El tractament de les dades personals al sector públic

• 3.1 El dret d’informació
  
• 3.2 Disposicions generals sobre l'exercici dels drets
  
• 3.3 El dret d’accés
  
• 3.4 El dret de rectificació
  
• 3.5 El dret de supressió (dret a l'oblit)
  
• 3.6 El dret a la limitació del tractament
  
• 3.7 El dret a la portabilitat de les dades
  
• 3.8 El dret d’oposició
  
• 3.9 El dret a no ser objecte de decisions individuals automatitzades
  
• 3.10 Limitacions als drets de la persona interessada
  

Així, els drets que regula el RGPD són el dret d’informació, el dret d’accés, el dret de rectificació, el dret de supressió (dret a l’oblit), el dret a la limitació del tractament, el dret a la portabilitat de les dades, el dret d’oposició i les decisions individuals automatitzades.

Com s’ha comentat en l’apartat 2.1.2 de la unitat 2 quan s’ha fet referència al principi de transparència, el RGPD vol augmentar la transparència dels tractaments de dades personals i per això reforça la informació que cal facilitar a la persona interessada. La informació es configura com un dret de les persones afectades.

Així, el RGPD estableix que el responsable del tractament ha de facilitar a la persona interessada la informació relativa al tractament de dades que vulgui portar a terme de manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, especialment quan aquesta informació vagi adreçada a un menor.

La informació a les persones interessades s’ha de facilitar per escrit o per altres mitjans, incloent-hi els electrònics quan escaigui. La informació es pot transmetre en combinació amb icones normalitzades que proporcionin de manera fàcilment visible, intel·ligible i clarament llegible una visió adequada de conjunt del tractament previst. Les icones que es presentin en format electrònic han de ser llegibles mecànicament (art. 12 del RGPD).

El RGPD amplia, respecte del que establia l’article 5 de l'antiga LOPD, les qüestions sobre les quals cal informar la persona interessada i estableix que, a més, se l’ha d’informar de: les dades de contacte del delegat de protecció de dades; la base jurídica del tractament; l’interès legítim perseguit en què es fonamenta el tractament, si escau; la intenció de transferir les dades a un país tercer o a una organització internacional i la base per fer-ho, si escau; el termini durant el qual es conservaran les dades; el dret a sol·licitar la portabilitat de les dades; el dret a retirar en qualsevol moment el consentiment prestat, si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte; el dret a presentar una reclamació davant una autoritat de control, i l’existència de decisions automatitzades, incloent-hi la lògica aplicada i les seves conseqüències.

Així, l’article 13 del RGPD estableix que, en el moment de l’obtenció de les dades, el responsable del tractament ha d’informar la persona interessada sobre:

1. La identitat i les dades de contacte del responsable i, si escau, del seu representant.
2. Les dades de contacte del delegat de protecció de dades, si escau.
3. Les finalitats del tractament a què es destinaran les dades, la base jurídica del tractament i l’interès legítim, si escau.
4. Els destinataris o les categories de destinataris de les dades, si escau.
5. Les transferències internacionals de dades en el cas que n'hi hagin, i la decisió d’adequació de la Comissió Europea sobre el fet que compleixen el nivell adequat de protecció o l’adopció de garanties adequades o apropiades per garantir el nivell de protecció i els mitjans per obtenir-ne una còpia.
6. El termini de conservació de les dades o, en el cas que no sigui possible concretar-ho, els criteris utilitzats per determinar aquest termini.
7. El dret a sol·licitar l’accés a les dades, la rectificació o la supressió de les dades, la limitació del tractament, l’oposició al tractament i la portabilitat de les dades.
8. El dret a retirar el consentiment en qualsevol moment, si aquest era la base per al tractament de les dades.
9. El dret a presentar una reclamació davant l’autoritat de control.
10. Si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte, i si la persona interessada està obligada a facilitar les dades i està informada de les conseqüències de no facilitar-les.
11. Si escau, l’existència de decisions automatitzades, incloent-hi l’elaboració de perfils, i la informació sobre la lògica aplicada, la importància i les conseqüències del tractament per a la persona interessada.

Si les dades es volen utilitzar posteriorment per a una finalitat diferent a aquella per a la qual es van recollir, cal informar prèviament la persona interessada sobre aquesta altra finalitat i sobre qualsevol altra informació addicional pertinent.

No cal informar la persona interessada quan ja disposi d’aquesta informació.

L’article 14 del RGPD determina que, quan les dades no s’obtenen de la persona interessada, a més dels aspectes als quals s’ha fet referència en l’apartat anterior, el responsable del fitxer ha d’informar la persona interessada sobre:

a. Les categories de dades personals de què es tracti.

b. La font de la qual procedeixen les dades personals i, si escau, si procedeixen de fonts d’accés públic.

La informació s’ha de facilitar dins un termini raonable, que ha de ser com a màxim d’un mes des de l’obtenció de les dades.

Si les dades han estat recollides per comunicar-se amb la persona interessada, el dret d’informació s’ha de facilitar, com a molt tard, en el moment que es produeixi la primera comunicació amb ella; si hi ha previsió de comunicar-les a un altre destinatari, com a molt tard, en el moment en què les dades es comuniquin per primer cop.

No cal facilitar el dret d’informació en els supòsits següents:

• Quan la persona interessada ja disposa d’aquesta informació.
• Quan la comunicació d’aquesta informació sigui impossible o suposi un esforç desproporcionat, en particular per al tractament amb finalitats d’arxiu en interès públic, científiques, històriques o estadístiques o en la mesura que pugui impossibilitar o obstaculitzar greument l’assoliment dels objectius del tractament. En aquests casos, el responsable ha d’adoptar mesures adequades per protegir els drets, les llibertats i els interessos legítims de la persona interessada, fins i tot fent pública la informació.
• Quan l’obtenció o la comunicació estigui expressament establerta pel dret de la UE o dels estats membres. En aquest cas, s’han d’establir mesures adequades per protegir els interessos legítims de la persona interessada.
• Quan les dades hagin de continuar tenint caràcter confidencial sobre la base d’una obligació de secret professional regulada pel dret de la UE o dels estats membres.

La LOPDGDD ha establert la possibilitat que la informació que cal facilitar, tant en el cas que les dades es recullin directament de la persona interessada com si no es recullen directament, es faciliti en dues fases.

En aquest sentit, l'article 11, indica que:

1) Si les dades s'obtenen de la persona interessada es pot donar una informació bàsica en una primera capa i indicar-li una adreça electrònica o un altre mitjà que li permeti accedir de manera senzilla i immediata a la resta d’informació.

La informació bàsica ha de contenir, almenys:

a) La identitat del responsable del tractament i del seu representant, si s’escau.

b) La finalitat del tractament.

c) La possibilitat d’exercir els drets d'autodeterminació informativa.

A més, si les dades obtingudes de la persona interessada s’han de tractar per elaborar perfils, la informació bàsica ho ha d'indicar. En aquest cas, s’ha d’informar del dret a oposar-se a l’adopció de decisions individuals automatitzades que produeixin efectes jurídics sobre ella o l’afectin significativament de manera similar.

2) Si les dades personals no s’han obtingut de la persona interessada, la informació bàsica també ha d’incloure:

a) Les categories de dades objecte de tractament.

b) Les fonts de les quals procedeixen les dades.

↑ Índex de la unitat

El responsable del tractament ha de facilitar a la persona interessada l’exercici dels drets d’accés, rectificació, supressió, limitació del tractament, portabilitat de les dades i oposició i a no ser objecte de decisions individuals automatitzades (art. 12 del RGPD).

Els drets es poden exercir directament o per mitjà d’un representant legal o un voluntari i el responsable ha d’atendre la sol·licitud d’exercici en el termini d’un mes des de la recepció, prorrogable dos mesos més en cas necessari, segons la complexitat i el nombre de sol·licituds. S’ha d’informar la persona interessada de la pròrroga dins el termini del primer mes (des que es rep la sol·licitud), i indicar els motius de la dilació.

En el cas dels menors de 14 anys, els titulars de la pàtria potestat poden exercir en nom seu els drets d’accés, rectificació, cancel·lació, oposició o qualssevol altres que els puguin correspondre en matèria de protecció de dades.

Tot i que el RGPD no estableix una manera concreta per exercir els drets, sí que requereix als responsables que possibilitin la presentació de sol·licituds per mitjans electrònics, especialment quan les dades es tractin per aquests mitjans. A més, determina que, si la sol·licitud es presenta per mitjans electrònics, la informació s’ha de facilitar a través d’aquests mitjans si és possible, tret que la persona interessada demani que se li doni d’una altra manera.

A més, el responsable del tractament està obligat a informar la persona interessada sobre els mitjans a la seva disposició per exercir els drets que li corresponen. Els mitjans han de ser fàcilment accessibles per a la persona afectada. L’exercici del dret no es pot denegar pel sol motiu que la persona afectada opti per un altre mitjà.

També pot ser l’encarregat qui tramiti la sol·licitud, pel compte del responsable, si així ho estableix el contracte o l’acte jurídic que els vincula. Però la prova del compliment del deure de respondre a la sol·licitud d’exercici dels drets recau sobre el responsable.

En cas que el responsable no doni curs a la sol·licitud de la persona interessada, l’ha d’informar, dins el termini d’un mes d’haver-la rebut, de les raons per les quals no ha actuat, així com de la possibilitat de presentar una reclamació davant l’autoritat de control, i que pot exercir accions judicials.

L’exercici de qualsevol dels drets té caràcter gratuït. Si les sol·licituds són infundades o excessives, especialment perquè són repetitives, el responsable pot cobrar un cànon raonable segons els costos administratius que es derivin de facilitar la informació, la comunicació o l’actuació demanada, o es pot negar a actuar davant la sol·licitud. Li correspon al responsable la càrrega de demostrar el caràcter infundat o excessiu de la sol·licitud.

El responsable ha de prendre les mesures raonables per verificar la identitat de la persona afectada que exerceix un dret. Si té dubtes raonables quant a la identitat de qui presenta la sol·licitud, pot demanar informació addicional per confirmar-ne la identitat.

L’article 15 del RGPD disposa que la persona interessada té dret que el responsable del tractament li confirmi si està o no tractant dades personals seves i, en cas afirmatiu, té dret d’accés a les dades, i en concret que se li faciliti informació sobre:

1. La finalitat del tractament.
2. Les categories de dades personals tractades.
3. Els destinataris o les categories de destinataris a qui s’han comunicat o es comunicaran les dades.
4. El termini de conservació de les dades o, en cas que no sigui possible concretar-ho, els criteris utilitzats per determinar aquest termini.
5. El dret a sol·licitar la rectificació o la supressió de les dades, la limitació del tractament o l’oposició a aquest tractament.
6. El dret a presentar una reclamació davant l’autoritat de control.
7. Si les dades no s’han obtingut de la persona interessada, qualsevol informació sobre el seu origen.
8. Si s'escau, l’existència de decisions automatitzades, incloent-hi l’elaboració de perfils, i la informació sobre la lògica aplicada, la importància i les conseqüències del tractament per a la persona interessada.
9. En cas que es facin transferències internacionals de dades, les garanties adequades que s’ofereixen.

El responsable del tractament ha de facilitar una còpia de les dades personals tractades, sempre que no afecti negativament els drets i les llibertats d’altres.

Quan la sol·licitud es faci a través de mitjans electrònics, la informació s’ha de proporcionar en format electrònic, tret que la persona interessada demani que se li faciliti d’una altra manera.

El dret d’accés s’entén atorgat si el responsable del tractament facilita a la persona interessada un sistema d’accés remot, directe i segur a les dades personals que garanteixi, de manera permanent, l’accés a la totalitat de les dades. A aquest efecte, la comunicació del responsable a la persona afectada de la manera com aquesta pot accedir al sistema esmentat, és suficient per entendre que s'ha atès la sol·licitud d’exercici del dret.

Altrament, si la persona interessada tria un mitjà diferent al que se li ofereix que suposi un cost desproporcionat, la sol·licitud s’ha de considerar excessiva, per la qual cosa la persona afectada ha d’assumir l’excés de costos que la seva tria comporti. En aquest cas, només és exigible al responsable del tractament la satisfacció del dret d’accés sense dilacions indegudes.

Si el responsable tracta una gran quantitat de dades relatives a la persona interessada i aquesta exerceix el seu dret d’accés sense especificar si es refereix a totes o a una part de les dades, el responsable li pot sol·licitar, abans de facilitar la informació, que especifiqui les dades o les activitats de tractament a què es refereix la sol·licitud.

La LOPDGDD estableix que, a l'efecte de denegar el dret d'accés, es pot considerar repetitiu l’exercici del dret més d’una vegada durant el termini de sis mesos, tret que hi hagi una causa legítima per fer-ho.

↑ Índex de la unitat

La persona interessada té dret a obtenir la rectificació de les seves dades personals que siguin inexactes. Tenint en compte la finalitat del tractament, té dret que es completin les seves dades incomplertes (art. 16 del RGPD).

El responsable ha de comunicar la rectificació efectuada a cada un dels destinataris a qui s’hagin comunicat les dades, tret que sigui impossible o exigeixi un esforç desproporcionat. El responsable ha d’informar la persona interessada sobre els destinataris, si ho demana (art. 19 del RGPD).

↑ Índex de la unitat

La persona interessada té dret a obtenir la supressió de les seves dades personals quan (art. 17 del RGPD):

• Les dades ja no siguin necessàries per a la finalitat per a la qual es van recollir.
• Es revoqui el consentiment en el qual es basava el tractament.
• La persona interessada s’oposi al tractament (i no prevalguin altres motius legítims per portar-lo a terme).
• Les dades s’hagin tractat il·lícitament.
• S’hagi de complir una obligació legal.
• Les dades s’hagin obtingut amb relació a l’oferta de serveis de la societat de la informació adreçada a menors.

Si el responsable del tractament ha comunicat o ha fet públiques les dades i aquestes s’han de suprimir, ha d’adoptar mesures raonables per informar de la supressió altres responsables que estiguin tractant les dades. El responsable ha d’informar la persona interessada sobre els destinataris de les dades, si ho demana.

El RGPD estableix algunes excepcions a l’exercici del dret de supressió, com ara que no és aplicable quan el tractament sigui necessari:

• Per exercir el dret a la llibertat d’expressió i d’informació.
• Per complir una obligació legal o una missió realitzada en interès públic o en l’exercici de poders públics.
• Per raons d’interès públic en l’àmbit de la salut pública.
• Per finalitats d’arxiu en interès públic, científiques, històriques o estadístiques, en la mesura que el dret pugui fer impossible o obstaculitzar greument l’assoliment dels objectius del tractament.
• Per formular, exercir o defensar reclamacions.

↑ Índex de la unitat

El RGPD configura la limitació del tractament com un dret de la persona interessada.

La persona interessada té dret a demanar la limitació del tractament de les seves dades personals en els casos següents (art. 18 del RGPD):

• Quan impugni l’exactitud de les dades, durant un termini que permeti al responsable del tractament verificar aquesta exactitud (això és, quan exerceixi el dret de rectificació, mentre el responsable determina si escau atendre la sol·licitud).
• Quan el tractament sigui il·lícit (cosa que implicaria esborrar les dades), però la persona interessada s’oposi a la supressió de les dades i sol·liciti en el seu lloc la limitació del seu ús.
• Quan el responsable ja no necessiti les dades per a la finalitat del tractament (cosa que suposaria esborrar les dades), però la persona interessada s’oposi a la supressió perquè les necessita per formular, exercir o defensar reclamacions.
• Quan la persona interessada s’hagi oposat al tractament, mentre es verifica si els motius legítims del responsable han de prevaldre sobre els de la persona interessada (això és, quan exerceixi el dret d’oposició, mentre el responsable determina si escau atendre la sol·licitud).

L’exercici d’aquest dret per part de la persona interessada comporta que no s’aplicarien a les seves dades personals les operacions de tractament que corresponguin en cada cas.

El responsable ha de comunicar qualsevol limitació del tractament efectuat a cada un dels destinataris a qui s’hagin comunicat les dades, tret que sigui impossible i exigeixi un esforç desproporcionat. El responsable ha d’informar la persona interessada sobre els destinataris, si ho demana.

En cas que el tractament de dades s’hagi limitat, aquestes dades només poden ser tractades, excepte per conservar-les, amb el consentiment de la persona interessada o per formular, exercir o defensar reclamacions o per protegir drets d’una altra persona física o jurídica o per raons d’interès públic.

El responsable ha d’informar la persona interessada abans d'aixecar la limitació.

↑ Índex de la unitat

La persona interessada té dret a rebre les seves dades personals facilitades a un responsable del tractament en un format estructurat, d’ús comú i lectura mecànica, i a transmetre-les a un altre responsable sense que ho impedeixi el responsable al qual les havia facilitades, sempre que el tractament estigui basat en el consentiment o en un contracte i es porti a terme per mitjans telemàtics (art. 20 del RGPD).

La persona interessada té dret que les seves dades es transmetin directament de responsable a responsable quan sigui tècnicament possible.

Aquest dret no s’aplica al tractament que sigui necessari per complir una missió realitzada en interès públic o en l’exercici de poders públics del responsable del tractament.

El dret a la portabilitat de les dades no pot afectar negativament els drets i les llibertats d’altres.

↑ Índex de la unitat

La persona interessada té dret a oposar-se en qualsevol moment, per motius relacionats amb la seva situació particular, que les seves dades personals siguin tractades, quan el tractament es porta a terme per complir una missió realitzada en interès públic, per exercir poders públics o per satisfer interessos legítims, incloent-hi elaborar perfils (art. 21 del RGPD).

El responsable del tractament ha de deixar de tractar les dades, tret que acrediti motius legítims imperiosos per al tractament que prevalguin sobre els interessos, els drets i les llibertats de la persona interessada o per formular, exercir o defensar reclamacions.

Quan la persona interessada s’oposi al tractament de les seves dades amb finalitats de màrqueting directe, incloent-hi l’elaboració de perfils relacionats amb aquesta, les seves dades s'han de deixar de tractar amb aquesta finalitat.

Cal informar la persona interessada clarament sobre la possibilitat d’exercir el dret d’oposició, com a molt tard, en el moment de la primera comunicació amb la persona interessada.

Si el tractament es porta a terme en el context de la utilització de serveis de la societat de la informació, la persona interessada pot exercir el dret d’oposició a través de mitjans automatitzats que apliquin especificacions tècniques.

Si les dades es tracten amb finalitats científiques, històriques o estadístiques, la persona interessada, per motius relacionats amb la seva situació particular, té dret a oposar-se al tractament de les seves dades, tret que sigui necessari per complir una missió realitzada per raons d’interès públic.

↑ Índex de la unitat

Qualsevol persona interessada té dret a no ser objecte d’una decisió basada únicament en el tractament automatitzat, incloent-hi l’elaboració de perfils, que produeixi efectes jurídics sobre ella o l'afecti significativament (art. 22 del RGPD).

No obstant això, la persona interessada no té aquest dret quan la decisió:

• És necessària per celebrar o executar un contracte entre la persona interessada i un responsable del tractament.
• Es basa en el consentiment explícit de la persona interessada.
• Està autoritzada pel dret de la UE o dels estats membres.

En els tres casos s’han d’establir mesures adequades per salvaguardar els drets i les llibertats i els interessos legítims de la persona interessada, que en els dos primers casos (contracte o consentiment explícit) han d'incloure, com a mínim, el dret a obtenir intervenció humana per part del responsable, a expressar el seu punt de vista i a impugnar la decisió.

Les decisions incloses en aquests tres casos no es poden basar en categories especials de dades, tret que es disposi del consentiment de la persona interessada o el seu tractament sigui necessari per raons d’interès públic.

↑ Índex de la unitat

·

El dret de la UE o dels estats membres pot limitar l’abast dels drets de la persona interessada (art. 23 del RGPD), sempre que la limitació respecti els drets i les llibertats fonamentals i sigui una mesura necessària i proporcionada en una societat democràtica per salvaguardar:

• La seguretat de l’Estat.
• La defensa.
• La seguretat pública.
• La prevenció, la investigació, la detecció o l'enjudiciament d’infraccions penals o l’execució de sancions penals.
• Altres objectius importants d’interès públic general de la UE o d’un estat membre (econòmic, financer, fiscal, pressupostari i monetari, sanitat pública i seguretat social).
• La protecció de la independència judicial i dels procediments judicials.
• La prevenció, la investigació, la detecció i l'enjudiciament d’infraccions de normes deontològiques en les professions regulades.
• La supervisió, la inspecció o la reglamentació vinculada a l’exercici de l’autoritat pública en qualsevol dels supòsits esmentats en els apartats anteriors.
• La protecció de la persona interessada o dels drets i les llibertats d’altres.
• L’execució de demandes civils.

Qualsevol de les mesures legislatives que es prenguin per limitar els drets de la persona interessada ha de contenir com a mínim disposicions específiques relatives a:

• La finalitat del tractament o les categories de tractament.
• Les categories de dades que es tractin.
• L’abast de les limitacions establertes.
• Les garanties per evitar accessos o transferències il·lícits o abusius.
• La determinació del responsable o categories de responsables.
• Els terminis de conservació i les garanties aplicables segons la naturalesa, l'abast i els objectius del tractament o categories de tractament.
• Els riscos per als drets i les llibertats de les persones interessades.
• El dret de les persones interessades a ser informats sobre la limitació, tret que sigui perjudicial per a la seva finalitat.

Portada | ↑ Índex de la unitat | Unitat 4