autoritat catalana de protecció de dades

Autoritat Catalana de Protecció de Dades

© Autoritat Catalana de Protecció de Dades. Generalitat de Catalunya

Generalitat de CatalunyaAutoritat Catalanade Protecció de Dades

El Reglament General de Protecció de Dades.Principals novetats

Carles San José i AmatCap de l’Àrea d’Inspecció

Autoritat Catalana de Protecció de Dades


Article 18.4 de la Constitució:

“La Llei limitarà l’ús de la informàtica per garantir l’honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets”

Dret a l’autodeterminació informativa:

• Control per part de l’individu de tota informació que es refereixi a la seva vida• No existeix cap dada sense interès (no existeixen les dades inòqües)• El dret només és eficaç si l’individu pot controlar la utilització de totes i cadascuna de les informacions que es refereixen a ell

Plantejament general


Àmbit normatiu

Estatut d’Autonomia de Catalunya

Reglament (UE) 679/2016

Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal

Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament que desenvolupa la LOPD

Llei 32/2010, de l’1 d’octubre, de l’Autoritat Catalana de Protecció de Dades



Definicions

q Dada de caràcter personal

qTractament

qResponsable del tractament

qEncarregat del tractament

qSeudonimització



Objecte del RGPD

Article 1 RGPD1.Aquest Reglament estableix les normes relatives a la protecció

de les persones físiques pel que fa al tractament de les dades personals i les normes relatives a la lliure circulació d’aquestes dades.

2.Aquest Reglament protegeix els drets i les llibertats fonamentals de les persones físiques i, en particular, el seu dret a la protecció de les dades personals.

3.La lliure circulació de les dades personals a la Unió no s’ha de restringir ni prohibir per motius relacionats amb la protecció de les persones físiques pel que fa al tractament de dades personals.



Principis generals del tractament de dades de caràcter

personal


Principis generals del tractament de dades de caràcter personal

Principis relatius al tractament

q licitud, lleialtat i transparènciaq limitació de la finalitatqminimització de dadesq Exactitudq limitació del termini de conservacióq integritat i confidencialitatq accountability



Licitud del tractament

• consentiment per al tractament de les seves dadespersonals, per a una o diverses finalitats específiques.

• executar un contracte• complir una obligació legal aplicable al responsable del

tractament.• protegir interessos vitals de l'interessat o d'una altra

persona física.• complir una missió realitzada en interès públic o en

l'exercici de poders públics• satisfer interessos legítims perseguits pel responsable

del tractament o per un tercer (no “autoritatspúbliques”)


Condicions per al consentiment (art. 7 i 8)

• El responsable ha de poder demostrar que l’interessat hi va consentir.• Declaració escrita que també es refereix a altres assumptes:ü sol·licitud de consentiment perfectament diferenciadaü Intel·ligible, de fàcil accés i utilitzant un llenguatge clar i senzill..

• Dret de revocar el consentiment. Se n’ha d’informar l’interessat, abansque doni el consentiment.

• Ha de ser tan fàcil donar el consentiment com retirar-lo.• No vincular el consentiment al tractament de dades personals que no són

necessàries per executar un contracte/prestació de serveis• Especial referència als menors en l’àmbit de la societat de la informació:

mínim 16 anys (EEMM fins a 13 anys).




Tractament de categories especials de dades (art. 9)

Quines són? dades personals que revelin l'origen ètnic oracial, les opinions polítiques, les conviccions religioses ofilosòfiques o l'afiliació sindical, i el tractament de dadesgenètiques, dades biomètriques destinades a identificar demanera unívoca una persona física, dades relatives a la salut odades relatives a la vida sexual o les orientacions sexualsd'una persona física.Les infraccions administratives o disciplinàries deixen de ser-ho

Regla general: prohibició de tractament



Tractament de categories especials de dades (art. 9)Excepcions:a) Consentiment explícitb) Tractament necessari per complir obligacions i per exercir els drets específics del responsable del

tractament o de l'interessat, en l'àmbit del dret laboral i de la seguretat i la protecció social, si ho autoritzadret UE, de l’estat o conveni col·lectiu.

c) Tractament necessari per protegir interessos vitals de l'interessat o d'una altra persona física, en elsupòsit que l'interessat no estigui capacitat físicament o jurídicament per donar el consentiment.

d) Tractament efectuat per una fundació, una associació o qualsevol altre organisme sense ànim de lucreque tingui una finalitat política, filosòfica, religiosa o sindical.

e) Tractament relatiu a dades personals que l'interessat ha fet “manifestament públiques”.f) Tractament necessari per formular, exercir o defensar reclamacions o quan els tribunals actuen en

exercici de la seva funció judicial.g) Tractament necessari per raons d'un interès públic essencial,h) Tractament necessari per a finalitats de medicina preventiva o laboral, d’avaluació de la capacitat laboral

del treballador, de diagnòstic mèdic, de prestació d'assistència o de tractament de tipus sanitari o social,o de gestió dels sistemes i els serveis d'assistència sanitària i social,

i) Tractament necessari per raons d'interès públic en l'àmbit de la salut públicaj) Tractament necessari amb finalitats d'arxiu en interès públic, amb finalitats de recerca científica o

històrica o amb finalitats estadístiques,

.



Tractament de dades personals relatives acondemnes i a infraccions penals (art. 10)

Només es pot dur a terme:

q sota la supervisió de les autoritats públiques.

q o quan ho autoritza el dret i estableixi garanties adequadesper als drets i les llibertats dels interessats.

Únicament es pot portar un registre complet de condemnespenals sota el control de les autoritats públiques.


Tractament que no requereix identificació (art. 11)

Si les finalitats no requereixen o ja no requereixen que s’identifiqui uninteressat, el RT no està obligat a mantenir, obtenir o tractar informacióaddicional per tal d’identificar l'interessat amb l'única finalitat de compliramb el Reglament.

No es podran exercir els drets d’accés, rectificació, supressió i limitació deltractament tret que l'interessat, als efectes d’exercir els seus drets en facilitiinformació addicional que en permeti la identificació.



Transparència


Principi de transparència (art. 12)- Obligació de prendre les mesures oportunes per facilitar tota la

informació que exigeix la normativaü Informació en la recollidaü Informació respecte dels drets ü Informació sobre violacions de seguretat

- Informació concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, especialment si la informació s’adreça específicament a un nen.

- Si l’interessat ho sol·licita, la informació es pot facilitar verbalment si demostra la seva identitat per altres mitjans.

- Termini per atendre els drets: 1 mes a partir de la recepció de la sol·licitud (prorrogable a dos mesos: complexitat i nombre de sol·licituds)

- Gratuïta. ü Si les sol·licituds són manifestament infundades o excessives: canon o negativa a

actuar

- Icones


Dret d’informació: dades obtingudes de l’interessat (art. 13)

• La identitat i les dades de contacte del responsable

• Les dades de contacte del delegat de protecció de dades,

• Les finalitats del tractament i la seva base jurídica

• L'interès legítim, quan el tractament es basa en aquest fonament.

• Els destinataris o les categories de destinataris de les dades personals

• La previsió de transferències de dades personals a tercers països i en que es fonamenta (decisiód'adequació o garanties adequades) i els mitjans per obtenir-ne una còpia.

• El termini durant el qual es conservaran les dades o, quan no és possible, els criteris utilitzats perdeterminar-ho.

• L'existència del dret d'accés relatives a l'interessat, rectificació, supressió, limitació del tractament, oposiciói portabilitat.

• Possibilitat de revocar el consentiment

• El dret a presentar una reclamació davant una autoritat de protecció de dades

• Si la comunicació de dades personals és un requisit legal o contractual, o un requisit necessari persubscriure un contracte,

• Si l'interessat està obligat a facilitar les dades i està informat de les possibles conseqüències de no fer-ho.

• L'existència de decisions automatitzades i d’elaboració de perfils i informació significativa sobre la lògica aplicada i sobre les conseqüències previstes d'aquest tractament per a l'interessat


Dret d’informació: dades no obtingudes de l’interessat (art. 14)

• Les categories de dades personals de què es tracta.

• La font d’on procedeixen les dades personals i, si escau, siprocedeixen de fonts d’accés públic.

Termini. Com a regla general:

ü en un termini raonable

ü 1 mes com a màxim (LOPD: 3 mesos).

Excepció:

ü les dades serveixen per posar-se en contacte amb la persona, seli haurà d’informar en aquell moment.

ü les dades s’han de cedir, s’informarà en el moment de la primeracessió.

ü Comunicació impossible o esforç desproporcionat (arxiu interèspúblic)


Drets dels interessats


Drets de les persones interessades (arts. 15 a 22)

q Dret d’accésq Dret de rectificacióq Dret de supressió (dret a l’oblit)q Dret d’oposicióq Dret a la portabilitatq Dret a la limitació del tractamentq Decisions individuals automatitzades

qLimitacions: seguretat pública, inspecció, etc.


Principals novetats


Principi de responsabilitat (art. 24)

Fonaments del RGPD:- Responsabilitat proactiva i demostrable- Enfocament en el risc

Aspectes a considerar:- La naturalesa, l'àmbit, el context i les finalitats del

tractament- Els riscos per als drets i les llibertats de les persones

físiques,


Protecció de dades des del disseny (art. 25)

Què exigeix? Compromís mesures tècniques i organitzatives adequades(seudonimització, minimització de dades, etc.)

Quan s’ha d’aplicar? tant en el moment de determinar els mitjans de tractament com en el moment del tractament mateix

Qui està obligat a aplicar-la? Responsable del tractament, encarregat del tractament? Tercers?

Quins aspectes s’han de tenir en compte?• Estat de la tècnica• Cost de l'aplicació • La naturalesa, l’àmbit, el context i les finalitats del tractament,• Els riscos que comporta el tractament per als drets i les llibertats de les

persones


Mesures de protecció de dades des del disseny i de responsabilitat proactiva

• Protecció de dades per defecte • Registre d’activitats del tractament• Delegat de Protecció de Dades• Avaluació d’impacte sobre la protecció de dades• Anàlisi de riscos • Notificacions de violacions de seguretat


Mesures de protecció de dades des del disseny i de responsabilitat proactiva: Delegat de Protecció de Dades(art. 37)Quan cal nomenar-lo?Administracions públiques Empreses:quan els tractaments que realitzin suposin una observació habitual i sistemàtica d'interessats a gran escala,o quan les activitats principals consisteixen en el tractament a gran escala de categories especials de dades personals

- Publicació del nomenament- Comunicació a la APDCAT. El responsable o l'encarregat ha de publicar les

dades de contacte del DPO i les ha de comunicar a l'autoritat de control. - No cal que es nomeni un DPO per a cada entitat (pot ser el mateix per a

diferents entitats)


Característiques del DPO:- qualitats professionals, especialment:

- coneixements especialitzats del dret.- pràctica en matèria de protecció de dades.- capacitat per exercir les funcions encomanades per la normativa.

Posició del DPO dins de l’organització:- Nivell jeràrquic.- Garantia d’independència. No destituïble ni sancionable per

exercir les seves funcions.- No cal dedicació exclusiva.


Mesures necessàries de RT i ET per garantir:- que el DPO no es pot veure compel·lit a acceptar

instruccions- que només ha de retre comptes al més alt nivell jeràrquic de

l’organització- que té tot el suport necessari per complir amb les seves

funcions.- que disposi de tots els recursos necessaris per complir

aquestes tasques i per accedir a les dades personals i a les operacions de tractament, i per mantenir el seu coneixement expert.


Funcions del DPO (mínims):a) Informar i assessorar de les seves obligacions al RT i ET, ials empleats que s'ocupen del tractamentb) Supervisar el compliment del que disposa la normativa deprotecció de dades i de les polítiques del RT o ET en matèriade protecció de dades, inclosa l'assignació de responsabilitats,la conscienciació i la formació del personal que participa en lesoperacions de tractament i les auditories corresponents.c) Oferir l'assessorament que se li sol·licita sobre l'avaluaciód'impacte relativa a la protecció de dades i supervisar-nel’aplicaciód) Cooperar amb l'autoritat de control.e) Actuar com a punt de contacte de l'autoritat de control


L’encarregat del tractament


Encarregat del tractament

Definició:la persona física o jurídica, autoritat pública, servei oqualsevol altre organisme que tracta dades personals percompte del responsable del tractament.(art. 4.8)


Encarregat del tractament (art. 28)

q El RT ha de triar un encarregat que ofereixi garantiessuficients per aplicar les mesures tècniques i organitzativesadequades.

q L’ET no ha de recórrer a un altre encarregat sensel'autorització prèvia per escrit, específica o general, delresponsable.

q El tractament efectuat per l‘ET s’ha de regir per uncontracte o per un altre acte jurídic conforme al dret.


Encarregat del tractament (art. 28)Contingut mínim quant a les obligacions de l’ET:q Tracta les dades personals únicament seguint instruccions documentades del

responsable,q Garanteix que les persones autoritzades per tractar dades personals s'han

compromès a respectar-ne la confidencialitat Pren totes les mesures deseguretat necessàries

q Respecta les condicions per recórrer a un altre ETq Assisteix el RT sempre que sigui possible, d’acord amb la naturalesa del

tractament i mitjançant les mesures tècniques i organitzatives adequades,q Ajuda el responsable a garantir el compliment de les obligacions de

seguretat, violacions de seguretat, AIPD i consulta previa, tenint en compte lanaturalesa del tractament i la informació de que disposa

q A elecció del RT, suprimir o retornar les dades personals.q Posar a disposició del RT la informació necessària per demostrar que

compleix les seves obligacions i ha de permetre i contribuir a la realitzaciód’auditories

q Si l‘ET considera que una instrucció infringeix la normativa a de protecció dedades, n’ha d’informar immediatament al RT.


Garanties


Potestats d’inspecció (58.1 RGPD)

q ordenar al RT/ET que facilitin informacióq investigacions en forma d'auditoriesq revisió de les certificacions expedides (art. 42.7)q Requeriments d’informacióq accedir als locals, equips i mitjans de tractament

Potestats de sanció (83 i 84 RGPD)


Drets

q Dret a reclamar davant l’Autoritat (art. 77)

q Dret a la tutela judicial (art. 78 i 79)

q Dret d'indemnització (art. 82)


El dret a la protecció de dades de caràcter personal

Moltes gràcies per la vostra atenció!Carles San José i Amat

Cap de l’Àrea d’InspeccióAutoritat Catalana de Protecció de Dades

[email protected]

@carlessanjose

935527800

autoritat catalana de protecció de dades

Documents