Saltar al contingut principal

El tractament de les dades personals al sector públic

Nombre de lectures: 0

Unitat 1: Conceptes clau i normativa de la protecció de dades. Objecte de protecció i àmbit d'aplicació del RGPD

1.1 Evolució normativa

El dret a la protecció de dades personals com a tal no és reconegut en la Constitució espanyola (CE). Va ser el Tribunal Constitucional (TC) qui el va configurar a partir de l’article 18.4 de la CE, interpretada conformement als convenis i tractats internacionals.

L’article 18.4 de la CE estableix que:

“4. La llei ha de limitar l’ús de la informàtica per garantir l’honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets.”

El TC, amb la sentència del cas Olaverri, va reconèixer l’any 1993 l’existència d’un dret fonamental autònom que garantia a les persones controlar la informació que feia referència a la seva vida, que és a més un instrument per garantir el conjunt de drets i llibertats que es puguin veure afectats pel tractament de dades personals.

A Espanya, la primera norma que va regular aquest dret va ser la Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de les dades de caràcter personal. Aquesta norma va ser derogada per la Llei orgànica 15/1999, de protecció de dades de caràcter personal (en endavant, antiga LOPD), que és la norma interna de transposició de la Directiva 95/46/CE del Parlament Europeu i del Consell, de 24 d'octubre de 1995, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades.

Posteriorment, l'antiga LOPD va ser desenvolupada pel Reial decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desenvolupament de la LOPD.

Actualment, la Llei orgànica 15/1999 ha estat derogada, excepte els articles 23 i 24. Pel que fa al Reial decret 1720/2007 segueix vigent en allò que no s'oposi a l'RGPD i l'LOPDGDD.

El 2016 es va aprovar el Reglament (UE) 2016/679 del Parlament i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades (en endavant, RGPD), pel qual es deroga la Directiva 95/46/CE, que des del 25 de maig de 2018 és plena aplicació.

Aquesta nova regulació es fa mitjançant un reglament europeu que és d’aplicació directa, és a dir, que no requereix cap norma de transposició a l’ordenament jurídic intern. Tot i això, atesa la complexitat i l'especialitat de la matèria, es considera convenient l’elaboració de normes que complementin la regulació; en aquest sentit, s'ha aprovat la Llei 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (en endavant, LOPDGDD).

Per altra, a nivell europeu s'ha aprovat també la Directiva (UE) 2016/680 del Parlament i del Consell de 27 d'abril de 2016, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals per part de les autoritats competents per a fins de prevenció, investigació, detecció o enjudiciament d'infraccions penals o d'execució de sancions penals, i a la lliure circulació d'aquestes dades i per la qual es deroga la Decisió Marc 2008/977 / JAI del Consell. Aquesta Directiva ha estat transposada a l'ordenament jurídic espanyol per la Llei Orgànica 7/2021, de 26 de maig, de protecció de dades personals tractades per a finalitats de prevenció, detecció, investigació i enjudiciament d'infraccions penals i d'execució de sancions penals.

A Catalunya, la Llei 5/2002, de 19 d'abril, de l'Agència Catalana de Protecció de Dades, va crear una autoritat de control específica per garantir el dret a la protecció de dades. Aquesta llei va ser derogada per la Llei 32/2010, d'1 d'octubre, de l'Autoritat Catalana de Protecció de Dades. Altrament, cal indicar que l'Estatut d'autonomia de Catalunya reconeix el dret a la protecció de les dades personals en l'article 31.

Cal tenir present que el RGPD i la Llei orgànica 7/2021 no afecten l'àmbit d'actuació de l’APDCAT establert per l’Estatut d’Autonomia de Catalunya i la Llei 32/2010, si bé pot ser necessari adaptar aquesta llei a la nova regulació de les funcions de les autoritats de control.

Legislació europea

Legislació estatal

  • Llei 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals.
  • Llei orgànica 7/2021 , de 26 de maig, de protecció de dades personals tractades per a fins de prevenció, detecció, investigació i enjudiciament d'infraccions penals i d'execució de sancions penals
  • Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal.(Els arts. 23 i 24 segueixen sent aplicables en l’àmbit del Reglament (UE) 2016/679).
  • Reial decret 1720/2007 (RLOPD), de 21 de desembre, pel qual s'aprova el Reglament de desplegament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal. (Aplicable en allò que no s'oposi al Reglament (UE) 2016/679 o a la Llei orgànica 7/2021).
  • Llei Orgànica 1/2020, de 16 de setembre, sobre la utilització de les dades del Registre de Noms de Passatgers per la prevenció, detecció, investigació i enjudiciament de delictes de terrorisme i delictes greus.

Legislació a Catalunya

RGPD

1.2 Conceptes clau

Per seguir amb facilitat aquest curs és important familiaritzar-se i comprendre els principals conceptes que s’utilitzen en l’àmbit de protecció de dades. A continuació s’enumeren els que s’han considerat essencials, i es pot consultar el conjunt de definicions en l’article 4 del RGPD.

En concret, els conceptes clau són:

  • Consentiment de la persona interessada: qualsevol manifestació de voluntat lliure, específica, informada i inequívoca per la qual la persona interessada accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de dades personals que l’afecten (art. 4.11 del RGPD).
  • Dada personal: qualsevol informació sobre una persona física identificada o identificable (la persona interessada). S’ha de considerar persona física identificable qualsevol persona la identitat de la qual es pot determinar, directament o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona (art. 4.1 del RGPD).
  • Dades biomètriques: dades personals obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física, que permeten o confirmen la identificació única d'aquesta persona, com ara imatges facials o dades dactiloscòpiques (art. 4.14 del RGPD).
  • Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d'una persona física, que proporcionen una informació única sobre la seva fisiologia o salut, obtingudes de l'anàlisi d'una mostra biològica d’aquesta persona (art. 4.13 del RGPD).
  • Destinatari: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme al qual es comuniquen dades personals, tant si és un tercer com si no. Això no obstant, les autoritats públiques que poden rebre dades personals en el marc d'una investigació concreta, no s’han de considerar com a destinataris, de conformitat amb el dret de la UE o dels estats membres. El tractament d’aquestes dades efectuat per aquestes autoritats públiques és conforme a les normes en matèria de protecció de dades que són aplicables a les finalitats del tractament (art. 4.9 del RGPD).
  • Elaboració de perfils: qualsevol forma de tractament automatitzat de dades personals consistent a utilitzar aquestes dades per avaluar determinats aspectes personals d'una persona física; en especial, per analitzar o predir aspectes relatius al rendiment professional, la situació econòmica, la salut, les preferències personals, els interessos, la fiabilitat, el comportament, la ubicació o els moviments d'aquesta persona (art. 4.4 del RGPD).
  • Encarregat del tractament: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que tracta dades personals per compte del responsable del tractament (art. 4.8 del RGPD).
  • Establiment principal:

a) Pel que fa a un responsable del tractament amb establiments en més d'un estat membre: el lloc de la seva administració central a la UE, tret que les decisions sobre les finalitats i els mitjans del tractament es prenguin en un altre establiment del responsable a la UE i aquest últim establiment tingui el poder de fer aplicar aquestes decisions; en aquest cas, l’establiment que hagi adoptat dites decisions s’ha de considerar establiment principal.

b) Pel que fa a un encarregat del tractament amb establiments en més d'un estat membre: el lloc de la seva administració central a la UE o, si no en té, l'establiment de l'encarregat a la UE en el qual es desenvolupen les principals activitats de tractament en el context de les activitats d'un establiment de l'encarregat, en la mesura que l'encarregat és subjecte a obligacions específiques d’acord amb aquest reglament (art. 4.16 del RGPD).

  • Limitació del tractament: el marcatge de les dades de caràcter personal conservades, amb la finalitat de limitar-ne el tractament en el futur (art. 4.3 del RGPD).
  • Pseudonimització: el tractament de dades personals de manera que ja no es puguin atribuir a una persona interessada sense utilitzar informació addicional, sempre que aquesta informació consti per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s'atribueixen a una persona física identificada o identificable (art. 4.5 del RGPD).
  • Responsable del tractament: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que, sol o juntament amb d’altres, determina les finalitats i els mitjans del tractament; si el dret de la UE o dels estats membres determina les finalitats i els mitjans del tractament, el responsable del tractament o els criteris específics per al seu nomenament els pot establir el dret de la UE o dels estats membres (art. 4.7 del RGPD).
  • Tercer: persona física o jurídica, autoritat pública, servei o organisme diferent de la persona interessada, del responsable del tractament, de l'encarregat del tractament i de les persones autoritzades per tractar les dades personals sota l'autoritat directa del responsable o de l'encarregat (art. 4.10 del RGPD).
  • Tractament de dades: qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com la recollida, el registre, l’organització, l’estructuració, la conservació, l’adaptació o la modificació, l’extracció, la consulta, la utilització, la comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, acarament o interconnexió, limitació, supressió o destrucció (art. 4.2 del RGPD).
  • Tractament transfronterer:

a) El tractament de dades personals efectuat en el context de les activitats d'establiments en més d'un estat membre d'un responsable o d’un encarregat del tractament a la UE, si el responsable o l'encarregat és establert en més d'un estat membre.

b) El tractament de dades personals efectuat en el context de les activitats d'un únic establiment d'un responsable o d’un encarregat del tractament a la UE, però que afecta o pot afectar substancialment persones interessades en més d'un estat membre (art. 4.23 del RGPD).

  • Violació de la seguretat de les dades personals: qualsevol violació de la seguretat que ocasiona la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d'una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades (art. 4.12 del RGPD).


↑ Índex de la unitat

1.3 Objecte de protecció i àmbit d’aplicació del RGPD

Objecte

L'article 1 del RGPD determina l'objecte de protecció del nou reglament europeu:
  1. Aquest reglament estableix les normes relatives a la protecció de les persones físiques pel que fa al tractament de les dades personals i les normes relatives a la lliure circulació d’aquestes dades.
  2. Aquest reglament protegeix els drets i les llibertats fonamentals de les persones físiques i, en particular, el seu dret a la protecció de les dades personals.
  3. La lliure circulació de les dades personals a la UE no s’ha de restringir ni prohibir per motius relacionats amb la protecció de les persones físiques pel que fa al tractament de dades personals.

Per determinar l'objecte de protecció establert pel RGPD cal tenir en compte que és una norma que s'emmarca dins de la UE i que, per tant, a més de garantir el conjunt de drets i llibertats i, en concret, el dret a la protecció de dades personals, també vol garantir el progrés econòmic i social, l’enfortiment i la convergència de les economies dins del mercat interior, així com el benestar de les persones físiques, com s'estableix en els considerants del reglament.

D'altra banda, és important fixar-nos que no només busca protegir el dret a la protecció de dades sinó el conjunt de drets i llibertats de les persones físiques. Pensem que, amb les tecnologies emergents i el seu potencial d'intrusió en la vida de les persones, el conjunt de drets i llibertats de les persones es veuen sotmesos a noves i importants pressions que cal tenir presents en el moment d'establir els mecanismes de garantia.

Com ja passava amb la normativa actual, la protecció que atorga el RGPD s’aplica a les persones físiques, independentment de la nacionalitat o el lloc de residència, amb relació al tractament de les seves dades personals. No s'aplica a les persones jurídiques.

Àmbit d’aplicació

Àmbit material d’aplicació

L’article 2.1 del RGPD estableix que el Reglament s'aplica al “tractament totalment o parcialment automatitzat de dades personals, així com al tractament no automatitzat de dades personals contingudes o destinades a ser incloses en un fitxer". En el mateix sentit s'expressa l'article 2.1 de la LOPDGDD.

Com veiem, la interpretació de tots els conceptes regulats pel RGPD ha de tenir sempre com a base la garantia del conjunt de drets i llibertats de les persones físiques; sempre tenint en compte que "el tractament de dades personals ha d'estar concebut per servir la humanitat" (considerant quart) i que, en tot cas, la protecció de les persones és l'objectiu principal de la norma.

La regulació existent no difereix gaire de la que establia l'article 3.1 de la Directiva 95/46/CE. Per determinar en detall l'àmbit d'aplicació material cal analitzar els principals conceptes que el conformen. En concret, els elements que marquen l'aplicació del RGPD i de la LOPDGDD i que s'han de donar acumulativament són, d'una banda, el concepte de dada personal i, de l'altra, el de tractament.

Quant al concepte de caràcter personal és important assenyalar que s’aplica un criteri ampli. A l'article 4.1 del RGPD es defineix dada personal com tota informació sobre una persona física identificada o identificable. Es considera persona física identificable tota persona la identitat de la qual es pugui determinar, directament o indirectament, en particular mitjançant un identificador, com ara un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona.

La definició del que ha de ser considerat com a dada personal no varia gaire del que regula la Directiva 95/46/CE. Però s'hi inclouen noves referències, com és el cas de les dades de localització o els identificadors en línia que ens indiquen, clarament, que el regulador és conscient de la nova situació tecnològica (i per descomptat social) en què estem vivint. Per delimitar el concepte de dada personal, segueix sent útil el dictamen 4/2007 del grup de l'article 29 (ara Comitè Europeu de Protecció de Dades) sobre la definició de dada personal.

Les obligacions i els drets del RGPD i de la LOPDGDD no són aplicables a les dades anònimes. Però hem de tenir clara la diferència entre aquest concepte i el de pseudonimització, que comporta que les dades personals es tracten de manera que ja no es poden atribuir a una persona concreta sense utilitzar informació addicional, però no perden la condició de dada personal. Es tracta d'un mecanisme que ajuda a la seguretat de la informació però que no reverteix la naturalesa de dada personal, ja que les dades es poden tornar a connectar amb una persona individualitzada a partir d'informació addicional.

D'altra banda, la determinació de si una persona és o no identificable és una qüestió dinàmica que ha de tenir present l'avanç tecnològic en el moment del tractament i el seu possible desenvolupament durant el temps en què és previsible que es tractin les dades.

El concepte de tractament tampoc no és nou i ja l'incloïa la Directiva 95/46/CE en termes molt similars al que estableix el RGPD. S'entén per tractament qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com ara recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, confrontació o interconnexió, limitació, supressió o destrucció (art. 4.2 del RGPD).

S’afegeix en la definició del RGPD una referència a la limitació del tractament, definida en el punt següent del RGPD com el marcatge de les dades de caràcter personal conservades per limitar-ne el tractament en el futur. Per entendre l'abast d'aquesta referència hem de tenir present que el RGPD ha regulat en l'article 18 el dret a la limitació del tractament.

Cal recordar que la definició no només es refereix al tractament automatitzat de dades, sinó que inclou el tractament no automatitzat de dades (com la regulació actual) i, per tant, seguint el que indica el considerant 15 del RGPD, perquè sigui aplicable el RGPD les dades personals han d'estar incloses en fitxers estructurats d'acord amb criteris específics; entenent per fitxer tot conjunt estructurat de dades personals, accessibles d'acord amb criteris determinats, ja sigui centralitzat, descentralitzat o repartit de manera funcional o geogràfica.

Malgrat que es continua fent referència a aquest concepte, en delimitar l'àmbit material d'aplicació del RGPD i en la llista de definicions, no en trobem cap més referència en la resta de l'articulat, la qual cosa demostra la tendència a parlar de tractaments i d'operacions de tractament en el moment de determinar les obligacions i els drets regulats, per tant s'hi incorpora un concepte més ampli.

Tractaments exclosos

Els tractaments de dades personals que no queden inclosos en l'àmbit de protecció del RGPD són regulats en l'article 2 del RGPD.

Tractaments efectuats en l'exercici d'una activitat no compresa en l'àmbit d'aplicació del dret de la UE

En els sectors en què la UE no tingui competències, les normes del RGPD no són aplicables i, per tant, en cada estat membre s'ha de garantir el dret a la protecció de dades personals atenent al règim constitucional establert. Aquest seria el cas, per exemple, de la seguretat nacional, citat en el considerant 16 del RGPD.

La LOPDGDD, en l'article 2.3, indica que els tractaments als quals no sigui directament aplicable el RGPD s'han de regir per la seva normativa específica i, supletòriament, pel RGPD i la LOPDGDD.

Per exemple, els tractaments vinculats a la LOREG, els tractaments realitzats en l'àmbit de les institucions penitenciàries i els tractaments derivats del Registre Civil, del Registre de la Propietat i del Registre Mercantil.

Tractaments efectuats per part dels estats membres quan duguin a terme activitats compreses en l'àmbit d'aplicació del capítol 2 del títol V del Tractat de la UE

En aquest cas, queden exclosos els tractaments de dades personals realitzats en el desenvolupament d'activitats de política exterior i de seguretat comuna (PESC).

L'article 21 del Tractat de la UE enumera els objectius de la PESC, que se centren en el manteniment de la pau i l'enfortiment de la seguretat internacional, en el foment de la cooperació internacional amb estats tercers i el desenvolupament i la consolidació de la democràcia i de l'estat de dret, així com el respecte dels drets humans i de les llibertats fonamentals.

Tractaments efectuats per una persona física en l'exercici d'activitats exclusivament personals o domèstiques

El considerant 18 del RGPD es refereix a les activitats exclusivament personals o domèstiques com les activitats que no tenen cap connexió amb una activitat professional o comercial. Així mateix en posa alguns exemples, com ara la correspondència i l'administració d'un repertori d'adreces, o l'activitat a les xarxes socials i l'activitat en línia realitzada en el context de les activitats personals i domèstiques. El RGPD s'aplica als responsables o encarregats del tractament que proporcionin els mitjans per tractar dades personals relacionades amb aquestes activitats.

En determinades circumstàncies s'ha considerat que les activitats realitzades en línia per particulars sí que entraven dins l'àmbit d'aplicació de la normativa de protecció de dades, com per exemple en el cas Lindqvist, en què el Tribunal de Justícia de la Unió Europea va declarar que els fets consistents a publicar en un web informació relativa a diverses persones, identificant-les pel seu nom o per altres mitjans (número de telèfon o informació relativa a les seves condicions de treball o a les seves aficions) sí que constitueix un tractament de dades personals i que no encaixaria en la categoria d'activitats exclusivament personals o domèstiques. I indicava que aquesta excepció "s'ha d'interpretar en el sentit que té en compte únicament les activitats que s'inscriuen en el marc de la vida privada o familiar dels particulars; evidentment, no és aquest el cas d'un tractament de dades personals consistent en la difusió d'aquestes dades per Internet de manera que siguin accessibles a un grup indeterminat de persones".

Tractaments efectuats per part de les autoritats competents amb fins de prevenció, investigació, detecció o enjudiciament d'infraccions penals, o d'execució de sancions penals, incloent-hi la de protecció enfront d'amenaces a la seguretat pública i la seva prevenció

En aquest àmbit ens hem de remetre a la Llei orgànica 7/2021, de 26 de maig, de protecció de dades personals tractades per a fins de prevenció, detecció, investigació i enjudiciament d'infraccions penals i d'execució de sancions penals, que transposa a l'ordenament jurídic espanyol la Directiva (UE) 2016/680 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals per part de les autoritats competents per a fins de prevenció, investigació, detecció o enjudiciament d'infraccions penals o d'execució de sancions penals, i a la lliure circulació d'aquestes dades, i per la qual es deroga la Decisió marc 2008/977/JAI del Consell.

La regulació del tractament de dades personals en aquest àmbit s'analitzarà de manera específica a la Unitat 7 (Bloc 3) d'aquest curs.

Institucions, òrgans i organismes de la Unió Europea

Les institucions europees es regeixen, pel que fa al tractament de dades personals, pel Reglament (CE) 45/2001, que s'aplica al tractament de dades de caràcter personal per part de les institucions, òrgans i organismes de la UE. Aquesta norma s'ha d'adaptar al que disposa el RGPD amb la finalitat d'establir un marc sòlid i coherent en matèria de protecció de dades a la UE i permetre que tots dos instruments es puguin aplicar al mateix temps.

La LOPDGDD, en l'article 2.2, a més de les exclusions anteriors, afegeix que la llei no és aplicable a:

  • Als tractaments de dades de persones difuntes.
  • Als tractaments sotmesos a la normativa de matèries classificades.

En el cas de les persones difuntes, l'article 3 de la LOPDGDD permet que les persones vinculades a una persona difunta per raons familiars o de fet, així com els seus hereus, es poden dirigir al responsable o l'encarregat del tractament per sol·licitar l’accés a les dades personals d’aquella i, si s’escau, la rectificació o la supressió, tot i que exclou aquesta possibilitat quan la persona difunta ho hagi prohibit expressament o així ho estableixi una llei. Aquesta prohibició no afecta el dret dels hereus a accedir a les dades de caràcter patrimonial del causant.

Àmbit territorial d'aplicació

Per analitzar l'àmbit territorial, la regulació de l'article 3 el RGPD ens exigeix diferenciar entre els tractaments de dades realitzats en el si de la UE i els que, malgrat realitzar-se fora del territori de la UE, incideixen en les persones que hi resideixen.

Aplicació en el territori de la Unió Europea

En el primer cas, l'article 3.1 del RGPD estableix que les normes de protecció de dades personals s'han d'aplicar a les entitats que tractin dades personals (ja sigui el responsable del tractament o bé l'encarregat del tractament) i tinguin un establiment a la UE, amb independència que el tractament es faci a la UE o no.

Per tant, és el concepte de la ubicació d'un establiment en el territori de la UE el que determina l'aplicabilitat del RGPD. El considerant 22 del RGPD indica que un establiment implica l'exercici de manera efectiva i real d'una activitat a través de modalitats estables, amb independència de quina sigui la forma jurídica que tinguin tals modalitats (sucursal, filial, etc.).

Aplicació fora de la Unió Europea

L'article 3.2 del RGPD estableix que les seves normes són aplicables al tractament de dades personals de persones interessades que es troben a la UE per part d'un responsable o encarregat no establert a la UE, quan les activitats de tractament estiguin relacionades amb:

a) L'oferta de béns o serveis a aquestes persones interessades a la UE, tant si són remunerats com si no.

b) El control del seu comportament, en la mesura que aquest tingui lloc a la UE.

El RGPD busca garantir, de manera plena i eficaç, els drets de les persones que resideixin a la UE i per això n'estén l'aplicació.

En el primer cas, es refereix als responsables i encarregats que, tot i no estar establerts a la UE, tractin dades en el context de l'oferta de béns i serveis independentment que hi hagi pagament; per determinar si estem davant d'una oferta de béns o serveis a persones interessades que resideixin a la UE, s'ha de valorar si és evident que el responsable, o l'encarregat, projecta oferir serveis a persones interessades en un o diversos estats membres de la UE.

Hi ha factors que poden servir d’indici, com ara l'ús d'una llengua o una moneda utilitzada generalment en un o diversos estats membres. Tot i que, segons s’indica també en els considerants, la mera possibilitat d'accedir al web del responsable o encarregat o d'un intermediari a la UE, a una adreça electrònica o altres dades de contacte, o l'ús d'una llengua generalment utilitzada en el país tercer on resideixi el responsable del tractament, no és suficient per determinar aquesta intenció.

L'anàlisi del cas concret és molt important per delimitar l'aplicabilitat del RGPD. En aquest sentit, l'aplicació de criteris de responsabilitat proactiva i de protecció de dades en el disseny, per part del responsable en el moment de definir l'oferta, és molt rellevant per garantir una protecció eficaç dels drets de les persones interessades.

En el segon cas, el control del comportament, el RGPD es refereix a tractaments destinats a controlar el comportament de les persones, en la mesura que aquest comportament tingui lloc al territori de la UE.

En el considerant 24 s'assenyala que, per determinar si es pot considerar que una activitat de tractament controla el comportament de les persones interessades, s'ha d'avaluar si les persones són objecte d'un seguiment a Internet. En aquest cas, s'inclou el potencial ús posterior de tècniques de tractament de dades personals que consisteixin en l'elaboració d'un perfil d'una persona física per, en particular, adoptar decisions sobre aquest o analitzar o predir-ne les preferències personals, comportaments i actituds.

Un exemple d'aquests supòsits el trobem en la publicitat comportamental, definida pel grup de l'article 29 com la publicitat que implica la identificació dels usuaris que naveguen per Internet i la creació gradual de perfils que després serveixen per enviar-los publicitat que correspon als seus interessos.

En tots dos casos, el responsable o l'encarregat del tractament no establert a la UE que estigui tractant dades personals de persones residents a la UE i les activitats de tractament es refereixin a l'oferta de béns o serveis a aquestes persones interessades en la UE o al control del seu comportament en la mesura que aquest tingui lloc a la UE, ha de designar un representant (art. 27 del RGPD).

No és aplicable l'obligació de nomenar un representant quan el tractament sigui ocasional, no es tractin a gran escala categories especials de dades o dades personals relatives a condemnes i infraccions penals, i que sigui improbable que comporti un risc per als drets i les llibertats de les persones físiques, tenint en compte la naturalesa, el context, l'abast i els objectius del tractament (art. 27.2.a del RGPD).

Podeu trobar informació més detallada a les Directrius 3/2018 del CEPD relatives a l'àmbit territorial d'aplicació


Portada | ↑ Índex de la unitat | Unitat 2

Torna a munt
× Tanqueu els crèdits
Autoria i llicència
  • Els continguts d'aquest curs han estat elaborats per Joana Marí, Eulàlia Màrquez i Carles San José.
  • Actualitzacions i revisions a càrrec de Santi Farré, Joana Marí, Jordi Sòria i Xavier Puig.
  • Coordinació tècnica i pedagògica: Servei de Formació per a la Generalitat.

La imatge de portada és de domini públic i s'ha obtingut de la pàgina web needpix.com.

L'Escola d'Administració Pública de Catalunya, amb la voluntat de contribuir a la lliure difusió del coneixement i seguint el que estableix la Recomanació de la Comissió Europea sobre gestió de la propietat intel·lectual, difon aquests materials sota una llicència creative commons by-nc-sa, cosa que n'autoritza l'ús:

  • citant-ne font i autoria;
  • amb finalitats no comercials;
  • per fer-ne obres derivades que compleixin les condicions anteriors i es difonguin amb el mateix tipus de llicència

Llicència de Creative Commons
Aquesta obra està subjecta a una llicència de Reconeixement-NoComercial-CompartirIgual 4.0 Internacional de Creative Commons