La protecció de dades de caràcter personal

Oposicions Ajuntament de Barcelona

César Romero García
La Constitució Espanyola (CE) i la
protecció de dades de caràcter
personal

 La protecció de la intimitat i el secret de les comunicacions són

drets constitucionalment reconeguts

 Es troben entre els considerats “drets fonamentals”

 En concret, l'article 18.4 de la CE estableix que "la llei limitarà

l'ús de la informàtica per a garantir l'honor i la intimitat
personal i familiar dels ciutadans i el ple exercici dels seus
drets".

 En el seu moment va ser una disposició pionera a nivell mundial

L’Estatut d’Autonomia de Catalunya
i la protecció de dades personals

 L’article 31 estableix que “totes les persones tenen

dret a la protecció de les dades personals contingudes
en els fitxers que són competència de la Generalitat i
tenen dret a accedir-hi, examinar-les i obtenir-ne la
correcció. Una autoritat independent, designada pel
Parlament, ha de vetllar perquè aquests drets siguin
respectats, en els termes que estableixen les lleis.”.

 L’article 156 estableix que correspon a la Generalitat

la competència executiva en matèria de protecció de
dades de caràcter personal
Autoritat Catalana de
Protecció de Dades
 L'Autoritat Catalana de Protecció de Dades (APDCAT)
és un organisme independent que vetlla per garantir,
en l'àmbit de les competències de la Generalitat, els
drets a la protecció de dades personals i d'accés a la
informació que hi està vinculada. Des d'aquest
organisme, s'informa sobre quins són els drets en
aquesta matèria, com s'exerceixen i què s'ha de fer si
no es respecten. L’APDCAT també informa i assessora
sobre les obligacions que preveu la legislació i controla
que les entitats les compleixin.
 Està regulada per una Llei del 2010.
La Llei orgànica 3/2018 de protecció
de dades personals i garantia dels
drets digitals

 La primera llei sobre protecció de dades de caràcter

personal és de l’any 1992(La LORTAD, Llei orgànica del
tractament automatitzat de dades personals)
 Fins fa poc encara estava vigent la Llei orgànica 15/199
9 de protecció de dades de caràcter personal
 Es va aprovar abans un Reial-Decret Llei que recull
els canvis més urgents (pels aspectes que corria més
pressa que entressin en vigor, relacionats sobretot amb
l’Agència Espanyola de Protecció de Dades)
Què és una dada personal?

 NOMÉS PERSONES FÍSIQUES

 Qualsevol informació relacionada amb una

persona que pugui utilitzar-se per identificar-la,
incloent-hi el seu nom, fotografia, adreça de
correu electrònic, adreça IP, dades bancàries,
publicacions a les xarxes socials, informació
mèdica, dades biomètriques i la seva orientació
sexual.
 Les dades personals són el recurs fonamental de
la societat de la informació (la nova economia)
La Llei orgànica 3/2018 de protecció
de dades personals i garantia dels
drets digitals

 És una llei que té per objecte garantir, pel que fa al

tractament de les dades personals, les llibertats
públiques i els drets fonamentals de les persones
físiques, especialment del seu honor i la seva
intimitat personal i familiar...i reconèixer i garantir
un catàleg de drets digitals (NOVETAT)

 És aplicable a les dades de caràcter personal

registrades en suport físic que les faci susceptibles de
tractament, i a qualsevol modalitat d’ús posterior
d’aquestes dades pels sectors públic i privat.
La Llei orgànica 3/2018 de protecció
de dades personals i garantia dels
drets digitals

 Objectiu: adaptar l’ordenament jurídic espanyol al

nou Reglament europeu i completar les seves
disposicions.

 El propi Reglament no és exhaustiu i habilita els Estats

membres perquè a través del dret intern regulin els
aspectes complementaris
La Llei orgànica 3/2018 de protecció
de dades personals i garantia dels
drets digitals

 Es recull expressament el deure de confidencialitat en relació

a les dades de les que es té coneixement per raons professionals

 S’estableix el principi de minimització: només es recolliran ì

tractaran les dades estrictament necessàries per a la finalitat
buscada

 Novedosa regulació de les dades de les persones mortes:

a) Atenció en primer lloc a les disposicions testamentàries del finat
b) Possibilitat dels hereus d’exercir els drets del finat
La Llei orgànica 3/2018 de protecció
de dades personals i garantia dels
drets digitals

 Es podrà donar consentiment al tractament a

partir dels 14 anys (homologació a la normativa
de la resta de països europeu)

 “Informació per capes”: es donarà la informació

bàsica, indicant una adreça de correu electrònic o
un altre mitjà per a accedir de forma senzilla i
immediata a la resta d’informació
La Llei orgànica 3/2018 de protecció
de dades personals i garantia dels
drets digitals

 Evolució del model de responsable i

encarregat del tractament: d’un model basat
en el control del compliment de la normativa
a un altre de responsabilitat activa

 Valoració prèvia del risc que pot genera el

tractament de dades de caràcter personal en
cada cas concret (per part del responsable o
l’encarregat)
La Llei orgànica 3/2018 de protecció
de dades personals i garantia dels
drets digitals

 La nova figura del Delegat de Protecció de Dades

 Pot estar integrat en l’organització o no
 Pot ser una persona física o jurídica
 No pot ser cessat tret de casos greus
 La seva designació s’ha de comunicar a l’Agència
Espanyola de Protecció de Dades, i serà l’interlocutor
amb aquesta
 Té funcions de supervisió del compliment de la
normativa i d’assessorament als responsables i
encarregats del tractament
La Llei orgànica 3/2018 de protecció
de dades personals i garantia dels
drets digitals

 L’Agència Espanyola de Protecció de Dades, referent a

nivell de la Unió Europea

 Col·laboració amb les autoritats autonòmiques

 Sistema de finestreta única en els procediments en cas de

possible vulneració de la normativa de protecció de dades

 Complementa la regulació del règim sancionador establert

pel Reglament (que és molt sever)
Garantia dels drets digitals

 Neutralitat de la xarxa (internet)

 Accés universal
 Dret a la seguretat i a l’educació
digital
 Dret d’oblit, portabilitat i
testament digital
Garantia dels drets digitals

 Dret a a la desconnexió digital en el

marc del dret a la intimitat en l’ús de
dispositius digitals en l’àmbit laboral
 Protecció dels menors a internet
 Garantia de la llibertat d’expressió
 Dret a l’aclariment d’informacions en
mitjans de comunicació digitals
Reglament europeu de
protecció de dades
 REGLAMENT (UE) 2016/679 DEL PARLAMENT EUROPEU I
DEL CONSELL de 27 d'abril de 2016 relatiu a la
protecció de les persones físiques pel que fa al
tractament de dades personals i a la lliure circulació
d'aquestes dades
 És obligatori en tots els seus elements i directament
aplicable en cada Estat membre, per la qual cosa no
hem d'esperar a cap derogació o reforma de la legislació
nacional.
 És aplicable des del 25 de maig de 2018
 Substitueix una Directiva europea de l’any 1995
Per què s’ha fet aquest
Reglament?
 Les persones cada vegada comparteixen més dades personals
(smartphones, xarxes socials, comerç electrònic, banca
telefònica,...) i les empreses disposen de més capacitat per
recollir i gestionar aquestes dades
 Tot plegat ha suposat un important canvi social que requereix una
regulació adequada
 També ha augmentat notablement els fluxos transfronterers
de dades personals com a conseqüència del funcionament del
mercat interior
 L’objectiu bàsic del reglament és donar més control als
ciutadans de la Unió Europea sobre les seves dades personals...
 ...i aconseguir un nivell uniforme de protecció en tot Europa
 ... i més claredat i seguretat jurídica per a les empreses
Principals novetats del
Reglament
 Dret a l’oblit: rectificació o supressió de dades
personals
 Necessitat de consentiment clar i afirmatiu
 Portabilitat: dret a traslladar les dades a un altre
proveïdor de serveis
 Dret a ser informat si les dades personals han estat
piratejades
 Llenguatge clar i comprensible sobre els drets
 Multes quantioses, de fins al 4% de la facturació global
de les empreses en cas d’infracció
La figura del Delegat de
Protecció de Dades
 És una figura de nova creació

 DPO en anglès

 Serà obligatori per a l'Administració Publica i per a

empreses que realitzin un tractament de dades
sistemàticament i principalment a gran escala (estudis
de solvència, mercats, riscos…) o el tractament a gran
escala de categories especials de dades personals
(dades relatives a creences religioses, preferències
polítiques, salut, sexualitat, etc…)
Funcions del Delegat de
Protecció de Dades
 Informar i assessorar al responsable o a l'encarregat del
tractament i als empleats que s'ocupin del tractament de
les obligacions a les quals es troben subjectes
 Supervisar el compliment del Reglament, d'altres
disposicions de protecció de dades de la Unió o dels Estats
membres i de les polítiques en matèria de protecció de
dades personals, inclosa l'assignació de responsabilitats, la
conscienciació i formació del personal que participa en les
operacions de tractament, i les auditories corresponents.
 Assessorament sobre l'avaluació d'impacte relativa a la
protecció de dades i supervisar la seva aplicació.
 Cooperar amb l'autoritat de control, actuant com a
interlocutor per a qüestions relatives al tractament.
L’avaluació de l’impacte

 L'autoritat de control indicarà una llista dels tipus de

tractament que requereixen una avaluació d'impacte.
 Aquesta avaluació ha de ser prèvia quan es consideri
que existeix un alt risc a causa del tipus de dades,
mitjans o finalitats pels quals es realitza el tractament.
 Ha de consultar-se a l'autoritat de control abans
d'iniciar les activitats de tractament si una avaluació
d'impacte mostra que comportaria un alt risc per als
drets i llibertats de les persones físiques, i el
responsable del tractament considera que el risc no pot
mitigar-se per mitjans raonables
Lloc d’establiment de l’encarregat
del tractament de dades

 El responsable o l'encarregat de tractament de dades de

ciutadans UE han de tenir una adreça en la UE.

 El responsable o l'encarregat del tractament no establert

en la UE que estigui tractant dades personals d'interessats
que resideixin en la UE han de designar a un representant.

 Com a excepció, no serà necessari per a un tractament

ocasional i si no inclou el tractament de dades especialment
protegides o si el responsable del tractament és una autoritat
o organisme públic.
Codis de conducta i certificacions
en matèria de protecció de dades

 Es promou la creació de mecanismes de certificació en

matèria de protecció de dades

 La certificació serà voluntària i haurà de tenir en compte

les característiques dels diferents sectors i les necessitats
específiques de les microempreses i les petites i mitges
empreses.

 Els organismes de certificació homologats expediran i

renovaran les certificacions una vegada informada
l'autoritat de control (AEPD).
Consentiment afirmatiu per al
tractament de dades personals

 Tot tractament de dades personals ha de ser lícit i lleial.

 El consentiment per al tractament de les dades personals ha
de donar-se mitjançant un acte afirmatiu clar que reflecteixi
una manifestació de voluntat lliure, específica, informada i
inequívoca de l'interessat d'acceptar el tractament de dades de
caràcter personal (declaració per escrit, una declaració
verbal, marcar una casella, escollir paràmetres tècnics per a
la utilització de serveis informàtics…)
 El silenci, les caselles ja marcades o la inacció no constitueix
consentiment.
 El consentiment ha de donar-se para totes les activitats de
tractament realitzades amb el mateix o les mateixes finalitats.
Quan el tractament tingui diverses finalitats, ha de donar-se
el consentiment per a totes elles.
Exercici de drets per part
del titular de les dades
 El principi de transparència exigeix que tota informació i comunicació
relativa al tractament de les dades personals sigui fàcilment accessible
i fàcil d'entendre.
 Han de quedar totalment clars els següents punts a l'hora de sol·licitar
o consultar informació:
a) Que s’estan recollint, utilitzant, consultant o tractant dades personals
b) La mesura en que aquestes dades seran tractades
c) La identitat del responsable del tractament
d) Conèixer les finalitats pels quals es tracten les dades personals
e) El termini de tractament
f) Els destinataris si anessin a cedir-se
g) Els drets que els assisteixen d'exercitar el dret a presentar una
reclamació davant una autoritat de control.
Dret a l’oblit

 Els interessats han de tenir dret al fet que es

rectifiquin les dades personals que li concerneixen i
un “dret a l'oblit”

 En l'entorn en online, el dret de l'oblit inclou que qui

publica dades personals està obligat a indicar als
responsables del tractament que estiguin tractant
aquestes dades personals que suprimeixin tot enllaç a
elle o les còpies o rèpliques d’aquestes dades (Per
entendre'ns, si exerceixes el teu dret a l'oblit contra
Google ha de ser Google qui indiqui a les pàgines web
(periòdics, fòrums, xarxes, etc..) que suprimeixin les
teves dades).
Limitació del termini de
conservació de les dades personals

 En relació termini de conservació de les

dades personals s'ha de garantir que es
limitin a un temps mínim estricte, el
responsable del tractament ha d'establir
terminis per a la seva supressió o revisió
periòdica.
Notificació de les violacions de la
seguretat i exposició de les dades

 Això és una novetat destacable.

 El responsable de les dades ha de notificar abans de
72 hores la violació de la seguretat de les dades
personals a l'autoritat de control competent i, en
cooperació amb l'autoritat de control o policials,
notificar el risc a l'interessat permetent-li prendre les
precaucions necessàries
 Si aquesta notificació no és possible en el termini de 72
hores, ha d'acompanyar-se d'una indicació dels motius
El Consell Europeu de Protecció de
dades i les autoritats nacionals de
control

 El reglament inclou la creació d'un Consell Europeu de

Protecció de Dades com a organisme de la Unió
Euroepa sobre aquest tema, que gaudirà de
personalitat jurídica per garantir l'aplicació coherent
del reglament. Aquest Consell estarà format pels
representants de cadascuna de les 28 autoritats de
control independents.
 Les autoritats de control han de tenir en tots els
Estats membres les mateixes funcions i poders
efectius, inclosos poders de recerca, poders correctius i
sancionadors, i poders d'autorització i consultius.
No serà necessari la inscripció de
fitxers en l’Agència de Protecció de
Dades
 Una altra novetat important és l'eliminació de
l'obligació del registre de fitxers en l'AEPD.
 S'han de substituir per procediments i mecanismes
que se centrin en els tractaments amb un alt risc per
als drets i llibertats de les persones físiques a causa
del tipus de dades o les formes de tractar-los.
 Els encarregats han de mantenir un registre de totes les
activitats i categories d'activitats de tractament.
 Aquestes obligacions no s'aplicaran a cap empresa ni
organització que empri a menys de 250 persones, tret
que el tractament que realitzi pugui comportar un risc
Recursos, responsabilitat i
sancions
 Es modifica de substancialment el règim sancionador actual.
Disposa sancions molt severes contra els responsables o
encarregats del tractament que infringeixin les normes de
protecció de dades, imposant multes administratives de fins a
20.000.000 EUR o d'una quantia equivalent al 4 % com a màxim
del volum de negoci total anual global (del grup) de l'exercici
anterior, optant-se per la de major quantia.
 Una altra novetat important és que el responsable o
l'encarregat del tractament hauran d'indemnitzar danys i
perjudicis que pugui causar com a conseqüència d'un
tractament en infracció del Reglament.
 Les sancions s'imposaran, de forma proporcional segons les
circumstàncies de cada cas i han de ser efectives,
proporcionades i dissuasòries.