Transcripció del cinquè capítol sobre el dret d’informació vinculat a la protecció de dades.
“Parlem de Dades”, un podcast de l’Escola d’Administració Pública de Catalunya i l’Autoritat Catalana de Protecció de Dades.
Capítol 5: Analitzem el dret d’informació vinculat a la protecció de dades.
Presentació i guió
LOCUTOR: Bon dia i benvinguts al cinquè capítol de “Parlem de dades personals”! Avui volem parlar d’un dels drets més importants que tenim a l’hora de controlar l’ús de les nostres dades: el dret a la informació vinculat a la protecció de dades. Ho farem amb l’ajuda de Marta Pallarès, responsable de Cooperació Externa de l'Autoritat Catalana de Protecció de Dades.
Bon dia, Marta, i gràcies per acompanyar-nos!
MARTA: Bon dia!
LOCUTOR: El primer que ens cal saber és què és el dret d’informació en la protecció de dades personals?
MARTA: El dret d’informació és el dret que tenen les persones a rebre tota la informació sobre la recollida i el tractament de les seves dades personals, i el dret que els donin aquesta informació d'una manera clara i transparent. Està recollit en els articles 13 i 14 del Reglament general de protecció de dades i és la manera en què es dona compliment al principi de transparència a la protecció de dades.
LOCUTOR: Perfecte. Gairebé sempre com a contrapartida d’un dret hi trobem un deure. En aquest cas és el deure d’informar. En qui recau aquesta obligació?
MARTA: L’obligació d’informar sobre els aspectes del tractament de dades és del responsable del tractament de dades personals. Tot i això, quan la recollida d’informació la fa un encarregat del tractament, també se li pot encomanar aquesta tasca.
La figura de l’encarregat del tractament és molt interessant i, de fet, si hi voleu aprofundir us recomano que escolteu el segon capítol d’aquesta sèrie, en què la meva companya Eva Garcia us en dona tots els detalls.
LOCUTOR: Sí, i tant!, un capítol molt interessant. Tornant al dret d’informació, cal informar sempre la persona interessada del tractament de les seves dades?
MARTA: No, no sempre. El Reglament europeu també preveu situacions en què no és necessari.
LOCUTOR: I quines són aquestes situacions?
MARTA: Doncs bé, no cal fer-ho quan la persona interessada ja disposa de la informació.
Quan les dades no procedeixen de la persona afectada, tampoc caldrà informar en els supòsits següents: si la comunicació resulta impossible o suposa un esforç desproporcionat, si la informació obstaculitza greument els objectius del tractament, si així es preveu expressament en una llei o norma europea, o bé si les dades han de continuar tenint caràcter confidencial per un deure legal de secret.
LOCUTOR: Perfecte. I, en el cas d’haver d’informar, en quin moment ho hem de fer?
MARTA: Per respondre aquesta pregunta primer cal aclarir que el Reglament europeu regula aquest dret distingint si les dades personals s’han obtingut directament de l’afectat o no.
Si s’han obtingut directament, el responsable del tractament ha de complir el deure d’informar en el mateix moment en què s’obtenen les dades de caràcter personal.
Ara bé, si no s’han obtingut directament de la persona interessada sinó que procedeixen d’alguna cessió legítima, com podria ser una comunicació entre administracions públiques, el responsable n'ha d’informar la persona interessada dins un termini raonable. Aquest termini ha de ser d’un mes des de l'obtenció de les dades personals, com a màxim. No obstant això, si les dades s’han d’utilitzar per comunicar-se amb la persona interessada, o si està previst comunicar-les a un altre destinatari, cal informar, com a molt tard, en el moment en què tingui lloc aquesta comunicació.
És important recordar que l’obligació d’informar s’ha de complir de forma proactiva, és a dir, sense necessitat de cap requeriment previ, i el responsable ha de poder acreditar que n'ha satisfet l'obligació.
LOCUTOR: Ara que ja sabem qui ha d'informar i quan ho ha de fer, parlem del contingut d’aquesta informació. Sobre què s’ha d’informar per complir el dret a la informació vinculat a la protecció de dades?
MARTA: En aquest cas també cal distingir si les dades personals s’han obtingut directament de la persona interessada o no. En el cas que les dades personals s’obtinguin de la persona interessada, l'article 13 del Reglament europeu estableix una llista exhaustiva sobre el que cal informar, que, en resum, seria el següent:
- La identitat i les dades de contacte del responsable i, si s’escau, del seu representant i del delegat de protecció de dades.
- Les finalitats i la base jurídica del tractament.
- Els interessos legítims del responsable o d'un tercer.
- Els destinataris o les categories de destinataris de les dades personals.
- Les transferències internacionals previstes. Recordeu que les comunicacions de dades dins la Unió Europea no es consideren transferències internacionals.
- El termini de conservació de les dades personals o els criteris per determinar-lo.
- La informació relativa als drets de la persona que ha facilitat les dades personals: els drets d'accés, rectificació, supressió, limitació del tractament, oposició i portabilitat de les dades. I quan el tractament està basat en el consentiment, el dret a retirar-lo en qualsevol moment.
- També cal informar del dret a presentar una reclamació davant una autoritat de control, com pot ser l'Autoritat Catalana de Protecció de Dades.
- En el cas que la comunicació de dades personals sigui obligatòria, s'ha d'informar de les possibles conseqüències si no es faciliten.
- A l'últim, vull destacar que quan es prenen decisions automatitzades, incloent-hi l'elaboració de perfils, situació cada cop més habitual en la utilització de la intel·ligència artificial, també cal informar sobre l'existència d'aquestes decisions, així com de la lògica aplicada i la importància i les conseqüències previstes.
LOCUTOR: D’acord. Tota aquesta informació s’ha d’oferir si les dades s’han obtingut directament de la persona interessada. Però si procedeixen d’alguna cessió, s’ha d’informar d’alguna cosa més?
MARTA: Sí, si la informació no s’obté del mateix interessat, a més del que ja hem explicat cal informar sobre les categories de dades personals que es tractaran i la font d’on procedeixen, fins i tot si procedeixen de fonts d’accés públic.
A més a més, si el responsable del tractament vol utilitzar les dades per a una finalitat diferent d’aquella per a la qual es van recollir, cal que informi l’interessat sobre aquesta nova finalitat; per exemple, en el cas que en el marc d'una compra en línia es recullin dades personals, si aquestes després poden ser utilitzades per fer un perfil del teu comportament i així poder-te suggerir activitats o teràpies que et puguin interessar.
LOCUTOR: Molt bé. I aquesta informació s’ha d’oferir d’alguna manera determinada?
MARTA: Sí, per complir aquest deure, la informació no es pot oferir de qualsevol manera. S’ha de proporcionar de manera concisa, transparent, intel·ligible i fent servir un llenguatge clar i senzill, especialment si els interessats són nens. A més, la informació ha de ser fàcilment accessible. Fins i tot es pot facilitar verbalment, si així se sol·licita.
En definitiva, es tracta d’assegurar-se que les persones interessades rebin i entenguin aquesta informació fent el mínim esforç.
LOCUTOR: Sembla difícil aconseguir fer arribar tota la informació que exigeix el Reglament europeu i fer que aquesta informació sigui, a més a més, concisa i accessible.
MARTA: Sí, tens tota la raó. Per aconseguir-ho es recomana oferir la informació per capes o nivells, és a dir, facilitar en un primer nivell una informació bàsica. Aquesta informació es presenta de forma resumida i en el mateix format i mitjà en el qual es recullen les dades personals. Així, l’interessat tindrà accés a aquesta primera capa informativa des d’un primer moment.
La segona capa inclou la informació més detallada i podem escollir el mitjà més adequat per presentar-la de manera comprensible.
Us en posaré un exemple per entendre millor aquest sistema de capes. Quan omplim un formulari web, la primera capa informativa s'inclou en el mateix formulari i la segona s'ofereix a través d'un enllaç.
LOCUTOR: I quina és la informació bàsica que ha d’aparèixer en aquesta primera capa?
MARTA: La Llei orgànica de protecció de dades personals i garantia dels drets digitals estableix que en la primera capa ha d'aparèixer, com a mínim, la informació següent: la identitat del responsable del tractament i del seu representant, si escau; la finalitat del tractament i la possibilitat d'exercir els drets establerts en el Reglament europeu.
Si les dades han de ser tractades per a l'elaboració de perfils, també s'ha d'indicar, així com el dret a oposar-se a l'adopció de decisions individuals automatitzades.
En el cas que les dades personals no s'hagin obtingut directament de l'afectat, a la primera capa d'informació bàsica cal afegir-hi les categories de dades objecte de tractament i les fonts de les quals procedeixen les dades.
Som conscients que complir el deure d’informar correctament sobre les dades personals no és fàcil, per això l'Autoritat Catalana de Protecció de Dades, en col·laboració amb l'Agència Espanyola de Protecció de Dades i l'Agència Basca de Protecció de Dades, ha publicat una guia amb exemples de formularis on es presenta la informació bàsica i una informació addicional.
LOCUTOR: Segur que és un recurs molt pràctic. Ara posaves com a exemple un formulari, però es poden recollir dades de moltes maneres, per exemple a través d’una videocàmera. Com s’ha d’informar en aquest cas?
MARTA: En aquests casos, per donar compliment al deure d'informació als afectats, la Llei orgànica de protecció de dades també preveu de forma expressa un sistema de doble capa.
S’han de col·locar cartells informatius a les àrees videovigilades perquè les persones que hi entrin sàpiguen que estan entrant a una zona de captació d’imatge.
En els cartells s'ha d'informar, almenys, de l'existència del tractament, la identitat del responsable i la possibilitat d'exercir els drets sobre la protecció de dades personals. També s'hi pot incloure un codi de connexió o una adreça d’internet amb aquesta informació. La resta d'informació que exigeix el Reglament europeu s'ha de facilitar per un altre mitjà que el responsable del tractament ha de posar a disposició dels afectats.
LOCUTOR: Ara ja hem repassat quina informació hem de donar i com ho hem de fer. No fer-ho té alguna conseqüència?
MARTA: Sí, i tant. És important que les persones puguin saber què es fa amb les seves dades personals. Per això no complir el deure d'informar està tipificat en el Reglament europeu com una infracció i pot ser motiu d'incoació d'un procediment sancionador per part de l'autoritat de protecció de dades. Aquesta infracció pot tenir la consideració de molt greu o lleu depenent de si s'ha incomplert el deure d'informar de manera absoluta o parcial.
LOCUTOR: Ja ho hem dit al principi, però després d’analitzar-lo encara queda més clar que el dret d'informació és un dels drets més importants en l'àmbit de protecció de dades.
MARTA: Tots els drets establerts a la normativa de protecció de dades són importants. Però que les persones puguin saber què es fa amb les seves dades personals és bàsic per poder-ne tenir el control i decidir, entre altres coses, si les volen lliurar o no.
LOCUTOR: Sí, un aspecte clau per conèixer millor els nostres drets i exercir-los. Moltes gràcies, Marta, per informar-nos-en.
MARTA: Gràcies a vosaltres!
Tancament
LOCUTOR: I fins aquí el cinquè capítol de “Parlem de dades personals”, el pòdcast de l’Escola d’Administració Pública de Catalunya i l’Autoritat Catalana de Protecció de Dades. Amb Marta Pallarès, responsable de Cooperació Externa de l'Autoritat Catalana de Protecció de Dades, hem explicat com exercir el dret a la informació vinculat a la protecció de dades. Us esperem en el pròxim capítol de “Parlem de dades personals”, on seguirem aprofundint en aspectes relacionats amb el tractament i la protecció de dades. Fins aviat!