La protecció de dades a l’entitat

Temàtiques: Legalitat
Darrera actualització: 29 setembre 2022
Temps de lectura: 8 min.

Comparteix:

Cerca..
Filtra contingut
Tipus de contingut
Actualitat
Coneixement
Plantilles
Temàtiques

Aquest article forma part d’una sèrie d’articles sobre obligacions legals. Consulta la resta d’articles a ‘Obligacions legals de les associacions: tot el que cal saber’ (CRAJ). 

El Reglament General de Protecció de Dades (RGPD) és una normativa que obliga a totes les associacions que treballen amb dades personals a tenir-ne una especial cura, així com a notificar-ho adequadament a cada una de les persones titulars d’aquestes dades personals. 

En aquest article es resumeixen els principals punts de la llei i el podeu complementar amb la Plantilla de Protecció de dades, un model de text adaptable a cada entitat que s’ha d’adjuntar a qualsevol document que s’utilitzi per a la recollida de dades personals i que ha de ser acceptat per aquelles persones que cedeixen la seva informació personal.

1. Quina informació són dades personals?

Les dades de caràcter personal són qualsevol informació concernent a persones físiques identificades o identificables, tant les bàsiques com les especialment protegides: 

  • Dades bàsiques no sensibles: nom, cognoms, adreça postal, adreça electrònica, telèfon, DNI, compte bancari, professió, experiència, etc.
  • Dades especialment protegides sensibles: ideologia, religió i creences, orígens, salut (malalties i al·lèrgies), etc. Totes aquelles dades que puguin determinar el nivell socioeconòmic o un perfil que pugui avaluar determinats aspectes de les persones (per exemple, un informe mèdic). 

A part de les dades especialment protegides, el Reglament inclou dues noves categories especials de dades: les dades genètiques i dades biomètriques (imatges facials, dades dactiloscòpiques, etc.).

2. Quins són els drets que tenen les persones que cedeixen dades personals?

2.1. Dret d’accés a la informació

Mitjançant aquest dret, les persones usuàries tenen la capacitat de dirigir-se als i les responsables d’un fitxer (una empresa per exemple) i sol·licitar a aquest que informi sobre quines dades té aquesta empresa en el seu poder, des de quan, per a què s’estan utilitzant i qualsevol altra informació relativa a les dades.

2.2. Dret de rectificació

És el dret que tota persona usuària disposa per sol·licitar als i les responsables d’un fitxer que modifiqui les dades personals en la seva propietat per tal de garantir l’ús correcte de les dades.

2.3. Dret de cancel·lació

Aquest dret faculta un usuari a sol·licitar que les dades personals que constin en propietat d’una persona responsable d’un fitxer siguin eliminats permanentment, sempre que aquestes siguin inadequades o excessives (és a dir que no siguin pertinents per a la finalitat per a la qual es van recollir).

2.4. Dret d’oposició

Potser el més exercit de tots. Aquest dret permet al consumidor i/o usuari sol·licitar als i les responsables d’un fitxer que deixi de disposar les seves dades personals quan es tractin sense consentiment (adquirits de fonts accessibles al públic, per exemple) i quan aquests s’estiguin utilitzant amb fins comercials o qualsevol altre fi pel qual no s’hagi consentit.

2.5. Dret a l’oblit

Els interessats tenen dret a obtenir la supressió de les dades (“dret a l’oblit”), quan:

  • Les dades ja no són necessàries per a la finalitat per a la qual es van recollir.
  • Es revoca el consentiment en el qual es basava el tractament.
  • L’interessat s’oposa al tractament.
  • Les dades s’han tractat il·lícitament.
  • Les dades s’han de suprimir per complir una obligació legal.
  • Les dades s’han obtingut en relació amb l’oferta de serveis de la societat de la informació adreçada a menors.

Quan la persona responsable ha fet públiques les dades personals i s’han de suprimir, ha d’adoptar mesures raonables per informar de la supressió als i a les responsables que estan tractant les dades.

2.6. Dret a la limitació

És un dret de la persona interessada consistent a marcar les seves dades de caràcter personal conservades, amb la finalitat de limitar-ne el tractament en el futur. 

2.7. Dret a la portabilitat de les dades

Es refereix a la cessió de les dades obtingudes en un format estructurat, d’ús comú i de lectura mecànica, a una altra persona responsable. Aquest dret s’exerceix sempre que el tractament estigui basat en el consentiment de la persona interessada o mitjançant un contracte entre les parts.

3. A qui afecta la normativa?

La normativa afecta tant a totes aquelles organitzacions i persones físiques com a empreses, entitats socials, comunitats de veïns, organismes públics, botigues, etc. que en definitiva facin recollida i tractament de dades referents a les persones físiques. 

Les associacions, com han de disposar d’un llibre de registre de persones sòcies i de voluntariat, també estan subjectes a la Llei de protecció de dades, ja que disposen d’informació de persones físiques. 

L’Agència Espanyola de Protecció de Dades ha dissenyat una eina d’ajuda per a organitzacions que realitzin un tractament de dades personals d’escàs risc per al compliment del Reglament General de Protecció de Dades que ajuda a conèixer si la normativa afecta l’organització en un baix grau (havent d’aplicar les directives bàsiques) o si afecta de forma intensa (havent de dissenyar una anàlisi de l’impacte, un registre d’activitats i altres documents especificats al RGPD). 

L’eina s’anomena Facilita RGPD; permet a qui la utilitza valorar la seva situació respecte del tractament de dades personals i genera diversos documents adaptats a l’organització concreta. També hi ha disponible un tutorial per usar-la.

4. Principi de responsabilitat proactiva

El principi de responsabilitat proactiva és un dels elements clau de la normativa. Aquest principi estableix que els i les responsables del tractament han d’aplicar mesures tècniques i organitzatives apropiades, a fi de garantir i poder demostrar que el tractament és conforme al Reglament. 

En termes pràctics, aquest principi requereix que les organitzacions analitzin quines dades tracten, amb quines finalitats ho fan i quin tipus de tractament duen a terme i millorar-ne la seva custòdia. 

Així mateix, s’han d’assegurar que aquestes mesures de custòdia i de tractament són les adequades i que poden demostrar-ne el compliment davant les persones que ens han cedit dades i davant les autoritats de supervisió. En síntesi, aquest principi exigeix que les organitzacions tinguin una actitud conscient, diligent i proactiva davant de tots els tractaments de dades personals que duguin a terme.

5. Aplicació: informació per capes

El compliment del RGPD implica que l’entitat tingui una política de protecció de dades on s’informi sobre quin ús i tractament de dades personals fa l’organització. La política de protecció de dades, doncs, és el conjunt de directrius pel qual es regeix l’entitat pel que fa al tractament de dades personals. Aquesta s’ha d’incloure obligatòriament en el mitjà pel qual es recullen les dades, tant si és en format paper o en línia. 

Per complir amb les exigències del RGPD i que aquesta informació sigui clara per als usuaris, des de les autoritats de Protecció de Dades es recomana presentar la informació de la política de protecció de dades per capes o nivells.

5.1. Informació bàsica (primera capa)

La informació bàsica és la informació que ha de constar en el camp de visió del document o formulari que s’està omplint, acompanyant l’espai de validació de la persona signant. Si no fos possible per restriccions de disseny, s’ha d’incorporar una nota en el camp de visió informant on es pot trobar la clàusula; però sempre en el mateix document o mitjà. 

Està formada per un resum clar i comprensible de la política de protecció de dades i sempre ha de citar on es pot trobar la informació addicional. Es pot fer en format text, si l’espai ho requereix, però es recomana el format taula; ja que és més fàcilment comprensible.

Informació bàsica sobre Protecció de Dades
Persona responsable Associació XXX
Finalitat Facilitar la gestió dels serveis i activitats que s’ofereixen des de l’entitat amb l’objectiu de respondre a les necessitats de les persones sòcies interessades.
Legitimació Consentiment de l’interessat o per existència d’un contracte mercantil.
Destinatàries No se cediran dades a tercers excepte en casos on hi hagi obligació legal.
Drets Tens dret a accedir, rectificar i suprimir les teves dades, així com altres drets que s’expliquen en la informació addicional. Pots consultar el detall de la política de protecció de dades a www.enllaçweb.cat
Informació addicional Pots consultar el detall de la política de protecció de dades a www.enllaçweb.cat

*Podeu consultar com aplicar la política de protecció de dades completa a la nostra plantilla.

5.2. Informació addicional (segona capa)

És aquella informació que completa tots els detalls de la política de protecció de dades. Ha d’incloure també la informació bàsica i ampliar-la; no és excloent.

El lloc on mostrar aquesta informació és més flexible. Pot ser en el mateix document o formulari en el revers, en un annex, en un cartell físic clarament visible, en una web específica, etc.

La informació cal que sigui clara, concisa i comprensible, i per això es recomana una estructura lògica que segueixi els diferents epígrafs. Si es vol, es pot ampliar la informació de la segona capa afegint altres dades de transparència no exigides per la llei, com bones pràctiques o mesures addicionals.

Epígraf Informació addicional (2a capa/nivell addicional)
Responsable Dades de contacte
Associació XXX
NIF: GXXXXXXXX
Adreça: Carrer XXX núm. XX, CP 0XXXX, Ciutat XXXXXX
Telèfon: XXX XXX XXX
Correu electrònic: dades@associacio.orgIdentitat i dades de contacte de la persona responsable
Nom i cognoms de la persona física
Dades de contacte del Delegat de Protecció de Dades (en el cas que s’exigeixi la seva existència)
Finalitat Descripció ampliada de la finalitat del tractament
Exemple: Incorporació en un fitxer per a gestionar les formacions ofertes, prestacions de servei i assessoraments.Terminis o criteris de conservació de les dades
Exemple: Les dades personals proporcionades es conservaran (mentre es mantingui la relació o no se sol·liciti la seva supressió per la persona interessada durant un termini de X anys a partir de l’última confirmació d’interès).
Legitimació Detall de la base jurídica del tractament, en els casos d’obligació legal, interès públic o interès legítim.
Exemple: La base legal per al tractament de les seves dades és pel consentiment de l’interessat o per existència d’un contracte mercantil. S’informarà l’interessat que la finalitat principal no està supeditada al consentiment de les dades que no siguin necessàries per a aquesta finalitat principal, ja que en cas contrari el consentiment no tindria la consideració d’atorgat lliurement.
Destinatàries Destinataris i previsió de cessions:
Exemple: No se cediran dades a tercersPrevisió de transferències, o no, a tercers països
Exemple: No es realitzarà transferència de dades a tercers països.
Drets Com exercir els drets
Exemple: Té dret d’accés, rectificació, supressió i portabilitat de les seves dades, i la limitació o oposició al seu tractament, així com dret a retirar el consentiment prestat, i dret a reclamar davant l’Autoritat de control.
Procedència Informació detallada de l’origen de les dades, fins i tot si procedeixen de fonts d’accés públic
Exemple: De la persona interessada a través de:
– formulari web (google drive)
– formulari (gmail)
Categories de dades
Dades no sensibles
Dades d’identificació
Direccions postals o electròniques
Dades sensibles
Dades mèdiques d’al·lèrgies
Certificats de delictes sexuals

*Podeu consultar com aplicar la política de protecció de dades completa a la nostra plantilla.

6. Avaluació de riscos

Per aplicar la llei correctament, cal designar una persona que haurà d’assegurar que es duen a terme les accions necessàries per complir amb les obligacions de la llei. Aquesta persona se la denomina com a persona responsable de la protecció de dades. Malgrat que calgui designar una persona encarregada, tothom n’ha de ser responsable del seu compliment. 

Cal ser conscient del tipus de dades de què disposa l’entitat, qui en té accés, on s’emmagatzemen aquestes dades i si se’n fa tractament i amb quina finalitat. De la mateixa manera cal comptar amb un consentiment explícit de les persones que ens cedeixen les dades, a través d’una clàusula de sol·licitud de dades personals. Per últim, cal avaluar les possibles escletxes o fugues de seguretat que es podrien produir. Això vol dir avançar-se al que pugui ocórrer i preveure possibles fugues que puguin comportar la visualització pública de dades personals.

Si voleu conèixer amb més detall els passos a seguir per assegurar complir la llei de Protecció de Dades, amb una senzilla eina d’autoanàlisi i exemples pràctics, consulteu el següent document:

7. Altres recursos d’interès

Si teniu dubtes o necessiteu un cop de mà, poseu-vos en contacte amb nosaltres o demaneu-nos un assessorament gratuït escrivint a info@crajbcn.cat, trucant al 93 265 52 17 o per Telegram o WhatsApp.

T'ha estat útil aquesta informació?

    POLÍTICA DE PRIVACITAT. De conformitat amb el que estableix el Reglament (UE) 2016/679, de 27 d’abril (GDPR), i la Llei Orgànica 3/2018, de 5 de desembre (LOPDGDD), t'informem de:

    El responsable de les dades facilitades lliurement és el Consell de la Joventut de Barcelona (NIF V08825804), amb seu a l’Espai Jove La Fontana, carrer Gran de Gràcia, 190-192, Barcelona, telèfon 93 265 4736 i correu electrònic cjb@cjb.cat. En nom de l'organització tractem la informació que ens facilites amb la finalitat d'oferir el servei sol·licitat. D’acord amb els convenis de gestió cívica dels diferents serveis entre el Consell de la Joventut de Barcelona i l’Ajuntament de Barcelona, aquests drets podran ser cedits total o parcialment a l’Ajuntament de Barcelona, amb el mateix objectiu d’activitat que regula el conveni de gestió. Les dades proporcionades es conservaran mentre es mantingui la relació o durant els anys necessaris per complir amb les obligacions legals. Les dades no se cediran a tercers excepte en els casos en què hi hagi una obligació legal.

    Així mateix, t’informem que pots exercir els drets d’accés, rectificació, portabilitat i supressió de les teves dades i els de limitació i oposició al seu tractament tot adreçant-te a carrer Gran de Gràcia, 190-192, 08012, Barcelona (Barcelona), escrivint al correu dades@cjb.cat o reclamant a aepd.es.

    Accepto la Política de privacitat.