Guia i models RGPD i LOPDGDD - icag.cat 4-2019 Guia i models... · A part de la informació que ha...

GUIA I MODELS PER AL COMPLIMENT DEL REGLAMENT GENERAL DE PROTECCIÓ DE DADES

Un servei de l’Il·lustre Col·legi d’Advocats de Girona

Autor: Josep Matas Balaguer

SUMARI

PRESENTACIÓ

1. REGISTRE D’ACTIVITATS DE TRACTAMENT

2. FULL D’ENCÀRREC DE TREBALLS

3. POLÍTICA DE PROTECCIÓ DE DADES

4. DOCUMENTS INFORMATIUS I DE COMPROMÍS DE CONFIDENCIALITAT

5. COMPROMÍS DE CONFIDENCIALITAT AMB PROVEÏDORS

6. APLICACIÓ DE MESURES DE SEGURETAT

7. ATENCIÓ A L’EXERCICI DE DRETS

Annex 1. CONCEPTES BÀSICS

Annex 2. PRINCIPIS RELATIUS AL TRACTAMENT DE DADES

Annex 3. REGISTRE D’ACTIVITATS DE TRACTAMENT

Annex 4. FORMULARI D’ALTA CLIENT/A CONSULTA O PRIMERA VISITA

Annex 5. MODEL FULL D’ENCÀRREC PROFESSIONAL

Annex 6. POLÍTICA DE PROTECCIÓ DE DADES

Annex 7. INFORMACIÓ SOBRE EL TRACTAMENT DE DADES DELS EMPLEANTS I RESUM D’OBLIGACIONS

EN EL TRACTAMENT DE DADES PERSONALS

Annex 8. COMPROMÍS DE RESPECTE AL SECRET PROFESSIONAL I RESERVA SOBRE LES DADES PER PART

DE COL·LABORADOR/A

Annex 9. COMPROMÍS DE RESPECTE AL SECRET PROFESSIONAL I RESERVA SOBRE LES DADES PER PART

DE PERSONA EN PERÍODE DE PRÀCTIQUES

Annex 10. MODEL CONTRACTE ENCÀRREC DE TRACTAMENT DE DADES. GESTORIA

Annex 11. MESURES DE SEGURETAT

Annex 12. DRETS EN RELACIÓ AL TRACTAMNENT DE DADES


PRESENTACIÓ

El 25 de maig de 2018 va entrar en vigor, a tots els efectes, el Reglament general de protecció

de dades (RGPD)1, norma europea d’aplicació directa a tots els estats membres de la Unió. El

Reglament va derogar la Directiva de protecció de dades de 1995. La nova norma és d’aplicació

directa (no necessita ser transposada) a tots els estats membres, però preveu que cada Estat

pugui aprovar normes pròpies, no pas per interpretar o adaptar el Reglament sinó per

concretar aspectes de caràcter procedimental o que afecten a normes internes de cada estat.

El BOE de 6 de desembre de 2018 va publicar la norma que compleix aquesta previsió. Es

tracta de la Llei Orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia

dels drets digitals2 (LOPDGDD).

Aquestes dues normes configuren el nou marc legal en matèria de protecció de dades.

Recordem que es tracta d’un dret de caràcter fonamental, diferent del dret a la intimitat

personal i familiar, que es centra en la informació de les persones físiques, un dret que

adquireix cada cop més importància entre altres motius pel desenvolupament i ús intensiu de

les tecnologies de la informació.

El RGPD i la LOPDGDD fan seus principis, conceptes i tècniques que figuraven en les normes

precedents i, al mateix temps, introdueixen novetats importants3 que obliguen a adaptar o

actualitzar els textos jurídics referits al tractament de les dades, les mesures i els protocols de

treball. Ambdues normes són plenament vigents i s’han d’incorporar plenament a la pràctica

professional.

El RGPD i la LOPDGDD estableixen sobretot obligacions de naturalesa jurídica i, en menor grau,

indicacions sobre les mesures organitzatives, tècniques i de seguretat a implementar en el

tractament de les dades personals. En el cas dels serveis d’assessoria i assistència jurídica, es

tracta sobretot de tractar amb el màxim de diligència i seguretat les dades personals dels

clients.

Aquesta guia enumera les actuacions a efectuar per a l’adaptació d’un despatx d’assessoria i

assistència jurídica al compliment del RGPD i la LOPDGDD. Els enumera, els explica i proposa

models de documents per efectuar aquesta adaptació. Va orientada principalment al cas de

l’exercici professional a títol individual, si bé bona part dels seus continguts i models poden ser

utilitzats en despatxos integrats per diferents professionals.

1 Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la

protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE. Les versions oficials del Reglament es poden consultar des d’aquest enllaç. L’Autoritat Catalana de Protecció de Dades ha publicat una versió en català, no oficial, consultable des d’aquest enllaç. 2 Consultable des d’aquest enllaç. La nova LOPDGDD va derogar la Llei Orgànica 15/1999, de 13 de

desembre, de protecció de dades de caràcter personal. Al final del tràmit parlamentari es va afegir un capítol 10 que tracta de diferents drets de les persones en la societat de la informació, uns continguts no sempre referits al dret a la protecció de dades i que s’han volgut reflectir en el propi nom de la Llei. 3 Podeu consultar alguns conceptes bàsics del RGPD a l’Annex 1.


El quadre següent enumera les actuacions a efectuar, actuacions que comentarem a

continuació.

ACTUACIÓ REQUEREIX

1. Elaboració del Registre de les activitats de tractament

Aprovar-lo

2. Adaptació dels fulls d’encàrrec i formularis de recollida de dades

Incorporar les noves clàusules

3. Redacció de text general de Política de protecció de dades

Publicar-lo, en especial a la web

4. Informació i obligacions del personal propi que accedeix a les dades

Fer signar els models

5. Confidencialitat dels proveïdors de serveis del despatx que accedeixen a dades

Fer signar els contractes de confidencialitat

6. Aplicar mesures de seguretat en el tractament de les dades

Aplicar les mesures i revisar-ho regularment

7. Preveure l’atenció a l’exercici dels drets per part de les persones interessades

Respondre a les persones que els exerceixin


1. REGISTRE DE LES ACTIVITATS DE TRACTAMENT

El Registre de les activitats de tractament és un document previst a l’article 30 del RGPD. Es

tracta d’un document que elabora el Responsable del tractament (en aquest cas el titular del

despatx o assessoria jurídica) on es descriuen els tractaments de dades que porta a terme. A

l’Annex 3 s’ofereix un model de Registre que pot servir de base per a l’elaboració del Registre

del despatx. Un cop elaborat s’ha d’aprovar i s’ha de deixar constància de la seva aprovació

(per exemple amb la signatura del titular del despatx), fent-hi constar la data a partir de la qual

és vigent. Aquest document es pot modificar sempre que faci falta aprovant-ne noves versions

i guardant les versions anteriors. S’ha de posar a disposició de l’Agència Espanyola de Protecció

de Dades4 quan aquesta ho requereixi.

Els tractaments que es descriuen a l’Annex 3 són els que més comunament es porten a terme

en un despatx. En el model proposat no s’inclouen altres tractaments possibles, com pot ser

l’enregistrament de dades en compliment de les mesures previstes a la normativa de

blanqueig de capitals (principalment les mesures exigides a la Llei 10/2010, de 28 d’abril, de

prevenció de blanqueig de capitals i del finançament del terrorisme), o el tractament de dades

en la prestació de serveis especialitzats (per exemple serveis d’assegurances o serveis a

comunitats de propietaris). En el cas que s’efectuessin aquests tractaments caldria incorporar-

ne la descripció al Registre, seguint les mateixes pautes que les del model que proposem.

El model de Registre que proposem inclou la descripció de la gravació i conservació d’imatges

amb càmeres de videovigilància. En el cas que no s’enregistrin imatges cal eliminar aquest

tractament de la taula. En el cas que s’enregistrin caldrà informar-ne als empleats i col·locar un

rètol informatiu ben visible en els accessos al despatx5

2. FULL D’ENCÀRREC DE TREBALLS

En les relacions amb els clients cal ser el màxim transparent sobre el tractament que es donarà

a les seves dades. Aquesta transparència comença en el moment inicial de la relació

contractual. A l’Annex 5 figura un model de full d’encàrrec que incorpora les clàusules

informatives sobre el tractament de les dades. La informació a proporcionar és complexa i

extensa. Per aquest motiu s’ha de proporcionar a dos nivells. En el mateix full, abans de les

signatures, ha de figurar la informació més bàsica. Al dors del document, si és en suport paper,

o en un lloc web al que faci remissió el full d’encàrrec ha de figurar un segon nivell

d’informació. En el cas de relacions amb clients que no requereixin la signatura d’un full

d’encàrrec la informació sobre el tractament de les seves dades s’ha de donar igualment. Es

pot utilitzar el model de document que figura a l'Annex 4.

4 Segons l’article 47 LOPDGDD correspon a l’Agència Espanyola de Protecció de Dades (AGPD) supervisar

el compliment de les normes vigents en matèria de protecció de dades. L’Autoritat Catalana de Protecció de Dades (APDCat) no té competències en els tractaments de dades per part de persones privades. Segons la seva llei reguladora (Llei 32/2010, de l'1 d'octubre, de l'Autoritat Catalana de Protecció de Dades) i l’article 57 LOPDGDD, l’APDCat és competent en els tractaments que portin a terme els ens del sector públic de Catalunya. 5 El rètol informatiu de videovigilància ha de seguir el model indicat per l’AGPD consultable des d’aquest

enllaç. Més detalls sobre els protocols a seguir en aquesta activitat es poden consultar a la Guia sobre ús de càmeres de videovigilància editada per l’AGPD.


3. POLÍTICA DE PROTECCIÓ DE DADES

A part de la informació que ha de figurar en els formularis de recollida de dades, especialment

en el full d’encàrrec, és necessari que el despatx publiqui un text sobre els criteris d’aplicació

de la normativa de protecció de dades, que al mateix temps informi dels drets de les persones

interessades i de la manera d’exercir-los. A l’Annex 6 figura un model de text que es pot

adaptar a la realitat i especificitats del despatx. Feta aquesta adaptació és molt convenient

publicar-lo, per exemple a la pàgina web del despatx. És recomanable que al peu de la pàgina

web, a l’espai inferior on és habitual posar l’enllaç al textos legals, s’inclogui un enllaç que

permeti accedir a aquest text de protecció de dades. Aquest text complementa la informació

que es proporciona en els formularis de recollida de dades i s’hi pot fer referència també (per

exemple per mitjà d’un enllaç) en les comunicacions que es facin als clients per mitjà de correu

electrònic.

4. DOCUMENTS INFORMATIUS I DE COMPROMÍS DE CONFIDENCIALITAT

Els empleats i els col·laboradors del despatx han de ser informats pel titular del despatx

(Responsable del tractament) de les obligacions de confidencialitat i respecte al secret

professional que han de complir de manera escrupolosa. A l’Annex 7, l’Annex 8 i l’Annex 9,

figuren tres models de documents pensats, respectivament, per als empleats del despatx, per

als col·laboradors puntuals i per a persones que hi portin a terme pràctiques en base a un

conveni de cooperació educativa amb un centre d’ensenyament. Aquests documents inclouen

també informació del tractament que rebran les dades d’aquests empleats i col·laboradors.

5. COMPROMÍS DE CONFIDENCIALITAT DE PROVEÏDORS

El despatx pot acordar la prestació d’un determinat servei amb un altre professional o

empresa. També pot encarregar determinats treballs de suport o assessorament. Quan

aquests encàrrecs comporten tractar dades personals responsabilitat del despatx, s’ha

d’escollir una empresa o professional extern que ofereixi garanties suficients de compliment

de la normativa de protecció de dades i de compliment de mesures tècniques i organitzatives

de seguretat. Aquesta empresa o professional tindrà la consideració d’encarregat/da del

tractament (vegeu Annex 1).

El tractament efectuat per l'encarregat s’ha de regir per un contracte o per un altre acte jurídic

vàlid que l’ha de vincular amb el Responsable (el titular del despatx) i ha d’establir, entre altres

qüestions, l'objecte de l’encàrrec, la durada, la naturalesa i la finalitat del tractament, així com

les obligacions en matèria de seguretat i el protocol a seguir en el cas d’incidències. A l’Annex

10 figura un model de contracte de confidencialitat per a l’encàrrec de serveis

d’assessorament a una gestoria. Pot servir de model per altres serveis que es puguin obtenir

d’altres proveïdors (informàtics, de seguretat...).

6. APLICACIÓ DE MESURES DE SEGURETAT

L'article 5.1.f del RGPD obliga a establir garanties adequades per evitar el tractament no

autoritzat o il·lícit, o la pèrdua, la destrucció o el dany accidental de les dades personals. Això


implica l'establiment de mesures tècniques i organitzatives encaminades a assegurar la

integritat i confidencialitat de les dades personals i la possibilitat (article 5.2) de demostrar que

el responsable del tractament (en aquest cas el titular del despatx) ha adoptat i portat a la

pràctica aquestes mesures (responsabilitat proactiva). Per aquest motiu tenen gran

importància les indicacions sobre mesures de seguretat que es donen al personal del despatx

que tracta les dades i als proveïdors que hi accedeixen, tal i com s’ha comentat en els

precedents apartats 4 i 5. L’Annex 11 enumera un conjunt de mesures de seguretat bàsiques a

implementar en el tractament de les dades. La llista de mesures que hi figura es pot adaptar a

les característiques o sistemes del despatx. És aconsellable tancar el document i aprovar-lo

(per exemple posant signatura i data), convertint-lo així amb el document de referència pel

què fa a les mesures de seguretat, document d’obligat compliment per a totes les persones

que treballin al despatx. L’aprovació i la implantació de les mesures permetrà acreditar, en cas

d’incidència, denúncia o reclamació, que el despatx s’esforça per actuar amb responsabilitat i

de manera diligent.

7. ATENCIÓ A L’EXERCICI DELS DRETS

El RGPD “protegeix els drets i les llibertats fonamentals de les persones físiques i, en particular,

el seu dret a la protecció de les dades personals” (article 1.2). Enumera i regula els drets que la

persona interessada pot exercir directament davant qui estigui tractant les seves dades, com

pot ser el cas del client del despatx en relació al tractament de les dades que s’efectua per a

prestar-li assessorament o assistència jurídica. Els articles 13 a 22 del RGPD es refereixen a

aquests drets i al seu exercici. També fa referència a determinats aspectes del procediment

que s’ha de seguir (especialment en el seu article 12). La resposta a l’exercici dels drets s’ha de

donar en el termini màxim d’un mes.

Correspon al professional titular del despatx o assessoria concretar com s’atendrà a les

persones interessades (no només els clients del despatx) que vulguin exercir els seus drets. A

això ha de fer esment en els documents de recollida de dades (per exemple en el full

d’encàrrec al que ens referíem a l’apartat 2) i en els documents informatius de l’activitat del

despatx (per exemple a la Política de protecció de dades a la que ens hem referit a l’apartat 3).

A l’Annex 12 figuren les definicions dels drets de les persones en relació al tractament de les

seves dades.


Annex 1. CONCEPTES BÀSICS

Dada personal. És qualsevol informació sobre una persona física identificada o identificable

indirectament. Ho és qualsevol informació personal dels clients, o de les persones relacionades

amb els afers tramitats en el despatx, o de persones que ocupen un lloc de treball en òrgans

judicials, en altres ens públics o en empreses privades. Una enumeració de les dades personals

que habitualment són objecte del tractament figura en el document Annex núm. 3 Registre de

les activitats de tractament.

Tractament de dades. Qualsevol operació sobre dades personals, ja sigui per procediments

automatitzats o no, com la recollida, l’organització, la conservació, l’adaptació o modificació, la

consulta o qualsevol utilització. Totes les operacions amb dades que s’efectuen en la pràctica

professional, fins i tot el simple fet de consultar-les, és considerat un tractament de dades.

Responsable del tractament. És la persona física o jurídica que determina les finalitats i els

mitjans del tractament de les dades. L’advocat/da titular del despatx és la persona responsable

del tractament que es porta a terme en el despatx i ha de poder demostrar que aplica el RGPD

(art. 6.2 del RGPD).

Encarregat del tractament. És la persona física o jurídica que tracta dades personals per

compte del responsable del tractament, generalment per prestar-li un servei. És el cas d’una

empresa que doni suport informàtic al despatx o d’una assessoria externa que elabori la

nòmina o li ofereixi assessorament comptable.


Annex 2. PRINCIPIS RELATIUS AL TRACTAMENT DE LES DADES

Seguint l’article 5.2 del RGPD les dades personals s’han de tractar donant compliment als

principis següents:

• Licitud, lleialtat i transparència. Les dades han de ser tractades de manera lícita, lleial i

transparent en relació amb l'interessat.

• Limitació de la finalitat. Les dades han de ser recollides amb finalitats determinades,

explícites i legítimes i posteriorment no s’han de tractar de manera incompatible amb

aquestes finalitats.

• Minimització de dades. Les dades han de ser adequades, pertinents i limitades al que és

necessari en relació amb les finalitats per a les quals es tracten.

• Exactitud. Les dades han de ser exactes i, si cal, s’han d’actualitzar. Cal adoptar les mesures

raonables perquè se suprimeixin o es rectifiquin les dades personals que siguin inexactes o

no adequades per a les finalitats per a les quals es van obtenir.

• Limitació del termini de conservació. Les dades han de ser conservades només durant el

període necessari per a les finalitats que justifiquen el tractament.

• Integritat i confidencialitat. Les dades han de ser tractades de manera que se’n garanteixi la

seguretat, mitjançant l’aplicació de les mesures tècniques o organitzatives que evitin el

tractament no autoritzat o il·lícit, o la seva pèrdua, destrucció o dany accidental.


Annex 3. REGISTRE D’ACTIVITATS DE TRACTAMENT

Registre de les activitats de tractament de dades personals, exercici de l’activitat professional

de [nom de l’advocat/da]

Elaborat i adoptat en compliment de l’article 30 del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades. Versió [número] vigent a partir de [data].

Gestió de clients Finalitat del tractament

- Registre de persones a les que s’ofereixen serveis d’assessorament i/o defensa jurídica. - Compliment de la relació contractual. - Seguiment de les actuacions. - Tramesa d’informació. - Gestió administrativa i facturació.

Categories d’interessats

- Persones físiques que actuen en nom i interès propi. - Persones físiques representants de persones jurídiques.

Categories de dades personals

Dades identificatives: nom i cognoms, DNI/NIF; número de la Seguretat Social o mutualitat; adreça postal, adreça electrònica, telèfon; professió; signatura manuscrita, signatura electrònica; imatge. Característiques personals: sexe, estat civil, dades familiars, data de naixement, lloc de naixement, edat; nacionalitat, llengua materna. Circumstàncies socials: allotjament o habitatge; propietats o possessions; aficions i estils de vida; pertinença a clubs i associacions; llicències, permisos i autoritzacions personals. Acadèmiques i professionals: formació i titulacions; historial acadèmic; experiència professional; pertinença a col·legis o associacions professionals. Ocupació: lloc de treball, dades no econòmiques de nòmina, historial laboral. Comercials: activitats i negocis; llicències, permisos i autoritzacions comercials professionals o industrials; creacions artístiques, literàries, científiques/tècniques. Econòmiques, financeres i d’assegurances: dades econòmiques de nòmina; dades bancàries; número targeta de crèdit, ingressos i rendes; inversions; crèdits, préstecs, avals, hipoteques; deduccions impositives/impostos, plans de pensió; assegurances; subsidis. Transaccions: béns o serveis rebuts per l’interessat; transaccions financeres. Sancions i infraccions administratives: infraccions administratives, sancions administratives.

Nom del responsable Nom del col·legiat/da . Número col·legiat/da

Dades de contacte Adreça postal. Adreça electrònica

TRACTAMENTS Data alta Data canvis Data baixa

Gestió de clients

Gestió del personal

Gestió de proveïdors

Enviament d’informació

Videovigilància

Data i signatura d’aprovació


Dades de categories especials

- Condemnes penals, infraccions penals; salut, afiliació sindical, creences.

Categories de destinataris cessions

- Òrgans judicials quan sigui necessari per al compliment dels serveis que s’ofereixen a la persona interessada. - Administracions públiques quan sigui necessari per al compliment dels serveis que s’ofereixen a la persona interessada. - Persones amb les que el client té relació o qüestió de transcendència jurídica, que motiva la prestació del servei.

Categories de destinataris països tercers

---

Terminis previstos per a la supressió de les dades

Es conservaran mentre es mantingui la relació de prestació de serveis i mentre no prescriguin les responsabilitats jurídiques per les actuacions. El termini de conservació pot oscil·lar entre cinc i quinze anys en funció de la data i naturalesa de l’actuació. Les dades de contacte que permeten enviar informació dels serveis del despatx es tracten mentre el receptor no revoca el consentiment. Les dades comptables i fiscals es conserven fins que no hagin prescrit les responsabilitats en matèria fiscal.

Mesures tècniques i organitzatives de seguretat

- Accés controlat als locals on s’efectua el tractament. - Accés als sistemes informàtics amb identificador personal i password que es renova trimestralment. - Còpia diària. - Custòdia, trasllat i eliminació segura dels documents en suport paper. - Les pròpies de les aplicacions [especificar]

Legitimació

- Compliment d‘una relació contractual.

Gestió del personal Finalitat del tractament

- Registre de les dades del personal del despatx. - Organització interna. - Seguiment de l’activitat laboral. - Confecció de la nòmina a efectes d’abonament de les contraprestacions econòmiques pel seu treball. - Gestió i resolució d’incidències. - Documentar els processos de prevenció i promoció de la salut. - Atorgament de llicències, permisos o bestretes.


- Empleats del despatx.


Identificatives: nom i cognoms, DNI/NIF; número de la Seguretat Social o mutualitat; adreça postal; professió; signatura manuscrita; imatge; nom d’usuari, identificador personal, número de registre personal. Característiques personals: sexe, estat civil, dades familiars, data de naixement, lloc de naixement, edat; nacionalitat, característiques físiques. Acadèmiques i professionals: formació i titulacions; historial acadèmic; experiència professional; pertinença a col·legis o associacions professionals. Ocupació: lloc de treball, dades no econòmiques de nòmina, historial laboral; dades de seguiment de l’activitat laboral, formació, permisos i llicències, faltes i sancions. Econòmiques, financeres i d’assegurances: dades econòmiques de nòmina; dades bancàries.


- Dades de salut (grau minusvalidesa).


- Entitats asseguradores. - Administració Tributària. - Administració de la Seguretat Social.


- Entitats bancàries amb finalitat d’abonament de la nòmina.


---

Terminis previstos per a la supressió de les diferents categories de dades

- Les dades s’han de conservar fins quatre d’anys a partir de la finalització de la relació laboral, d’acord amb l’art. 21 del Reial Decret Legislatiu 5/2000 text refós de la Llei sobre infraccions i sancions en l’ordre social.


- Els expedients es custodien en mobiliari dotat amb sistema de tancament. - Les dades dels empleats figuren en una carpeta de la xarxa d’accés restringit. - Els fulls de nòmina es posen directament a disposició de la persona interessada sense que hi puguin accedir persones que no intervenen en la seva confecció.

Legitimació

- Compliment de la relació contractual i d’obligacions legals.

Gestió de proveïdors Finalitat del tractament

- Registre de persones amb les que existeix relació comercial com a proveïdores de serveis o béns. - Gestió comptable. - Registre i abonament de factures.


- Persones, que actuen en nom propi, amb les que existeix relació contractual com a proveïdores de serveis o béns. - Persones que actuen en nom de persones jurídiques amb les que existeix relació contractual com a proveïdores de serveis o béns.


Identificatives: nom i cognoms, DNI/NIF; adreça postal, adreça electrònica, telèfon; professió; signatura manuscrita, signatura electrònica. Acadèmiques i professionals: formació i titulacions; pertinença a col·legis o associacions professionals. Comercials: activitats i negocis; llicències, permisos i autoritzacions comercials professionals o industrials. Econòmiques, financeres i d’assegurances: dades bancàries; assegurances. Transaccions: béns o serveis subministrats per l’interessat, transaccions financeres; indemnitzacions.


---


- Administració Tributària. - Entitats bancàries per l’abonament de factures.


---


- Conservació mentre sigui vigent la relació comercial i posteriorment fins que no hagin prescrit les responsabilitats en matèria fiscal d’acord amb l’art. 66 de la Llei 58/2003, de 17 de desembre, general tributària.


- Accés controlat als locals on s’efectua el tractament. - Accés als sistemes informàtics amb identificador personal i password que es renova trimestralment. - Còpia diària. - Custòdia, trasllat i eliminació segura dels documents en suport paper. - Les pròpies de les aplicacions [especificar]

Legitimació

- Compliment d’una relació contractual.


Enviament d’informació

Finalitat del tractament

- Proporcionar informació dels serveis del despatx.


- Persones interessades en rebre informació dels serveis del despatx.


Identificatives: nom i cognoms; adreça postal, adreça electrònica, telèfon.


---


---


---


- Les dades s’eliminen a petició de la persona interessada, immediatament després de la seva sol·licitud.


- Les pròpies de l’aplicació [indicar el nom] utilitzada en l’enviament de les comunicacions.

Legitimació

- Consentiment de la persona interessada.

Videovigilància

Finalitat del tractament

- Registrar les imatges de les persones que accedeixen al despatx. - Control d’accessos. - Seguretat de les persones i béns. - Verificar el compliment de les obligacions i deures laborals dels empleats del despatx (article 20.3 de l’Estatut dels Treballadors)


- Persones que accedeixen al despatx.


Identificatives: imatge.


---


- Les imatges dels fets delictius es cedeixen als cossos i forces de seguretat.


---


- Les dades s’eliminen a petició de la persona interessada, immediatament després de la seva sol·licitud.


- Les imatges es conserven com a màxim un mes, excepte quan es produeix una incidència i s’han de posar a disposició dels cossos i forces de seguretat.

Legitimació

- Preservació dels interessos legítims del despatx.


Annex 4. FORMULARI D’ALTA CLIENT/A en cas de CONSULTA puntual o PRIMERA VISITA

_______________________________________________________ amb DNI_____________ [nom i cognoms del / de la CLIENT/A] [ ] Actuant en nom propi [ ] Actuant en representació de [nom de la persona jurídica a qui representa], amb domicili a [adreça postal completa], tel. [número], adreça electrònica [adreça electrònica], CIF [de la persona jurídica a qui representa, si és el cas], Es declara informat/da, entén i accepta que, havent formulat consulta o sol·licitat serveis professionals a l’ADVOCAT/DA [nom del / de l’advocat/da] les seves dades personals seran tractades en els termes que seguidament es resumeixen. - El responsable del tractament de les dades és [nom del / de l’advocat/da]. - La finalitat del tractament és oferir els serveis professionals descrits en aquest full d’encàrrec. - La base legal del tractament és complir la relació contractual: prestació de serveis al/a la client/a. - Les dades es poden comunicar a òrgans judicials i a altres persones quan sigui necessari per complir els serveis encarregats. - El/La CLIENT/A en qualsevol moment podrà exercir els seus drets a accedir a les dades, rectificar-les, suprimir-les, sol·licitar-ne la portabilitat i la limitació del tractament, o bé oposar-s’hi, adreçant-se al responsable del tractament a les adreces que consten en aquest mateix full d’encàrrec. - El/La CLIENT/A trobarà més informació sobre el tractament de les seves dades en aquest mateix document // al lloc web [especificar] .

Localitat, dia d mes de any

Signatura

INFORMACIÓ DETALLADA SOBRE EL TRACTAMENT DE DADES PERSONALS

Qui és el responsable del tractament de les dades? [nom i cognoms advocat/da] , titular del despatx [nom comercial del despatx]. Amb quina finalitat tractem les dades personals? Tractem la informació dels clients amb la finalitat d’oferir-li els serveis jurídics que ens sol·liciten, la qual cosa comporta també tractar-les amb finalitats de gestió administrativa i comptable. Quant de temps conservarem les dades? Les dades personals es conservaran mentre es mantingui la relació de prestació de serveis i no prescriguin les responsabilitats jurídiques per les actuacions. El termini de conservació oscil·larà entre cinc i quinze anys en funció de la data i naturalesa de l’actuació. Les dades de contacte que utilitzem per enviar informació dels serveis del despatx a les persones que ho han autoritzat, es tracten mentre el receptor no ens indica que vol deixar de rebre aquesta informació. Quina és la legitimació per al tractament de les dades?


Les dades objecte de tractament són les necessàries per oferir els serveis jurídics sol·licitats. En el cas de no disposar de les dades no seria possible oferir els nostres serveis. Tractem les dades en el context de la relació contractual (prestació de serveis) amb els nostres clients. Si el client accepta rebre informació sobre els serveis del despatx, les seves dades es tractaran en base al seu consentiment, que podrà revocar en qualsevol moment. En aquest cas les seves dades de contacte s’eliminarien de la llista de receptors d’informació. A qui es comuniquen les dades? Les dades es comunicaran als òrgans judicials corresponents i, en la mesura que sigui necessari per a l’execució de l’encàrrec, a altres persones amb les que existeix relació jurídica, relació que motiva l’encàrrec que ens heu fet, En un altre sentit les dades es podran comunicar a altres professionals col·laboradors del despatx per tal d’oferir un servei més especialitzat al client. Els professionals que col·laboren amb el nostre despatx són:

- [nom i especialització] - ....

En relació al tractament de les dades aquests professionals tenen la consideració d’encarregats del tractament. Actuen per encàrrec nostre i només poden destinar les dades al compliment del nostre encàrrec, a interès del client. Quins són els drets en matèria de protecció de dades? Els nostres clients tenen dret a accedir a les seves dades personals, així com a sol·licitar la rectificació de les inexactes o, si escau, sol·licitar-ne la supressió, entre altres casos quan les dades ja no siguin necessàries per a les finalitats per a les quals es van recollir. En determinades circumstàncies els clients poden oposar-se al tractament, demanar la portabilitat de les dades o sol·licitar la limitació del tractament. El dret a la portabilitat és el dret a obtenir les dades en un format d’ús comú i a obligar a transmetre’ls a un altre responsable. En el cas que el client sol·liciti la limitació del tractament únicament els podrem tractar amb el seu consentiment, o per formular, exercir o defensar-nos de reclamacions, o per tal de protegir els drets d'una altra persona física o jurídica, o per raons d'interès públic. Com es poden exercir els drets? Mitjançant un escrit adreçat a l’adreça que figura a l’encapçalament del full d’encàrrec. Amb molt de gust atenem els suggeriments dels clients i responem les sol·licituds d’informació o d’aclariments. Si es considera que els drets no s’han atès adequadament, es pot presentar una reclamació davant l’Agència Espanyola de Protecció de Dades, calle Jorge Juan, 6, 28001 Madrid (www.agpd.es).


Annex 5. MODEL FULL D’ENCÀRREC PROFESSIONAL

A ciutat, a dia d mes de any

REUNITS

D’una banda, nom i cognoms, [ ] Actuant en nom propi [ ] Actuant en representació de [nom de la persona jurídica a qui representa], amb domicili a [adreça postal completa], tel. [número], adreça electrònica [adreça electrònica], CIF [de la persona jurídica a qui representa, si és el cas], I de l’altra, nom i cognoms, amb DNI ................., ADVOCAT/DA col·legiat/da a l’Il·lustre Col·legi d’Advocats de Girona, amb el núm. de col·legiat/da ................., domicili professional a [adreça completa], telèfon ................., i adreça electrònica ................. (d’ara endavant, l’ADVOCAT/DA).

Es reconeixen la capacitat legal suficient per atorgar aquest full d’encàrrec professional que s’ha de regir

per les següents

CONDICIONS

1. OBJECTE

El CLIENT/A, havent estat prèviament informat/da per l’ADVOCAT/DA, li encarrega la prestació dels següents serveis jurídics i la realització de les següents actuacions:

1. ................. .

2. ................. .

Aquestes tasques professionals s’han d’executar en règim d’arrendament de serveis i d’acord amb les

normes de deontologia professional que regulen l’exercici de l’advocacia. S’entenen incloses les

consultes, les reunions, l’estudi, la preparació dels assumptes i totes aquelles actuacions extrajudicials

necessàries per a la bona resolució dels serveis encarregats, excepte que es pacti el contrari.

2. PREU

Els HONORARIS es pressuposten en ................. EUROS (................... €) sobre els quals es repercutirà l’IVA

al tipus que estigui vigent en el moment en què l’ADVOCAT/DA emeti la factura. La minuta d’honoraris

definitiva s’ha de sotmetre al règim fiscal vigent.

En qualsevol cas, l’import inclou la tramitació de l’assumpte en el seu tràmit ordinari fins a la primera instància o instància corresponent, i exclou els honoraris d’altres professionals que hi hagin d’intervenir (com, per exemple, procuradors i pèrits), així com les despeses de desplaçament, les bestretes que es puguin ocasionar per raó de l’execució de la feina objecte d’aquest encàrrec, taxes i preus públics i les costes que es puguin imposar al/a la CLIENT/A en defensa dels seus interessos, imports dels quals ha


estat informat per l’ADVOCAT/DA pel que fa als honoraris d’advocats, sense perjudici de la seva fixació definitiva, a l’alça o a la baixa, per part de l’òrgan jurisdiccional. A aquest import s’haurà de sumar, si escau, el que correspongui pel pagament de procurador, pèrits, taxes, dipòsits legals, impostos, quanties que seran comunicades al/a la CLIENT/A en el moment que es puguin determinar.

La possible condemna en costes al/a la CLIENT/A no li eximeix del pagament a l’ADVOCAT/DA dels honoraris pactats en aquest full d’encàrrec. Cas de condemna en costes a favor del/de la CLIENT/A, aquest percebrà el seu import fins a cobrir els honoraris efectivament satisfets a l’ADVOCAT/DA i altres professionals intervinents. La part que excedeixi d’aquest import pagat correspondrà a l’ADVOCAT/DA i als esmentats professionals, segons els honoraris pactats o segons taxació o liquidació de les costes, si aquest últim import és superior.

Correspon al/a la CLIENT/A la contractació i el pagament dels honoraris d’altres professionals (com ara,

procurador, pèrits, notaris...) que hagin d’intervenir en l’assumpte encarregat.

Aquests honoraris inclouen la tramitació judicial completa dels serveis encarregats i en queden excloses

els treballs i despeses que no s’hagin esmentat expressament, així com les actuacions professionals

derivades de l’execució. L’ADVOCAT/DA haurà d’informar prèviament al/a la CLIENT/A dels recursos i

incidents que s’hagin de tramitar.

3. FORMA DE PAGAMENT

[Especifiqueu els detalls de la forma de pagament. Es recomana que hi consigneu les dades bancàries].

[EN CAS DE PAGAR-SE PROVISIÓ DE FONS]

L’ADVOCAT/DA declara haver rebut del seu CLIENT/A la quantitat de ................. €, en concepte de

PROVISIÓ DE FONS, que es desglossa en ................. € per bestretes, ................. € per despeses i

................. € per honoraris professionals relacionats amb l’assumpte encarregat, més l’IVA, amb la

retenció fiscal corresponent si escau, suma que queda subjecta a la liquidació definitiva.

La resta de l’import pressupostat, és a dir, ................. EUROS (................. €), els ha de satisfer el

CLIENT/A de la manera següent: ................. .

Quant a les actuacions objecte d’aquest pressupost (si es tracta d’un procediment judicial) els honoraris

s’han de determinar segons les fases processals següents: [Fixeu les diferents fases que es poden

preveure].

4. FINALITZACIÓ DE L’ENCÀRREC PROFESSIONAL I DRET DE DESISTIMENT

Aquest arrendament de serveis finalitzarà a la data de compliment dels serveis que el CLIENT/A ha

encarregat a l’ADVOCAT/DA.

El/La CLIENT/A pot exercir, en qualsevol moment i per escrit, el dret de desistir d’aquest contracte de

manera lliure i prescindir dels serveis de l’ADVOCAT/DA, si bé tindrà l’obligació d’abonar-li la

contraprestació econòmica pels serveis professionals efectivament realitzats.

En cas que la relació contractual entre l’ADVOCAT/DA i el CLIENT/A s’extingeixi per voluntat d’alguna de

les parts (per exemple, la renúncia de l’ADVOCAT/DA a la direcció de l’assumpte o per sol·licitud

expressa del client) abans que recaigui una resolució judicial que posi fi al procediment, els honoraris de

l’ADVOCAT/DA s’han de limitar als que s’han estipulat per les fases dutes a terme; en aquest sentit,

s’entén com a fase duta a terme aquella en què la defensa lletrada ha preparat un acte processal en què

finalment no hagi intervingut per instruccions expresses del mateix CLIENT/A.

En cas que s’aconsegueixi una resolució judicial o acord que posi fi al procediment abans de la sentència,

a més dels honoraris meritats per cada una de les fases dutes a terme, aquests s’incrementaran en la

quantitat de ................. euros.


5. PÒLISSA D’ASSEGURANÇA PROFESSIONAL

L’ADVOCAT/DA té subscrita una pòlissa d’assegurança de responsabilitat civil que cobreix el servei que

oferirà al / a la CLIENT/A.

6. RECLAMACIONS. COMPROMÍS DE MEDIACIÓ, CLÀUSULA ARBITRAL i SERVICONSUM

L’ADVOCAT/DA té a disposició del/de la CLIENT/A fulls oficials de queixa/reclamació/denúncia facilitats

per l’Agència Catalana del Consum de la Generalitat de Catalunya. Pot obtenir més informació al telèfon

d’Atenció Ciutadana 012 ó 902.400.012 (si es truca fora de Catalunya) o a la web www.consum.cat.

Per a la solució de qualsevol controvèrsia derivada de la interpretació o aplicació d’aquest full

d’encàrrec professional, les parts mostren la seva voluntat d’intentar la mediació i la resolució de les

seves discrepàncies sotmetent-ho a la consideració del Deganat de l’Il·lustre Col·legi d’Advocats de

Girona o del Tribunal Arbitral de Girona, al qual se li encomanarà la designació de l’àrbitre o àrbitres i

l’administració de l’arbitratge.

A aquests efectes, s’informa al CLIENT/A que l’Il·lustre Col·legi d’Advocats de Girona té la seva seu a la

Plaça Jaume Vicenç Vives, 4, 17001 Girona, tel. 972 210 208, www.icag.cat.

7. PROTECCIÓ DE DADES PERSONALS

Les dades personals del/de la CLIENT/A es tractaran en els termes següents (informació resumida): - El responsable del tractament de les dades és [nom del / de l’advocat/da]. - La finalitat del tractament és oferir els serveis professionals descrits en aquest full d’encàrrec. - La base legal del tractament és complir la relació contractual: prestació de serveis al/a la client/a. - Les dades es poden comunicar a òrgans judicials i a altres persones quan sigui necessari per complir els serveis encarregats. - El/La CLIENT/A en qualsevol moment podrà exercir els seus drets a accedir a les dades, rectificar-les, suprimir-les, sol·licitar-ne la portabilitat i la limitació del tractament, o bé oposar-s’hi, adreçant-se al responsable del tractament a les adreces que consten en aquest mateix full d’encàrrec. - El/La CLIENT/A trobarà més informació sobre el tractament de les seves dades en el document annex I d’aquest full d’encàrrec // en el lloc web [especificar].

I, d’acord amb el que s’ha pactat, les parts expressen la seva conformitat i signen aquest document per

duplicat i a un sol efecte.

Nom del CLIENT/A Nom de l’ADVOCAT/DA


I. INFORMACIÓ DETALLADA SOBRE EL TRACTAMENT DE DADES PERSONALS

Qui és el responsable del tractament de les dades?

[nom i cognoms advocat/da] , titular del despatx [nom comercial del despatx].

Amb quina finalitat tractem les dades personals?

Tractem la informació dels clients amb la finalitat d’oferir-li els serveis jurídics que ens sol·liciten, la qual

cosa comporta també tractar-les amb finalitats de gestió administrativa i comptable.

Quant de temps conservarem les dades?

Les dades personals es conservaran mentre es mantingui la relació de prestació de serveis i no

prescriguin les responsabilitats jurídiques per les actuacions. El termini de conservació oscil·larà entre

cinc i quinze anys en funció de la data i naturalesa de l’actuació. Les dades de contacte que utilitzem per

enviar informació dels serveis del despatx a les persones que ho han autoritzat, es tracten mentre el

receptor no ens indica que vol deixar de rebre aquesta informació.

Quina és la legitimació per al tractament de les dades?

Les dades objecte de tractament són les necessàries per oferir els serveis jurídics sol·licitats. En el cas de

no disposar de les dades no seria possible oferir els nostres serveis. Tractem les dades en el context de

la relació contractual (prestació de serveis) amb els nostres clients. Si el client accepta rebre informació

sobre els serveis del despatx, les seves dades es tractaran en base al seu consentiment, que podrà

revocar en qualsevol moment. En aquest cas les seves dades de contacte s’eliminarien de la llista de

receptors d’informació.

A qui es comuniquen les dades?

Les dades es comunicaran als òrgans judicials corresponents i, en la mesura que sigui necessari per a l’execució de l’encàrrec, a altres persones amb les que teniu relació de transcendència jurídica, relació o qüestió que motiva l’encàrrec que ens heu fet, En un altre sentit les dades es podran comunicar a altres professionals col·laboradors del despatx per tal d’oferir un servei més especialitzat al client. Els professionals que col·laboren amb el nostre despatx són:

- [nom i especialització] - ....

En relació al tractament de les dades aquests professionals tenen la consideració d’encarregats del

tractament. Actuen per encàrrec nostre i únicament poden destinar les dades al compliment del nostre

encàrrec, a interès del client.

Quins són els drets en matèria de protecció de dades?

Els nostres clients tenen dret a accedir a les seves dades personals, així com a sol·licitar la rectificació de

les inexactes o, si escau, sol·licitar-ne la supressió, entre altres casos quan les dades ja no siguin

necessàries per a les finalitats per a les quals es van recollir. En determinades circumstàncies els clients

poden oposar-se al tractament, demanar la portabilitat de les dades o sol·licitar la limitació del

tractament. El dret a la portabilitat és el dret a obtenir les dades en un format d’ús comú i a obligar a

transmetre’ls a un altre responsable. En el cas que el client sol·liciti la limitació del tractament

únicament els podrem tractar amb el seu consentiment, o per formular, exercir o defensar-nos de

reclamacions, o per tal de protegir els drets d'una altra persona física o jurídica, o per raons d'interès

públic.

Com es poden exercir els drets?

Mitjançant un escrit adreçat a l’adreça que figura a l’encapçalament del full d’encàrrec. Amb molt de

gust atenem els suggeriments dels clients i responem les sol·licituds d’informació o d’aclariments. Si es


considera que els drets no s’han atès adequadament, es pot presentar una reclamació davant l’Agència

Espanyola de Protecció de Dades, calle Jorge Juan, 6, 28001 Madrid (www.agpd.es).

II

[Informació complementària, en virtut dels articles 22 i 23 de la Llei 17/2009, de 23 de novembre, sobre

el lliure accés a les activitats de serveis i el seu exercici (suplement català del BOE de 24 de novembre de

2009). Només cal fer-la constar en cas que el client ho demani].

1) Aquest document recull les obligacions per a qualsevol persona prestadora de serveis previstes en

la Llei 17/2009, de 23 de novembre, sobre el lliure accés a les activitats de serveis i el seu exercici.

2) Que l’ADVOCAT/DA sotasignat/da compleix tots els requisits de qualificació i de col·legiació

legalment exigibles.

3) Que, en l’exercici professional i d’acord amb el que estableix la Llei 17/2009, l’ADVOCAT/DA resta

sotmès als estatuts col·legials, a la Normativa de l’advocacia catalana i a l’Estatut general de l’advocacia

espanyola. Aquesta normativa es pot consultar a través de la pàgina web del Consell dels Il·lustres

Col·legis d’Advocats de Catalunya (www.cicac.cat).

4) Que el/la CLIENT/A ha de poder adreçar-se a l’ADVOCAT/DA sol·licitant informació i per reclamacions

mitjançant qualsevol de les dades de contacte esmentades en aquest full d’encàrrec. Es donarà resposta

a les reclamacions presentades en el termini màxim d’un mes a comptar des de la data en la que s’hagi

rebut la reclamació i en la mateixa llengua en la qual s’hagi subscrit el contracte.

5) Que, en cas d’incompliment de les seves obligacions d’informació i en matèria de reclamacions, el

règim d’infraccions i sancions és el que hi ha establert en el títol IV del llibre I del text refós de la Llei

general per a la defensa dels consumidors i usuaris, sense perjudici del que estableixen les normes de

deontologia professional que regeixen l’exercici professional.

El/La CLIENT/A es declara informat/da de tots aquests aspectes.

Nom i signatura del CLIENT/A Nom i signatura de l’ADVOCAT/DA


Annex 6. POLÍTICA DE PROTECCIÓ DE DADES

POLÍTICA DE PROTECCIÓ DE DADES

Aquest text informa del tractament de dades que porta a terme [indicar nom del despatx / de l’assessoria jurídica / nom comercial o nom del / de la col·legiat/da] en l’exercici de les seves activitats d’assessorament i/o assistència jurídica, donant compliment al Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades o RGPD consultable des d’aquest enllaç) i a la Llei Orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals, consultable des d’aquest enllaç.

Qui és el responsable del tractament de les dades personals?

El responsable del tractament de les dades personals [nom del / de l’advocat/da] núm. ........., de l’Il·lustre Col·legi d’Advocats de Girona, amb domicili professional a [adreça postal completa], telèfon ......................, adreça electrònica ..... @ ......[deixar espai en blanc abans i després de @] i lloc web [www........ ].

Amb quina finalitat i amb quina legitimació tractem les dades?

Contacte. Atenem les consultes de les persones que se’ns adrecen per mitjà del correu electrònic, dels formularis de contacte de la web o telefònicament. Tractem aquestes dades amb el consentiment de la persona que se’ns ha adreçat. No es conserven les dades d’aquestes persones excepte que s’estableixi una relació de prestació de servei. Serveis als clients. Registrem les dades identificatives dels clients i ells mateixos ens proporcionen dades addicionals (principalment dades d’ocupació, de circumstàncies socials, de formació, dades familiars, econòmiques i financeres), les necessàries per a oferir els serveis que ens demanen. Dels mateixos clients podem obtenir dades de terceres persones, que conservem i tractem en la mesura que sigui necessari per oferir els nostres serveis. En qualsevol cas destinem les dades únicament a aquesta finalitat. Queden registrades en els documents de les nostres actuacions i en els documents i sistemes informàtics de gestió administrativa i comptabilitat del despatx. Aquests tractaments s’efectuen en compliment de relacions contractuals (art. 6.1.b RGPD) i d’obligacions legals (art. 6.1.c RGPD). Gestió de les dades dels nostres proveïdors. Tractem les dades de contacte i les dades fiscals dels proveïdors (persones físiques) de qui obtenim serveis o béns. Tractem només les dades necessàries per mantenir la relació comercial i destinem aquestes dades únicament a aquesta finalitat, en el context de les relacions contractuals i en compliment d’obligacions legals. Informació de productes i serveis. Amb l’autorització del client les seves dades de contacte s’utilitzen per enviar informació relacionada amb els nostres serveis o productes. Tractem aquestes dades en base al consentiment de la persona que rep les comunicacions (art. 6.1.a RGPD). Usuaris de la nostra web. El sistema de navegació i el programari que possibilita el funcionament de la nostra web registren de manera automàtica les dades que ordinàriament es generen en l'ús dels protocols d'Internet, entre altres l'adreça IP o el nom de domini de l'ordinador utilitzat per la persona que vista la web. Aquesta


informació no s'associa directament amb persones usuàries concretes i s'utilitza amb la finalitat exclusiva d'obtenir informació estadística. La nostra web utilitza galetes (cookies) que permeten obtenir informació tècnica per facilitar-ne l'accessibilitat i un ús més eficient. Videovigilància. En l’accés al nostre despatx s’informa de l’existència de càmeres de videovigilància mitjançant els rètols homologats. Les imatges s’enregistren com a mesura de seguretat, per preservar els interessos legítims del despatx (art. 6.1.f RGPD). Es conserven durant el termini màxim d’un mes, excepte que s’hagin de posar a disposició dels cossos i forces de seguretat.

A qui es comuniquen les dades?

Com a criteri general únicament comuniquem dades dels nostres clients quan és necessari per al compliment dels encàrrecs rebuts. Comuniquem dades a òrgans judicials o a administracions públiques actuant en interès i representació dels clients. Amb el coneixement previ del client també es poden comunicar les seves dades a persones amb les que ell té relació de transcendència jurídica, i a altres professionals amb els que col·laborem en la prestació de serveis. En la facturació dels nostres serveis podem comunicar dades a entitats bancàries.

El nostre despatx obté els serveis de persones o empreses, per exemple informàtiques o d’assessoria, que ens aporten la seva experiència i especialització. En algunes ocasions han de tractar dades personals responsabilitat del despatx. Aquest accés no constitueix pròpiament una cessió de dades sinó un encàrrec de tractament (art. 4.8 RGPD), de manera que només poden tractar les dades per oferir-nos els seus serveis, sense poder-les destinar a altres finalitats. En el moment de la contractació es formalitzen les seves obligacions de confidencialitat i fem un seguiment de la seva actuació.

No es fan transferències de dades fora de l’àmbit de la Unió Europea (transferència internacional).

Quant de temps conservem les dades?

Complim l’obligació legal de limitar al màxim el termini de conservació de les dades. Per aquest motiu es conserven només el temps necessari i justificat per la finalitat que en va motivar l’obtenció. En determinats casos, com el de les dades que figuren en la documentació comptable i la facturació, la normativa fiscal obliga a conservar-les fins que no prescriguin les responsabilitats en aquesta matèria.

En el cas de les dades que es tracten en base al consentiment de la persona interessada, per exemple quan ens han autoritzat a enviar informació dels nostres serveis, les dades es conserven fins que aquesta persona revoca aquest consentiment. Les imatges obtingudes per les càmeres de videovigilància es conserven com a màxim durant un mes, si bé en el cas d’incidents que ho justifiquin es conservaran el temps necessari per facilitar les actuacions dels cossos i forces de seguretat o dels òrgans judicials.

Quins drets tenen les persones en relació a les dades que tractem?

Les persones de qui tractem dades tenen els drets següents:

A accedir-hi. Dret a saber quines dades personals són objecte de tractament, quina és la finalitat per la que es tracten, les comunicacions a altres persones, el dret a obtenir-ne còpia o a saber el termini previst de conservació.

A demanar-ne la rectificació. Dret a fer rectificar les dades inexactes.

A demanar-ne la supressió. Dret a demanar la supressió de les dades quan, entre altres motius, no siguin necessàries per als fins per als quals van ser recollides i en van justificar el tractament.

Demanar la limitació del tractament. En determinades circumstàncies existeix el dret a demanar la limitació del tractament de les dades: deixaran de ser tractades i només es conservaran per a l'exercici o la defensa de reclamacions.


A la portabilitat. Dret a obtenir les dades personals en un format d'ús comú llegible per màquina, i a transmetre-les a un altre responsable del tractament si així ho decideix l’interessat.

A oposar-se al tractament. En adduir motius relacionats amb la seva situació particular, una persona ens pot demanar que deixem de tractar les seves dades si li pot comportar un perjudici.

Com es poden exercir o defensar els drets? Els drets que acabem d’enumerar es poden exercir adreçant-nos una comunicació a la nostra adreça postal o bé enviant un correu electrònic a l’adreça indicada a l’encapçalament. Si una persona considera que no ha obtingut resposta satisfactòria en l’exercici dels drets, pot presentar una reclamació davant l'Agència Espanyola de Protecció de Dades, per mitjà dels formularis o altres canals accessibles des de la seva pàgina www.agpd.es.


Annex 7. INFORMACIÓ SOBRE EL TRACTAMENT DE DADES DELS EMPLEATS i RESUM

D’OBLIGACIONS EN EL TRACTAMENT DE DADES PERSONALS.

I. Informació sobre el tractament de les dades de l’empleat.

El despatx de [nom del col·legiat/da] és el responsable del tractament de les dades dels seus empleats.

Gestiona l’expedient personal de cada empleat, efectua els tractaments necessaris per a l’elaboració i

abonament de la nòmina i les comunicacions a la Seguretat Social, tracta les dades en compliment de la

normativa de salut laboral i pot obtenir també dades per mitjà dels sistemes de control de presència.

Tots aquests tractaments es fonamenten en la necessitat de donar compliment a obligacions legals i en

el manteniment de la relació contractual.

Els tractaments de les dades dels empleats consten en el Registre de les activitats de tractament. El

despatx pot donar accés a determinades dades dels seus treballadors a fi i efecte d’obtenir determinats

serveis. És el cas d’empreses que ofereixen suport informàtic, assessories, empreses que fan formació o

que ajuden al compliment de la normativa de salut laboral. Aquests proveïdors només poden tractar les

dades per les finalitats i funcions encarregades i prèvia formalització del seu compromís de tractar-les

de manera confidencial.

En relació al tractament de les seves dades cada treballador té els drets següents.

• A accedir-hi. Dret molt ampli que inclou el de saber amb precisió quines dades personals són objecte de tractament, quina és la finalitat per la que es tracten, les comunicacions a altres persones que se’n faran (si és el cas) o el dret a obtenir-ne còpia o a saber el termini previst de conservació.

• A demanar-ne la rectificació. És el dret a fer rectificar les dades inexactes que siguin objecte de tractament per part nostra.

• A demanar-ne la supressió. En determinades circumstàncies existeix el dret a demanar la supressió de les dades quan, entre altres motius, ja no siguin necessàries per als fins per als quals van ser recollides i en van justificar el tractament.

• A demanar la limitació del tractament. També en determinades circumstàncies es reconeix el dret a demanar la limitació del tractament de les dades.

• A la portabilitat. En els casos previstos a la normativa es reconeix el dret a obtenir les dades personals pròpies en un format estructurat d'ús comú llegible per màquina, i a transmetre-les a un altre responsable del tractament si així ho decideix la persona interessada.

• A oposar-se al tractament. Una persona pot adduir motius relacionats amb la seva situació particular, motius que comportaran que es deixin de tractar les seves dades en el grau o mesura que li pugui comportar un perjudici, excepte per motius legítims o l'exercici o defensa davant reclamacions.

Els drets que acabem d’enumerar es poden exercir adreçant-se directament a [nom del col·legiat/da]. Si

no s’ha obtingut resposta satisfactòria en l’exercici dels drets és possible presentar una reclamació

davant l’Agència Espanyola de Protecció de Dades (www.agpd.es) per mitjà dels formularis o altres

canals accessibles des de la seva web

II. Obligacions i mesures de seguretat a implantar.

Per donar compliment a la normativa de protecció de dades és del tot imprescindible la col·laboració

activa de totes les persones que treballen al despatx. És obligatori assumir els principis establerts per

aquesta normativa i aplicar les mesures de seguretat que s’indiquen a cada moment. S’ha de garantir


que les dades personals que figuren en els documents i sistemes informàtics siguin tractades i utilitzades

de forma correcta, en benefici dels clients i de les altres persones que es relacionen amb el despatx. Per

aquests motius cal fer especial atenció a les indicacions següents.

1. Responsabilitat personal. Totes les persones que en el desenvolupament del seu treball tinguin accés

a dades de caràcter personal han de complir les instruccions que se li comuniquin. Estan obligades a

assumir com a propis i aplicar els criteris i les mesures necessàries per evitar l’alteració, destrucció i

pèrdua de les dades de manera accidental o il·lícita, així com el seu accés i la seva comunicació no

autoritzades.

2. Secret professional. Existeix el deure de guardar el secret professional en relació a les dades que es

coneguin en el desenvolupament de les tasques pròpies del lloc de treball, obligació que subsisteix un

cop finalitzada la relació amb el despatx.

3. Comunicació de dades. Com a criteri general les dades de caràcter personal només poden ser

comunicades a la persona interessada. La comunicació de les dades a altres persones o a institucions

públiques es pot efectuar únicament en els casos previstos en la normativa o en compliment de les

relacions contractuals amb els clients. Cal consultar els casos en els que es presentin dubtes sobre

comunicació de dades.

4. Drets de les persones de qui es tracten dades. La persona interessada pot exercir els seus drets

d’accés a les dades, de rectificació, oposició o limitació del tractament i supressió. Es tracta de drets

plenament reconeguts però que requereixen de la identificació prèvia de la persona sol·licitant i seguir

determinades formalitats. Excepte autorització prèvia i expressa per atendre aquests drets, correspon al

titular del despatx donar-hi resposta. Les sol·licituds que es rebin se li han de traslladar de manera

immediata per tal que puguin ser ateses el més aviat possible.

5. Finalitats del tractament. Les dades personals s’utilitzaran únicament per a les finalitats que n’hagin

justificat la seva recollida i tractament. No s’han de tractar de manera incompatible amb aquestes

finalitats. El fet de que estiguin a disposició del despatx no permet fer-ne qualsevol ús. D’altra banda,

només poden ser tractades pel personal a qui correspongui segons les responsabilitats assignades i les

funcions pròpies del lloc de treball.

6. Actualització i conservació. S’ha de procurar que les dades estiguin actualitzades. Cal adoptar les

mesures raonables perquè es rectifiquin sense dilació les dades personals que siguin inexactes. D’altra

banda, les dades s’han de conservar durant els terminis establerts legalment. Abans del venciment

d’aquests terminis a petició de cada persona es poden eliminar les seves dades quan el tractament que

se’n fa depèn exclusivament de la seva voluntat (per exemple dades de contacte en una llista de

distribució d’informació).

7. Lloc de treball. Cada persona és responsable del lloc de treball des del qual desenvolupa la seva

activitat laboral, i dels recursos que s’hi hagin destinat. Per aquest motiu ha d’aplicar-hi les mesures de

seguretat aprovades i les que, per sentit comú, siguin adequades per garantir la confidencialitat de la

informació. En aquest sentit s’ha de garantir que la informació que es mostri a la pantalla de l’ordinador

no sigui visible per a persones no autoritzades, o adoptar mesures per evitar que les comunicacions

verbals (relacions presencials o comunicacions telefòniques) comportin la divulgació d’informació

reservada.

8. Identificadors personals. Cadascú és responsable de la confidencialitat de la contrasenya o

contrasenyes que li permeten accedir als sistemes d’informació i a les dades. No es pot comunicar a una

altra persona. L’incompliment d'aquesta obligació seria una falta contra la seguretat. En el cas que una

contrasenya arribi a ser coneguda fortuïtament o fraudulentament per altres persones cal comunicar-ho

per a poder procedir al seu canvi o anul·lació.

9. Documents en suport paper. En els documents en suport paper figuren dades de caràcter personal.

Per aquest motiu cal adoptar les mesures necessàries per a garantir-ne la seguretat, integritat i

confidencialitat. Cada persona és responsable de la documentació en paper que estigui utilitzant o tingui

en custòdia. S’han de guardar de manera que no quedi accessibles a persones no autoritzades. Quan


s’hagin d’eliminar s’ha de fer de manera segura, evitant que les dades puguin ser conegudes per

persones no autoritzades.

10. Incidències. Qualsevol persona que conegui alguna incidència en relació al tractament de les dades

ho ha de notificar per a deixar-ne constància en el registre d’incidències. El coneixement i la no

notificació d'una incidència pot ser considerada una falta contra la seguretat. Tenen la consideració

d’incidència la pèrdua d’un suport de còpia o dispositiu on figuraven dades, el coneixement de la

contrasenya personal per part d’una altra persona, l’accés a dades per part de persona no autoritzada,

la troballa de documents amb dades personals en llocs que no en garanteixen la confidencialitat,

l’enviament de correu a llista de destinataris fent visibles les adreces dels destinataris, o altres que hagin

afectat o puguin afectar la confidencialitat i/o el tractament correcte de les dades.

11. Instal·lació de programes. Cap persona pot instal·lar en els sistemes informàtics o descarregar

d’Internet, reproduir, utilitzar o distribuir programes, inclosos els estandarditzats i els de caràcter

gratuït, sense autorització prèvia i expressa.

12. Sistemes externs. No s’autoritza la utilització de serveis informàtics externs, com ara serveis

d’emmagatzematge al núvol, que no hagin estat aprovats i/o contractats pel despatx. No es poden

utilitzar suports de còpia per guardar-hi informació d’accés restringit si no són suports proporcionats pel

despatx.

13. Usos dels sistemes d’informació. La seguretat de les dades personals i el compliment general de la

normativa sobre protecció de dades exigeix un ús correcte dels recursos informàtics. No es poden

utilitzar de forma que interfereixin les tasques i funcions assignades ni el normal funcionament

d’aquests recursos informàtics. Tots els recursos i sistemes que es poden a disposició del personal,

inclòs el correu electrònic corporatiu i l’accés a Internet, són eines de treball que han de servir

exclusivament per a desenvolupar les tasques i funcions assignades a cadascú. No es poden destinar a

altres finalitats.

14. Verificacions. Es verifica regularment la correcta utilització d’aquests recursos i sistemes. Aquesta

comprovació es fa de forma respectuosa amb els drets dels treballadors. Es poden fer controls

automatitzats sobre l’accés a internet i l’ús del correu electrònic, per tal de vetllar pel normal

funcionament del sistema (volum de trànsit, volum dels missatges enviats, etc.) i per tal de verificar que

efectivament s’utilitzen per a les finalitats pròpies.

-------------------------------------------------------------------------------------------------------------------

Recepció de la informació sobre tractament de dades i sobre funcions i obligacions

La persona sotasignant declara haver rebut el document on se m’informa del tractament de les meves

dades que es porta a terme al despatx de [nom del col·legiat/da], així com de les funcions i obligacions

que em corresponen en relació al tractament de dades personals.

Acuso rebut d’aquest document a [localitat] el dia [data completa].

Nom i signatura


Annex 8. COMPROMÍS DE RESPECTE AL SECRET PROFESSIONAL I RESERVA SOBRE LES DADES

PER PART DE COL·LABORADOR/A

[nom i cognoms del / de la col·laborador/a] amb DNI núm.****_ _ _ _ *.

Amb motiu de la realització dels treballs que portaré a terme al despatx / assessoria jurídica pròpia de

[nom del col·legiat/da] , em comprometo a observar estrictament el secret professional en relació a les

dades personals a les que pugui tenir accés en el desenvolupament de les tasques i actuacions que

portaré a terme. Aquest deure el mantindré també en relació a qualsevol altra informació que mereixi

reserva d’acord amb la Llei.

En aplicació d’aquest deure de secret professional em comprometo a no divulgar ni posar a disposició de

tercers les citades dades i informació, ni totalment ni en part, ni directament ni indirecta, excepte quan

la comunicació sigui necessària per al desenvolupament de les tasques i treballs que portaré a terme..

Em comprometo així mateix a no copiar aquestes dades o informació, ni alterar-les en perjudici de la

veritat, ni utilitzar-les per a finalitats diferents a les que van motivar la seva obtenció.

Amb la signatura d’aquest document em comprometo també a respectar tots els procediments i

mesures de seguretat implantades per garantir-ne la confidencialitat.

Entenc i accepto que el conjunt d'obligacions derivades del secret professional que assumeixo perduren

una vegada hagi finalitzat la meva relació amb el despatx.

[Lloc], [data completa]

Signatura


Annex 9. COMPROMÍS DE RESPECTE AL SECRET PROFESSIONAL I RESERVA SOBRE LES DADES

PER PART DE PERSONA EN PERÍODE DE PRÀCTIQUES

[nom i cognoms de la persona que efectuarà les pràctiques] amb DNI núm.****_ _ _ _ *

En el moment d’iniciar el període de pràctiques al despatx / assessoria jurídica pròpia de [nom del

col·legiat/da] en compliment de la normativa de protecció de dades de caràcter personal, em

comprometo a observar estrictament el secret professional en relació a les dades a les que tindré accés

en el desenvolupament de les tasques i actuacions que portaré a terme. Aquest deure el mantindré

també en relació a qualsevol altra informació que mereixi reserva d’acord amb la Llei.

En aplicació d’aquest deure de secret professional em comprometo a no divulgar ni posar a disposició de

tercers les citades dades i informació, ni totalment ni en part, ni directament ni indirecta, excepte quan

la comunicació sigui necessària per al desenvolupament de les tasques i treballs que portaré a terme..

Em comprometo així mateix a no copiar aquestes dades o informació, ni alterar-les en perjudici de la

veritat, ni utilitzar-les per a finalitats diferents a les que van motivar la seva obtenció.

Amb la signatura d’aquest document em comprometo també a respectar tots els procediments i

mesures de seguretat implantades per garantir-ne la confidencialitat.

Entenc i accepto que el conjunt d'obligacions derivades del secret professional que assumeixo perduren

una vegada hagi finalitzat la meva relació amb el despatx.

[Lloc], [data completa]

Signatura


Annex 10. MODEL CONTRACTE ENCÀRREC DE TRACTAMENT DE DADES. GESTORIA

ENCÀRREC DE TRACTAMENT DE DADES DE CARÀCTER PERSONAL

Contracte amb assessoria

R E U N I T S

D’una part,

el/la Sr./Sra. [nom i cognoms], titular del despatx / assessoria jurídica [nom comercial], DNI [número],

domicili professional a [adreça completa] i adreça electrònica [adreça electrònica].

D’altra part,

el/la Sr./la Sra. [nom i cognoms], DNI [número], en nom i representació de [nom de la gestoria], en la

seva qualitat de [càrrec], amb CIF [número], domicili [adreça completa] i adreça electrònica [adreça

electrònica] (en endavant la GESTORIA).

Es reconeixen mútuament i recíproca, capacitat per actuar i

E X P O S E N

A) Que [nom del col·legiat/da] ha contractat a la GESTORIA serveis d’assessorament i suport en matèria

comptable, fiscal i laboral.

B) Que, per a la prestació d’aquests serveis la GESTORIA haurà de tractar dades de caràcter personal

responsabilitat de [nom del col·legiat/da].

C) Que la GESTORIA es troba al corrent del compliment de la normativa vigent en matèria de protecció de dades, incloses les mesures exigides pel Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades (Reglament General de Protecció de Dades o RGPD) i la Llei Orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals. Compleix els procediments i mesures de seguretat exigits per aquesta normativa i, en conseqüència, pot assumir amb plenes garanties la prestació d’aquests serveis.

D) Que l’esmentada normativa exigeix que l’encàrrec de prestació d’un servei que comporti el tractament

de dades de caràcter personal, s’ha de formalitzar amb la signatura d’un document en el que constin les

obligacions de qui rep aquest encàrrec en relació al tractament d’aquestes dades.

I per aquests motius, les parts subscriuen el present document d’acord amb les següents

C L À U S U L E S

PRIMERA.- Objecte


Mitjançant la signatura d’aquest document s’autoritza a la GESTORIA a tractar per compte de [nom del

col·legiat/da], responsable del tractament en els termes de l’article 4.7 del Reglament General de

Protecció de Dades, les dades de caràcter personal necessàries per prestar el servei d’assessorament i

suport en matèria comptable, fiscal i laboral. La GESTORIA tractarà les dades en qualitat d’encarregat del

tractament en els termes de l’article 4.8 de l’esmentat Reglament, per al compliment de les finalitats

següents: assessorament en el compliment d’obligacions comptables i fiscals, elaboració o revisió de la

comptabilitat, comunicacions a l’administració tributària, elaboració i gestió de la nòmina del personal,

gestió d’altes i baixes, comunicacions a la Seguretat Social i actuacions connexes o derivades d’aquestes

finalitats. El tractament comportarà l’obtenció, registre, consulta, elaboració, modificació i comunicació

per transmissió de dades de caràcter personal. El tractament s’efectuarà en equips propis de la

GESTORIA.

SEGONA.- Informació afectada

Per a la prestació del servei [nom del col·legiat/da] autoritza a la GESTORIA el tractament de la següent

informació:

• dels empleats: dades identificatives, circumstàncies personals, acadèmiques, d’ocupació, financeres i de salut.

• dels clients i proveïdors: dades identificatives, d’ocupació, financeres, comercials, transaccions.

TERCERA.- Durada de l’encàrrec de tractament

Aquest encàrrec de tractament de dades serà vigent mentre ho sigui la relació contractual de prestació

de serveis acordada entre les parts a la que es fa referència a la part expositiva d’aquest document.

QUARTA.- Obligacions de la GESTORIA

1. La GESTORIA s’obliga a:

a) Utilitzar les dades personals objecte de tractament només per a la finalitat objecte d’aquest encàrrec. En cap cas podrà utilitzar les dades per a finalitats diferents.

b) Tractar les dades d’acord amb les instruccions que rebi del responsable del tractament. Si la GESTORIA considera que alguna de les instruccions rebudes és contrària a una norma legal, ho ha de comunicar al responsable de manera immediata.

c) Registrar documental els tractaments de dades que porta a terme, amb els continguts exigits per

l’article 30 del RGPD.

d) Disposar d’una descripció de les mesures tècniques i organitzatives de seguretat que aplica.

e) No comunicar les dades a terceres persones, excepte amb l’autorització expressa del responsable

del tractament, en els supòsits legalment admissibles i en consonància amb les finalitats pròpies

de l’encàrrec rebut.

f) Comunicar les dades a altres encarregats del tractament seguint instruccions del responsable del

tractament, qui haurà d’identificar, prèviament i per escrit, a qui s’han de comunicar les dades, les

dades a comunicar i les mesures de seguretat que cal aplicar per procedir a la comunicació.

g) Informar al responsable del tractament, de manera prèvia, si per complir l’encàrrec rebut ha de

transferir dades a un país tercer (no membre de la Unió Europea), excepte que la normativa vigent

ho prohibeixi per raons d’interès públic.

h) Mantenir el deure de secret respecte de les dades de caràcter personal a les quals tingui accés en

virtut d’aquest encàrrec, sense límit temporal, fins i tot després que finalitzi la relació contractual.

i) Garantir que les persones de la Gestoria que tractaran les dades personals s’hagin compromès, de

forma expressa i per escrit, a respectar la confidencialitat i a complir les mesures de seguretat

corresponents, havent-los informat convenientment de les seves obligacions. Garantir la formació

d’aquestes persones en matèria de protecció de dades.


j) Col·laborar si s’han d’efectuar avaluacions d’impacte relatives a la protecció de dades, o si s’han de

formular consultes prèvies a l’autoritat de control.

k) Posar a disposició de [nom del col·legiat/da] la informació acreditativa del compliment de les seves

obligacions, i facilitar-la quan correspongui efectuar auditories o inspeccions.

l) Implantar les mesures de seguretat adequades per garantir la seguretat, disponibilitat i

confidencialitat de les dades. En tot cas implantarà mecanismes per:

o Garantir la confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i recursos destinats al tractament.

o Garantir en cas d’incident la restauració de la disponibilitat i l’accés a les dades personals de forma ràpida.

o Operar, quan sigui possible i necessari, amb les dades xifrades o seudonimitzades. o Efectuar la verificació, avaluació i valoració regulars de l’eficàcia de les mesures tècniques i

organitzatives que garanteixen l’eficàcia del tractament.

2. [nom del col·legiat/da] podrà verificar que la GESTORIA compleixi les seves obligacions. Podrà

demanar i obtenir de la GESTORIA la informació que consideri necessària per verificar-ho.

CINQUENA.- Interlocutors

Als efectes del bon compliment de les relacions contractuals entre les parts en relació al tractament de

les dades personals, l’encarregat del tractament i el responsable del tractament informen que les

persones que actuaran com a interlocutors en matèria de protecció de dades són les que figuren a

l’encapçalament d’aquest document

SISENA.- Violacions de seguretat

1. La GESTORIA ha d’informar, sense dilació i en qualsevol cas en el termini màxim de 24 hores, de les

violacions de la seguretat que afectin les dades personals objecte del tractament. Proporcionarà també

la informació rellevant per documentar i comunicar la incidència. La informació es proporcionarà per

mitjà de correu electrònic i haurà d’incloure almenys la informació següent:

• Descripció de la naturalesa de la violació de la seguretat informant, quan sigui possible, les categories i el nombre aproximat d'interessats afectats, i les categories i el nombre aproximat de registres de dades personals afectats.

• Descripció de les possibles conseqüències de la violació de la seguretat.

• Descripció de les mesures adoptades o proposades incloses, si escau, les mesures adoptades per limitar els possibles efectes negatius.

2. Si no és possible facilitar tota la informació de manera immediata, la informació s’ha de facilitar de

manera gradual però sense dilació.

SETENA.- Subcontractació

1. La GESTORIA no subcontractarà cap de les prestacions objecte d’aquest document si comporten un

tractament de dades personals, excepte els serveis auxiliars necessaris i ordinaris per al normal

funcionament dels serveis de l’encarregat.

2. No obstant, si excepcionalment ha de subcontractar algun tractament, ho haurà de comunicar

prèviament i per escrit, amb una antelació mínima de quinze dies naturals, informant dels tractaments

que es volen subcontractar i, de forma clara i inequívoca, de la identitat del subcontractista. La

subcontractació es podrà dur a terme si [nom del col·legiat/da] no manifesta la seva oposició abans del

venciment del termini.


3. En el cas indicant en el punt anterior, el subcontractista, que assumirà també la condició d’encarregat

del tractament, estarà obligat igualment a complir les obligacions que aquest document estableix per a

la GESTORIA. Correspon a la GESTORIA regular la nova relació, de manera que el nou encarregat quedi

subjecte a les mateixes condicions (instruccions, obligacions, mesures de seguretat), en els mateixos

termes i amb el mateix nivell de garanties per als drets de les persones afectades. Si el subencarregat ho

incomplís la GESTORIA continuarà essent plenament responsable pels perjudicis que es puguin causar.

VUITENA.- Exercici dels drets per part dels interessats

1. La GESTORIA assistirà a [nom del col·legiat/da] en la resposta a l’exercici dels drets que la normativa

de protecció de dades reconeix a les persones interessades:

• Accés a les dades, rectificació, supressió i oposició al tractament.

• Limitació del tractament

• Portabilitat de les dades

• No ser objecte de decisions per processos automatitzats, inclosa elaboració de perfils.

2. Quan les persones afectades exerceixin els seus drets davant la GESTORIA, aquesta ho ha de

comunicar a [nom del col·legiat/da] per escrit en el termini màxim d’un dia (dies laborables) a partir del

moment en el que s’hagi rebut la sol·licitud. Li lliurarà també tota la informació que pugui ser rellevant

per resoldre la sol·licitud.

NOVENA.- Resolució de l’encàrrec i destí de les dades

1. Amb la resolució de la relació contractual la GESTORIA lliurarà les dades de caràcter personal que

custodiï. Si [nom del col·legiat/da] ho determinés, la GESTORIA lliurarà a un nou encarregat, les dades de

caràcter personal i, si escau, els suports on constin.

2. En qualsevol cas, amb la resolució de la relació contractual la GESTORIA deixarà de tractar les dades,

però podrà conservar-ne una còpia, amb les dades degudament bloquejades i sense que puguin ser

objecte de tractament, mentre es puguin derivar responsabilitats de l’execució de la prestació.

DESENA.- Llei aplicable i fur

El contingut del present document es regirà i interpretarà conforme a la normativa vigent en matèria de

protecció de dades de caràcter personal. Per a les controvèrsies que es poguessin produir en la seva

aplicació i interpretació, les parts es sotmetran a la competència dels tribunals de la ciutat de

[especificar] amb renúncia a qualsevol altre fur que els pogués correspondre.

[per signatura en suport paper]

I en prova de conformitat, ambdues parts signen el present document en el lloc i data que figura al peu.

Lloc i data Lloc i data

[per signatura electrònica]

I en prova de conformitat, ambdues parts signen el present document en el lloc indicat a continuació i

en la data de la signatura electrònica.


Annex 11. MESURES DE SEGURETAT

S’enumeren les mesures de seguretat en el tractament de les dades personals que aplica [nom del col·legiat/da] en l’exercici de la seva activitat professional.

• Els sistemes i equips informàtics utilitzats per a l’emmagatzematge i el tractament de les dades

personals es mantenen actualitzats.

• En els ordinadors i dispositius on es realitza el tractament de les dades es disposa de sistema d'antivirus per evitar, tant com sigui possible, el robatori i destrucció de la informació i dades personals. El sistema s’actualitza de forma periòdica.

• Cada lloc de treball està sota la responsabilitat de la persona a qui se li ha assignat. Ha de garantir la confidencialitat de la informació que des d’allà es pot veure o tractar.

• Quan un lloc de treball s'abandona temporalment i quan finalitza la jornada laboral, queda en un estat que no permet l’accés a informació o dades reservades.

• En l’alta d’un nou usuari (empleat o col·laborador) s’atorga un perfil i privilegis d’accés específics en funció de les tasques a realitzar.

• Cada usuari és responsable de la confidencialitat de la seva contrasenya o contrasenyes. Es renovarà almenys un cop a l’any, ha de ser específica (no pot ser la mateixa que s’utilitzi per altres finalitats) i d’almenys 8 caràcters (lletres i números).

• S’efectuen còpies de seguretat de manera regular, ordinàriament de forma diària i mai més tard de set dies.

• L’enregistrament de dades en un dispositiu o suport (portàtil, memòria USB o similars) només s’efectua quan és imprescindible. Aquests dispositius hauran d’estar protegits de manera que no hi puguin tenir accés persones no autoritzades.

• Els expedients, dossiers, llistats o qualsevol classe de document en paper que contenen dades de caràcter personal es tracten de forma que se’n garanteix la reserva. Els armaris i calaixos es tanquen per tal que el contingut no sigui accessible a persones no autoritzades.

• En els trasllats de la documentació en paper s’adopten les mesures de seguretat suficients per a evitar-ne la sostracció, pèrdua o un accés indegut.

• Les transmissions s’efectuaran sempre de manera segura, per canals o mitjans que garanteixin la confidencialitat.

• L’eliminació de documents que continguin dades de caràcter personal s’efectuarà amb un sistema que impossibiliti la visualització o comprensió, o la seva recuperació.

• Es documenten les incidències anotant: tipus d'incidència, data i hora en què es produeix, persona que realitza la notificació, efectes que pot produir, descripció detallada de la incidència, seguiment, mesures adoptades.

• Quan una incidència constitueixi una violació de seguretat es comunicarà a l’Agència Espanyola de Protecció de Dades (www.agpd.es) pel seu canal de notificacions, en un termini màxim de 72 hores. No serà obligatori notificar-la quan la violació de la seguretat no constitueixi un risc per als drets i llibertats de les persones. En els casos previstos a l’art. 34 del RGPD les violacions de seguretat es comunicaran també als afectats.

•

Mesures vigents a partir de la data de la signatura.

[Localitat i data]

Signatura


Annex 12. DRETS EN RELACIÓ AL TRACTAMENT DE LES DADES

• Drets dels interessats. Drets regulats als articles 15 a 22 del RGPD. Es tracta de drets que es reconeixen a cada persona en relació al tractament de les seves dades personals per part de qualsevol persona: d’accés (a les dades), de rectificació, de supressió o dret a l’oblit, a la limitació del tractament, a la portabilitat de les dades, d’oposició al tractament i a no ser objecte d’una decisió basada únicament en un tractament automatitzat.

• Dret d’accés. Dret a obtenir confirmació de si s’estan tractant o no dades personals pròpies d’una persona i, en cas afirmatiu, dret a accedir a les dades personals i a la informació sobre les finalitats del tractament, les categories de dades personals que es tracten, els destinataris o les categories de destinataris als quals s’han comunicat o es comunicaran les dades, el termini previst de conservació de les dades personals o els criteris utilitzats per determinar aquest termini, l’origen de les dades personals si no s'han obtingut de l'interessat, entre altres.

• Dret de rectificació. Dret a que es modifiquin les dades incorrectes o que es completin si no són completes.

• Dret de supressió o dret a l’oblit. Dret a fer suprimir les dades principalment quan no són necessàries per a les finalitats per a les quals es van obtenir, quan es revoca el consentiment i el tractament es fonamentava únicament en el consentiment, quan les dades es tractaven il·lícitament. No es pot atendre l’exercici del dret de supressió principalment quan el tractament sigui necessari per exercir els drets a la llibertat d’expressió i d’informació, per complir una obligació legal, per finalitats d’arxiu en interès públic, investigació científica o històrica, o finalitats estadístiques o per formular, exercir o defensar-se davant reclamacions.

• Dret d’oposició. Facultat d’oposar-se al tractament de les dades per motius específics relacionats amb la situació personal de l’interessat. Aquest dret preveu que la persona interessada es pugui oposar al tractament de les seves dades en activitats de màrqueting directe: es pot oposar a l'elaboració de perfils relacionats amb el màrqueting esmentat i obligar a que es deixin de tractar amb aquesta finalitat.

• Dret a la limitació del tractament. Dret de la persona interessada a exigir que no es segueixin tractant les seves dades quan vulgui impugnar-ne l’exactitud, quan el tractament sigui il·lícit i l’interessat s’oposi a la supressió de les seves dades però sol·liciti la limitació del tractament, quan el responsable ja no necessita les dades personals per a les finalitats del tractament però l'interessat les necessita per formular, exercir o defensar reclamacions o quan l'interessat s'ha oposat al tractament i s’ha de verificar si els motius legítims del responsable prevalen sobre els de l'interessat.

• Dret a la portabilitat. Dret de l’interessat a sol·licitar al Responsable del tractament que transfereixi les dades personals a un altre Responsable del tractament. Aquest dret no s'aplica al tractament necessari per complir una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament.

• Dret a no ser objecte d’una decisió basada únicament en el tractament automatitzat. Dret a no ser objecte d’una decisió automatitzada, inclosa l’elaboració de perfils, quan produeixi efectes jurídics sobre l’interessat o l’afecti significativament d’una manera similar. Aquest dret no és d’aplicació, si la decisió és necessària per formalitzar o executar un contracte entre l'interessat i un responsable del tractament, està autoritzada per una norma legal o es basa en el consentiment explícit de l'interessat.

Guia i models RGPD i LOPDGDD - icag.cat 4-2019 Guia i models... · A part de la informació que ha...

Documents

Transcript of Guia i models RGPD i LOPDGDD - icag.cat 4-2019 Guia i models... · A part de la informació que ha...