La protecció de dades a l’entitat
Aquest article forma part d’una sèrie d’articles sobre obligacions legals. Consulta la resta d’articles a ‘Obligacions legals de les associacions: tot el que cal saber’ (CRAJ).
El Reglament General de Protecció de Dades (RGPD) és una normativa que obliga a totes les associacions que treballen amb dades personals a tenir-ne una especial cura, així com a notificar-ho adequadament a cada una de les persones titulars d’aquestes dades personals.
En aquest article es resumeixen els principals punts de la llei i el podeu complementar amb la Plantilla de Protecció de dades, un model de text adaptable a cada entitat que s’ha d’adjuntar a qualsevol document que s’utilitzi per a la recollida de dades personals i que ha de ser acceptat per aquelles persones que cedeixen la seva informació personal.
Si voleu conèixer els punts clau de la normativa de forma general, us ho resumim en aquest vídeo en menys d’un minut!
Índex
1. Quina informació són dades personals?
Les dades de caràcter personal són qualsevol informació concernent a persones físiques identificades o identificables, tant les bàsiques com les especialment protegides:
- Dades bàsiques no sensibles: nom, cognoms, adreça postal, adreça electrònica, telèfon, DNI, compte bancari, professió, experiència, etc.
- Dades especialment protegides sensibles: ideologia, religió i creences, orígens, salut (malalties i al·lèrgies), etc. Totes aquelles dades que puguin determinar el nivell socioeconòmic o un perfil que pugui avaluar determinats aspectes de les persones (per exemple, un informe mèdic).
A part de les dades especialment protegides, el Reglament inclou dues noves categories especials de dades: les dades genètiques i dades biomètriques (imatges facials, dades dactiloscòpiques, etc.).
2. Quins són els drets que tenen les persones que cedeixen dades personals?
2.1. Dret d’accés a la informació
Mitjançant aquest dret, les persones usuàries tenen la capacitat de dirigir-se als i les responsables d’un fitxer (una empresa per exemple) i sol·licitar a aquest que informi sobre quines dades té aquesta empresa en el seu poder, des de quan, per a què s’estan utilitzant i qualsevol altra informació relativa a les dades.
2.2. Dret de rectificació
És el dret que tota persona usuària disposa per sol·licitar als i les responsables d’un fitxer que modifiqui les dades personals en la seva propietat per tal de garantir l’ús correcte de les dades.
2.3. Dret de cancel·lació
Aquest dret faculta un usuari a sol·licitar que les dades personals que constin en propietat d’una persona responsable d’un fitxer siguin eliminats permanentment, sempre que aquestes siguin inadequades o excessives (és a dir que no siguin pertinents per a la finalitat per a la qual es van recollir).
2.4. Dret d’oposició
Potser el més exercit de tots. Aquest dret permet al consumidor i/o usuari sol·licitar als i les responsables d’un fitxer que deixi de disposar les seves dades personals quan es tractin sense consentiment (adquirits de fonts accessibles al públic, per exemple) i quan aquests s’estiguin utilitzant amb fins comercials o qualsevol altre fi pel qual no s’hagi consentit.
2.5. Dret a l’oblit
Els interessats tenen dret a obtenir la supressió de les dades (“dret a l’oblit”), quan:
- Les dades ja no són necessàries per a la finalitat per a la qual es van recollir.
- Es revoca el consentiment en el qual es basava el tractament.
- L’interessat s’oposa al tractament.
- Les dades s’han tractat il·lícitament.
- Les dades s’han de suprimir per complir una obligació legal.
- Les dades s’han obtingut en relació amb l’oferta de serveis de la societat de la informació adreçada a menors.
Quan la persona responsable ha fet públiques les dades personals i s’han de suprimir, ha d’adoptar mesures raonables per informar de la supressió als i a les responsables que estan tractant les dades.
2.6. Dret a la limitació
És un dret de la persona interessada consistent a marcar les seves dades de caràcter personal conservades, amb la finalitat de limitar-ne el tractament en el futur.
2.7. Dret a la portabilitat de les dades
Es refereix a la cessió de les dades obtingudes en un format estructurat, d’ús comú i de lectura mecànica, a una altra persona responsable. Aquest dret s’exerceix sempre que el tractament estigui basat en el consentiment de la persona interessada o mitjançant un contracte entre les parts.
3. A qui afecta la normativa?
La normativa afecta tant a totes aquelles organitzacions i persones físiques com a empreses, entitats socials, comunitats de veïns, organismes públics, botigues, etc. que en definitiva facin recollida i tractament de dades referents a les persones físiques.
Les associacions, com han de disposar d’un llibre de registre de persones sòcies i de voluntariat, també estan subjectes a la Llei de protecció de dades, ja que disposen d’informació de persones físiques.
L’Agència Espanyola de Protecció de Dades ha dissenyat una eina d’ajuda per a organitzacions que realitzin un tractament de dades personals d’escàs risc per al compliment del Reglament General de Protecció de Dades que ajuda a conèixer si la normativa afecta l’organització en un baix grau (havent d’aplicar les directives bàsiques) o si afecta de forma intensa (havent de dissenyar una anàlisi de l’impacte, un registre d’activitats i altres documents especificats al RGPD).
L’eina s’anomena Facilita RGPD; permet a qui la utilitza valorar la seva situació respecte del tractament de dades personals i genera diversos documents adaptats a l’organització concreta. També hi ha disponible un tutorial per usar-la.
4. Principi de responsabilitat proactiva
El principi de responsabilitat proactiva és un dels elements clau de la normativa. Aquest principi estableix que els i les responsables del tractament han d’aplicar mesures tècniques i organitzatives apropiades, a fi de garantir i poder demostrar que el tractament és conforme al Reglament.
En termes pràctics, aquest principi requereix que les organitzacions analitzin quines dades tracten, amb quines finalitats ho fan i quin tipus de tractament duen a terme i millorar-ne la seva custòdia.
Així mateix, s’han d’assegurar que aquestes mesures de custòdia i de tractament són les adequades i que poden demostrar-ne el compliment davant les persones que ens han cedit dades i davant les autoritats de supervisió. En síntesi, aquest principi exigeix que les organitzacions tinguin una actitud conscient, diligent i proactiva davant de tots els tractaments de dades personals que duguin a terme.
5. Aplicació: informació per capes
El compliment del RGPD implica que l’entitat tingui una política de protecció de dades on s’informi sobre quin ús i tractament de dades personals fa l’organització. La política de protecció de dades, doncs, és el conjunt de directrius pel qual es regeix l’entitat pel que fa al tractament de dades personals. Aquesta s’ha d’incloure obligatòriament en el mitjà pel qual es recullen les dades, tant si és en format paper o en línia.
Per complir amb les exigències del RGPD i que aquesta informació sigui clara per als usuaris, des de les autoritats de Protecció de Dades es recomana presentar la informació de la política de protecció de dades per capes o nivells.
5.1. Informació bàsica (primera capa)
La informació bàsica és la informació que ha de constar en el camp de visió del document o formulari que s’està omplint, acompanyant l’espai de validació de la persona signant. Si no fos possible per restriccions de disseny, s’ha d’incorporar una nota en el camp de visió informant on es pot trobar la clàusula; però sempre en el mateix document o mitjà.
Està formada per un resum clar i comprensible de la política de protecció de dades i sempre ha de citar on es pot trobar la informació addicional. Es pot fer en format text, si l’espai ho requereix, però es recomana el format taula; ja que és més fàcilment comprensible.
| Informació bàsica sobre Protecció de Dades | |
|---|---|
| Persona responsable | Associació XXX |
| Finalitat | Facilitar la gestió dels serveis i activitats que s’ofereixen des de l’entitat amb l’objectiu de respondre a les necessitats de les persones sòcies interessades. |
| Legitimació | Consentiment de l’interessat o per existència d’un contracte mercantil. |
| Destinatàries | No se cediran dades a tercers excepte en casos on hi hagi obligació legal. |
| Drets | Tens dret a accedir, rectificar i suprimir les teves dades, així com altres drets que s’expliquen en la informació addicional. Pots consultar el detall de la política de protecció de dades a www.enllaçweb.cat |
| Informació addicional | Pots consultar el detall de la política de protecció de dades a www.enllaçweb.cat |
*Podeu consultar com aplicar la política de protecció de dades completa a la nostra plantilla.
5.2. Informació addicional (segona capa)
És aquella informació que completa tots els detalls de la política de protecció de dades. Ha d’incloure també la informació bàsica i ampliar-la; no és excloent.
El lloc on mostrar aquesta informació és més flexible. Pot ser en el mateix document o formulari en el revers, en un annex, en un cartell físic clarament visible, en una web específica, etc.
La informació cal que sigui clara, concisa i comprensible, i per això es recomana una estructura lògica que segueixi els diferents epígrafs. Si es vol, es pot ampliar la informació de la segona capa afegint altres dades de transparència no exigides per la llei, com bones pràctiques o mesures addicionals.
| Epígraf | Informació addicional (2a capa/nivell addicional) |
|---|---|
| Responsable | Dades de contacte Associació XXX NIF: GXXXXXXXX Adreça: Carrer XXX núm. XX, CP 0XXXX, Ciutat XXXXXX Telèfon: XXX XXX XXX Correu electrònic: dades@associacio.orgIdentitat i dades de contacte de la persona responsable Nom i cognoms de la persona física Dades de contacte del Delegat de Protecció de Dades (en el cas que s’exigeixi la seva existència) |
| Finalitat | Descripció ampliada de la finalitat del tractament Exemple: Incorporació en un fitxer per a gestionar les formacions ofertes, prestacions de servei i assessoraments.Terminis o criteris de conservació de les dades Exemple: Les dades personals proporcionades es conservaran (mentre es mantingui la relació o no se sol·liciti la seva supressió per la persona interessada durant un termini de X anys a partir de l’última confirmació d’interès). |
| Legitimació | Detall de la base jurídica del tractament, en els casos d’obligació legal, interès públic o interès legítim. Exemple: La base legal per al tractament de les seves dades és pel consentiment de l’interessat o per existència d’un contracte mercantil. S’informarà l’interessat que la finalitat principal no està supeditada al consentiment de les dades que no siguin necessàries per a aquesta finalitat principal, ja que en cas contrari el consentiment no tindria la consideració d’atorgat lliurement. |
| Destinatàries | Destinataris i previsió de cessions: Exemple: No se cediran dades a tercersPrevisió de transferències, o no, a tercers països Exemple: No es realitzarà transferència de dades a tercers països. |
| Drets | Com exercir els drets Exemple: Té dret d’accés, rectificació, supressió i portabilitat de les seves dades, i la limitació o oposició al seu tractament, així com dret a retirar el consentiment prestat, i dret a reclamar davant l’Autoritat de control. |
| Procedència | Informació detallada de l’origen de les dades, fins i tot si procedeixen de fonts d’accés públic Exemple: De la persona interessada a través de: – formulari web (google drive) – formulari (gmail)Categories de dades Dades no sensibles Dades d’identificació Direccions postals o electròniques Dades sensibles Dades mèdiques d’al·lèrgies Certificats de delictes sexuals |
*Podeu consultar com aplicar la política de protecció de dades completa a la nostra plantilla.
6. Avaluació de riscos
Per aplicar la llei correctament, cal designar una persona que haurà d’assegurar que es duen a terme les accions necessàries per complir amb les obligacions de la llei. Aquesta persona se la denomina com a persona responsable de la protecció de dades. Malgrat que calgui designar una persona encarregada, tothom n’ha de ser responsable del seu compliment.
Cal ser conscient del tipus de dades de què disposa l’entitat, qui en té accés, on s’emmagatzemen aquestes dades i si se’n fa tractament i amb quina finalitat. De la mateixa manera cal comptar amb un consentiment explícit de les persones que ens cedeixen les dades, a través d’una clàusula de sol·licitud de dades personals. Per últim, cal avaluar les possibles escletxes o fugues de seguretat que es podrien produir. Això vol dir avançar-se al que pugui ocórrer i preveure possibles fugues que puguin comportar la visualització pública de dades personals.
Si voleu conèixer amb més detall els passos a seguir per assegurar complir la llei de Protecció de Dades, amb una senzilla eina d’autoanàlisi i exemples pràctics, consulteu el següent document:
7. Altres recursos d’interès
- Guia para el cumplimiento del deber de informar (Agències Espanyola, Catalana i Basca de protecció de dades)
- Principals novetats del RGPD (Autoritat Catalana de Protecció de Dades)
- Les 10 claus sobre el nou Reglament de Protecció de Dades (I) (Xarxanet)
- Les 10 claus sobre el nou Reglament de Protecció de Dades (II) (Xarxanet)
- La Llei de Protecció de Dades: què cal tenir en compte? (Torre Jussana)
- Llei de protecció de dades (Federació d’Ateneus de Catalunya)
- Guia per protegir les nostres dades a internet (Xarxanet)
- Nou decàleg sobre protecció de dades (Xarxanet)
- Normativa de protecció de dades: principals qüestions a tenir en compte (Xarxanet)
Si teniu dubtes o necessiteu un cop de mà, poseu-vos en contacte amb nosaltres o demaneu-nos un assessorament gratuït escrivint a info@crajbcn.cat, trucant al 93 265 52 17 o per Telegram o WhatsApp.
