PMF

Preguntes més freqüents (PMF)

Què són les dades personals?

Les dades personals són qualsevol informació relativa a una persona física viva identificada o identificable. Les diferents informacions, que recopilades poden portar a la identificació d'una determinada persona, també constitueixen dades de caràcter personal. 

Les dades personals que hagin estat anonimitzades, xifrades o presentades amb un pseudònim, però que puguin utilitzar-se per a tornar a identificar a una persona, continuen sent dades personals i s'inscriuen en l'àmbit d'aplicació de l’RGPD. 

Les dades personals que hagin estat anonimitzades, de manera que la persona no sigui identificable o deixi de ser-ho, deixaran de considerar-se dades personals. Perquè les dades es considerin veritablement anònimes, l'anonimització ha de ser irreversible. 

L’RGPD protegeix les dades personals independentment de la tecnologia utilitzada per al seu tractament; és «tecnològicament neutre» i s'aplica tant al tractament automatitzat com manual, sempre que les dades s'organitzin conformement a criteris predeterminats (com l'ordre alfabètic). Així mateix, no importa com es conserven les dades; ja sigui en un sistema informàtic, a través de videovigilància o sobre paper; en tots aquests casos, les dades personals estan subjectes als requisits de protecció establerts en l’RGPD. 

Exemples de dades personals

    • nom i cognoms, 
    • domicili, 
    • adreça de correu electrònic, del tipus nom.cognom@empresa.com, 
    • número de document nacional d'identitat, 
    • dades de localització (com la funció de les dades de localització d'un telèfon mòbil), 
    • adreça de protocol d'internet (IP), 
    • l'identificador d'una galeta, 
    • l'identificador de la publicitat del telèfon, 
    • les dades en poder d'un hospital o metge, que podrien ser un símbol que identifiqués de forma única a una persona.

Exemples de dades no considerades personals

    • número de registre mercantil, 
    • adreça de correu electrònic, del tipus info@empresa.com, 
    • dades anonimitzades.

Quines són les bases legals per al tractament de dades personals? 

El tractament de dades personals només serà lícit si es compleix almenys una de les següents condicions:
    • Consentiment de la persona interessada.
    • Execució d'un contracte.
    • Compliment d'una obligació legal.
    • Interès vital de la persona interessada o interès vital d'una tercera persona.
    • Missió en interès públic o exercici de poders públics.
    • Interès legítim del responsable o interès legítim d'una tercera persona.
Quan un tractament persegueix diverses finalitats, cal fer constar la legitimació per a cadascuna d’elles.

La base jurídica en la qual es basa el tractament de dades personals es regula a l'article 6 del Reglament General de Protecció de Dades.

Es pot publicar una fotografia meva sense el meu consentiment? 

La imatge és una dada personal i, com a norma general, per publicar-la (cedir-la) cal demanar el consentiment a la persona afectada llevat que existeixi una altra habilitació. 

En el cas de fotos de menors de 14 anys, s'ha de demanar el consentiment dels pares o de la persona que tingui atribuïda la potestat parental per publicar-les (pàgines web de les escoles, clubs, etc.). 

D'altra banda, tot i que s'ha de valorar cada cas en concret, si les imatges es recullen en un lloc públic amb finalitat informativa, no cal demanar el consentiment de les persones captades, sempre que la imatge s'emmarqui en el context informatiu i no afecti la intimitat de la persona fotografiada o sigui accessòria. 

Si no esteu d’acord amb la publicació en una xarxa social d’una foto vostra o d’un vídeo en el que resulteu identificable podeu sol·licitar al responsable de la xarxa social la seva eliminació quan es donin determinades circumstàncies, entre les quals que les imatges no siguin pertinents o que concorrin determinades circumstàncies personals que facin prevaldre el vostre dret a la eliminació sobre el manteniment de les mateixes. 

En el cas que les imatges o vídeos s’hagin facilitat per menors o tercers durant la seva minoria d’edat, el responsable de la xarxa social l’haurà d’eliminar sense més requisits si aquest fa la petició de supressió arribada la majoria d’edat. 

Quins drets té qualsevol persona física en l’àmbit de la protecció de dades personals? 

L’RGPD recull drets ja existents i els amplia, però també en crea de nous. Així, regula els drets següents: 
    • El dret d’accés 
    • El dret de rectificació 
    • El dret de supressió 
    • El dret d’oposició 
    • El dret a la limitació del tractament 
    • El dret a la portabilitat 
    • Dret a no ser objecte de decisions individuals automatitzades 
Què és el dret a ser informat? 

L’RGPD reconeix el dret a ser informat sobre les condicions en què es duu a terme el tractament de les dades personals. 

La informació s’ha de proporcionar de manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, especialment quan la informació s’adreça a un menor. 

La informació ha de fer referència a: 
    • La identitat i dades de contacte del responsable i, si escau, del seu representant. 
    • Les dades de contacte del delegat de protecció de dades. 
    • Les finalitats i la base jurídica del tractament. 
    • Els destinataris o categories de destinataris de les dades. 
    • La intenció de transferir les dades a un tercer país o a una organització internacional i la base per fer-ho, si escau. 
    • El termini durant el qual es conservaran les dades o els criteris per determinar-lo. 
    • El dret a sol·licitar l’accés a les dades, a rectificar-les o a suprimir-les, a limitar-ne el tractament, a oposar-s’hi i a sol·licitar-ne la portabilitat. 
    • El dret a retirar en qualsevol moment el consentiment que s'ha prestat. 
    • Si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte, i si l’interessat està obligat a facilitar les dades i està informat de les conseqüències de no fer-ho. 
    • El dret a presentar una reclamació davant una autoritat de control, o, si escau, davant el Delegat de protecció de dades. 
    • L'existència de decisions automatitzades, inclosa l’elaboració de perfils, i la informació sobre la lògica aplicada i les seves conseqüències. 
Què és un encarregat del tractament i quina és la seva funció principal? 

L'encarregat del tractament és la persona física o jurídica, autoritat pública, servei o organisme que presta al responsable un servei que comporta el tractament de dades personals per compte d'aquest. 

El responsable del tractament pot triar qualsevol encarregat del tractament? 

El responsable del tractament ha de triar un encarregat del tractament que ofereixi garanties suficients respecte de la implantació i el manteniment de les mesures tècniques i organitzatives apropiades, d'acord amb el que estableix l’RGPD, i que garanteixi la protecció dels drets de les persones afectades. Per tant, hi ha un deure de diligència a l’hora d’escollir l’encarregat. 

El considerant 81 de l’RGPD disposa que l'encarregat del tractament ha d'oferir garanties suficients pel que fa a coneixements especialitzats, fiabilitat i recursos, amb vista a l'aplicació de mesures tècniques i organitzatives que compleixin els requisits del Reglament, inclosa la seguretat del tractament. 

Per demostrar que l'encarregat ofereix garanties suficients, l’RGPD preveu que l'adhesió a codis de conducta o la possessió d'un certificat de protecció de dades serveixen com a mecanismes de prova. 

Com s’han de regular les relacions entre el responsable i l'encarregat del tractament? 

La regulació de la relació entre el responsable i l'encarregat del tractament s’ha d'establir a través d'un contracte o d'un acte jurídic similar que els vinculi. El contracte o l’acte jurídic ha de constar per escrit, inclòs en format electrònic. 

Qui és responsable dels tractaments duts a terme per l'encarregat? 

El responsable del tractament no perd aquesta consideració en cap cas. Per tant, continua sent responsable que les dades personals es tractin correctament i de la garantia dels drets de les persones afectades. El responsable té una obligació d'especial diligència en l'elecció i la supervisió de l'encarregat. 

Si s’externalitza les funcions del delegat de protecció de dades a un tercer, aquest té la consideració d’encarregat del tractament? 

Sí, l’RGPD preveu que el delegat de protecció de dades ha de poder accedir a les dades que es tractin. Per tant, s’haurà formalitzar un encàrrec del tractament. 

Cal informar els interessats de la contractació d'un encarregat del tractament? 

L’LOPDGDD no considera l’accés de l’encarregat del tractament com una comunicació de dades, si s’han complert els requisits establerts per l’RGPD. Per això, no seria exigible incloure informació sobre l’existència i, si escau, la identitat dels encarregats del tractament entre la informació sobre les comunicacions que cal facilitar a les persones interessades.