LOPD 15/1999

La Llei Orgànica 15/1999 de 13 de desembre de Protecció de Dades de caràcter personal, (LOPD), té per objecte garantir i protegir, en el que concerneix al tractament de les dades personals, les llibertats públiques i els drets fonamentals de les persones físiques.

QUI HA DE COMPLIR LA LOPD I EL SEU REGLAMENT?

Estan obligats al compliment de la LOPD, així com les normes i reglaments que la componen: TOTS aquells que posseeixin dades de caràcter personal, en qualsevol suport físic (Paper, Cedés, PC, Dispositius electrònics, etc.), els quals siguin susceptibles de ser usats i tractats.

És a dir, tots els professionals, autònoms, empreses, associacions, clubs, fundacions, comunitats de propietaris, etc., que per la seva posició en el tràfic econòmic posseeixin informació (dades) en qualsevol de les seves formes, sobre proveïdors, clients, treballadors, agents, etc. estan obligats al compliment i adequació conforme a la normativa vigent: la LOPD.

QUI GESTIONA QUE ES COMPLEIXI LA LOPD?

La Agència Espanyola de Protecció de Dades s’encarrega entre uns altres de : «Vetllar pel compliment de la legislació sobre protecció de dades i controlar la seva aplicació, especialment quant als drets d’informació, accés, rectificació, oposició i cancel·lació de dades».

En conclusió, l’AEPD és una entitat de dret públic amb personalitat jurídica pròpia i plena capacitat pública i privada, amb capacitat sancionadora que es regula per la seva normativa específica, i que actua amb plena independència de les Administracions Públiques en l’exercici de les seves funcions i d’igual manera es relaciona amb el Govern a través del Ministeri de Justícia.

QUÈ ES LA PRIVACITAT?

Dret a la protecció de dades + Dret a intimitat

QUÈ CONSIDEREM DADES PERSONALS?

Són aquelles dades que ens identifiquen com a persones, és a dir, que fan referència a una persona física identificada o identificable, tals com NOM i COGNOMS, DNI, IMATGE, VEU, etc.

TIPUS DE DADES PERSONALS

Les dades personals es poden classificar en funció de les mesures de seguretat que s’han d’adoptar per a la seva protecció, per tant les podrem classificar en:

Nivell bàsic: Dades identificatives, característiques personals, circumstàncies socials o familiars, així com ocupació o llocs de treball anteriors.

Nivell mitjà: Dades que tenen a veure amb la comissió d’infraccions administratives o penals, informació de solvència, etc.

Nivell alt: Dades que es refereixen a ideologia, afiliació sindical, religió, vida sexual, dades recaptades per a finalitats policials.

OBLIGACIONS DE LA LOPD I RDLOPD

1. Notificació i inscripció de fitxers en el Registre general de protecció de Dades (RGPD).

2. Compliment del deure d’informació de l’interessat i, si escau, l’obtenció del consentiment per al tractament de la seva informació de caràcter personal.

3. Formalització de contractes d’accés a dades per compte de tercers i contractes de prestació de serveis sense accés a dades de tercers.

4. Elaboració del Document de seguretat i Clàusules i documents LOPD.

5. Implantació de mesures de seguretat de caràcter tècnic i organitzatiu en els sistemes d’informació.

INSCRIPCIÓ I NOTIFICACIÓ DE FITXERS

Sempre que es procedeixi al tractament de dades personals, que segons la llei es considera:

«qualsevol informació concernent a persones físiques identificades o identificables», que suposi la inclusió d’aquestes dades en un fitxer, considerat fitxer per la pròpia norma, com un «conjunt organitzat de dades de caràcter personal, qualsevol que sigui la forma o modalitat de la seva creació, emmagatzematge, organització i accés».

Aquest fitxer es trobarà sotmès a la Llei, sent obligatòria la seva inscripció en el Registre General de Protecció de Dades (RGPD).

QUALITAT DE LES DADES (Art. 4) 1/3

La recollida i tractament de dades de caràcter personal ha d’efectuar-se sempre seguint el principi de proporcionalitat.

Les dades de caràcter personal només es podran recollir per al seu tractament, així com sotmetre’ls a aquest tractament, quan siguin adequades, pertinents i no excessives en relació amb l’àmbit i les finalitats determinades, explícites i legitimes per les quals s’hagin obtingut.

Les dades de caràcter personal objecte de tractament no es podran fer servir per a finalitats incompatibles o diferents per les quals s’haguessin recollit.

QUALITAT DE LES DADES (Art. 4) 2/3

Les dades de caràcter personal seran exactes i s’hauran de mantenir actualitzades, de manera que responguin amb veracitat i la situació actual del titular.

Seran cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per la qual haguessin estat recollides.

No seran conservades en forma que permeti la identificació de l’interessat durant un període superior al necessari per a les finalitats.

QUALITAT DE LES DADES (Art. 4) 3/3

Podran conservar-se durant el temps en què pugui exigir-ne algun tipus de responsabilitat derivada d’una relació o obligació jurídica o de l’execució d’un contracte o pre-contracte.

Podran conservar-se per atendre obligacions legals que així ho requereixin: conservar documentació per atendre obligacions fiscals, etc.

EL DEURE D’INFORMACIÓ-CLAUSULES LOPD

Sempre que recollim i tractem dades de caràcter personal mitjançant qüestionaris, formularis o similars, haurem d’incloure les Clàusules Jurídiques i contractes necessaris per al correcte compliment de la LOPD durant el desenvolupament habitual de les activitats de la Organització.

Per exemple:

1. Clàusules Treballadors

2. Videovigilància

3. Clàusules Currículums

4. Clàusules Correu Electrònic

5. Clàusules a formularis Web

6. Etc.

EL DEURE D’INFORMACIÓ. ART.5

El deure d’informació i/o consentiment en la recollida de dades.

En qualsevol recollida de dades efectuada, ja sigui mitjançant formularis o qüestionaris, és una obligació o deure del Responsable del Fitxer informar de:

1. De l’existència d’un fitxer o tractament de dades de caràcter personal, de la finalitat de la recollida d’aquests i dels destinataris de la informació.

2. Del caràcter obligatori o facultatiu de la seva resposta a les preguntes que els siguin plantejades.

3. De les conseqüències de l’obtenció de les dades o de la negativa a subministrar-los.

4. De la possibilitat d’exercitat els drets d’accés, rectificació, cancel·lació i oposició.

5. De la identitat i adreça del Responsable del Fitxer i tractament.

RESPONSABLE DEL FITXER O TRACTAMENT

És aquell que decideix sobre la finalitat, el contingut, tractament i ús de les dades personals recollides, en funció de l’activitat pública o privada que desenvolupa.

ENCARREGAT DEL TRACTAMENT

És aquell que tracta les dades personals per compte del Responsable del Fitxers, com a conseqüència de l’existència d’una relació jurídica que l’hi vincula i delimita l’àmbit de la seva actuació per a la prestació d’un servei.

Exemple: Assessoria laboral, fiscal, comptable, Prevenció de Riscos, Hosting, Manteniment informàtic.

CONTRACTES DE PRESTACIÓ DE SERVEIS AMB ACCÉS A DADES PER TERCERS. Art. 12

No es considera comunicació de dades l’accés d’un tercer a les dades quan l’accés sigui necessari per prestar un servei al responsable del tractament. La realització del tractament per compte de tercers ha d’estar regulada en un contracte que consti per escrit i que estableixi, expressament, que l’encarregat del tractament: Només ha de tractar les dades d’acord amb les instruccions del

responsable del tractament. No pot aplicar ni utilitzar les dades amb una finalitat diferent de la que

figuri en el contracte. No pot comunicar les dades a altres persones, ni tan sols per conservar-

les. Està obligat a implementar les mesures de seguretat que es defineixin en

el contracte. Està obligat a destruir o tornar al responsable del tractament les dades

personals i qualsevol suport o document que contingui alguna dada que hagi estat objecte del tractament, una vegada complerta la prestació contractual.

CONTRACTES DE PRESTACIÓ DE SERVEIS SENSE ACCÉS A DADES PER TERCERS. Art. 12

El Responsable del Fitxer adoptarà les mesures adequades per limitar l’accés del personal a dades personals, als suports que els continguin o als recursos del sistema d’informació, per a la realització de treballs que no impliquin el tractament de dades personals.

Quan es tracti de personal aliè, el contracte de prestació de serveis recollirà expressament la prohibició d’accedir a les dades personals i l’obligació de secret respecte a les dades que el personal hagués pogut conèixer amb motiu de la prestació del servei, en definitiva regularem LA CONFIDENCIALITAT.

Exemple: empreses de neteja, serveis tècnics, etc.

DOCUMENT DE SEGURETAT 1/2

El document de seguretat és el document mitjançant el qual s’elaboren u adopten les mesures tècniques i organitzatives necessàries per garantir la seguretat de les dades de caràcter personal, la seva adopció és d’obligar compliment per al responsable del fitxer, o per l’encarregat del tractament. Tindrà caràcter de document intern i haurà de recollir els següents aspectes: a. Àmbit d’aplicació del document amb especificació detallada dels recursos

protegits. b. Mesures, Normes, Procediments d’actuació, regels i estàndards per

garantir el nivell de seguretat. c. Funcions i obligacions del personal. d. Estructura dels fitxers amb dades de caràcter personal i descripció dels

sistemes d’informació. e. Procediment de notificació, gestió i resposta davant de les incidències. f. Els procediments de realització de còpies de seguretat i de recuperació

de dades. g. Les mesures que siguin necessàries adoptar per al transport de suports i

documents, així com la destrucció.

DOCUMENT DE SEGURETAT 2/2

En el cas que fossin aplicable els fitxers de seguretat de nivell mitjà o alt, el Document de Seguretat haurà de contenir:

a) Identificació del responsable o responsables de seguretat.

b) Els controls periòdics que es realitzen per verificar el compliment.

El document haurà de mantenir-se revisat sempre que es produeixin canvis rellevants en els sistemes d’informació o en l’organització del mateix.

El contingut del document s’haurà d’adequar , en tot moment.

DRET ACCÉS, CANCEL·LACIÓ, RECTIFICACIÓ I OPOSICIÓ (ARCO) 1/2

El control sobre les nostres dades personals s’exerceix a través dels anomenats drets ARCO, que donen a la persona la potestat de protegir aquesta informació i d’exercir-hi un control efectiu.

Dret d’accés: es pot sol·licitar i obtenir gratuïtament informació sobre les seves dades de caràcter personal sotmesos a tractament, així com l’origen d’aquestes dades i les comunicacions realitzades o que es prevegin realitzar. Termini: 10 dies naturals.

Dret de rectificació: reconeix el dret a dirigir-se al Responsable d’un fitxer o tractament perquè rectifiqui les seves dades personals, en el cas que aquests siguin inexactes o incomplets. Termini: 10 dies naturals.

Dret de cancel·lació: ofereix al ciutadà la possibilitat de dirigir-se al responsable per sol·licitar la cancel·lació de les seves dades personals. Termini: 5 dies naturals.

Dret d’oposició: el ciutadà pot oposar-se, mitjançant la seva simple sol·licitud, al fet que les seves dades siguin tractades: Termini: 1 mes.

DRET ACCÉS, CANCEL·LACIÓ, RECTIFICACIÓ I OPOSICIÓ (ARCO) 2/2

DRETS ARCO El responsable del fitxer ha d’atendre els drets ARCO que exerceixin les persones respecte de les seves dades personals. Li correspon assegurar-se de la identitat de qui els exerceix (fotocopia DNI, passaport, etc.) facilitar els mitjans perquè es puguin exercir i respondre dins el termini legalment previst.

SANCIONS PER INCOMPLIMENT

La quantia de les sancions es gradua atenent la naturalesa dels drets personals afectats, el Nivell de dades dels fitxers, el volum dels tractaments efectuats, els beneficis obtinguts, el grau d’intencionalitat, la reincidència i els danys i perjudicis causats a les persones interessades i a terceres persones.

SANCIONS LLEUS: Entre 900€ i 40.000€

SANCIONS GREUS: Entre 40.001€ i 300.000€

SANCIONS MOLT GREUS: Entre 300.001€ i 600.000€