Protecció de dades

Temàtiques: Legalitat
Darrera actualització: 5 juliol 2021
Temps de lectura: 5 min.

Comparteix:

Cerca..
Filtra contingut
Tipus de contingut
Actualitat
Coneixement
Plantilles
Temàtiques

El Reglament General de Protecció de Dades és una normativa que obliga a totes les associacions que treballen amb dades personals a tenir-ne una especial cura, així com a notificar-ho adequadament a cada una de les persones titulars d’aquestes dades personals. 

A continuació resumirem els principals punts de la llei, però ja us avancem que des del CRAJ us facilitem la Plantilla de Protecció de dades. Es tracta d’un model de text adaptable a cada entitat que s’ha d’adjuntar a qualsevol document que s’utilitzi per a la recollida de dades personals i que ha de ser acceptat per aquelles persones que cedeixen la seva informació personal.

Per fer compatible la major exigència d’informació que introdueix el RGPD i la concisió i comprensió en la forma de presentar-la, des de les autoritats de Protecció de Dades es recomana adoptar un model d’informació per capes o nivells, que s’ha d’incloure al canal mitjançant el qual es recullen les dades, tant si és en format paper o online:

  • Nivell bàsic: en el moment de recollir les dades personals consta el resum de la política de privacitat amb un enllaç al nivell addicional.
  • Nivell addicional: hi consta la informació addicional que completa la política de privacitat de l’entitat.

A qui afecta la normativa?

La normativa afecta tant a totes aquelles organitzacions i persones físiques com empreses, entitats socials, comunitats de veïns, organismes públics, botigues, etc. que en definitiva facin recollida i tractament de dades referents a les persones físiques. 

Les associacions, en tant que obligades a mantenir actualitzat, entre d’altres documents, un llibre de registre de persones sòcies i de voluntariat, ja estan subjectes a la Llei de protecció de dades, ja que disposen d’informació de persones físiques. 

L’Agència Espanyola de Protecció de Dades ha dissenyat una eina d’ajuda per a organitzacions que realitzin un tractament de dades personals d’escàs risc per al compliment del Reglament General de Protecció de Dades que ajuda a conèixer si la normativa afecta a l’organització en un baix grau (havent d’aplicar les directives bàsiques) o si afecta de forma intensa (havent de dissenyar una anàlisi de l’impacte, un registre d’activitats i altres documents especificats al RGPD). 

L’eina s’anomena Facilita RGPD, permet a qui la utilitza valorar la seva situació respecte del tractament de dades personals i genera diversos documents adaptats a l’organització concreta. Aquí es facilita l’enllaç a un tutorial: Tutorial Facilita RGPD.

Principi de responsabilitat proactiva

El principi de responsabilitat proactiva és un dels elements clau de la normativa. Aquest principi estableix que els i les responsables del tractament han d’aplicar mesures tècniques i organitzatives apropiades, a fi de garantir i poder demostrar que el tractament és conforme al Reglament. 

En termes pràctics, aquest principi requereix que les organitzacions analitzin quines dades tracten, amb quines finalitats ho fan i quin tipus de tractament duen a terme i millorar-ne la seva custòdia. Així mateix, s’han d’assegurar que aquestes mesures de custòdia i de tractament són les adequades i que poden demostrar-ne el compliment davant les persones que ens han cedit dades (d’ara en endavant interessades) i davant les autoritats de supervisió. En síntesi, aquest principi exigeix que les organitzacions tinguin una actitud conscient, diligent i proactiva davant de tots els tractaments de dades personals que duguin a terme.

Quina informació són dades personals?

Les dades de caràcter personal són qualsevol informació concernent a persones físiques identificades o identificables, tant les bàsiques com les especialment protegides: 

  • Dades bàsiques no sensibles: nom, cognoms, adreça postal, adreça electrònica, telèfon, DNI, compte bancari, professió, experiència, etc.
  • Dades especialment protegides sensibles: ideologia, religió i creences, orígens, salut (malalties i al·lèrgies), etc. Totes aquelles dades que puguin determinar el nivell socio-econòmic o un perfil que pugui avaluar determinats aspectes de les persones (per exemple, un informe mèdic). 

A part de les dades especialment protegides, el Reglament inclou dues noves categories especials de dades: les dades genètiques i dades biomètriques (imatges facials, dades dactiloscòpiques, etc.).

Quins són els drets que tenen les persones que cedeixen dades personals?

Dret d’accés a la informació

Mitjançant aquest dret, les persones usuàries tenen la capacitat de dirigir-se als i les responsables d’un fitxer (una empresa per exemple) i sol·licitar a aquest que informi sobre quines dades té aquesta empresa en el seu poder, des de quan, per a què s’estan utilitzant i qualsevol altra informació relativa a les dades.

Dret de rectificació

És el dret que tota persona usuària disposa per sol·licitar als i les responsables d’un fitxer que modifiqui les dades personals en la seva propietat per tal de garantir l’ús correcte de les dades.

Dret de cancel·lació

Aquest dret faculta un usuari a sol·licitar que les dades personals que constin en propietat d’una persona responsable d’un fitxer siguin eliminats permanentment, sempre que aquestes siguin inadequades o excessives (és a dir que no siguin pertinents per a la finalitat per a la qual es van recollir).

Dret d’oposició

Potser el més exercit de tots. Aquest dret permet al consumidor i/o usuari sol·licitar als i les responsables d’un fitxer que deixi de disposar les seves dades personals quan es tractin sense consentiment (adquirits de fonts accessibles al públic, per exemple) i quan aquests s’estiguin utilitzant amb fins comercials o qualsevol altre fi pel que no s’hagi consentit.

Dret a l’oblit

Els interessats tenen dret a obtenir la supressió de les dades (“dret a l’oblit”), quan:

  • Les dades ja no són necessàries per a la finalitat per a la qual es van recollir.
  • Es revoca el consentiment en el qual es basava el tractament.
  • L’interessat s’oposa al tractament.
  • Les dades s’han tractat il·lícitament.
  • Les dades s’han de suprimir per complir una obligació legal.
  • Les dades s’han obtingut en relació amb l’oferta de serveis de la societat de la informació adreçada a menors.

Quan la persona responsable ha fet públiques les dades personals i s’han de suprimir, ha d’adoptar mesures raonables per informar de la supressió als i a les responsables que estan tractant les dades.

Dret a la limitació

És un dret de la persona interessada consistent a marcar les seves dades de caràcter personal conservades, amb la finalitat de limitar-ne el tractament en el futur. 

Dret a la portabilitat de les dades

Es refereix a la cessió de les dades obtingudes en un format estructurat, d’ús comú i de lectura mecànica, a una altra persona responsable. Aquest dret s’exerceix sempre hi quan el tractament estigui basat en el consentiment de la persona interessada o mitjançant un contracte entre les parts.

Avaluació de riscos

Per aplicar la llei correctament, cal designar una persona que haurà d’assegurar que es duen a terme les accions necessàries per complir amb les obligacions de la llei. Aquesta persona se la denomina com a persona responsable de la protecció de dades. Malgrat calgui designar una persona encarregada, tothom n’ha de ser responsable del seu compliment. 

Cal ser conscient del tipus de dades que disposa l’entitat, qui en té accés, on s’emmagatzemen aquestes dades i si se’n fa tractament i amb quina finalitat. De la mateixa manera cal comptar amb un consentiment explícit de les persones que ens cedeixen les dades, a través d’una clàusula de sol·licitud de dades personals. Per últim, cal avaluar les possibles escletxes o fugues de seguretat que es podrien produir. Això vol dir avançar-se al que pugui ocórrer i preveure possibles fugues que puguin comportar la visualització pública de dades personals.

Si voleu saber amb més detall els passos a seguir per assegurar complir la llei de Protecció de Dades, amb una senzilla eina d’autoanàlisi i exemples pràctics, seguiu llegint aquest document: Avaluació de riscos: com apliquem un mètode per evitar fugues de dades (CRAJ).

Altres recursos d’interès

Si teniu dubtes o necessiteu un cop de mà, poseu-vos en contacte amb nosaltres o demaneu-nos un assessorament gratuït escrivint a info@crajbcn.cat, trucant al 93 265 52 17 o per Telegram o WhatsApp.

T'ha estat útil aquesta informació?

    POLÍTICA DE PRIVACITAT. De conformitat amb el que estableix el Reglament (UE) 2016/679, de 27 d’abril (GDPR), i la Llei Orgànica 3/2018, de 5 de desembre (LOPDGDD), t'informem de:

    El responsable de les dades facilitades lliurement és el Consell de la Joventut de Barcelona (NIF V08825804), amb seu a l’Espai Jove La Fontana, carrer Gran de Gràcia, 190-192, Barcelona, telèfon 93 265 4736 i correu electrònic cjb@cjb.cat. En nom de l'organització tractem la informació que ens facilites amb la finalitat d'oferir el servei sol·licitat. D’acord amb els convenis de gestió cívica dels diferents serveis entre el Consell de la Joventut de Barcelona i l’Ajuntament de Barcelona, aquests drets podran ser cedits total o parcialment a l’Ajuntament de Barcelona, amb el mateix objectiu d’activitat que regula el conveni de gestió. Les dades proporcionades es conservaran mentre es mantingui la relació o durant els anys necessaris per complir amb les obligacions legals. Les dades no se cediran a tercers excepte en els casos en què hi hagi una obligació legal.

    Així mateix, t’informem que pots exercir els drets d’accés, rectificació, portabilitat i supressió de les teves dades i els de limitació i oposició al seu tractament tot adreçant-te a carrer Gran de Gràcia, 190-192, 08012, Barcelona (Barcelona), escrivint al correu dades@cjb.cat o reclamant a aepd.es.

    Accepto la Política de privacitat.