal fer una prova de sospesament per determinar si l'interès legítim preval per sobre dels interessos o els drets i llibertats fonamentals de les persones interessades.

Per regla general, les administracions públiques legitimen el tractament de dades personals sobre la base d'una missió realitzada en interès públic o en l'exercici de poder, atribuït per una llei.

En cas de tractar categories especials de dades, la regla general és la prohibició, però, a l'article 9.2. del RGPD es regulen una sèrie d'excepcions com, per exemple, el consentiment explícit o que el tractament sigui necessari per raons de salut pública.

Podeu trobar altres supòsits en què es poden tractar categories especials de dades en aquest enllaç.

↑ Índex de la unitat

3.4 Transparència i dret a ser informat

Els responsables del tractament han de ser transparents al llarg de tot el procés de tractament de les dades, per exemple, ha de disposar d’un avís de privacitat clarament visible en els webs de les entitats.

Una de les maneres de ser transparents és complint el deure d'informar la persona afectada en el moment de la recollida de les dades (o, posteriorment, si les dades no es recullen directament de la persona interessada). Això comporta que el responsable del tractament ha de facilitar tota la informació necessària per conèixer les circumstàncies del tractament i poder identificar les conseqüències que se'n poden derivar.

El dret d'informació ha estat reforçat pel RGPD i exigeix informar, per exemple, de la base jurídica que legitima el tractament i dels terminis de conservació de les dades, i facilitar les dades de contacte del delegat de protecció de dades (DPO), entre altres qüestions.

Aquest dret es pot facilitar per capes per evitar el que s'anomena "fatiga informativa". Així, en la primera capa s'ha d'informar de qui és el responsable del tractament, de les finalitats del tractament i de la possibilitat d'exercir els drets d'accés, rectificació, supressió, oposició, portabilitat i limitació del tractament. A més, també cal facilitar informació sobre com accedir a la segona capa, on ha de constar tota la informació indicada a l'article 13 del RGPD (p. ex., mitjançant un enllaç electrònic).

Sobre el contingut de la clàusula informativa que s'ha de facilitar en el moment de recollir les dades, consulteu aquest enllaç.


↑ Índex de la unitat

3.5 Registre d'activitats de tractament

Els responsables o els encarregats del tractament han d’elaborar un registre de les activitats del tractament (RAT) que duguin a terme.

Les administracions públiques han de publicar, per mitjans electrònics, un inventari dels seus tractaments (p. ex., a l'apartat de transparència del seu web).

El RGPD disposa determinades excepcions a l’elaboració d’aquest registre. Així, no és aplicable a empreses ni a organitzacions que ocupin menys de 250 persones, llevat que concorri alguna de les circumstàncies següents:

  • Si és probable que hi hagi un risc per als drets i les llibertats dels subjectes
  • Si el tractament no és ocasional
  • Si inclou categories especials de dades (art. 9 del RGPD) o infraccions i condemnes penals.

El RAT és un instrument fonamental no només per la possible supervisió de l’APDCAT, sinó també perquè facilita una imatge actualitzada dels tractaments existents, essencial per a la gestió de riscos. El RAT ha de ser per escrit, incloent-hi el format electrònic, i s'ha de presentar a petició de l’APDCAT.

Com s’ha d’organitzar el registre d'activitats de tractament?

El RAT es pot organitzar al voltant d'operacions de tractament concretes, vinculades a una finalitat bàsica comuna de totes les operacions (p. ex., gestió de recursos humans o gestió econòmica), o bé d’acord amb altres criteris.

En l'enllaç següent podeu obtenir més informació sobre el RAT. I, aquí, un exemple de RAT: Registre de les Activitats de Tractament de l'APDCAT.


↑ Índex de la unitat

3.6 Deure de secret

El responsable i l'encarregat del tractament i totes les persones que poden intervenir en qualsevol de les fases del tractament de dades de caràcter personal, estan obligats a guardar-ne secret.

Per garantir el compliment d’aquest deure, cal incorporar-lo i definir-lo en els contractes laborals, els protocols interns, les activitats formatives i les regulacions específiques que recullen els drets i les obligacions de les parts.

Aquesta obligació subsisteix fins i tot un cop finalitzi la relació amb el responsable.


↑ Índex de la unitat

3.7 Delegat de protecció de dades

El delegat de protecció de dades (DPD) és la persona que s'encarrega de supervisar i assessorar el responsable i l'encarregat del tractament en tot allò que afecta el compliment de la normativa de protecció de dades, i és el punt de contacte amb les autoritats de protecció de dades. Per complir les seves funcions:

  • Ha de tenir total autonomia en la presa de decisions.
  • Ha de disposar de tots els recursos necessaris per desenvolupar la seva activitat.

S’ha de designar atenent a les seves qualitats professionals i, especialment, als coneixements especialitzats del dret, a la pràctica en matèria de protecció de dades i a la capacitat per exercir les funcions encomanades per la normativa. El nomenament del DPD ha de ser notificat a l'APDCAT, que disposa d'un Registre on es poden consultar les seves dades de contacte. Podeu consultar el Registr de Delegats de Protecció de dades en aquest enllaç Enllaç extern

El nomenament d'un DPD és obligatori en el cas de les administracions públiques. Aquest pot ser un treballador o treballadora de l’Administració pública (DPD intern) o una organització/empresa aliena a l’organització de l’Administració pública (DPD extern).
Les diputacions poden prestar els serveis de DPD a un ajuntament? Les diputacions, en l'exercici de les seves competències d’assistència i cooperació tècnica als municipis, poden prestar el servei de DPD a entitats locals. Un ajuntament pot designar un òrgan o una persona al servei de la diputació com a DPD sempre que no es produeixi cap conflicte d’interessos.
El responsable de seguretat pot ser DPD? S'ha d'evitar que el DPD assumeixi altres tasques dins l'organització amb la finalitat de garantir la independència a l’hora d'exercir les seves funcions, per tant, no es pot designar com a DPD una persona que, alhora, tingui tasques que impliquin participar en aspectes tan cabdals com la implementació de les mesures de seguretat, com és el cas del responsable de seguretat de la informació.


↑ Índex de la unitat

3.8 Avaluació de l'impacte sobre la protecció de dades

Quan sigui probable que un tractament comporti un risc alt per als drets i les llibertats de les persones físiques, per la naturalesa, l'abast, el context o les finalitats que té, especialment si s'utilitzen les noves tecnologies, el responsable, abans d'iniciar el tractament, ha de fer una avaluació de l'impacte de les operacions de tractament en la protecció de dades personals.

També cal fer-les, per exemple, si es fan perfils de les persones per prendre decisions amb efectes jurídics o que poden afectar significativament les persones, o si tracten categories especials de dades a gran escala.

L'APDCAT ha elaborat una guia i una aplicació informàtica per dur a terme les avaluacions d'impacte. La Guia inclou una possible metodologia i una plantilla per ajudar a complir aquesta obligació. Les podeu trobar en aquest enllaç: https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/Guia-sobre-la-evaluacion-de-impacto-relativa-a-la-proteccion-de-datos-en-el-RGPD/.


↑ Índex de la unitat

3.9 Mesures de seguretat

El responsable i l’encarregat del tractament han d’aplicar mesures tècniques i organitzatives adequades al risc que comporta el tractament. Això implica fer una avaluació dels riscos que comporta cada tractament per determinar les mesures de seguretat que cal implementar.

Basant-se en la metodologia d'anàlisi de riscos escollida, un cop identificats, el responsable i l'encarregat han de determinar les mesures més adequades per eliminar-los o reduir-los. En el cas de les administracions públiques, s'ha d'aplicar l'Esquema Nacional de Seguretat.

En el cas de les entitats del sector públic, cal tenir en compte que la disposició addicional primera de la LOPDGDD estableix que les entitats enumerades en l’article 77.1 (per exemple, les administracions públiques) han de complir les mesures de seguretat que corresponguin d’acord amb l’Esquema Nacional de Seguretat.

Si s’ha produït una violació de la seguretat de les dades, el responsable de tractament l’ha de notificar a l'autoritat de control sense dilació indeguda i, si és possible, en un termini màxim de 72 hores, tret que sigui improbable que constitueixi un risc per als drets i les llibertats de les persones.

A més, quan sigui probable que la violació comporti un alt risc per als drets de les persones, el responsable l'ha de comunicar a les persones afectades sense dilacions indegudes i en un llenguatge clar i senzill. Aquesta obligació està exceptuada en molt pocs casos:

Violacions de seguretat de les dades personals: tota violació de la seguretat que ocasiona la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d'una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.
Exemples de violacions de seguretat de les dades: situacions com la pèrdua o el robatori d’un ordinador portàtil, l’accés no autoritzat a la base de dades (fins i tot per part del personal mateix), l’enviament d’informació personal a un destinatari erroni, l’alteració de dades sense autorització o la pèrdua de disponibilitat de les dades (p. ex., per haver patit un atac als sistemes amb un programari de segrest [ransomware], que xifra les dades).
El RGPD ha introduït variacions en les obligacions a complir. En l'enllaç següent trobareu resposta a algunes de les preguntes més freqüents.

A més, per conèixer més a fons les noves obligacions, podeu clicar en l'enllaç següent.


↑ Índex de la unitat


Practiquem el que hem après: qüestionari de la unitat 3

← Unitat 2 | Unitat 4 →

Torna a munt
× Tanqueu els crèdits
Autoria i llicència

Autores dels continguts (2011): Joana Marí Cardona i Glòria Freixa Vilardell

Revisió dels continguts fins a l'actualitat: Joana Marí Cardona, Santi Farré Tous i Robert Rodríguez Lanceta

Coordinació tècnica i pedagògica: Servei de Formació per a la Generalitat de l'EAPC

La imatge de portada és de Geralt i s'ha obtingut a Pixabay.

L'Escola d'Administració Pública de Catalunya, amb la voluntat de contribuir a la lliure difusió del coneixement i seguint el que estableix la Recomanació de la Comissió Europea sobre gestió de la propietat intel·lectual, difon aquests materials sota una llicència creative commons by-nc-sa, que n'autoritza l'ús, doncs:

  • citant-ne font i autoria,
  • amb finalitats no comercials, i
  • per fer-ne obres derivades que compleixin les condicions anteriors i es difonguin amb el mateix tipus de llicència.

Llicència de Creative Commons
Aquesta obra està subjecta a una llicència de Reconeixement-NoComercial-CompartirIgual 4.0 Internacional de Creative Commons.