[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades

Autoritat Catalana de Protecció de Dades

© Autoritat Catalana de Protecció de Dades. Generalitat de Catalunya


La protecció de les dades personals en l’àmbit de les associacions Espai Jove la Fontana 18 de novembre de 2010

Eulàlia Márquez RocaAuditora



Introducció

● El tractament de dades personals és una constant en la vida diària de les persones.

● Qualsevol activitat comporta un tractament de dades de caràcter personal:

▪ Dades identificatives, laborals, econòmiques, de salut...

● La informació personal no pertany a qui la gestiona sinó al titular de les dades.

● Aplicació transversal de la normativa de protecció de dades



Què és el dret a la protecció de dades?


Autoritat Catalana de Protecció de DadesQuè és el dret a la protecció de dades

● És un dret fonamental desconegut.

● És el dret a controlar què es fa amb les nostres dades. A saber qui té informació sobre nosaltres, quina informació té, d’on l’ha obtingut, per a quina finalitat té les dades i a qui es faciliten.

● Implica un poder de disposició sobre les dades personals, un control per part de la persona de tota la informació que es refereix a la seva vida.

● El dret només és eficaç si la persona pot controlar la utilització de totes i cadascuna de les informacions que es refereixen a ella.



Normativa reguladora


Autoritat Catalana de Protecció de DadesRegulació estatal

● El dret deriva de l’art. 18.4 de la CE: “La Llei limitarà l’ús de la informàtica per tal de garantir l’honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets”.

● STC 292/2000: declara el dret fonamental a la protecció de dades personals com la potestat de control de la persona respecte de les seves dades de caràcter personal, i com un dret autònom, independent del dret a la intimitat.

● Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD).

● Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la LOPD (RLOPD).


Autoritat Catalana de Protecció de DadesRegulació a Catalunya

● Dret reconegut en l’art. 31 de l’Estatut d’Autonomia de Catalunya (EAC).

● Art. 156 EAC: àmbit competencial de l’Autoritat Catalana de Protecció de Dades (APDCAT).

● Llei 32/2010, de l’1 d’octubre, de l’Autoritat Catalana de Protecció de Dades.

● Decret 48/2003, de 20 de febrer, pel qual s’aprova l’Estatut de l’Agència Catalana de Protecció de Dades.

Podeu trobar aquesta normativa: www.apd.cat → Documentació → Normativa


Autoritat Catalana de Protecció de DadesRegulació sobre videovigilància

● Instrucció 1/2006, de 8 de novembre, de l’Agència Espanyola de Protecció de Dades, sobre el tractament de dades personals amb finalitats de videovigilància a través de sistemes de càmeres o videocàmeres.

Podeu trobar aquesta normativa:

www.agpd.es → Responsable de ficheros → Videovigilancia

A més:

▪ Model de cartell informatiu

▪ Model de clàusula informativa

Per a més informació: www.agpd.es → Documentación → Publicaciones → Guías → Guía de videovigilancia



Alguns conceptes


Autoritat Catalana de Protecció de DadesAlguns conceptes

● Dada personal: qualsevol informació que identifica o permet identificar una persona física (nom, cognoms, DNI, adreça postal, e-mail, telèfon, imatge, veu, número de compte bancari...).

● Dada personal sensible o especialment protegida:

ideologia, afiliació sindical, religió, creences, origen racial o ètnic, salut i vida sexual.

● Fitxer: conjunt organitzat de dades personals, ja sigui automatitzat, en suport paper o parcialment automatitzat.

● Tractament: la recollida, gravació, conservació, elaboració, modificació, bloqueig i cancel·lació de dades personals i les cessions de dades que resulten de comunicacions, consultes, interconnexions i transferències.



● Responsable del fitxer: persona física o jurídica que decideix sobre la finalitat, el contingut i l’ús del tractament de les dades personals que conté el fitxer.

● Encarregat del Tractament: persona física o jurídica que tracta dades personals per compte del responsable del fitxer.

● Afectat o interessat: persona física titular de les dades que es tracten.

● Consentiment: qualsevol manifestació de la voluntat , lliure, inequívoca, específica i informada, mitjançant la qual l’interessat consenti el tractament de les seves dades personals.



● Cessió o comunicació de dades: qualsevol revelació de dades efectuada a una persona diferent de l’interessat.

● Font d’accés públic: fitxers que poden ser consultats per qualsevol persona sense que ho impedeixi una norma o sense més exigència que, en el seu cas, l’abonament d’una contraprestació.

Per exemple: els repertoris telefònics, les guies de professionals, els diaris i butlletins oficials, i els mitjans de comunicació.



Requisits per tractar dades personals

Drets i obligacions


Autoritat Catalana de Protecció de DadesPlantejament previ a l’inici de qualsevol tractament

● Identificar els diversos tractaments de dades que es fan per poder determinar els fitxers i definir els procediments.

● Identificar els punts d’entrada de dades: formularis, contractes, via telefònica, Internet,...

● Identificar els circuits interns de la informació i els sistemes de tractament: manual, automatitzat o parcialment automatitzat.

● Identificar les sortides de dades:cessions, transferències internacionals, encarregat del tractament...

● Establir els procediments per garantir el compliment del que disposa la normativa de protecció de dades.


Autoritat Catalana de Protecció de DadesRequisits per al tractament de dades personals

● Respectar els principis de la protecció de dades: qualitat de les dades.

● Abans d’iniciar qualsevol tractament de dades personals s’ha d’inscriure el fitxer que conté les dades que es volen tractar en el registre de protecció de dades. La inscripció s’ha de mantenir actualitzada.

● Acomplir amb el deure d’informar als titulars de les dades que es tracten: Dret d’informació.

● Obtenir el consentiment del titular de les dades per tractar-les i per comunicar-les.



● Atorgar i atendre els drets ARCO: drets d’accés, rectificació, cancel·lació i oposició. Permeten a les persones tenir un control sobre les seves dades personals.

● Adoptar les mesures de seguretat necessàries per evitar l’alteració, la pèrdua, el tractament o l’accés no autoritzat a les dades personals.

● Acomplir amb el deure de secret.

● Realitzar les comunicacions/cessions de dades personals de conformitat amb el que disposa la Llei.



● Regular la relació amb l’encarregat del tractament, si és el cas: si les dades personals són tractades per un tercer per a prestar un servei al responsable del fitxer, aquest ha de vetllar perquè aquell acompleixi amb la normativa de protecció de dades.

● En el cas de realitzar transferències internacionals de dades personals a països que no tenen un nivell de protecció equiparable a la LOPD, s’ha de sol·licitar autorització al director/a de l’Agència de Protecció de Dades.

Per a més informació us podeu adreçar a:

www.agpd.es → Responsable de ficheros → Transferencias internacionales.



Els principis de la protecció de dades


Autoritat Catalana de Protecció de DadesRespectar els principis de qualitat de les dades

● Principi de proporcionalitat: recollir només les dades necessàries per a la finalitat que es pretén.

● Principi de finalitat: tractar les dades amb la finalitat per a la qual han estat recollides i no utilitzar-les per a finalitats diferents.

● Principi d’exactitud: les dades han de ser exactes i actuals, sinó s’han de rectificar o cancel·lar. Si s’havien cedit abans, cal comunicar la rectificació o la cancel·lació al cessionari.

● Principi de conservació: les dades s’han de conservar durant el temps necessari per a la finalitat per a la qual s’han recollit i durant el temps en què es puguin derivar responsabilitats pel tractament efectuat. Han d’estar a disposició de les administracions públiques i dels tribunals.



Inscripció del fitxer al registre


Autoritat Catalana de Protecció de DadesInscriure el fitxer o fitxers al registre

● Inscriure la creació de fitxers:

Abans d’iniciar qualsevol tractament de dades personals, s’ha de notificar el fitxer al registre de protecció de dades, sol·licitar la seva inscripció, i obtenir la inscripció (codi).

● Inscriure la modificació o supressió de fitxers:

La inscripció d’un fitxer en el registre s’ha de mantenir actualitzada. Quan es produeixin canvis respecte de la inscripció inicial, s’ha de fer la modificació al registre. Si se cessa en l’ús del fitxer, s’ha de suprimir. Per tant, la modificació o la supressió del fitxer s’ha de notificar i inscriure al registre.


Autoritat Catalana de Protecció de DadesInscriure el fitxer o fitxers al registre

● Procediment d’inscripció: si el responsable del fitxer es troba dins l’àmbit d’actuació de l’Agència Espanyola de Protecció de Dades (AEPD), ha de notificar i sol·licitar la inscripció dels fitxers al Registre General de Protecció de Dades. La inscripció és gratuïta i es pot fer en línia, a través de la pàgina web:

www.agpd.es → Responsable de ficheros → Inscripción de ficheros → Obtención del formulario NOTA → Formulario NOTA de titularidad privada → Alta → Tipo →

▪ Formulario en papel ▪ Internet ▪ Internet con certificado digital

www.agpd.es → Notificaciones Telemáticas a la AEPD

Per informació sobre la tramitació: 901100099 / 912663517



Dret

d’informació


Autoritat Catalana de Protecció de DadesAcomplir amb el Dret d’informació

● És el dret de les persones a saber en tot moment que es fa amb les seves dades i així poder-les controlar.

● En el moment de la recollida de les dades s’ha d’informar la persona sobre: Art. 5 LOPD

▪ Existència del fitxer o tractament. ▪ Finalitat de la recollida. ▪ Destinataris de la informació. ▪ Possibilitat d’exercir els drets ARCO. ▪ Identitat i adreça del responsable del fitxer. ▪ Obligació o no de respondre. ▪ Conseqüències de donar les dades i de no donar-les.

● Quan les dades es recullen en formularis aquesta informació s’ha de fer constar.


Autoritat Catalana de Protecció de DadesAcomplir amb el Dret d’informació

● Model de clàusula informativa:

D’acord amb l’article 5 de la LOPD us informem que les vostres dades s’inclouen en el fitxer “(nom del fitxer)”, el responsable del qual és (nom de l’empresa o professional). Les vostres dades seran tractades amb l’única finalitat de (definir la finalitat). En qualsevol cas, podeu exercir els vostres drets d’accés, rectificació, cancel·lació i oposició mitjançant una comunicació escrita, a la qual heu d’adjuntar una fotocòpia del DNI, adreçada a (adreça postal de l’empresa o professional).

● El responsable del fitxer ha de provar que ha complert amb el deure d’informar.



Obtenir el consentiment


Autoritat Catalana de Protecció de DadesObtenir el consentiment del titular de les dades

● Regla general: Per tractar dades personals, i per comunicar-les, cal el consentiment de la persona interessada o una habilitació legal.

Podem trobar habilitacions legals:

- A la pròpia LOPD: art. 6, 7, 11, 21, 22... - En lleis sectorials.

Si es volen utilitzar les dades per a una finalitat diferent a la qual es van recollir, cal demanar el consentiment per a poder- ho fer.



● Tipus de consentiment que es requereix segons les dades a tractar:

A) Si es tracten dades sensibles o especialment protegides: ▪ Sobre ideologia, afiliació sindical, religió i creences: exprés i per escrit.

▪ Sobre origen racial o ètnic, salut i vida sexual: exprés.

B) Si es tracten dades que no tenen la consideració de

sensibles o especialment protegides: inequívoc.

● Al responsable del fitxer li correspon provar que disposa del consentiment.



● Forma d’obtenir el consentiment: ▪ La sol·licitud ha de fer referència a un tractament concret, i ha de determinar la finalitat i les condicions. En els casos de cessió, a més, cal fer referència al tipus d’activitat del tercer. En cas contrari, el consentiment és nul. ▪ Si la llei no exigeix un consentiment exprés es pot donar un termini de 30 dies perquè l’interessat es pugui oposar al tractament i advertir-lo que si no diu res s’entén que hi consent. Si hi ha constància que la comunicació s’ha retornat, no es pot fer el tractament. No es pot sol·licitar d’aquesta manera i sobre els mateixos tractaments i finalitats en intervals inferiors a un any.



● Forma de revocar el consentiment:

▪ El consentiment és revocable en qualsevol moment i no té efectes retroactius. ▪ Comunicar la revocació als cessionaris, en el termini de 10 dies.

● Per obtenir o per revocar el consentiment:

▪ S’ha de facilitar un mitjà senzill i gratuït. Per exemple, un enviament prefranquejat, una trucada a un número de telèfon gratuït, a través dels serveis d’atenció al públic... No es pot exigir: enviament de cartes certificades, trucades a telèfons amb tarificació addicional, ni mitjans que impliquin costos addicionals.



Drets d’accés, rectificació,

cancel·lació i oposició

“Drets ARCO”


Autoritat Catalana de Protecció de DadesDrets d’accés, rectificació, cancel·lació i oposició

● Són els drets que exerceixen les persones respecte de les seves dades personals: potestat de control sobre la informació de caràcter personal.

● Dret d’accés: sol·licitar i obtenir informació sobre si les seves dades personals es tracten, amb quina finalitat i amb quins usos concrets, d’on les han tret, i si s’han comunicat o es pretenen comunicar i a qui.

● Dret de rectificació: rectificar les dades personals quan siguin errònies o incompletes (cal acreditar l’error).

● Dret de cancel·lació: suprimir les dades personals quan siguin innecessàries o quan es conservin durant un temps superior al que pertoqui.



▪ Es pot denegar si existeix una obligació de conservar les

dades o si aquestes són necessàries.

▪ No equival a destrucció, sinó a bloqueig de les dades

perquè no puguin ser tractades. Només s’han de conservar

a disposició de les administracions públiques i dels tribunals

per atendre responsabilitats derivades del tractament.

Passat el termini de prescripció s’han de suprimir les dades.

● Dret d’oposició: sol·licitar que no es tractin les seves dades personals amb una determinada finalitat:

- Normalment, finalitat publicitària i de prospecció comercial. - També en els casos que la persona tingui un motiu legítim fonamentat en una situació personal concreta.



● Com s’exerceixen:

– S’han de facilitar mitjans senzills i gratuïts.

– Són drets personalíssims: cal assegurar-se de la identitat de qui els exerceix.

● Termini per respondre:

– S’han de respondre dins el termini encara que no es tinguin dades i encara que la persona no hagi utilitzat el procediment establert per exercir els drets.

– Dret d’accés: 1 mes.– Drets de rectificació, cancel·lació i oposició: 10 dies.



Mesures de seguretat


Autoritat Catalana de Protecció de DadesAdoptar les mesures de seguretat

● Són les mesures tècniques i organitzatives necessàries per protegir la informació personal i evitar l’alteració, la pèrdua i el tractament o l’accés no autoritzar a les dades personals.

● S’apliquen a tots els fitxers que continguin dades personals, tant si són automatitzats com si són en paper.

● Es defineixen i regulen al Títol VIII del RLOPD.

● Hi ha tres nivells de seguretat, segons el tipus de dades: bàsic, mitjà i alt. Són acumulatius.



● S’apliquen les mesures de NIVELL BÀSIC:

▪ Als fitxers que contenen dades identificatives: nom i

cognoms, telèfon, adreça, email, núm. de compte bancari...

▪ Als fitxers que, tot i contenir dades d’afiliació sindical,

aquestes només s’utilitzen amb l’única finalitat de realitzar

el pagament de quotes sindicals (nòmines).

▪ Als fitxers que continguin dades relatives a la salut quan

es refereixin exclusivament al grau de discapacitat o a la

simple declaració de la condició de discapacitat o

invalidesa de la persona afectada, amb motiu del

compliment dels deures públics (nòmines...).



● S’apliquen les mesures de NIVELL MITJÀ:

▪ Als fitxers que continguin dades que permetin obtenir un

perfil (CV, targetes de fidelització de clients...).

▪ El fitxers de les administracions tributàries, de les entitats

financeres, de la seguretat social, els que contenen

infraccions administratives o penals...

● S’apliquen les mesures de NIVELL ALT:

▪ Als fitxers que contenen dades especialment protegides.

▪ Als fitxers que contenen dades amb finalitats policials.

▪ Als fitxers que contenen dades derivades de violència de

gènere.



● Cal elaborar un DOCUMENT DE SEGURETAT:

És un document intern, que ha de descriure les mesures de

seguretat aplicables a cada fitxer, tant les tècniques com les

organitzatives. És d’obligat compliment per tot el personal i

s’ha de mantenir actualitzat.

Model de document de seguretat:

www.agpd.es → Documentación → Publicaciones → Guías → Guía de Seguridad de Datos (conté un model de “Document de Seguretat” en format editable).



Deure de secret


Autoritat Catalana de Protecció de DadesAcomplir amb el deure de secret

● És una obligació del responsable del fitxer i de totes les persones que intervenen en qualsevol fase del tractament de les dades personals.

● Implica guardar secret professional pel que fa a les dades personals que coneguin per raó de la feina que porten a terme.

● L’obligació subsisteix fins i tot després de finalitzar la relació amb el titular del fitxer.



Comunicacions o cessions de dades


Autoritat Catalana de Protecció de DadesComunicacions/cessions de dades personals

● Suposa la revelació a una persona diferent del titular de les dades. Un accés a la informació per part d’un tercer.

● Cal el consentiment previ de l’interessat o una habilitació legal.

Exemples de cessions amb habilitació legal: quan les dades les demana un jutge, la policia...

● Si es pot acomplir la finalitat per la qual es demanen les dades anonimitzant o dissociant la informació, s’ha de fer.

● Obligació de comunicar la primera cessió de dades: l’entitat que cedeix les dades ha d’informar la persona sobre la cessió, les dades que ha cedit, la finalitat i el nom i adreça de l’entitat a qui les ha cedit.



L’encarregat del tractament


Autoritat Catalana de Protecció de DadesRegular la relació amb l’encarregat del tractament

● L’accés a dades personals per compte d’un tercer per prestar un servei al responsable del fitxer no es considera comunicació/cessió de dades i aquest tercer s’anomena encarregat del tractament.

Exemple d’encarregat del tractament: gestoria

● Possibilitat que l’encarregat del tractament pugui subcontractar amb un tercer la realització d’un servei que comporti un tractament que li ha encomanat el responsable del fitxer.


Autoritat Catalana de Protecció de DadesRegular la relació amb l’encarregat del tractament

● L’accés ha d’estar regulat en un contracte escrit, on ha de

constar que l’encarregat del tractament:

▪ Ha de tractar les dades d’acord amb les instruccions del

responsable.

▪ No pot utilitzar les dades amb una finalitat diferent a la que

s’indiqui en el contracte.

▪ No pot comunicar les dades a tercers, ni per a conservar-les

▪ Està obligat a implantar les mesures de seguretat definides

al contracte.

▪ Està obligat a destruir o tornar al responsable les dades

personals i tots els suports i documents que continguin

dades, un cop acomplerta la prestació.


Autoritat Catalana de Protecció de DadesPer més informació o aclariments

● Per obtenir una informació més detallada sobre el contingut d’aquestes obligacions:

www.apd.cat → Responsables de fitxers →Obligacions

www.agpd.es → Documentación → Publicaciones → Guías:

→ Guía del Responsable de Ficheros

→ Guía de Seguridad de los datos

● Per a qualsevol aclariment que preciseu al respecte:

▪ 902 011 710, de dilluns a divendres, de 9.00 a 14.00h.

▪ [email protected] (indicant un telèfon de

contacte).


Autoritat Catalana de Protecció de DadesPrivacitat per a joves

● www.apd.cat → Privacitat per joves

Informació sobre com es poden moure per Internet sense tenir problemes i com han de preservar les seves dades.

Es poden trobar exemples molt clars del risc que comporta difondre les seves dades per Internet i a través de mòbils.

▪ Vídeos ▪ Manuals ▪ Guies ▪ Jocs

Visitar-la els pot ajudar a aclarir dubtes.




Moltes gràcies

Eulàlia Márquez Roca Servei d’atenció al públic Auditora [email protected] [email protected] 902 011 710

[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades

Documents

Transcript of [Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades