Manual de Bones Pràctiques per a Funcionaris i Cossos Especials

Que no se t’escapin!

Manual de bones pràctiquesFUNCIONARIS I COSSOS ESPECIALS


La protecció de les dades de caràcter personal

i el seu tractament en l’àmbit de l’Administració pública



Man

ual d

e bo

nes

pràc

tiqu

es ·

FU

NC

ION

AR

IS I

CO

SS

OS

ES

PE

CIA

LS

Manual de bones pràctiquesLa protecció de les dades de caràcter personal i el seu tractament en l’àmbit de l’Administració pública

L’Agència Andorrana de Protecció de Dades

(APDA) és l’autoritat de control que vetlla per

la protecció de les dades de caràcter perso-

nal de les persones físiques. L’Agència actua

amb plena independència i objectivitat.

L’any 2003, en el marc de la Llei 15/2003

qualificada de protecció de dades perso-

nals (LQDP), es va crear l’APDA amb la

funció principal de vetllar pel compliment

del marc normatiu de la protecció de da-

des de caràcter personal així com per ges-

tionar el Registre Públic d’Inscripció de

Fitxers de Dades Personals. Es tracta d’un

òrgan de control que té el deure d’exercir

la potestat inspectora i sancionadora per

a les infraccions que vulnerin la normativa

en la matèria.

Amb aquest Manual de bones pràctiques

dirigit als treballadors de l’Administració

pública, l’APDA té l’objectiu de sensibilitzar

aquest col·lectiu en el tractament de les da-

des de caràcter personal i oferir-li una eina

pràctica de consulta com a recordatori dels

principis bàsics que regula la llei.

El contingut d’aquest manual està dirigit

a tots els treballadors de les diferents ad-

ministracions que mantenen contacte diari

amb el ciutadà i que han de tenir coneixe-

ments bàsics sobre la matèria per si poden

esdevenir responsables de tractament de

dades o simplement per poder informar el

ciutadà amb garanties.

El format pràctic i uns continguts didàctics i

entenedors fan que aquest manual el pugui

usar tothom que en algun moment del de-

senvolupament de la seva tasca hagi d’obte-

nir o controlar dades de caràcter personal.

ObjectiusÉs un manual d’aprenentatge de la Llei de

protecció de dades personals i té una doble

funció: fer la legislació més entenedora i, a

la vegada, servir de recordatori dels principis

bàsics de la regulació en aquesta matèria.

· Conèixer els conceptes bàsics relacionats

amb la protecció de dades.

· Conèixer en què consisteix el dret fona-

mental a la protecció de dades i el seu marc

normatiu general.

<< El Manual de bones pràctiques és la millor eina per complir amb eficiència els principis bàsics de la protecció de dades de caràcter personal. >>

www.apda.ad

1APDA

Manual de bones pràctiquesFuncionaris i cossos especials

La protecció de les dades de caràcter personali el seu tractament en l’àmbit

de l’Administració pública

2 Manual de bones pràctiques. Funcionaris i cossos especials 3APDA

Edita: Agència Andorrana de Protecció de Dades

Redacció: Joan Lluís Ibern

Disseny i maquetació: AON.ad

Impressió: Gràfi ques A4

Dipòsit legal: AND.1174-2011

I.S.B.N.: 978-99920-1-879-8

Sumari

Presentació

I. mANUAL de l’APDA

1. Introducció

2. Conceptes bàsics

3. marc normatiu general

3.1. Marc internacional

3.2. Legislació específi ca de protecció de dades a Andorra

3.3. Legislació nacional connexa

3.4. Llei 15/2003, del 18 de desembre, qualifi cada de protecció de dades personals (LQPD)

3.5. Àmbit d’aplicació de la LQPD

7

10

11

14

14

15

15

16

16


7. L’Agència Andorrana de Protecció de Dades (APDA)

7.1. Què és?

7.2. Potestats de l’APDA

7.3. Registre públic d’inscripció de fitxers de dades personals

II. PREGUNTES I SUPÒSITS

1. FAQ: les preguntes més freqüents

2. Supòsits pràctics

3. Supòsits concrets

III. GUIA RÀPIDA

1. Localitza els teus dubtes [índex de referències]

IV. ANNExoS

A1. Annex 1. Models i formularis

A2. Annex 2. Glossari de termes clau

41

41

41

42

44

49

61

86

92

93

4. Principis de la protecció de dades en la recollida i tractament de les dades personals

4.1. Qualitat de les dades

4.2. Consentiment de l’afectat

4.3. Dades sensibles

4.4. Confidencialitat i seguretat

4.5. Cessió de dades

4.6. Comunicació de dades entre administracions públiques

4.7. Prestadors de serveis

4.8. Comunicació internacional de dades

5. Drets dels ciutadans

5.1. Aspectes generals

5.2. Informació en la recollida de les dades

5.3. Decisions individuals automatitzades

5.4. Dret d’accés

5.5. Dret de rectificació

5.6. Dret d’oposició

5.7. Dret de cancel·lació o supressió

5.8. Dret d’indemnització

5.9. Dret de consulta al Registre públic d’inscripció de fitxers

5.10. Tutela dels drets

6. Subjectes obligats. Fitxers

6.1. Legalització de fitxers

18

18

19

22

24

26

27

28

29

30

30

31

32

33

34

35

36

37

38

38

39

39

Sumari


Presentació

L’Agència Andorrana de Protecció de Dades (APDA) té com a objectiu prioritari vetllar pel compliment del marc normatiu de la protecció de dades de caràc-ter personal. A més, entre d’altres funcions, també promou una cultura social de protecció del dret a la intimitat dels ciutadans. Amb aquesta darrera fi na-litat es posa en marxa la campanya DADES ni piu! Que no se t’escapin!, dirigida al personal de l’Admi-nistració pública. L’objectiu és sensibilitzar-vos de la importància d’adquirir uns coneixements bàsics en protecció de dades personals. En defi nitiva, es tracta d’ajudar-vos a dur a terme la vostra tasca dià-ria i, d’aquesta manera, incrementar la seguretat i les garanties en aquesta matèria.

Els treballadors de l’Administració pública us relaci-oneu quotidianament amb els ciutadans i les ciuta-danes, per la qual cosa són moltes les ocasions en què us convertiu en usuaris de dades i per això heu de saber actuar en consonància amb la responsabi-litat que comporten les vostres funcions. És impor-tant que pugueu tractar i processar aquestes dades personals amb unes mesures de seguretat bàsi-ques, que informeu els ciutadans dels seus drets i que, en cas de qualsevol dubte, consulteu l’APDA.

Amb el Manual de bones pràctiques per a fun-cionaris i cossos especials que s’emmarca dins d’aquesta campanya, l’Agència pretén posar al vos-tre abast totes les eines necessàries per capacitar-vos en la recollida i el tractament de dades de ca-ràcter personal, informar-vos de les actuacions que cal evitar i proporcionar-vos les bases per adaptar els vostres procediments a les previsions legals.

El contingut didàctic i pràctic del manual us propor-cionarà una visió més entenedora de la legislació, amb exemples il·lustratius dels punts més destaca-bles de la normativa. Aquest document esdevindrà un bon recurs de consulta ràpida a títol de recorda-tori dels principis bàsics de la regulació en la matè-ria. L’elaboració marca un abans i un després pel que fa a la divulgació de la legislació nacional sobre protecció de dades, perquè tracta de fer compren-siu tot el marc normatiu d’una manera àgil i planera, dotant les explicacions de supòsits pràctics que fan referència a l’Administració andorrana.

Amb l’eslògan de la campanya Ni piu! –expressió prou coneguda per tots (no dir ni piu, no dir res)–, hem tractat d’establir un paral·lelisme amb l’ocell, que simbolitza la fragilitat i la vulnerabilitat de les dades personals. Aquest concepte ens permet cloure l’eslògan amb el símil Que no se t’escapin! (Que no marxi –l’ocell– de les teves mans o de la gà-bia), és a dir, que posis les condicions necessàries perquè les dades que reculls o tractes no s’escapin de la confi dencialitat que exigeixen.

Desitgem que aquest esperit de protecció de les dades que us volem transmetre es manifesti dia rere dia en el desenvolupament de les vostres fun-cions. Els ciutadans posen la seva confi ança, al-guns cops fi ns i tot sense saber-ho, a les nostres mans, i per aquesta raó tenim l’obligació de no de-fraudar-los. Els hem de poder dir amb tota convic-ció que avui, però també demà, a l’Administració pública la seva imatge, la identitat, l’honor i la inti-mitat estan i estaran sempre segurs.

Joan Crespo Piedra Cap de l’Agència Andorrana de Protecció de Dades


Manual de l’APDA

I

1. Introducció

2. Conceptes bàsics

3. Marc normatiu general

4. Principis de la protecció de dades en la recollida i tractament de les dades personals

5. Drets dels ciutadans

6. Subjectes obligats. Fitxers

7. L’Agència Andorrana de Protecció de Dades (APDA)


1 Introducció

Tens a les mans una eina que et servirà per saber

com has de tractar les dades de caràcter personal

en la teva tasca diària de relació amb la ciutadania.

A més, et servirà de recordatori perquè davant de

qualsevol dubte puguis resoldre la situació amb

efi càcia i sense vulnerar els drets dels ciutadans.

L’objectiu del manual és doble: fer conèixer els

conceptes bàsics relacionats amb la protecció de

dades i fer conèixer en què consisteix el dret fo-

namental a la protecció de dades i quin és el seu

marc normatiu general.

El nom, els cognoms, l’adreça, fotografi es, l’ADN,

el número de passaport. Totes són dades que

identifi quen una persona, i estan protegides per

la legislació. Una persona facilita les seves dades,

per exemple, quan obre un compte al banc, quan

es matricula en un curs, quan reserva un vol, quan

participa en un concurs, quan va al metge, quan

busca feina o quan navega per Internet.

Queda clar, doncs, que pràcticament qualsevol

activitat quotidiana exigeix una recollida de dades

personals. En l’àmbit de l’Administració pública

passa exactament el mateix. Per al compliment de

les competències que tenen atribuïdes, les admi-

nistracions públiques han de tractar dades perso-

nals i gestionar-les. Els ciutadans han de facilitar

les seves dades personals quan van a l’hospital

Nostra Senyora de Meritxell, quan formulen una

instància en dependències comunals o governa-

mentals, quan inscriuen els fi lls a les activitats es-

portives i/o culturals, etc. Cal tenir present que les

noves tecnologies permeten la recollida i el tracta-

ment de dades personals, i aquestes es troben en

constant evolució. Per tant, és necessari atendre el

marc normatiu vigent.

L’Administració gestiona i administra informació

(obté, organitza, processa, distribueix, protegeix i

custodia informació), i per la seva funció constitu-

cional de servei efi cient als ciutadans i a l’interès

general, està obligada a adoptar i impulsar políti-

ques de qualitat i modernització.

El dret fonamental a la protecció de dades perso-

nals deriva directament de la Constitució, en atri-

buir als ciutadans un poder de disposició sobre les

seves dades, però aquest dret no té un caràcter

abstracte o genèric, sinó que atorga al titular de

les dades un seguit de facultats, amb poder jurí-

dic, d’imposar a tercers la realització o l’omissió

de determinats comportaments. Dins del contingut

d’aquest dret fonamental es troben els principis de

qualitat de les dades, d’informació en la recollida

de dades i el consentiment de l’afectat per al seu

tractament, així com els drets d’accés, oposició,

rectifi cació i supressió de les dades personals

sotmeses a tractament.

La Llei 15/2003, del 18 de desembre, qualifi cada

de protecció de dades personals, estableix regles

objectives sobre el tractament de dades personals

perquè el ciutadà recuperi el poder de disposició

i control sobre les seves dades personals. Així

mateix, disposa que serà l’Agència Andorrana

de Protecció de Dades (APDA) l’encarregada de

realitzar les accions pertinents i garantir-ne el dret.

No obstant això, cap norma jurídica no pot

substituir l’empleat públic, que ha de respec-

tar els drets dels ciutadans en el desenvolu-

pament de les seves tasques administratives,

ni el ciutadà, que ha de ser conscient que és

propietari de les seves dades personals i del

valor que tenen.

1. Dades personals o de caràcter personal: tota

informació numèrica, alfabètica, gràfi ca, fotogrà-

fi ca, acústica o de qualsevol altre tipus relativa

a una persona física identifi cada o identifi cable

(‘persona interessada’); s’entén per identificable

tota persona amb una identitat que es pugui de-

terminar, directament o indirectament, en parti-

cular mitjançant un número d’identificació o un

2 Conceptes bàsics

Què és una dada personal?Dada personal = qualsevol informació relativa a una persona identifi cada o identifi cable

1. Dades de caràcter identifi catiu

Nom i cognomsPassaport / DNI o NRT

Adreça postal / Adreça electrònicaFoto / Veu / Signatura / Empremtes

2. Dades de característiques personals

Estat civil / EdatData de naixement

Característiques físiques

3. Dades d’ocupació laboral

Lloc de treball / CategoriaGrau / Cos / Escala

4. Dades economicofi nanceres i d’assegurances

IngressosRendes

HipotequesNúm. compte corrent

Altres dades bancàries

5. Dades especialment protegides

Dades sobre:la salut

l’origen ètnicorganitzacions sindicals

l’orientació sexual / opinions polítiques[exigeixen requeriments especials per a la recollida]

Tipus de dades personals

I. MANUAL de l’APDA 2. Conceptes bàsics


13. Registres públics: tots els fitxers de dades

personals el responsable del tractament dels quals

sigui una entitat pública, als quals les persones

interessades estan obligades a facilitar les seves

dades a efectes d’inscripció o a d’altres efectes.

14. Registres públics accessibles: registres pú-

blics als quals qualsevol ciutadà o entitat, pública

o privada, pot tenir accés.

15. Interès públic: concepte definit i determi-

nat entès com a avantatge general i important i

primordial, que justifica la finalitat de la interven-

ció de l’Estat i en fonamenta la legitimitat, sem-

pre dins del marc de l’objectivitat i dels principis

constitucionals de legalitat, de jerarquia, de publi-

citat de les normes jurídiques, de no-retroactivitat

de les disposicions restrictives de drets individu-

als o que comportarien un efecte o establirien una

sanció desfavorables, de seguretat jurídica, de

responsabilitat dels poders públics i d’interdicció

de tota arbitrarietat.

16. Interès vital: interès essencial per a la vida de

la persona interessada.

17. Destinatari: tercera persona física o jurídica,

servei o qualsevol altre organisme que rebi una co-

municació de dades.

18. Cessió o comunicació de dades: qualsevol

cessió o comunicació de dades de caràcter perso-

nal que el responsable del tractament dugui a ter-

me en favor d’un tercer destinatari sempre que les

dades siguin utilitzades pel destinatari per al com-

pliment de finalitats directament relacionades amb

les funcions legítimes del cedent i del cessionari.

19. Dades sensibles: dades referents a opinions

polítiques, creences religioses, pertinença a orga-

nitzacions polítiques o sindicals, salut, vida sexual

o origen ètnic de les persones interessades.

20. Dades de caràcter personal relacionades

amb la salut: tota la informació relativa a la sa-

lut passada, present i futura, física o mental, d’una

persona; es pot tractar d’una persona sana, malal-

ta o difunta. Es considera dades relacionades amb

la salut de les persones, entre d’altres, les relatives

al seu percentatge de discapacitat o a la seva in-

formació genètica, i també les relacionades amb el

consum d’alcohol, de drogues tòxiques i de subs-

tàncies psicotròpiques.

21. Comunicació internacional de dades: tota

comunicació de dades o tot accés a les dades per

part d’un prestador de serveis de dades personals,

quan els destinataris de la comunicació o els pres-

tadors de serveis estiguin domiciliats a l’estranger,

o emprin mitjans de tractament de dades perso-

nals ubicats a l’estranger per a la comunicació de

les dades o per a la prestació del servei.

22. Normes de creació, modificació o supressió

de fitxers de naturalesa pública: decisions dels

òrgans de l’Administració pública definits pel Codi

de l’Administració sotmeses a les disposicions de

la Llei qualificada de protecció de dades personals i

als textos que la desenvolupen destinades a regular

la creació, la modificació o la supressió de fitxers de

naturalesa pública, d’acord amb els requisits esta-

blerts en la Llei 15/2003, del 18 de desembre, quali-

ficada de protecció de dades personals (LQPD).

o diversos elements específics, característics de

la seva identitat física, fisiològica, psíquica, eco-

nòmica, cultural o social.

2. Consentiment: tota manifestació de voluntat

que sigui lliure, específica, clara, indubtable i in-

formada, mitjançant la qual l’interessat consenti el

tractament de dades personals que l’afectin.

3. Tractament de dades personals (‘tractament’):

qualsevol operació o conjunt d’operacions efectu-

ades mitjançant procediments automatitzats o no,

i aplicades a dades de caràcter personal, com ara

la recollida, el registre, l’organització, la conser-

vació, l’elaboració o la modificació, l’extracció, la

consulta, la utilització, la comunicació per trans-

missió, la difusió o qualsevol altra forma que en

faciliti l’accés, la comparació o la interconnexió, el

bloqueig, la supressió o la destrucció.

4. Fitxer de dades personals (‘fitxer’): tot con-

junt estructurat i organitzat, centralitzat o no, de

dades personals, qualsevol que sigui la seva for-

ma o modalitat de creació, emmagatzematge, or-

ganització i accés.

5. Processament automatitzat: les operacions

efectuades totalment o parcialment amb l’ajut de

procediments automatitzats, com ara l’emmagatze-

matge de dades, l’aplicació d’operacions lògiques

i/o aritmètiques a aquestes dades, i la modificació,

la supressió, l’extracció o la difusió de les dades.

6. Fitxers de naturalesa privada: fitxers de da-

des personals el responsable del tractament dels

quals és una persona física o una persona jurídica

de naturalesa privada o una societat pública sot-

mesa al dret privat.

7. Fitxers de naturalesa pública: fitxers de dades

personals el responsable del tractament dels quals

és l’Administració pública.

8. Dada anònima: dada que no es pot associar a

una persona identificada o identificable, conside-

rant el conjunt dels mitjans que pugui utilitzar rao-

nablement el responsable del tractament o qualse-

vol altra persona per identificar aquesta persona.

9. Responsable del tractament: la persona físi-

ca o jurídica, el servei o qualsevol altre organisme

competent per decidir sobre el tractament de da-

des personals i els mitjans que es destinaran per

a tal tractament, i que vetlla perquè les finalitats

que es pretenen aconseguir amb el tractament es

corresponguin amb les concretades en la norma o

en la decisió de creació del fitxer.

10. Prestador de serveis de dades personals: la

persona física o jurídica, de naturalesa pública o

privada, o l’autoritat pública, o el servei o qualsevol

altre organisme que, sol o conjuntament amb altres,

tracta les dades de caràcter personal per compte del

responsable del tractament, o que accedeix a les da-

des personals per a la prestació d’un servei a favor i

sota el control del responsable del tractament, sem-

pre que no utilitzi les dades a què tingui accés per a

finalitats pròpies, o que no les faci servir més enllà

de les instruccions rebudes o per a finalitats diferents

del servei que ha de prestar a favor del responsable.

11. Persona interessada: la persona física a la

qual corresponen les dades de caràcter personal

objecte de tractament.

12. Tercer: la persona física o jurídica, autoritat pú-

blica, servei o qualsevol altre organisme diferent de

l’interessat, del responsable del tractament o del

seu representant, i del prestador de serveis.

RECOLLIR · GRAVAR · CONSERVARELABORAR · MODIFICAR · BLOQUEJAR

CANCEL·LAR · CEDIR

Tractament = operacions que permetin:

dades de caràcter personal resultants de qualsevol consulta o comunicació.

Grups professionalsDades accessibles al públic:

A Nom + títol + professió + activitat + grau acadèmic

B Adreça professional: domicili postal + telèfon + fax + adreça electrònica professional

C Indicació de la seva pertinença al grup. En el cas dels col·legis professionals,

les dades de pertinença són: Núm. col·legiat

Data d’incorporacióSituació d’exercici professional

I. MANUAL de l’APDA 2. Conceptes bàsics


3 Marc normatiu general

El dret fonamental a la protecció de dades reco-

neix al ciutadà la facultat de controlar les seves

dades personals i la capacitat per disposar-ne

i decidir-ne l’ús. Una llei qualificada regula la

matèria, la Llei 15/2003, del 18 de desembre,

qualificada de protecció de dades personals

(LQPD), i una sèrie de lleis, decrets i edictes

complementen la legislació en l’àmbit nacional.

En l’àmbit internacional, Andorra és un dels pa-

ïsos signants del Conveni per a la protecció de

les persones respecte del processament auto-

matitzat de les dades de caràcter personal de

1981, que passa a formar part de l’ordenament

jurídic andorrà.

• Conveni per a la protecció de les persones

respecte del processament automatitzat de les

dades de caràcter personal, fet a Estrasburg

el 28 de gener de 1981, i Protocol addicional

del Conveni per a la protecció de les persones


dades de caràcter personal relatiu a les auto-

ritats de control i els fl uxos transfronterers de

dades, fet a Estrasburg el 8 de novembre del

2001, del 18-10-2007.

• Edictedel13-5-2008pelqualesfapúblicque

l’1 de setembre del 2008 entraran en vigor el

Conveni per a la protecció de les persones

respecte del processament automatitzat de

les dades de caràcter personal, fet a Estras-

burg el 28 de gener de 1981, i el Protocol

addicional del Conveni per a la protecció de

les persones respecte del processament au-

tomatitzat de les dades de caràcter personal

relatiu a les autoritats de control i els fluxos

transfronterers de dades, fet a Estrasburg el 8

de novembre del 2001.

• Decisióde laComissióEuropearespectealni-

vell adequat de protecció del Principat d’Andor-

ra, en la Directiva 95/46.

• ConstituciódelPrincipatd’Andorra.(BOPAnúm.

24, de 04-05-93)

• Llei8/2007,del17demaig,deregulaciódelnú-

mero d’identifi cació administrativa. (BOPA núm.

50, del 20-06-07)

• Llei 9/2007, del 17 de maig, del cens. (BOPA

núm. 50, del 20/06/07)

• Decret del 20-12-2006 d’aprovació del Regla-

ment pel qual es regulen les condicions sanitàri-

es dels establiments que realitzen tècniques de

decoració corporal (tatuatge, micropigmentació

o pírcing). (BOPA núm. 93, 27-12-06)

• Decretdel25-10-2006demodificaciódelDecret

regulador del Servei d’Immigració. (BOPA núm.

82, 02-11-06)

• Llei15/2003,del18dedesembre,qualificadade

protecció de dades personals. (BOPA núm. 3,

21/01/2004)

• Decretdel9-06-2010d’aprovaciódelReglament

de l’Agència Andorrana de Protecció de Dades.

(BOPA núm. 33, 16/06/2010)

• Correcció d’errata del 23-06-2010 per la qual

s’esmenen diversos errors constatats en el De-

cret del 9-06-2010 d’aprovació del Reglament

de l’Agència Andorrana de Protecció de Dades.

(BOPA núm. 37, 30/06/2010)

• Decretdel’1-7-2004d’aprovaciódelReglament

del registre públic d’inscripció de fi txers de da-

des personals. (BOPA núm. 41, 7/07/2004)

• Decret de l’1-10-2008 de modificació de l’an-

nex 1 del model de notifi cació per a la inscripció

de fi txers de dades personals al Registre públic

d’inscripció de fi txers de dades personals.

• Decretde l’1-7-2004decreaciódelsfitxersde

dades personals de l’Agència Andorrana de Pro-

tecció de Dades. (BOPA núm. 41, 7/07/2004)

• Edictedel14-12-2004pelqualesnomenenels

membres de l’Agència Andorrana de Protecció

de Dades.

• Edictedel18-12-2008pelqualesnomenenels

membres de l’Agència Andorrana de Protecció

de Dades.

• Conveniperalaprotecciódelespersonesres-

pecte del processament automatitzat de les

dades de caràcter personal, fet a Estrasburg el

28 de gener de 1981, i del Protocol addicional

del Conveni per a la protecció de les persones


dades de caràcter personal relatiu a les auto-

ritats de control i els fl uxos transfronterers de

dades, fet a Estrasburg el 8 de novembre del

2001, del 18-10-2007.

• Edictedel13-5-2008pelqualesfapúblicquel’1

de setembre del 2008 entraran en vigor el Con-

veni per a la protecció de les persones respecte

del processament automatitzat de les dades de

caràcter personal, fet a Estrasburg el 28 de ge-

ner de 1981, i el Protocol addicional del Conveni

per a la protecció de les persones respecte del

processament automatitzat de les dades de ca-

ràcter personal relatiu a les autoritats de control i

els fl uxos transfronterers de dades, fet a Estras-

burg el 8 de novembre del 2001.

• Decisió de la Comissió, de 19 d’octubre de

2010, de conformitat amb la Directiva 95/46/

CE del Parlament Europeu i del Consell, relati-

va a l’adequada protecció de les dades perso-

nals a Andorra, publicada al Diari Ofi cial de la

UE el 21 d’octubre de 2010.

3.1. mARC INTERNACIoNAL

3.2. LEGISLACIó ESPECíFICA DE PRoTECCIó DE DADES A ANDoRRA

3.3. LEGISLACIó NACIoNAL CoNNExA

RECoRDA!

Pots consultar tota la legislació relativa a

la protecció de dades en el lloc web de

l’Agència Andorrana de Protecció de Dades

www.apda.ad

RECoRDA!

I. MANUAL de l’APDA 3. Marc normatiu general


Quan afrontes la recollida o el tractament de dades

personals has de pensar en l’objectiu bàsic de la

protecció de dades: garantir els drets fonamentals

de les persones. El que has de tenir present quan

interactues amb un ciutadà és que en tot moment

has de vetllar per la seva intimitat.

La LQPD és aplicable a les dades de caràcter per-

sonal que siguin susceptibles de tractament, ja

sigui de forma manual, ja sigui de forma automatit-

zada, i a qualsevol ús posterior d’aquestes dades

de caràcter personal en els sectors públic i privat.

S’aplica també a tot allò que no s’ha previst o

que no s’ha regulat en la normativa aplicable a

registres públics i en la normativa aplicable al

secret bancari, i a les normes reguladores del

secret professional.

Exemple:

Quan he d’aplicar els principis bàsics recollits

en la LQPD?

Sempre que recullis qualsevol dada de caràcter

personal i, també, durant l’ús posterior d’aques-

ta dada. Has d’aplicar la normativa de la LQPD

sempre que el fi txer estigui constituït conforme a

l’ordenament jurídic andorrà. Excepte uns supòsits

concrets, el fi txer s’haurà de donar a conèixer per

una disposició publicada prèviament en el BOPA.

Exclusions en l’àmbit d’aplicació

S’exclouen de l’àmbit d’aplicació de la LQPD:

1. Les dades personals relatives a la seguretat de

l’Estat i a la investigació i a la prevenció d’infrac-

cions penals, regulades per una llei de caràcter

penal i en el marc d’un procediment penal.

2. Les dades de les persones físiques vinculades a

la seva activitat empresarial, professional o co-

mercial, en les circumstàncies següents:

a) dades de personal de persones jurídiques

o d’establiments comercials o professionals,

quan la informació vinculada a la persona

física es refereixi únicament a la seva per-

tinença a l’empresa o a l’establiment, o a la

seva qualitat professional en el si de l’empre-

sa o de l’establiment;

b) dades de persones físiques pertanyents a

col·lectius professionals, sempre que les da-

des es refereixin únicament a l’activitat profes-

sional de la persona i a la seva pertinença a un

col·lectiu professional determinat;

c) dades de professionals autònoms o d’esta-

bliments professionals o comercials, quan les

dades es refereixin únicament a la seva activi-

tat professional o comercial.

3. El tractament de dades efectuat per part d’una

persona física en l’exercici d’activitats exclusiva-

ment personals o domèstiques, com la corres-

pondència i la gestió d’un repertori d’adreces.

3.4. LLEI 15/2003, DEL 18 DE DESEmBRE, QUALIFICADA DE PRoTECCIó DE DADES PERSoNALS (LQPD)

3.5 ÀmBIT D’APLICACIó DE LA LQPD

ART. 1 LQPD Objectiu: Aquesta Llei té per objectiu protegir i ga-rantir, pel que fa al tractament i utilització de dades de caràcter personal, els drets fonamentals de les persones, i especialment els relatius a la intimitat.

QUÈ DIU LA LLEI?

•Sihihaunallacunalegislativaen la normativa específi ca

Aplicació subsidiària de la LQPD

Registres públics / Secret bancari

•Sihihacontradicciónormativaespecífi ca vs LQPD

Normativa específi ca Registre públic / Secret bancari > LQPD

=

=

RECoRDA!

•Una dada de caràcter personal és qualse-vol informació relativa a una persona identi-fi cada o identifi cable.

• Les dades relatives a opinions polítiques,creences religioses, pertinença a organitza-cions polítiques o sindicals, salut, vida se-xual o origen ètnic de l’interessat estan ES-PECIALmENT protegides per la legislació en la matèria.

• Hi ha la possibilitat de tractar dades per-sonals sense que es pugui identifi car la persona (procediment de dissociació). Per exemple: ocultant el rostre en una foto usant les noves tecnologies.

• No cedeixis dades a altres administracions, entitats o particulars sense autorització.

• En qüestions d’interès públic importanto per obligació legal No és necessari el consentiment de l’interessat per al trac-tament de dades.

• Elresponsabledetractamentnocedeixda-des al prestador de serveis, sinó que aquest actua en nom del responsable del fi txer.

• Comprova que hi ha un conveni o contrac-te amb empreses o institucions quan esde-venen prestadors de serveis (en els convenis hi ha d’haver clàusules de confi dencialitat i de seguretat de la informació que garantei-xen el respecte a les dades personals).

• Lesdadesdelscol·legiats són registres ac-cessibles al públic.

• Elsregistrespúblicsno són necessàriament registres d’accés general i oberts a la con-sulta pública. La seva descripció fa referèn-cia a l’àmbit públic de l’Administració i no al caràcter d’accés obert al públic.

•No se cediran dades a un tercer llevat que tingui el consentiment de l’interessat.

• Estigues al corrent de les novetats en la matèria (a través del web de l’APDA).

I. Àmbit d’aplicació

· Persones físiques

· Elements subjectius: Afectat o interessat (art 3.e) Responsable del fi txer (art. 3.d) Prestador de serveis

· Elements objectius: Dades de caràcter personal (art. 3.a) Tractament de dades (art 3.c) Fitxer (art. 3.b)

· Àmbit d’aplicació: Fitxers subjectes (art. 2) Fitxers no subjectes (art. 5,6 i 7)

· Fitxers amb disposicions específi ques: Fitxers de titularitat pública

II. Principis

· Principi de qualitat de les dades: adequació, pertinença i proporcionalitat (art. 10)

· Principi de consentiment de l’afectat

· Principi de les dades especialment protegides

· Principi de seguretat de les dades (art. 12)

· Principi de deure de secret

· Principi de limitació en la comunicació de dades

III. Drets

· Dret d’informació i consulta al Registre P. D.

· Dret d’accés

· Dret de rectifi cació, oposició i cancel·lació

· Dret d’indemnització

IV. Òrgan de control

· Creació i règim jurídic: Personal Recursos Pressupost

· El cap de l’Agència

· Els inspectors

· Funcions: Registre de Protecció de Dades Potestat d’inspecció (art. 41) Requeriments als titulars dels fi txers Potestat d’inspecció

V. Règim sancionador

· Responsables

· Tipus d’infraccions

· Immobilització de fi txers

Esquema de la Llei 15/2003 de 18 de desembre

I. MANUAL de l’APDA 3. Marc normatiu general


4Principis obligatoris de la protecció de dades en la recollida i el tractament de les dades personals

El responsable del fi txer ha de fer un tractament de les dades sota els següents requisits:

- Pertinença, adequació i fi nalitat.

- Compatibilitat.

- Veracitat.

- Actualització.

- Limitació temporal.

- Accés, rectifi cació, oposició i supressió.

- Legitimitat.

4.1. QUALITAT DE LES DADES

4.2. CoNSENTImENT DE L’AFECTAT

Requisits per tractar les dades

PERTINENÇA, ADEQUACIó I FINALITAT

LImITACIó TEmPoRAL

La informació que es recull ha de ser adequada, pertinent i no excessiva en relació amb l’àmbit i la fi nalitat establerts. La fi nalitat ha de ser deter-minada, explícita i legitima.

Les dades hauran de ser cancel·lades quan no sigui necessari conservar-les per a la fi nalitat per a la qual foren creades.

La fi nalitat defi neix el nivell d’adequació en la recollida de dades que es pretén realitzar, és a dir, quines dades poden recollir-se i quines no. La fi nalitat s’ha de defi nir prèviament complint els requisits de la LQPD i s’ha de declarar en la norma de creació del fi txer publicada en el BOPA. La recollida d’una determinada dada ha de ser pertinent, és a dir, apropiada per a la fi nalitat. Una recollida transparent suposa el compliment dels requi-sits de fi nalitat, adequació i pertinença.

ComPATIBILITAT

No podran ser usades les dades per a una fi na-litat incompatible.

La fi nalitat per la qual es recullen les dades ha de ser determinada i explícita. Així, havent previst el respon-sable del tractament una fi nalitat, està prohibit utilitzar les dades amb una altra fi nalitat incompatible amb la que va justifi car la creació del fi txer.

ACTUALITzACIó

Les dades inexactes o incompletes hauran de ser rectifi cades.

La conducta més apropiada del responsable del trac-tament és de confi gurar un sistema per garantir que les dades tractades s’actualitzaran periòdicament o bé es bloquejaran perquè no siguin utilitzades fi ns a la seva actualització.

Les dades personals tenen un cicle de vida. La fi nalitat indica el temps que es podran conservar.Les dades s’hauran de cancel·lar una vegada acom-plerta la fi nalitat del tractament. No obstant això, la supressió dóna lloc al bloqueig de les dades.

ACCÉS, RECTIFICACIó, oPoSICIó I SUPRESSIó

Les dades han de ser emmagatzemades de tal forma que l’interessat pugui exercir els seus drets d’accés, rectifi cació, oposició i supressió.

Cada administració ha de preveure un procediment per al compliment dels drets d’accés, rectifi cació, oposició i supressió.

LEGITImITAT

Està prohibida la recollida de dades de manera fraudulenta, deslleial o il·lícita.

La fi nalitat ha de ser determinada, explícita i legíti-ma. La recollida deslleial o enganyosa és aquella en què la informació s’obté de manera que s’indueix a l’error l’interessat respecte a la fi nalitat per a la qual es recullen les dades.

VERACITAT

Les dades seran exactes i posades al dia, han de refl ectir la situació real de la persona.

La llei exigeix que les dades responguin a la situa-ció actual.

Només amb el consentiment previ i inequívoc

de l’afectat es pot procedir al tractament de les

seves dades personals, excepte que una llei dis-

posi una altra cosa.

1. Característiques del consentiment:

• PREVI: L’interessat ha de donar el consentiment

amb anterioritat que les seves dades siguin trac-

tades, inclosa la simple recollida.

• INEQUÍVOC: El consentiment serà inequívoc

sempre que s’hagi donat compliment al principi

d’informació. Només quan el consentiment és

informat és inequívoc.

• REVOCABLE: El consentiment atorgat podrà ser

revocat per l’interessat en qualsevol moment.

2. Excepcions al consentiment :

a) quan el tractament de dades correspon a enti-

tats de naturalesa pública, sempre que es faci

amb les fi nalitats previstes en la norma o en la

decisió de creació del fi txer de dades personals;

b) quan el tractament de dades sigui necessari per

al compliment de les fi nalitats i les funcions

dels registres públics expressament regulats

per llei; [La fi nalitat de la recollida de les dades ha

de ser l’exercici d’una de les funcions pròpies de

l’Administració pública i, a més, ha d’estar inclosa

en l’àmbit de competències de l’òrgan de l’Admi-

nistració que fi gura com a responsable del fi txer.]

c) quan el tractament de les dades es faci d’acord

amb una llei; [La norma que eximeix la necessitat

del consentiment ha de tenir rang de llei, no es

pot admetre cap disposició amb un rang inferior.]

d) quan les dades objecte de tractament s’obtin-

guin de registres públics accessibles regu-

lats per llei;

e) quan sigui necessari per al compliment d’obli-

gacions contractuals establertes entre la per-

sona interessada i el responsable del tracta-

ment, o bé sigui necessari per al compliment, el

desenvolupament i el control d’altres relacions

jurídiques que es puguin establir entre la perso-

na interessada i el responsable del tractament;

[Es considera que l’acceptació i l’establiment

I. MANUAL de l’APDA 4. Principis obligatoris de la protecció de dades en la recollida i el tractament de les dades personals


d’una relació contractual implica el consenti-

ment per al tractament de les dades personals

de l’interessat, sempre que siguin necessàries

per al manteniment o el compliment de la relació

establerta. El consentiment està implícit en l’es-

tabliment de la relació.]

f) quan sigui necessari per a la salvaguarda de

l’interès vital de la persona interessada; [La

protecció d’un interès vital s’ha d’entendre quan

el tractament de dades resulti necessari per a la

prevenció o per al diagnòstic mèdic, la prestació

d’assistència sanitària o tractaments mèdics, o

la gestió de serveis sanitaris o d’assistència so-

cial; sempre que aquest tractament de dades es

faci per un professional sanitari subjecte al deure

de secret professional o per una altra persona

subjecta, així mateix, a una obligació equivalent.

Ha de prevaldre el dret a la vida o a la integritat

física per sobre del dret a la protecció de dades

personals o el dret a la intimitat.]

g) es faci exclusivament amb fi nalitats històriques

o científi ques, d’expressió artística o literària,

sempre que no hi hagi risc d’atemptat contra la

vida privada de les persones interessades.

Tant les excepcions al consentiment de l’interessat

com les relatives a les condicions legitimadores del

tractament de dades personals s’han d’entendre i

s’han d’interpretar sempre de manera restrictiva.

Necessita l’Administració pública el consentiment

per recollir i tractar dades personals?

Sí, l’Administració pública se sotmet al principi general i, per tant, és necessari que demaneu el consentiment inequívoc per recollir i tractar dades, i l’exprés i per escrit en casos de dades sensibles. Però la LQPD determina uns supòsits en què no serà necessari aquest consentiment, entre els quals es troba: les dades que es recu-llen per a l’exercici de les funcions prò-pies de l’Administració pública en l’àmbit de les seves competències.

Quan el tractament de dades és dut a ter-me segons les fi nalitats previstes en una norma de creació de fi txers publicada al BOPA, no cal el consentiment previ del ciutadà. Perquè aquest fi txer publicat al BOPA sigui vàlid i aplicable, l’Administració responsable del fi txer ha de tenir compe-tència legalment atribuïda en la matèria es-pecifi cada en la disposició.

RECoRDA!• Informa i demana el consentiment

quan sol·licitis i tractis dades de caràc-ter personal. I cal obtenir el consenti-ment de l’interessat, excepte en uns supòsits concrets en què es pot proce-dir sense consentiment previ.

•No facis servir les dades per a fi nali-

tats diferents respecte d’aquelles per a les quals es van recollir.

RECoRDA!

DADES DE SALUT

És necessari el consentiment per tractar les dades de salut?

Les dades de salut es poden tractar sense consentiment de l’interessat per a la preven-ció o per al diagnòstic mèdic, per a la presta-ció d’assistència sanitària o de tractaments mèdics, o per a la gestió de serveis sanitaris, sempre que les tracti un professional sanitari.

També es poden tractar sense consenti-ment per salvaguardar l’interès vital de la persona afectada o d’una altra persona (en cas que estigui incapacitada físicament o jurídica per donar-ne el consentiment).

Recorda els punts bàsics sobre la qualitat de les dades,el dret d’informació i el consentiment de l’interessat

Les dades que es recullen han de ser:

ADEQUADES · PERTINENTS · No ExCESSIVES · ExACTES · ACTUALITzADES

Les dades no es poden utilitzar per a fi nalitats incompatibles amb aquelles per a les quals s’han demanat.Està prohibida la recollida de dades per mitjans fraudulents, deslleials o il·lícits.

Qualitat de les dades

Per a l’obtenció de dades has d’informar el ciutadà sobre:

· LA IDENTITAT DEL RESPoNSABLE DEL FITxER ·

· LA FINALITAT DEL TRACTAmENT ·

· EL DESTINATARI DE LES DADES ·

· Com PoT ExERCIR ELS DRETS D’ACCÉS, RECTIFICACIó I SUPRESSIó ·

· EL DRET A No AToRGAR EL CoNSENTImENT I LES CoNSEQÜÈNCIES ·

Supòsits en què no caldrà informar el ciutadà:- El fi txer està recollit en una norma publicada al BOPA.

- Es tracta de fi txers públics que fan referència a matèries excloses de la LQPDo que disposen de normativa específi ca pròpia.

Dret d’informació

Cal obtenir sempre el consentiment INEQUíVoC de la persona interessada(excepte en supòsits concrets en què l’Administració pública pot procedir sense el consentiment).

El consentiment té un caràcter REVoCABLE.

Supòsits en què no caldrà el consentiment de l’interessat:- El tractament és necessari per preservar l’interès vital de la persona.

- El tractament de dades es fa d’acord amb una norma vigent.- És necessari per al compliment de les funcions i fi nalitats dels registres públics amb normativa específi ca.

- És necessari per al compliment d’obligacions contractuals entre l’interessat i el responsabledel fi txer o per a d’altres relacions jurídiques entre ambdós.

- El tractament és exclusivament amb fi nalitats històriques o científi ques o d’expressió artística o literària.(Per ampliar informació vegeu el quadre de la pàg. 23)

En el cas de dades sensibles cal el consentiment ExPRÉS i PER ESCRIT.

Consentiment de l’interessat



4.3. DADES SENSIBLES

La Constitució d’Andorra recull el dret de la perso-

na a no manifestar-se sobre la ideologia, la religió

o les creences professades.

Les dades sensibles són aquelles dades relati-

ves a opinions polítiques, creences religioses,

pertinença a organitzacions polítiques o sin-

dicals, salut, vida sexual o origen ètnic de les

persones. Com a norma general, està prohibida

la creació de fi txers amb la fi nalitat exclusiva de

recollir o tractar dades sensibles.

Per tal de recollir dades sensibles necessites el

consentiment exprés i per escrit de l’interessat.

Els fi txers que contenen aquestes dades hauran

d’aplicar un nivell més elevat de protecció; és a

dir, els responsables del tractament hauran de tenir

especial cura en la recollida i la manipulació de les

dades sensibles.

El consentiment de la persona interessada per al

tractament o la comunicació de dades sensibles

no és necessari quan:

a) el tractament o la comunicació de dades sensi-

bles es faci per o entre entitats de naturalesa

pública, quan sigui estrictament necessari per

al compliment de les seves funcions i fi nalitats

legítimes, i quan es puguin incloure en les nor-

mes de creació dels fi txers de naturalesa pública

previstes en l’article 30 de la LQPD;

b) el tractament o la comunicació de dades sensibles

sigui necessari per al compliment de les fi nalitats

i les funcions dels registres públics, segons la

llei que en determina i en regula el funcionament;

c) es tracti de preservar l’interès vital de la perso-

na afectada;

d) les dades s’hagin obtingut de registres públics

accessibles segons la seva regulació;

e) el tractament o la comunicació de dades sensi-

bles relatives a la salut els facin professionals

mèdics, sanitaris o de treball social obligats a

respectar el secret professional i a assegurar la

confi dencialitat de tota la informació nominativa

i personal rebuda en el marc de l’exercici de la

seva praxi professional, i sigui necessari per a

la diagnosi i el tractament mèdic o l’assistència

sanitària o social;

f) el tractament o la comunicació de dades sen-

sibles relatives a la salut sigui necessari per a

la realització d’estudis epidemiològics o per a

la prevenció i tractament d’epidèmies, i que,

prèviament a la comunicació, les dades perso-

nals sensibles es converteixin en anònimes. En

cas que no sigui possible l’anonimització, s’han

d’aplicar els principis previstos en els articles 6 i

8.1 del Reglament de l’APDA, relatius a la quali-

tat de les dades i a les condicions especials de

tractament de dades sensibles, respectivament.

RECoRDA!

Dades sensibles:

• Dadesespecialment sensibles: dades re-latives a opinions polítiques, creences reli-gioses, pertinença a organitzacions políti-ques o sindicals, salut, vida sexual o origen ètnic de les persones.

• LaLQPD imposaunaprotecció addicio-nal (formes de consentiment, legitimitat de la recollida) a determinades categories de dades especialment sensibles.

• Les dades sensibles només poden serobjecte de tractament o de comunicació amb el consentiment exprés de la per-sona interessada.

•No es poden crear fitxers amb la finalitat exclusiva de recollida o tractament de dades sensibles.

• Tambéhihasupòsitsenquèno és neces-sari el consentiment de l’interessat per a dades sensibles (vegeu el quadre següent).

Excepcions al consentiment de dades no sensibles / dades sensibles

DADES No SENSIBLES DADES SENSIBLES

Tractament per entitats públiques segons normes de creació de fi txers

Normativa vigent Salut: no cal consentiment quan el tractament sigui fet per professionals mèdics/sanitaris/o de treball social per a diagnosi/tractament

mèdic/sanitari o social. Tampoc per a prevenció i tractament d’epidèmies.[Sí que cal consentiment en cas de

GESTIÓ de serveis mèdics]

Obligacions contractuals o altres relacions jurídiques

Tractament per entitats públiques segons normes de creació de fi txers

+ tractament sigui estrictament necessari per a compliment fi nalitat/funcions

Interès vital de l’interessat

Finalitats històriques/científi quesartístiques/literàries

Interès vital de l’interessat



4.4. CoNFIDENCIALITAT I SEGURETAT

Com a responsable del tractament o, simplement,

com a usuari de dades, has d’aplicar unes mesu-

res de seguretat bàsiques per garantir la confi -

dencialitat de les dades personals.

En cas que hagis d’encarregar la totalitat o una

part del tractament de les dades a un prestador

de serveis (a un proveïdor extern, per exemple),

has d’exigir-li unes mínimes mesures tècniques i

organitzatives, en coherència a les que t’exigiries

tu mateix. De tota manera, has de tenir present que

la confi dencialitat i seguretat de les dades s’exigeix

de manera igual tant al responsable del fi txer com

a qualsevol prestador de serveis parcial o total.

En la teva tasca diària a l’Administració pública,

com a responsable o usuari de dades de caràc-

ter personal, has d’adoptar mesures de seguretat

apropiades per garantir la seguretat i la confi den-

cialitat de les dades i la intimitat dels ciutadans.

Alguns exemples recomanables de mesures de

seguretat bàsiques que cal emprar com a treba-

llador de l’Administració pública són:

• Destrueixelmaterialdigitalienpaperquecon-

tingui dades personals quan ja no cal preservar-

lo ni hi hagi cap norma que disposi el contrari.

Cal utilitzar els mitjans adequats per a una des-

trucció efectiva (màquines destructores de pa-

per i de CD i DVD).

• Enllocsd’atencióalpúblic,caltenircurad’es-

borrar / destruir les anotacions de dades per-

sonals en papers, post-it, etcètera que han estat

fetes per agafar temporalment dades de caràc-

ter personal. També has de llançar a les escom-

braries aquests papers o post-it.

• Norevelisdadesdecaràcterpersonalpervia

telefònica en presència d’una altra persona

externa que no tingui coneixement del deure

de secret i confi dencialitat de les dades de ca-

ràcter personal.

• Cal tenircurade lescòpiesdefitxers ide les

còpies de seguretat quan contenen dades de

caràcter personal. Cal portar un registre de les

còpies de CD o DVD.

• Caltenircuradelainformaciódesadaenqualse-

vol dispositiu digital mòbil, quan conté dades

de caràcter personal, susceptible de pèrdua o

robatori (memòries USB, PDA, mòbils, ordina-

dors portàtils, etcètera).

• Calferespecialatencióenel trasllat de docu-

mentació que contingui dades personals fora

del lloc de treball o, en qualsevol cas, no enviïs

informació que contingui dades de caràcter per-

sonal per dispositius informàtics ubicats fora de

l’ofi cina (exemple: fax extern, correu electrònic

que no sigui de la feina, etcètera).

• Enl’enviamentdecorreu electrònic, sobretot

en l’enviament massiu d’e-mails, cal tenir cura

que les adreces electròniques dels usuaris als

quals enviïs la informació no puguin ser vistes

pels destinataris (posa-les en còpia oculta). En

general, cal garantir la confi dencialitat dels en-

viaments de correus electrònics.

• Pel que fa l’ordinador com a eina de treball,

cal evitar la visualització o l’accés a dades per

part de persones externes. Convé disposar

d’una contrasenya per a l’accés a l’ordinador

i tenir cura de les dades que puguin aparèixer

en el teu monitor en el moment en què deixis

momentàniament el teu lloc de treball.

• Caltenircuradelesdadesdecaràcterpersonal

exposades a la taula de treball quan es pre-

senten visites.

•Custodia sota clau armaris i espais amb docu-

mentació relativa a dades de caràcter personal.

• Segueixunsprotocolsbàsicsdeseguretatenla

navegació per Internet, perquè des de la xar-

xa és possible la intrusió en el nostre sistema

informàtic per accedir a bases de dades (empra

tallafocs i sistemes de detecció d’intrusions,

actualitza els sistemes i els programes informà-

tics regularment, entre d’altres).

• Utilitzaformats de documents electrònics que

no es puguin modifi car fàcilment (per exemple:

.pdf en lloc de .doc).

• En cas de recollida de dades per telèfon que

requereixin consentiment de l’interessat, o en

cas de cessió de dades personals a altres enti-

tats, cal que informis l’interessat telefònicament

d’aquest tractament o cessió, i que li llegeixis

la clàusula informativa corresponent. No obs-

tant això, es recomana que el treballador inten-

ti sempre que el ciutadà deixi constància per

escrit del seu consentiment, ja sigui per mitjà

d’un formulari o per via telemàtica, perquè en

cas de reclamació de l’interessat a l’APDA, la

càrrega de la prova conforme s’ha actuat amb

diligència en el tractament de dades personals

la té sempre l’Administració.

EL DEURE DE SECRET

Tinc l’obligació de guardar secret?

Sí, en la teva tasca quotidiana de recollida i tractament de dades personals dels ciuta-dans has de respectar el deure de secret i confi dencialitat de la informació, fi ns i tot quan deixes d’ocupar el teu lloc de treball. També has de vetllar perquè els prestadors de serveis (empreses subcontractades que tractin dades personals) apliquin les mesures de seguretat per garantir aquesta confi dencialitat.La LQPD s’aplica amb caràcter addicional per a les activitats i professions sotmeses al secret professional.

Exemple: Professions amb secret pro-fessional: cossos de seguretat, advocats, metges, periodistes, etc.



4.5. CESSIó DE DADES 4.6. ComUNICACIó DE DADES ENTRE ADmINISTRACIoNS PÚBLIQUES

És qualsevol cessió o comunicació de dades de

caràcter personal que el responsable del tracta-

ment dugui a terme en favor d’un tercer destina-

tari, sempre que les dades siguin utilitzades pel

destinatari per al compliment de fi nalitats direc-

tament relacionades amb les funcions legítimes

del cedent i del cessionari, amb el consentiment

previ de l’interessat.

Serà nul el consentiment per a la comunicació

de les dades de caràcter personal a un tercer

quan la informació que es facilita a l’interessat

no li permet conèixer la finalitat a la qual es des-

tinaran les dades o el tipus d’activitat d’aquell a

qui es comuniquen.

La comunicació de dades entre administracions pú-

bliques està permesa en les circumstàncies següents:

- Les dades de caràcter personal objecte de

tractament només podran ser comunicades a

un tercer per al compliment de fi nalitats relaci-

onades amb les funcions legitimes del cedent i

del cessionari, amb el consentiment previ i ine-

quívoc de l’interessat.

- La comunicació de dades entre administraci-

ons públiques és natural i necessària perquè

els serveis al ciutadà es prestin amb efi càcia,

com ordenen la Constitució Andorrana i les

lleis. No obstant això, aquesta comunicació no-

més està permesa quan concorren les situaci-

ons següents:

1) quan la comunicació de dades es faci per o

entre entitats de naturalesa pública, quan si-

gui estrictament necessària per al compliment

de les seves funcions i fi nalitats legítimes, i es

puguin incloure en les normes de creació dels

fi txers de naturalesa pública previstes en l’ar-

ticle 30 de la LQPD;

2) quan la comunicació de dades sigui neces-

sària per al compliment de les fi nalitats i les

funcions dels registres públics, segons la llei

que en determina i en regula el funcionament;

3) quan les dades s’hagin obtingut de registres

públics accessibles segons la seva regulació;

4) quan la comunicació de dades sensibles re-

latives a la salut la facin professionals mèdics,

sanitaris o de treball social obligats a respec-

tar el secret professional i a assegurar la con-

fi dencialitat de tota la informació nominativa i

personal rebuda en el marc de l’exercici de la

seva praxi professional, i sigui necessària per

a la diagnosi i el tractament mèdic o l’assis-

tència sanitària o social;

5) quan la comunicació de dades sensibles

relatives a la salut sigui necessària per a la

realització d’estudis epidemiològics o per a

la prevenció i tractament d’epidèmies, i que,

prèviament a la comunicació, les dades per-

sonals sensibles es converteixin en anònimes.

En cas que no sigui possible l’anonimització,

s’han d’aplicar els principis previstos en els

articles 6 i 8.1 del Reglament de l’APDA, rela-

tius a la qualitat de les dades i a les condicions

especials de tractament de dades sensibles,

respectivament.

La llei no permet les comunicacions de dades inter-

administratives i amb altres administracions d’una

forma indiscriminada. Aquesta limitació afecta to-

tes les formes d’organització tecnicojurídiques que

pugui adoptar l’Administració sense que importi si

tenen personalitat jurídica o no.

Per tant estan sotmesos a la llei els intercanvis de

dades entre les administracions següents:

- Govern d’Andorra

- Comuns

- Entitats parapúbliques (FEDA, Andorra Telecom,

CASS)

- RTVASA

- Cedasa

- Societats participades pel Govern

- Altres similars

I de totes aquestes entre si. Totes sense excep-

ció han de complir els requisits de comunicació

de dades.

La comunicació de dades d’un fi txer públic a un

fi txer privat només es podrà efectuar amb el con-

sentiment de la persona interessada.

Atenció! • No és cessió quan la comunicació de

dades a un tercer és necessària perquè aquest presti un servei al responsable de tractament. Aquest tercer s’anomena en aquest cas prestador de serveis.

Exemple: quan facilites les dades a una empresa subcontractada per fer un ser-vei a l’Administració no és una cessió.

• Lacomunicaciódedadesrecollidesderegistres accessibles al públic no po-drà efectuar-se a fi txers privats si no és amb el consentiment de l’interessat (o per norma legal).

RECoRDA!

• Enelcasdecessiódedadesa un tercer, ha d’existir consentiment previ de l’inte-ressat, excepte en uns supòsits concrets regulats a la LQPD, o quan aquest tercer és un prestador de serveis.

RECoRDA!



1. Què és una comunicació internacional de

dades?

Qualsevol tractament de dades que suposi una

transmissió de dades fora del Principat d’Andorra.

2. Què he de fer per dur a terme una comunica-

ció internacional de dades?

Com a norma general no pots realitzar cap transfe-

rència internacional temporal o definitiva de dades

de caràcter personal amb destinació a països que

no proporcionin un nivell de protecció equivalent

al de la LQPD. Cal que ho consultis a l’Agència

Andorrana de Protecció de Dades (APDA), que és

l’organisme que vetlla perquè el país de recepció

de les dades tingui una legislació amb un nivell de

protecció equivalent al de la legislació andorrana.

3. Quins països tenen una protecció equivalent?

Els països amb un nivell de protecció equivalent a

Andorra són els països membres de la Unió Euro-

pea i els països declarats amb protecció equiva-

lent per la Comissió de les Comunitats Europees,

com per exemple Suïssa, Canadà, l’Argentina,

Guernsey, Israel o l’illa de Man. En el cas dels

EUA, cal que ho consultis a l’APDA. També pots

consultar-hi altres països declarats amb protecció

equivalent per l’Agència Andorrana de Protecció

de Dades (APDA).

4. Com valora l’APDA el nivell de protecció del

país en qüestió?

L’APDA avalua el caràcter adequat del nivell de

protecció que ofereix el país de destinació atenent

totes les circumstàncies que concorren en la trans-

ferència. En concret, l’organisme té en compte la

naturalesa de les dades, la finalitat i la durada del

tractament, el país d’origen i el país de destinació

final. També té en compte el contingut dels infor-

mes de la Comissió de la Unió Europea, així com

les normes de dret, generals o sectorials, i les me-

sures de seguretat en vigor del país en qüestió.

5. Quines excepcions permeten la transferència

internacional de dades a països tercers?

Hi ha excepcions en què es poden efectuar comu-

nicacions internacionals de dades encara que el

país de destinació no garanteixi, en la seva norma-

tiva vigent, un nivell de protecció equivalent al del

Principat d’Andorra. Per exemple, quan la transfe-

rència es faci amb el consentiment inequívoc de

la persona interessada o d’acord amb un conveni

internacional del qual el Principat d’Andorra formi

part. Tampoc no cal una protecció equivalent quan

la comunicació es realitzi a l’efecte d’auxili judi-

cial internacional o per a l’exercici d’un dret en el

marc d’un procediment judicial. Tampoc quan es

faci per a l’interès vital de l’interessat o per pre-

servar l’interès públic important.

Altres supòsits regulats en la LQPD són quan la co-

municació sigui necessària en cas d’existència de re-

lacions jurídiques o obligacions contractuals en-

tre l’interessat i el responsable del fitxer o amb motiu

de remeses bancàries o transferències de diners.

I, per últim, quan les dades provinguin d’un registre

públic, si la comunicació s’ha fet conforme a la

finalitat del mateix registre i a petició d’una perso-

na amb interès legítim, tampoc no caldrà observar

l’equivalència en la matèria del país de destinació.

4.7. PRESTADoRS DE SERVEIS 4.8. ComUNICACIó INTERNACIoNAL DE DADES

No es considera comunicació de dades l’accés ne-

cessari per a la prestació d’un servei per compte

del responsable del tractament.

La prestació de serveis de dades personals ha

d’estar regulada en un contracte que ha de cons-

tar per escrit o en alguna altra forma que permeti

acreditar-ne la concertació i el contingut, i s’hi ha

d’establir de manera expressa que el prestador

de serveis només ha de tractar les dades d’acord

amb les instruccions del responsable del tracta-

ment, i que no les pot aplicar ni utilitzar amb una

finalitat diferent de la que figura en el contracte

acordat ni comunicar-les a altres persones, ni tan

sols per conservar-les.

El contracte també ha d’estipular que, una vegada

acomplerta la prestació contractual, les dades de

caràcter personal s’han de destruir o restituir al res-

ponsable del tractament, i també qualsevol suport o

document en els quals consti alguna de les dades

de caràcter personal objecte del tractament.

El prestador de serveis ha d’aplicar les mesures

tècniques i organitzatives adequades per a la pro-

tecció de les dades personals contra la destrucció

accidental o il·lícita, la pèrdua accidental, i contra

l’alteració, la difusió i l’accés no autoritzats, en par-

ticular quan el tractament inclogui la transmissió

de dades dins una xarxa i contra qualsevol altre

tractament il·lícit de dades personals.

En cas que el prestador de serveis destini les da-

des a una altra finalitat diferent de la pactada, les

comuniqui o les utilitzi incomplint les estipulacions

del contracte serà considerat responsable del trac-

tament i haurà de respondre personalment de les

infraccions en les quals hagi incorregut.



5 Drets dels ciutadans

El dret fonamental a la protecció de dades garan-

teix a les persones el poder de control de les seves

dades personals, el seu ús i la seva destinació. Cal

tenir present que tota persona física pot fer valer els

seus drets davant la persona, entitat o organisme

que té i tracta les seves dades. I, en cas que no

sigui atesa, pot presentar denúncia davant l’Agèn-

cia Andorrana de Protecció de Dades. Per garantir

aquest control sobre les seves dades, l’interessat

pot excercir els drets d’accés, rectifi cació, supres-

sió i oposició. La persona afectada pot consultar les

normes de creació publicades al BOPA per conèi-

xer qui és el responsable del tractament i sol·licitar

informació de les seves dades recollides als fi txers

públics (accés). Quan té constància que les dades

recollides són incompletes o són inexactes o inade-

quades, pot sol·licitar-ne la modifi cació (rectifi cació)

o, fi ns i tot, la cancel·lació (supressió).

1. Quines són les accions que pot exercir el titu-

lar de dades personals?

L’interessat pot exercir els drets d’accés, rectifi ca-

ció, cancel·lació o supressió, i oposició.

2. Com puc informar el ciutadà perquè sàpiga a

qui s’ha de dirigir per fer valer els seus drets?

La persona afectada pot consultar les normes de

creació publicades al BOPA per conèixer qui és el

responsable del tractament.

3. Quins són els drets que pot exercir?

L’interessat pot sol·licitar informació de les seves

dades recollides en els fi txers públics (dret d’ac-

cés). Quan té constància que les dades recollides

són incompletes o són inadequades, pot demanar-

ne la modifi cació (dret de rectifi cació) o, fi ns i tot,

la supressió (dret de cancel·lació). També pot de-

manar que cessi el tractament de les seves dades

o, directament, evitar que es dugui a terme (dret

d’oposició). Altres drets són el d’informació prèvia

(té dret a ser informat en el moment de la recolli-

da de dades) i el dret a indemnització per danys

a conseqüència de l’incompliment de la legislació

sobre protecció de dades. Però hi ha tota una sè-

rie d’excepcions a aquests drets que possibiliten

a l’Administració no haver d’informar l’interessat o

a denegar sol·licituds de rectifi cació, supressió o

oposició. Aquestes excepcions habilitades per la

llei cal tenir-les presents, perquè, entre d’altres co-

ses, agilitzen la tasca administrativa.

4. Quines són les propietats o característiques

fonamentals dels drets dels ciutadans en ma-

tèria de dades personals?

Els drets dels titulars de dades personals tenen tres

característiques comunes: tenen caràcter persona-

líssim, són independents l’un de l’altre, i són gratuïts.

- Caràcter personalíssim: només els pot exercir la

persona afectada i no hi ha possibilitat de delega-

ció o representació (excepte en casos de menors

d’edat i de declaració d’incapacitat, en què els pot

exercir el representant legal del menor/incapaç).

- Independents: l’exercici de cada dret pels inte-

ressats és independent l’un de l’altre; és a dir,

per sol·licitar-ne un no és necessari haver-ne de-

manat un altre prèviament.

- Gratuït: no es pot sotmetre, per part del respon-

sable de tractament, a cap formalitat ni al paga-

ment de les despeses que puguin correspondre.

1. Què he de tenir en compte a l’hora de reco-

llir dades?

En el moment de la recollida de les dades, la per-

sona interessada ha de ser sempre informada per

part del responsable o del seu representant de ma-

nera clara, expressa, precisa i inequívoca:

a) de la identitat i de l’adreça del responsable

del tractament i, si escau, del seu representant;

i de la fi nalitat del tractament de què seran ob-

jecte les dades sol·licitades;

b) dels destinataris o del tipus de destinataris de

les dades;

c) del caràcter obligatori o facultatiu de la respos-

ta a les preguntes que se li plantegin i del dret a no

atorgar el consentiment per al tractament de les

dades i de les conseqüències de no atorgar-lo;

d) de l’existència dels drets d’accés, rectifi cació,

oposició i cancel·lació de les seves dades, i de

com pot exercir-los.

2. Com ha de ser el consentiment de l’interessat?

El consentiment de la persona interessada respecte

a la recollida en general i, especialment, a la fi nalitat

de la recollida i als usos de les seves dades perso-

nals ha de ser previ i clarament informat, de tal

manera que la persona interessada sàpiga i enten-

gui inequívocament la fi nalitat i els usos als quals

es destinaran les seves dades objecte de recollida.

Si s’utilitzen qüestionaris o altres impresos per a la

recollida de les dades personals, han de consignar

clarament, detalladament i de manera llegible la in-

formació ressenyada en els epígrafs anteriors, així

com el consentiment de la persona interessada.

5.1. ASPECTES GENERALS

5.2. INFoRmACIó EN LA RECoLLIDA DE LES DADES

RECoRDA!

Els drets dels ciutadans en matèria de protecció de dades personals:• Sóndecaràcterpersonalíssim.• Sóngratuïts.• Sónindependentsl’undel’altre.

RECoRDA!

I. MANUAL de l’APDA 5. Drets dels ciutadans


3. Quina obligació tinc després d’haver reco-

llit les dades?

És obligació del responsable del tractament con-

servar el suport que contingui i demostri el com-

pliment del deure d’informar. Per a la consecució

d’aquest objectiu, pot utilitzar, també, mitjans in-

formàtics o telemàtics. En particular, pot escanejar

la documentació en suport de paper, sempre que

pugui demostrar que en l’automatització no ha in-

tervingut cap alteració dels suports originals.

En cas de dubte de la prova de l’existència del con-

sentiment de la persona interessada, la responsa-

bilitat recau sobre el responsable del tractament.

4. Com he de facilitar la informació al ciutadà?

En el moment de l’obtenció de les dades perso-

nals s’ha de facilitar la informació a l’interessat,

ja sigui per mitjà d’una clàusula informativa en

l’imprès o l’escrit que conté les dades, o bé mit-

jançant rètols, avisos, etcètera. Si el fi txer està

recollit en una norma publicada en el BOPA, s’en-

tendrà que la persona interessada ja n’està infor-

mada, però és pertinent informar-la de la ubicació

de la disposició en el BoPA o facilitar-li al màxim

l’accés a la informació.

1. Què és una decisió automatitzada?

La dada personal és una informació. Una o diver-

ses dades personals ens permeten fer avaluacions

i prendre decisions respecte a una persona. Quan

les avaluacions o decisions respecte a una per-

sona les realitza automàticament un programa in-

formàtic, estem davant una decisió automatitzada.

2. Situacions de tractaments automatitzats

Tota persona té dret a no veure’s sotmesa a una de-

cisió que produeixi efectes jurídics sobre ella o que

l’afecti de manera signifi cativa, que es basi únicament

en un tractament automatitzat de dades destinat a

avaluar determinats aspectes de la seva personalitat.

Una persona es pot veure sotmesa a una d’aques-

tes decisions quan:

a) s’hagi adoptat en el marc de la celebració o de

l’execució d’un contracte, sempre que la peti-

ció de celebració o d’execució del contracte

presentada per l’interessat s’hagi satisfet o que

existeixin mesures adequades per salvaguardar

el seu interès legítim, com la possibilitat de de-

fensar el seu punt de vista; o

b) estigui autoritzada per una llei que estableixi mesu-

res que garanteixin l’interès legítim de l’interessat.

3. Pot oposar-se la persona afectada a un trac-

tament automatitzat?

Si quan les valoracions automatitzades afecten

la persona, té dret a oposar-se a aquestes actu-

acions, impugnant els actes administratius que

valorin el comportament amb l’únic fonament de

fer una valoració automatitzada. A més, en tots els

casos té dret a obtenir informació del responsable

del tractament que va servir per adoptar la decisió

en què va consistir l’acte.

1. Què és?

Qualsevol persona interessada té dret a ser infor-

mada de manera intel·ligible pel responsable del

tractament de l’existència o de la inexistència del

tractament de dades que l’afecti; i té dret a rebre

informació, com a mínim, sobre la fi nalitat del trac-

tament o dels tractaments, les categories de dades

a què es refereixen i els destinataris o tipus de des-

tinataris als quals es comuniquen aquestes dades.

2. I en casos de tractaments automatitzats?

El ciutadà també té dret a rebre la comunicació, igual-

ment de manera intel·ligible, de les dades objecte dels

tractaments, i a conèixer tota la informació disponible

sobre l’origen de les dades. També té dret a conèixer

la lògica utilitzada en els tractaments automatitzats

de les dades referides a la persona interessada, al-

menys en els casos de les decisions automatitzades

previstes en l’article 15 del Reglament de l’APDA, re-

latiu a les decisions individuals automatitzades.

3. Termini

El responsable del tractament ha d’informar la

persona interessada dins un termini màxim de

cinc dies hàbils a comptar del moment en què

rebi la sol·licitud escrita i signada de la persona

interessada.

5.3. DECISIoNS INDIVIDUALS AUTomATITzADES

5.4. DRET D’ACCÉS

REQUISITS DE LA SOL·LICITUD Nom, cognoms i document identifi catiu o qualsevol altre vàlid en dret.

Petició expressa.

Domicili a efectes de notifi cacions, data, sig-natura de l’interessat i forma en què desitja que es faci efectiu l’accés a les seves dades.

REQUISITS DE FoRmA CoNTINGUT DE L’INFoRmE

L’Administració ha de resoldre la petició en el ter-mini de 5 dies, admetent o denegant la sol·licitud.

Si la resolució és positiva, l’Administració ha d’informar en la forma escollida per l’interessat.

Dades llegibles i intel·ligibles sense utilitzar claus o codis.

L’entrega de les dades és gratuïta.

S’ha de respondre fi ns i tot si no es disposa de dades de l’interessat.

A opció de l’interessat l’accés pot ser mitjan-çant visualització, escrit, còpia, telecòpia o

fotocòpia, o qualsevol altre procediment tecno-lògicament possible escollit pel responsable.

Ha de contenir totes les dades emmagatzemades de l’interessat.

S’ha d’informar de l’origen de les dades.

Els usos i les fi nalitats per als quals s’emmagatzemen les dades.

----------

----------

Ha de contenir les cessions realitzades a tercers, amb o sense consentiment de

l’interessat i les que es prevegin realitzar.



4. mitjans

El responsable ha de facilitar la informació a tra-

vés dels mitjans que consideri més oportuns, ja

sigui mitjançant la visualització directa de les da-

des, ja sigui per enviament en format imprès, ja

sigui per qualsevol altra via que consideri conve-

nient, de tal manera, però, que la informació sigui

llegible i intel·ligible.

5. Denegació

El responsable de tractament només pot denegar el

dret d’accés en els supòsits previstos per la LQPD.

Tota denegació a l’accés a les dades l’ha de co-

municar el responsable, de manera expressa, a la

persona interessada dins un termini màxim de cinc

dies hàbils a comptar del moment de la recepció de

la sol·licitud escrita i signada de la persona interes-

sada, per escrit, i ha d’estar motivada. La denegació

de l’accés a les dades o la comunicació defectuosa

es pot recórrer davant la jurisdicció competent.

1. Què és?

Qualsevol persona interessada té dret a sol·licitar al

responsable del tractament que les dades que són

objecte de tractament es corregeixin si són errònies.

2. Denegació

El responsable només pot denegar aquest dret

de rectificació en els supòsits previstos en la Llei

15/2003, del 18 de desembre, qualificada de pro-

tecció de dades personals.

La denegació de la sol·licitud s’ha de contestar

per escrit, i s’ha de motivar; i es pot recórrer da-

vant la jurisdicció competent.

3. Càrrega de la prova

Per a l’exercici del dret de rectificació, el respon-

sable pot sol·licitar a la persona interessada que

aporti els documents necessaris per acreditar la

correcció i la realitat de les noves dades, i pot re-

butjar la sol·licitud si aquests documents no els ha

aportat la persona interessada o el seu represen-

tant o no acrediten la realitat de les noves dades.

4. Termini

En qualsevol cas, el responsable del tractament

ha de comunicar a la persona interessada la de-

negació de la sol·licitud, o la correcció efectiva de

les dades, dintre d’un període màxim d’un mes, a

comptar del moment en què rebi la sol·licitud de la

persona interessada, si la sol·licitud ja va acompa-

nyada de tots els documents necessaris per com-

provar la realitat i la correcció de les noves dades,

o a comptar del moment en què el responsable

rebi la totalitat d’aquests documents.

5. obligació de comunicació

Si les dades que són objecte de rectificació s’han

comunicat prèviament, el responsable del tractament

té l’obligació de notificar la rectificació al destinatari

a qui s’han comunicat, i aquest darrer, si manté el

tractament, també n’ha de dur a terme la rectificació.

1. Què és?

Qualsevol persona interessada té dret a oposar-se

que les seves dades siguin objecte de tractament

per part d’un responsable, quan aquest responsa-

ble no hagi obtingut les dades directament de la

persona interessada, o quan, malgrat que les hagi

obtingut directament de la persona interessada,

les dades siguin tractades i/o utilitzades amb fi-

nalitats i/o de manera diferent a la consentida per

la persona interessada. Així mateix, també quan la

persona interessada estigui en condicions d’es-

grimir interessos primordials i legítims relacionats

amb la seva situació particular.

2. obligació d’informació per part del destinata-

ri que rep comunicació de dades

Quan un destinatari de dades de caràcter personal

sigui objecte d’una comunicació de dades per part

d’un responsable del tractament, i dintre d’un pe-

ríode màxim de quinze dies hàbils a comptar del

moment en què rebi les dades, ha d’informar la per-

sona interessada de les circumstàncies següents:

a) identitat del nou responsable del tractament o,

si escau, del seu representant;

b) identitat de la persona física o jurídica de la

qual el nou responsable ha rebut les dades;

c) finalitat del tractament de les dades obtingudes;

d) destinataris o tipus de destinataris de les dades;

e) drets d’accés, rectificació i supressió de les se-

ves dades i com pot exercir-los.

3. Termini per oposar-s’hi

Dintre d’un termini màxim d’un mes des del

moment en què la persona interessada hagi es-

tat informada de les circumstàncies anteriors,

aquesta persona pot exercir el seu dret d’opo-

sició, sol·licitant al nou responsable del tracta-

ment la supressió de les seves dades. Si al final

d’aquest termini no ha exercit el seu dret d’opo-

sició, s’entén que consent al tractament per part

del nou responsable.

4. Quan no es pot exercir el dret d’oposició?

No es pot exercir el dret d’oposició quan la comu-

nicació de dades:

a) es faci entre entitats de naturalesa pública, i

aquesta comunicació s’estableixi en les normes

de creació de fitxers de naturalesa pública, i de

conformitat amb els principis relatius a la qualitat

de les dades;

b) sigui necessària per al compliment de les finali-

tats i les funcions dels registres públics expres-

sament regulats per llei;

c) es faci en compliment d’una norma vigent, o per

al compliment d’una norma vigent;

d) sigui necessària per al compliment d’obligacions

contractuals establertes entre la persona inte-

ressada i el responsable del tractament, o sigui

necessària per al compliment, el desenvolupa-

ment i el control d’altres relacions jurídiques que

hi pugui haver entre la persona interessada i el

responsable del tractament;

e) sigui necessària per preservar l’interès vital de la

persona interessada;

f) sigui requerida per a una ordre judicial.

5. Excepcions

a) Tanmateix, quan la persona interessada té co-

neixement provat que les seves dades personals

són tractades i/o utilitzades pel responsable del

tractament o pel prestador de serveis amb finali-

tats i/o de manera diferent a les que ha consen-

5.5. DRET DE RECTIFICACIó

5.6. DRET D’oPoSICIó



tit, pot exercir el seu dret d’oposició, de franc,

sol·licitant per escrit al responsable del tracta-

ment la supressió de les seves dades.

b) Així mateix, la persona interessada té dret a opo-

sar-se, amb la prèvia petició i sense despeses, al

tractament de les dades de caràcter personal que

l’afectin, respecte de les quals el responsable pre-

vegi un tractament per a finalitats de màrqueting

directe o qualsevol altra forma de prospecció; o

a ser informada abans que les dades es comuni-

quin per primera vegada a tercers per a finalitats

de màrqueting directe, o s’utilitzin en nom seu a

l’efecte de prospecció; i al fet que se li ofereixi,

de manera expressa, el dret d’oposar-se, sense

despeses, a aquesta comunicació o utilització.

6. Denegació

La denegació al dret d’oposició s’ha de contestar

per escrit, i s’ha de motivar; i es pot recórrer davant

la jurisdicció competent.

1. Què és?

Qualsevol persona interessada té dret a sol·licitar

al responsable del tractament que les dades que

són objecte de tractament se suprimeixin.

2. Causes de denegació del dret de cancel·lació

El responsable pot denegar aquest dret de cancel-

lació en els supòsits següents:

a) quan la conservació de les dades sigui neces-

sària per al responsable del tractament, d’acord

amb la llei vigent;

b) quan la conservació sigui necessària per al com-

pliment de les finalitats legítimes del responsable,

dintre dels terminis màxims que, d’acord amb la

normativa vigent, siguin aplicables i, en qualsevol

cas, durant el termini màxim que sigui necessari

per a la finalitat prevista per al seu tractament;

c) quan la conservació sigui necessària en virtut de

les relacions jurídiques o de les obligacions con-

tractuals existents entre la persona interessada i

el responsable, o per al cas de possibles recla-

macions judicials o extrajudicials o obligacions

administratives derivades d’aquestes relacions

jurídiques o obligacions contractuals.

3. Termini

El responsable del fitxer disposa d’un termini màxim

d’un mes, a comptar del moment en què rebi la sol-

licitud de la persona interessada, per comunicar-li la

supressió efectiva de les dades o la denegació de la

seva sol·licitud, si escau alguna de les circumstàn-

cies indicades en el paràgraf anterior.

4. Efectes de l’acceptació dret de cancel·lació

L’acceptació de la petició de cancel·lació té per

efecte el bloqueig de les dades personals, que

s’han de conservar únicament per a la disposició

de les administracions públiques i dels tribunals

amb l’objecte d’atendre les possibles responsa-

bilitats relatives al tractament, durant el termini

de prescripció de les dades. Esgotat el termini,

se suprimiran.

5. Denegació

En qualsevol cas, davant de la denegació de la sol-

licitud, que s’ha de fer per escrit, i s’ha de motivar,

l’interessat pot presentar recurs contra la dita de-

cisió davant la jurisdicció competent.

6. obligació de comunicació

Si les dades que són objecte de supressió s’han

comunicat prèviament, el responsable del tracta-

ment té l’obligació de notificar la cancel·lació al

destinatari a qui s’han comunicat, i aquest darrer,

si manté el tractament, també n’ha de dur a ter-

me la cancel·lació.

1. Què és el dret a indemnització?

Els ciutadans que a conseqüència de l’incompli-

ment de la LQPD per part del responsable o encar-

regat del fitxer pateixin danys o lesions en els seus

béns o drets, podran ser indemnitzats.

2. Les administracions, com a responsables de

tractament, poden rebre sancions?

Sí. L’APDA és l’òrgan amb potestat sancionadora

que vetlla pel compliment de la regulació en la

matèria de protecció de dades. La LQPD conté,

en el capítol cinquè, les infraccions i sancions per

als incompliments per part de les administracions

públiques i, pel que fa als fitxers privats, també

per als incompliments de les persones físiques o

entitats privades.

3. A part de les sancions administratives, hi pot

haver responsabilitat civil per part dels res-

ponsables o encarregats dels fitxers?

Sí. Les sancions previstes per als responsables

i encarregats dels fitxers recollides en la LQPD

s’entenen sense perjudici de la responsabilitat ci-

vil en què puguin incórrer.

4. Davant de qui ha d’exercir el ciutadà el dret a

indemnització pels danys que ha sofert?

La LQPD reconeix el dret de les persones inte-

ressades a ser indemnitzades dels danys que

hagin patit a conseqüència de l’incompliment

de les obligacions que estableix la llei per part

dels responsables dels fitxers o dels encarre-

gats del tractament.

Els interessats poden interposar les accions legals

que creguin oportunes contra el responsable del

fitxer davant la jurisdicció ordinària pertinent.

Si es tracta d’un fitxer de naturalesa pública, cal

exercir una acció de reclamació de responsabili-

tat, d’acord amb el Codi de l’Administració, davant

l’Administració que en sigui responsable i, si es-

cau, davant la jurisdicció ordinària pertinent.

I si es tracta de fitxers privats, aquest dret ha de

ser exercit davant dels òrgans de la jurisdicció or-

dinària, és a dir, davant els jutges i tribunals que

siguin competents.

5.7. DRET DE CANCEL·LACIó o SUPRESSIó

5.8. DRET D’INDEmNITzACIó

Terminis de temps per contestar les sol·licituds dels interessats

DRET TERmINI QUI A ComPTAR…

Accés

Rectificació

oposició

Cancel·lació

5 dies hàbils

1 mes

1 mes

1 mes

Responsable del tractament

Responsable

Interessat

Responsable

Des de la sol·licitud per escrit de l’interessat.

Des de la sol·licitud de l’interessat si conté la docu-mentació pertinent o des del moment en què el res-ponsable del tractament rep tota la documentació.

Des del moment en què l’interessat és informat pel nou responsable del tractament.

Des de la sol·licitud per part de l’interessat.



La LQPD distingeix els fi txers de naturalesa públi-

ca i els fi txers de naturalesa privada.

Els fi txers de naturalesa privada inscrits al Registre

públic d’inscripció de fi txers es poden consultar a

través de la pàgina web de l’Agència (www.apda.ad).

Els fi txers de naturalesa pública es poden consultar

mitjançant el Butlletí Ofi cial del Principat d’Andorra.

En cap cas l’APDA no disposa de les dades per-

sonals que són objecte de tractament. Únicament

té accés a les dades que descriuen el tractament

que s’està efectuant i la identitat del representant

d’aquest tractament.

La consulta del Registre és pública i gratuïta.

Les actuacions contràries al que disposa la

LQPD poden ser objecte de reclamació pels in-

teressats davant de l’APDA.

L’interessat a qui es denegui, totalment o par-

cialment, l’exercici dels drets d’accés, rectifi ca-

ció, cancel·lació o oposició podrà posar-ho en

coneixement de l’APDA, que iniciarà un proce-

diment administratiu d’acord amb les previsions

del Codi de l’Administració.

L’Administració podrà negar l’accés, la rectifi ca-

ció, la cancel·lació i l’oposició quan estiguin en

perill la defensa de l’Estat, la seguretat pública o

els drets d’altres persones. També quan es posin

en perill les investigacions que estiguin en curs o

els interessos legítims de l’interessat.

5.9. DRET DE CoNSULTA AL REGISTRE PÚBLIC D’INSCRIPCIó DE FITxERS

5.10. TUTELA DELS DRETS

RECoRDA!Drets d’accés, rectifi cació, supressió i oposició: aquests drets s’han d’exercir davant l’administració responsable del fi txer, és a dir, davant del departament corresponent de l’Administració pública que correspongui, segons el cas (Govern d’Andorra, comuns, Universitat d’Andorra, consorcis, etc.)

Dret d’accés: el responsable del fi txer ha d’informar el ciutadà de forma concreta de quines dades seves té, a qui les ha cedit i com les ha obtingut. El dret no és a informar genèricament, ja que el ciutadà pot consul-tar de manera general el fi txer al Registre públic d’inscripció de fi txers, sinó que és necessària una informació concreta.

Dret de rectifi cació: perquè l’interessat corregeixi les dades personals inexactes o incompletes. El responsable o encarregat

ha de comunicar a l’interessat la correcció efectiva de les dades o la denegació de la sol·licitud en un termini màxim d’1 mes.

Dret de supressió: quan l’interessat vol donar de baixa les dades personals in-necessàries o simplement per revocar el consentiment. El responsable o encarre-gat disposa d’un termini màxim d’1 mes per comunicar la supressió efectiva de les dades o la denegació de la sol·licitud.

Dret d’oposició: quan el responsable o en-carregat del fi txer no hagi obtingut les dades directament de l’interessat. Quan un desti-natari rep una comunicació de dades per-sonals té un termini màxim de 15 dies per informar l’interessat, i l’interessat té 1 mes des del moment en què rep la informació per sol·licitar la supressió de les seves dades al nou responsable o encarregat del fi txer.

Què són els registres públics:Tots els fi txers de dades personals el respon-sable del tractament dels quals sigui una en-titat pública, als quals les persones interessa-des estan obligades a facilitar les seves dades a efectes d’inscripció o a altres efectes.

Quins són els fi txers exempts: Són els relatius a matèries exemptes, com la seguretat de l’Estat i la investigació i preven-ció d’infraccions penals. També aquells fi txers

que contenen les dades empresarials d’esta-bliments comercials o les dels autònoms i col·legiats, sempre que les dades facin refe-rència a la seva activitat professional. No entra tampoc en l’àmbit d’aplicació de la LQPD quan el responsable del tractament si-gui una persona física i destini les dades a fi -nalitats exclusivament particulars, com ara les agendes personals o els directoris personals d’adreces i dades de contacte de persones re-lacionades amb el responsable del tractament.


6 Subjectes obligats Fitxers

Fitxers de naturalesa privada

Abans de crear el fi txer, els responsables de tracta-

ment de dades l’han d’inscriure al Registre públic

d’inscripció de fi txers de dades personals seguint

el que preveu el Decret d’aprovació del Reglament

del Registre públic d’inscripció de fi txers de dades

personals, de l’1 de juliol del 2004.

6.1. LEGALITzACIó DE FITxERS


Fitxers de naturalesa pública

La creació, la modifi cació o la supressió del fi txer

de naturalesa pública s’ha de fer mitjançant la nor-

ma publicada per l’Administració pública, d’acord

amb els requisits establerts en els articles 30 i 31

de la Llei 15/2003, del 18 de desembre, qualifi cada

de protecció de dades personals.

La creació, modifi cació o supressió de fi txers de

naturalesa pública s’ha de dur a terme mitjançant

una norma de creació, que ha de ser aprovada per

l’entitat pública responsable del tractament, i que

ha de ser publicada al Butlletí Ofi cial del Principat

d’Andorra abans de la creació, la modifi cació o la

supressió del fi txer.

No és necessària l’aprovació d’una norma de cre-

ació de fi txer de naturalesa pública per a fi txers de

dades personals sota el control d’entitats de natu-

ralesa pública relatius a registres públics que dis-

posin de normativa pròpia, ni tampoc els que fan

referència a matèries excloses de l’àmbit d’aques-

ta llei, d’acord amb l’article 5.

Les normes de creació o modifi cació de fi txers de

naturalesa pública han de contenir, com a mínim,

la informació següent:

a) Finalitat del tractament del fi txer.

b) Fonts de les quals s’obtindran les dades de ca-

ràcter personal.

c) Tipologia de dades que contindrà el fi txer.

d) Comunicacions internacionals de dades que es

preveuen efectuar.

e) Altres entitats de naturalesa pública amb les

quals es preveu intercanviar dades personals als

efectes de la gestió del fi txer.

f) Identifi cació dels òrgans responsables del fi txer i

dels òrgans davant els quals es podran exercir els

drets d’accés, rectifi cació, supressió i oposició.

g) Descripció genèrica de les mesures tècniques i

d’organització que s’apliquin al tractament del

fi txer, d’acord amb l’article 12.

No s’han de notifi car els fi txers de naturalesa pú-

blica al Registre públic d’inscripció de fi txers, però

sí que, prèviament, és recomanable sol·licitar un

informe de l’APDA.

7.1. QUÈ ÉS?

7.2. PoTESTATS DE L’APDA

L’autoritat de control i les seves potestats


(APDA) és un organisme públic amb personalitat

jurídica pròpia i amb plena capacitat d’obrar. Actua

amb independència de les administracions públi-

ques i té atorgades funcions de compliment de la

legislació sobre protecció de dades.

Els òrgans de l’Agència són el cap i dos inspec-

tors, que depenen del cap. Els tres són designats

pel Consell General. En primera votació cal la ma-

joria qualifi cada dels consellers (les 2/3 parts) i, en

segona votació, és sufi cient amb majoria absoluta.

Són designats per a un període de quatre anys, amb

possibilitat de renovació al fi nal de cada període.

L’APDA es fi nança exclusivament de les partides

pressupostàries que anualment determina el pres-

supost del Consell General.

1. Quines són les potestats de l’APDA?

Són potestats de l’APDA vetllar pel compliment

de la LQPD; gestionar el Registre públic d’ins-

cripció de fi txers de dades personals; exercir la

potestat inspectora i de sanció; publicar anual-

ment la llista de països amb protecció equivalent;

proposar millores en la normativa de protecció de

dades personals, i elaborar una memòria anual de

la seva activitat.

L’APDA també haurà d’habilitar els mitjans telemà-

tics adients per a l’exercici de les funcions i per

facilitar l’exercici dels seus drets als ciutadans.

2. Què és la inspecció?

És l’exercici de la facultat de control per part de

l’APDA.

3. Qui la pot iniciar?

La pot iniciar d’ofi ci la mateixa Agència o per

sol·licitud de qualsevol persona interessada que

consideri que els seus drets han estat vulnerats

o que un responsable de fi txers ha incomplert

la LQPD.

7 L’Agència Andorrana de Protecció de Dades

I. MANUAL de l’APDA 7. L’Agència Andorrana de Protecció de Dades

NoRmA DE CREACIó DEL FITxER PÚBLICContingut que ha d’incloure:

· DENOMINACIÓ · FINALITAT

· FONTS · TIPOLOGIA

· COMUNICACIONS INTERNACIONALS

· IDENTIFICACIÓ D’ALTRES ENTITATS PÚBLIQUES AMB QUI S’INTERCANVIARAN

DADES PER GESTIONAR EL FITXER

· IDENTIFICACIÓ RESPONSABLE DEL FITXER

· MESURES TÈCNIQUES I ORGANITZATIVES

· ÒRGAN RESPONSABLE DEL TRACTAMENT


RECoRDA!




www.apda.ad

RECoRDA!

4. Estàs obligat a facilitar informació a un

inspector?

Quan rebis una sol·licitud per part d’un dels ins-

pectors de l’APDA estaràs obligat a subministrar-li

la informació demanada i a facilitar-li l’accés a les

dependències del teu departament i als recursos

informàtics o d’altre tipus.

5. Pots denegar informació a un inspector?

L’Administració responsable de tractament pot

denegar la informació si no hi ha l’autorització del

cap de l’APDA.

6. Qui pot imposar sancions?

L’APDA. Els inspectors remeten al cap de l’APDA

les propostes de sancions i el cap resol si escau

iniciar el procediment sancionador.

1. Quina fi nalitat té el Registre públic?

El Registre públic d’inscripció de fi txers és l’òrgan

de l’APDA al qual correspon vetllar per la difusió

de l’existència dels fi txers i el tractament de dades

de caràcter personal de naturalesa privada, amb

l’objectiu de fer possible l’exercici dels drets d’in-

formació, accés, rectifi cació i supressió de dades

regulades en els articles 15 i 22 a 24 de la LQPD.

2. Com el pot consultar el ciutadà?

L’APDA possibilita l’accés per mitjans telemàtics a

qualsevol interessat a través d’un motor de recerca

al seu lloc web, www.apda.ad.

3. Com gestiona l’APDA el Registre públic?

Els inspectors revisen les sol·licituds d’inscripció i

d’actualització de fi txers que s’adrecen a l’APDA.

Verifi quen si contenen els requisits generals dels

tractaments de fi txers privats i proposen al cap de

l’Agència de forma motivada l’acceptació o no de

les sol·licituds rebudes. El cap resol les propostes

d’acceptació o de rebuig d’inscripció, i n’informa

de manera motivada els responsables de fi txers.

L’APDA adequa la seva actuació al Codi de l’Ad-

ministració, les resolucions de la qual poden ser

impugnades conforme a la legislació en la matèria.

7.3. REGISTRE PÚBLIC D’INSCRIPCIó DE FITxERS DE DADES PERSoNALS

Preguntes i supòsits

II

1. FAQ: les preguntes més freqüents

2. Supòsits pràctics

3. Supòsits concrets

I. MANUAL de l’APDA


1 FAQ: les preguntes més freqüents

II. PREGUNTES i SUPÒSITS 1. FAQ: les preguntes més freqüents

1 Què és una dada personal?

És tota informació relativa o vinculada a per-

sones físiques identifi cades o identifi cables.

2 Quan he d’aplicar la Llei de protecció de

dades personals?

Quan hagis de fer qualsevol procediment de

recollida, gestió o comunicació d’informació

que contingui dades de caràcter personal

quedarà subjecte al règim de protecció de

les dades personals previst en la llei.

3 Hi ha dades que no cal que siguin protegides?

Sí, hi ha dades respecte de les quals no cal-

drà que compleixis la normativa, perquè són

dades que estan excloses de la LQPD.

4 Quines són les dades excloses de l’àmbit

d’aplicació de la llei?

Les excepcions són:

• lesagendespersonals,

• dadesdepersonaldepersonesjurídiques

o d’establiments comercials, i les matèries

relatives a la seguretat de l’Estat i a la inves-

tigació i prevenció d’infraccions penals.

5 Què és l’Agència Andorrana de Protecció

de Dades (APDA)?

L’APDA és l’autoritat de control que vetlla

pel compliment de la LQPD. L’Agència actua


6 L’APDA disposa de dades personals?

L’Agència no disposa de les dades personals

dels ciutadans, però sí de la informació neces-

sària per identifi car els responsables dels fi txers

i les fi nalitats per a les quals utilitzen les dades

contingudes en aquests fi txers, a través del Re-

gistre públic d’inscripció de fi txers de dades.

7 Si un ciutadà em pregunta si pot consultar

el registre, què li responc?

Que sí. A més, la consulta del Registre pú-

blic d’inscripció de fi txers de dades és lliu-

re i gratuïta.

8 on puc consultar la inscripció d’un fi txer?

Si és de naturalesa pública, al BOPA.

Si és de naturalesa privada, personalment a

l’APDA o a través de la pàgina web de l’orga-

nisme, www.apda.ad.

9 Els requisits de protecció són els matei-

xos per a tot tipus de dades personals?

Hi ha uns requisits mínims que són els ma-

teixos per a totes les tipologies de dades,

però s’aplica una protecció addicional (for-

mes de consentiment, legitimitat de la reco-

llida) per a dades especialment sensibles,

com ara les dades relatives a la ideologia,

l’afi liació sindical, la religió o les creences, i

dades relatives a l’origen racial, la salut o la

vida sexual de les persones.

10 Si sóc responsable del tractament de da-

des personals, què he de tenir en compte

principalment?

La LQPD regula les obligacions que els res-

ponsables del tractament han de complir en el

tractament de dades personals. Cal diferenciar

si ets un responsable de tractament d’un fi txer

públic o privat. En el primer cas, és necessari

publicar la norma de creació del fi txer al BOPA.

En el cas dels fi txers privats, hi ha l’obligació

de notifi car i declarar els fi txers de dades per-

sonals davant el Registre públic d’inscripció de

fi txers. Hi ha altres responsabilitats que s’han

de tenir en compte, com ara respondre les de-

mandes de les persones interessades respecte

de l’exercici dels drets d’accés, rectifi cació i

supressió en els terminis previstos en la LQPD,

entre d’altres obligacions contingudes en el

marc normatiu i recollides en aquest manual.

11 Què ha de saber un ciutadà en el moment en

què li demano dades de caràcter personal?

En el moment de la recollida de les dades és

obligatori informar la persona interessada de:

• l’existènciad’unfitxer,

• lafinalitatdelarecollidadelesdades,

• quinssónelsdestinatarisdelainformació,

• la identitat i l’adreçadel responsabledel

tractament, i

• lapossibilitatquetéd’exercirelsdretsd’ac-

cés, rectifi cació, cancel·lació i oposició, així

com davant de qui i on els pot exercir.

12 Com informo un particular si em pregunta

a qui hem comunicat o cedit les seves da-

des personals?

Pots consultar la disposició general de creació

o regulació del fi txer. En l’apartat de cessions

i transferències ha de constar la previsió si les

dades personals se cedeixen a tercers. La dis-

posició de creació del fi txer es pot conèixer per

mitjà de la consulta al BOPA. Per als casos que

no facin referència al teu departament o, fi ns i

tot, que no facin referència a l’Administració,

sinó que la consulta sigui sobre un fi txer privat,

pots orientar la persona interessada informant-

la que pot exercir el dret d’accés davant del res-

ponsable del fi txer que conté les seves dades.

Per fer-ho més fàcilment pot utilitzar el model

d’exercici del dret d’accés que l’APDA habili-

ta al seu portal web.

En cas que no obtingui resposta en els ter-

minis previstos per la llei, pot presentar una

denúncia davant l’APDA, que pot defensar

els drets de la persona interessada.

13 El règim de protecció de dades que es

recull en la LQPD també serveix per a les

dades personals a Internet?

Sí, s’aplica a totes les dades personals ob-

jecte de recollida o de tractament, i l’àmbit

d’Internet no n’està exclòs.

14 Quan he de tenir el consentiment de la

persona interessada per tractar les seves

dades personals?

Sempre es requereix el consentiment inequívoc

de la persona afectada, excepte quan el trac-

tament es faci d’acord amb una llei. Tampoc

no caldrà el consentiment inequívoc quan les

dades es recullin per a l’exercici de les funci-

ons pròpies de les administracions públiques

en l’àmbit de les seves competències; ni quan

es refereixin a les parts d’un contracte, negoci,

siguin necessàries per al seu manteniment o

compliment; tinguin com a fi nalitat protegir un

interès vital de la persona interessada, o tampoc

quan fi gurin en registres públics accessibles.

15 Quan és necessari que la persona doni el

consentiment exprés?

Caldrà que el consentiment sigui exprés quan es

tracti de dades especialment sensibles, relatives

a opinions polítiques, creences religioses, per-

tinença a organitzacions polítiques o sindicals,

salut, vida sexual o origen ètnic de les persones.


II. PREGUNTES i SUPÒSITS 1. FAQ: les preguntes més freqüents

16 Es poden suprimir les dades personals?

Sí, quan les dades són inexactes o incomple-

tes, o deixen de ser pertinents i necessàries

per a la finalitat per a la qual foren recollides

o tractades. De totes maneres, l’exercici del

dret de supressió comporta la cancel·lació

automàtica de les dades en tots els supòsits.

17 Si es rep una sol·licitud d’un particular per

suprimir les seves dades, hauran de ser

esborrades immediatament?

No, la mera sol·licitud presentada pel particular

no comporta la supressió de les dades, sinó

que caldrà atendre allò que disposa la norma-

tiva aplicable en matèria de conservació i arxiu

de les dades. La Llei estableix que han de ser

conservades durant els terminis que preveuen

les disposicions aplicables o, si escau, les re-

lacions contractuals entre la persona o l’entitat

responsable del tractament i l’afectat.

18 És possible recollir i tractar dades de

menors?

Sí, sempre que es realitzin d’acord amb el

que disposa la LQPD. En aquest sentit, entre

d’altres, sempre s’ha d’obtenir el consenti-

ment dels pares o tutors.

19 Qui pot dur a terme el tractament de da-

des personals?

Qualsevol persona física o jurídica que ne-

cessiti fer un tractament de dades ho pot

fer, respectant el marc normatiu de protec-

ció de dades de caràcter personal.

En el cas dels fitxers públics, poden tractar

dades personals els responsables de trac-

tament, usuaris de dades personals i pres-

tadors de serveis (persona física o jurídica,

pública o privada, o òrgan administratiu

que, sol o conjuntament amb altres, tracti

dades personals per compte del responsa-

ble del fitxer, com a conseqüència de l’exis-

tència d’una relació jurídica que l’hi vincula i

delimita l’àmbit de la seva actuació per a la

prestació d’un servei).

Els òrgans o les persones que tractin dades

personals de fitxers públics han de complir

uns requisits, marcats per la LQPD. El fitxer

públic ha d’estar publicat prèviament en

una disposició o norma al BOPA i l’Admi-

nistració que crea el fitxer ha de ser com-

petent en la matèria.

A més, la norma de creació que es publi-

qui al BOPA, o qualsevol disposició poste-

rior que la modifiqui, haurà d’incloure uns

punts bàsics, com ara la identificació i la

finalitat del fitxer; les fonts de les quals es

pretengui obtenir les dades, i la descrip-

ció dels tipus de dades personals. També

cal que en la norma de creació s’especifi-

quin les cessions de dades a tercers i les

transferències internacionals de dades (si

es preveuen), les mesures de seguretat,

el responsable del fitxer, i on es poden

exercitar els drets d’accés, rectificació,

cancel·lació i oposició.

20 Quan es poden tractar dades personals?

Es poden recollir dades personals i utilitzar-

les posteriorment si:

• lapersonainteressadahihadonatelseu

consentiment de manera inequívoca;

• eltractamentdedadesésnecessariperal

compliment de les finalitats i les funcions

dels registres públics, conforme a la seva

normativa;

• eltractamentesfad’acordambunanor-

ma vigent;

• el tractament de dades és necessari per

al compliment, el desenvolupament o el

control d’obligacions contractuals o ju-

rídiques entre la persona interessada i el

responsable del tractament (per exemple:

un préstec bancari);

• el tractament és necessari per preservar

l’interès vital de la persona interessada

(exemple: anàlisis de sang de la víctima

d’un accident de trànsit);

• el tractament es realitza exclusivament

amb finalitats històriques o científiques o

d’expressió artística o literària.

21 Quan es poden tractar les dades sensibles?

Només poden ser objecte de tractament o

de comunicació amb el consentiment exprés

de la persona interessada. No es poden crear

fitxers amb la finalitat exclusiva de recollida o

tractament de dades sensibles.

22 Com s’han de crear els fitxers?

En primer lloc i abans de la creació, modifica-

ció o supressió de fitxers, s’ha de publicar al

BOPA la norma de creació, que ha de conte-

nir, com a mínim, la informació següent:

• finalitatdeltractamentdelfitxer;

• fontsdelesqualss’obtindranlesdadesde

caràcter personal;

• tipologiadelesdadesquecontindràelfitxer;

• comunicacions internacionals de dades

que es preveuen efectuar;

• altres entitats de naturalesapública amb

les quals es preveu intercanviar dades

personals a l’efecte de la gestió del fitxer;

• identificaciódelsòrgansresponsablesdel

fitxer i dels òrgans davant els quals es po-

dran exercir els drets d’accés, rectificació,

supressió i oposició;

• descripció genèrica de les mesures tèc-

niques i d’organització que s’apliquin al

tractament del fitxer;

• un cop publicada la norma de creació

al BOPA es pot procedir a la creació del

fitxer.

23 Quins són els drets de les persones inte-

ressades?

Les persones interessades tenen dret a:

• serinformadesenelmomentdelarecolli-

da de les dades (dret d’informació);

• accediralesdadesquetél’Administració

o una empresa sobre elles (dret d’accés);

• sol·licitar lacorreccióde les sevesda-

des personals si són inexactes (dret de

rectificació);

• sol·licitarquelessevesdadessiguinsupri-

mides (dret de supressió);

• oposar-sealtractamentsilessevesdades

personals no les han facilitades elles ma-

teixes directament (dret d’oposició);

• responsabilitatcivilperincomplimentdela

llei per part del responsable de tractament

(dret d’indemnització).


2 Supòsits pràctics

II. PREGUNTES i SUPÒSITS 2. Supòsits pràctics

RECOLLIDA DE DADES

Supòsit 1. Recollida de dadesSupòsit 2. Recollida de dades sensiblesSupòsit 3. Recollida de dades personals de menors

CONSENTIMENT I CESSIÓ DE DADES

Supòsit 4. ConsentimentSupòsit 5. Deure de secretSupòsit 6. Cessió de dades entre administracionsSupòsit 7. Cessió de dades a tercersSupòsit 8. Cessió de dades sense consentiment

FITXERS PÚBLICS

Supòsit 9. Norma de creació de fi txers

DRETS DELS INTERESSATS

Supòsit 10. Dret d’accésSupòsit 11. Dret d’informació Supòsit 12. Dades personals als mitjans de comunicació

COMUNICACIÓ INTERNACIONAL

Supòsit 13. Comunicació internacional de dades

505152

5354555656

57

5858 58

60

24 Com a responsable del fi txer puc imposar

condicions als interessats en l’exercici

dels seus drets?

De cap manera. L’exercici dels drets d’accés,

rectifi cació, supressió i oposició no es pot

sotmetre per part del responsable del fi txer

a cap formalitat ni al pagament per part de

la persona interessada de les despeses que

poguessin correspondre.

25 Pot un tercer exercir els drets de l’interes-

sat encara que siguin parella o matrimoni?

No. L’exercici dels drets és personal i només

el pot exercir la persona interessada. Com

a norma general, recorda que sempre cal el

consentiment de l’interessat.

26 Quins requisits s’han de complir per a una

comunicació internacional de dades?

No es poden efectuar comunicacions inter-

nacionals de dades quan el país de desti-

nació de les dades no estableixi, en la seva

normativa vigent, un nivell de protecció per a

dades de caràcter personal equivalent, com

a mínim, al que està establert en la LQPD.

27 Quins països tenen una protecció equi-

valent?

• ElspaïsosmembresdelaUnióEuropea.

• ElspaïsosdeclaratsperlaComissiódeles

Comunitats Europees com a països amb

protecció equivalent:

- Suïssa, Canadà, Argentina,

- els territoris de Guernsey i l’illa de Man,

- en el cas dels EUA, cal consultar l’APDA.

28 I en els casos en què es vulgui efectuar

una comunicació amb un país sense pro-

tecció equivalent?

Aleshores correspondrà a l’APDA, a iniciativa

i consulta prèvia del responsable de tracta-

ment, confi rmar la validesa o no de les comu-

nicacions internacionals.


Supòsit pràctic 1. Recollida de dadesInscripció als cursos i tallers de la Llar de Lòria del Comú de Sant Julià de Lòria

Supòsit pràctic 2. Recollida de dades sensiblesInscripcions al Centre Esportiu Els Serradells del Comú d’Andorra la Vella

1.1. El mateix treballador pot omplir directament un formulari a instància de l’interessat de manera presen-cial; també pot facilitar un formulari en paper o que la persona ompli un qüestionari en línia, a través del web del Comú de Sant Julià de Lòria. Per dur a terme el for-mulari, el treballador ha de tenir en compte els principis de qualitat de les dades. Només podrà recollir aquelles dades que siguin adequades, pertinents i no excessi-ves en relació amb l’àmbit i la finalitat per a la qual es recullen (participar en un taller/curs cultural). Cal aclarir que abans de qualsevol acció el Comú de Sant Julià de Lòria, per poder demanar aquestes dades, ha d’haver publicat la norma de creació del fitxer al BOPA.

1.2. Les dades que es poden sol·licitar són:- Identificatives: Sí

En principi, és possible recollir totes les dades de caràcter identificatiu, excepte aquelles que són desproporcionades per a la finalitat del fitxer, com ara les empremtes o l’ADN.Nom i cognomsTelèfon de contacte (És lícit recollir el telèfon de contacte personal per a finalitats pròpies del curs, per si es necessita contactar amb l’interessat per fer algun canvi d’horari o anul·lar alguna classe.)Número de passaport / DNIAdreça postalFotoAdreça electrònica (Per enviar informació relativa al taller, com ara material de suport, o per contactar amb l’interessat.)

- Personals: Sí/NoEdatData de naixementEn aquest cas, per a l’àmbit en qüestió, serien in-necessàries altres dades personals, com ara l’es-tat civil o les característiques físiques de la perso-na interessada.

- Laborals: No/SíDades com el lloc de treball serien innecessàries, ex-cepte si fossin cursos/tallers exclusius en funció de la situació laboral (exemple: cursos subvencionats per a aturats, o altres de similars, per a funcionaris, etc.).

- Dades econòmiques: No/SíNomés seria pertinent recollir dades bancàries com el número de compte en cas que fossin cursos/ta-llers de pagament i si l’interessat escollís expres-sament fer l’abonament per mitjà de rebut bancari emès per l’administració comunal. Totes les altres dades (ingressos, rendes, hipoteques, etc.) no són adequades ni pertinents en aquest àmbit i finalitat.

- Dades especialment protegides: NoDades sobre salut, ideologia, religió o orientació sexual necessiten requeriments especials i no es poden reco-llir ni tractar en aquest àmbit ni per a aquesta finalitat. (Exigeixen requeriments especials per a la recollida.)

1.3. En la recollida de dades, haurem d’informar l’interes-sat que les dades sol·licitades es demanen per incloure-les en un fitxer de dades que té com a finalitat la parti-cipació en el curs/taller en qüestió, que el destinatari de les dades és la mateixa Llar de Lòria i la identitat del res-ponsable de tractament. A més, se l’haurà d’informar de com pot exercir els seus drets (accés, rectificació i cancel-lació). Tota aquesta informació s’ha de donar a l’interessat en el moment de l’obtenció de les dades, ja sigui per una llegenda (clàusula de privadesa) en el mateix imprès o bé per altres mitjans (avís, rètol; en cas d’obtenció de dades per telèfon, s’ha de llegir la clàusula informativa per telèfon al ciutadà) que informin clarament la persona interessada.

1.4. En el moment de la inscripció del formulari cal el consentiment inequívoc del participant en el curs/taller (no cal exprés), que queda implícit en el moment d’omplir el formulari. El consentiment de l’interessat és revocable en qualsevol moment.

2.1. És una dada que fa referència a l’orientació se-xual, per tant és una dada especialment protegida, de les anomenades dades sensibles, aquelles relatives a opinions polítiques, creences religioses, pertinença a organitzacions polítiques o sindicals, salut, vida sexu-al o origen ètnic de les persones.

2.2. En afrontar aquesta decisió has de saber que les dades sensibles només es poden tractar quan, per raons d’interès públic important, ho disposi una llei o l’interessat hi doni el consentiment exprés i per escrit. A més, els fitxers que contenen aquestes da-des hauran d’aplicar un nivell més elevat de mesures de seguretat. Demanar aquesta dada no és per-tinent i és excessiva en l’àmbit en concret (usu-aris d’un centre esportiu) i amb la finalitat amb què s’obtenen les dades d’aquest fitxer. Per tant no és possible incloure aquesta qüestió en el formulari d’inscripció. Una via per solucionar-ho seria realitzar una enquesta anònima entre tots els usuaris del cen-

tre esportiu perquè valoressin la viabilitat d’aquesta iniciativa. Un cop feta l’enquesta, es podria valorar continuar o no amb la iniciativa.

2.3. Exemple de clàusula informativa“De conformitat amb la Llei 15/2003, del 18 de de-sembre, qualificada de protecció de dades personals, s’informa la persona interessada que les seves dades personals passaran a formar part del fitxer Usuaris del Centre Esportiu Els Serradells, gestionat per la conselleria d’Esports del Comú d’Andorra la Vella, la finalitat del qual és dur el control dels usuaris del centre esportiu comunal i que té com a destinatari d’aquesta informació el Comú d’Andorra la Vella. Així mateix s’informa la persona interessada que l’adreça on es poden exercir els drets d’accés, rectificació, supressió i oposició és davant el Comú d’Andorra la Vella, plaça Príncep Benlloch, número 1. És obligació de l’usuari mantenir actualitzades les dades de forma que corresponguin a la realitat en cada moment.”

1.1. Com hem de demanar les dades de caràcter personal?1.2. Tipologia de dades que cal incloure-hi.1.3. Cal informar-ne l’interessat?1.4. Cal el consentiment de l’interessat?

2.1. A quina tipologia fa referència la nova dada?2.2. Com soluciones aquesta situació?2.3. Exemple de clàusula que posaries en el formulari per informar l’usuari dels seus drets.

La Llar de Lòria formalitza la inscripció dels participants en un dels seus tallers culturals. Necessita recollir dades personals dels participants, amb la qual cosa procedeix a l’elaboració d’un formulari d’inscripció.

El teu cap t’informa que d’ara endavant en la sol·licitud d’inscripció l’usuari del centre haurà d’omplir una casella en la qual indiqui la seva orientació sexual, perquè en funció de les persones homosexuals que hi hagi registrades es mirarà d’habilitar nous vestidors, com s’està fent en centres esportius de països nòrdics, segons manifesta el teu superior.



Supòsit pràctic 3. Recollida de dades personals de menorsActivitats Espai Jove d’Encamp

Supòsit pràctic 4. ConsentimentResponsable fitxer - prestador de serveis. Diplomes dels graduats de la Universitat d’Andorra

3.1. Sí, sempre cal el consentiment patern o dels tutors legals per tractar dades de caràcter personal de menors d’edat. Si són majors d’edat, poden consentir per ells mateixos.

3.2. Com totes les persones, els menors d’edat també poden exercir els drets de rectificació, supressió i oposi-ció davant el responsable del fitxer, o el d’indemnització davant la jurisdicció pertinent. No obstant això, malgrat que els drets personalíssims només els pot exercir la persona interessada, en el cas dels menors d’edat se-ran els pares o tutors legals els que hauran d’interposar les diferents sol·licituds en representació seva. Caldrà representació per als menors fins que aquests arribin a la majoria d’edat marcada per la legislació andorrana, és a dir, fins que no compleixin els 18 anys. Igualment, en el cas dels incapacitats, seran les persones que osten-ten la seva representació legal les que hauran de cursar qualsevol sol·licitud en nom dels incapacitats.

3.3. En dirigir-nos a aquest col·lectiu per a la recolli-da i el tractament de dades per a les activitats de l’Es-pai Jove hem d’utilitzar un llenguatge senzill i no se’ls pot demanar dades de caràcter personal de l’entorn familiar. També hem de tenir encara més cura amb els principis de qualitat de dades, com per exemple que siguin dades actualitzades (la variabilitat és més alta en aquestes edats, com per exemple en les fotogra-fies), perquè responguin amb veracitat a la situació actual del menor. També que les dades siguin supri-mides quan deixi d’acudir a l’Espai Jove per canvi de residència a una altra parròquia o per la causa que sigui (quan deixin de ser necessàries per a la finalitat per a la qual haguessin estat obtingudes).

4.1. No, la Universitat no haurà de demanar de nou el consentiment als seus alumnes perquè no existeix cessió de dades entre la Universitat i l’em-presa privada. En aquest cas la impremta és el prestador de serveis.Universitat d’Andorra = responsable de tractament.Impremta = prestador de serveis (sempre que hi hagi un conveni o un contracte).Alumnes = interessats.

4.2. No, la impremta no pot usar les dades dels graduats per enviar-los informació comercial perquè les dades facilitades només poden respondre a la fi-nalitat per a la qual es van obtenir, és a dir, el tracta-ment en l’àmbit de la docència i, en aquest cas con-cret, la finalitat és inscriure els noms dels graduats

en els diplomes. Un cop finalitzada la prestació dels serveis, la impremta haurà de retornar el material o procedir-ne a la destrucció efectiva.

4.3. Sí, aleshores no només la impremta sinó qualse-vol altra empresa podria enviar-los informació comer-cial perquè aleshores serien dades públiques obtingu-des a través d’un registre públic accessible (col·legis professionals). De tota manera, sempre estarien limi-tats a usar exclusivament les dades que són públiques a través dels col·legis professionals. No obstant això, tant la impremta com qualsevol altra empresa ha de tenir en compte que el col·legiat quan s’inscriu en el col·legi professional i fa públiques les seves dades professionals té la potestat de demanar expressament que no se li remeti informació comercial.

3.1. Cal el consentiment dels pares per tractar les dades dels menors?3.2. Pot el menor fer ús de l’exercici dels seus drets personals?3.3. En l’àmbit del menor, què hem de tenir en compte?

4.1. Ha de demanar la Universitat d’Andorra consentiment als seus alumnes per facilitar el seu nom i cognom a la impremta?4.2. Pot la impremta usar els noms i cognoms dels graduats per enviar informació comercial dels serveis que ofereix?4.3. I si després alguns dels graduats s’inscriuen en un col·legi professional? Podria la impremta enviar-los informació comercial?

L’Espai Jove d’Encamp recull i tracta dades de caràcter personal dels adolescents que aprofiten les instal·lacions del centre i participen en les seves activitats. Tots són menors d’edat (participació limitada a adolescents de 12 a 17 anys).

La Universitat d’Andorra ha de guardonar els llicenciats i diplomats dels seus títols oficials, amb la qual cosa facilita la seva base de dades dels alumnes graduats en aquest any acadèmic a la impremta que, per mitjà de convocatòria pública, elabora els diplomes.



Supòsit pràctic 5. Deure de secretRegistre en línia dels ciutadans al lloc web del Comú d’Escaldes-Engordany

5.1. Cal aclarir que el Comú d’Escaldes-Engordany, per poder demanar aquestes dades a través del seu web, en primer lloc haurà hagut de publicar la norma de creació del fitxer al BOPA. Com en el supòsit pràctic 4, no hi ha cessió de dades de l’Administració a una empresa privada, sinó que aquesta és la prestadora de serveis, però el responsable de tractament segueix sent el Comú. En cas que hi hagués cessió de dades, caldria el consentiment del ciutadà excepte en els ca-sos previstos en la LQPD. Però com que l’empresa informàtica és prestadora de serveis no cal el consenti-ment perquè els informàtics puguin recollir i tractar les dades sempre que ho facin segons les especificacions rebudes del responsable, en aquest cas el Comú.Responsable del fitxer = Comú d’Escaldes-EngordanyPrestador de serveis = empresa informàticaInteressat = usuari en línia del web del comú

5.2. Resposta c. Totes les entitats/empreses que par-ticipen en el procés tenen el deure de secret i de garan-tir la confidencialitat de les dades de caràcter personal recollides i tractades, tant el responsable com tots els prestadors que hi hagi (si són prestacions parcials per

part de diverses empreses). El responsable del tracta-ment ha d’establir les mesures tècniques i organitzatives necessàries per garantir la confidencialitat i la segure-tat de les dades personals. En el cas que ens ocupa, com que s’ha encarregat la totalitat del tractament a un prestador de serveis (l’empresa informàtica), el Comú ha d’exigir-li unes mínimes mesures tècniques i organitza-tives (en coherència a les que s’exigeix la mateixa cor-poració en tractaments propis o de naturalesa anàloga).

5.3. SÍ: podem sense problemes posar-ho com a camp obligatori en el formulari en línia. Nom i cognoms SíEmpresa on treballa FoRA DE L’ÀMBITAdreça postal oPCIoNALEstat civil NoTelèfon oPCIoNALMalalties conegudes No (és una dada sensible!)Foto NoPartit polític al qual va votar el ciutadà les passades comunals. No (és una dada sensible!)Preferències (cine, música, etc.) No o oPCIoNAL (segons la finalitat).

Sí: Dada idònia, correcta per demanar-laNo: és una dada innecessària o excessiva per a l’àmbit i la finalitat per a la qual es fa la recollida de dades.oPCIoNAL: és una dada que es pot demanar, però per a la finalitat que té aquesta obtenció de dades (simplement registrar-se com a usuari d’un lloc web) no cal. Per tant, es pot posar com un camp facultatiu que podrà omplir l’usuari, però no obligatori.FoRA DE L’ÀMBIT: no són dades de caràcter personal (un altre tipus de dades, fins i tot comercials, etc.) i per tant estan fora de l’àmbit de regulació de la LQPD, amb la qual cosa s’haurà d’atendre la seva regulació específica.

5.1. Cal el consentiment del ciutadà que s’inscriu en línia perquè el comú faciliti les dades a l’empresa informàtica?5.2. En aquest cas, qui té el deure de secret? a) el comú? b) l’empresa informàtica? c) totes dues?5.3. L’empresa informàtica ja té enllestit el “software” d’aplicació i ha posat els següents camps en el formulari d’obtenció de dades, que has de revisar. Digues quines d’aquestes dades són pertinents i quines excessives: Nom i cognoms - Càrrec / empresa on treballa - Adreça postal Estat civil - Telèfon - Malalties conegudes - Preferències / gustos (cine, música, etc.) - Foto - Partit polític al qual va votar el ciutadà les passades comunals.

El Comú d’Escaldes-Engordany vol crear al seu lloc web www.e-e.ad un apartat per a usuaris destinat als ciutadans perquè puguin tenir una àrea exclusiva on puguin fer diferents tràmits en línia, puguin rebre informació del comú, incentivar la participació ciutadana, etc. Una empresa informàtica, després d’un procés de convocatòria pública, s’encarregarà de recollir les dades per mitjà d’un formulari en línia i gestionar el fitxer de comptes d’usuaris registrats.

Supòsit pràctic 6. Cessió de dades entre administracionsSol·licitud per llogar un pis de la Borsa d’Habitatge. Cessió de dades a d’altres departaments i ministeris del Govern d’Andorra i a la CASS

6.1. A part de les dades identificatives, calen al-tres tipus de dades més protegides, com ara l’estat civil o les dades economicofinanceres (ingressos econòmics anuals, béns patrimonials…), necessà-ries per avaluar les candidatures per optar als pi-sos de lloguer subvencionats pel Govern. En cap cas, però, no es requeriran les anomenades dades sensibles (relatives a la salut, la religió professada, l’orientació sexual, etc.).

6.2. Les dades economicofinanceres aportades per la Maria han de ser verificades pel ministeri per tal de poder atorgar l’ajut, amb la qual cosa es reque-reix remetre aquestes dades de caràcter personal a d’altres departaments diferents del d’Habitatge, res-ponsable del fitxer (cessió de dades). La legislació en la matèria obliga a demanar el consentiment de la persona interessada en cas de cessió de dades, tot i que s’indiquen una sèrie d’excepcions, recollides en la LQPD. Per tant, en aquest cas sí que cal el consentiment de l’interessat.

6.3. En el formulari ja s’ha de preveure el consen-timent de l’interessat per al cas de comunicació de dades entre administracions. No obstant això, en el cas que ens ocupa, la Maria omple la sol·licitud per llogar un habitatge de la Borsa d’Habitatge, el model T-047, i aporta la documentació necessària. El model de sol·licitud, com molts altres models de les mateixes característiques de l’Administració central, inclou una clàusula de consentiment de comunicacions de dades:

Es disposa a omplir una sol·licitud per llogar un habitatge.6.1. Quines dades personals és necessari que constin al formulari?6.2. Hi ha dades personals de la sol·licitud que el departament d’Habitatge ha de remetre a altres departaments i administracions perquè siguin contrastades. Cal el consentiment de l’interessat?6.3. Com cal preveure el consentiment inequívoc de l’interessat a la cessió de dades a d’altres departaments i administracions?

La maria vol emancipar-se de casa dels pares i s’interessa per accedir als ajuts del lloguer que dóna el ministeri de Salut, Benestar i Treball, amb la qual cosa es dirigeix al departament d’Habitatge. La informen que té diverses opcions, com ara optar a rebre una subvenció periòdica a l’habitatge, demanar el crèdit Emancipació o un crèdit Fiança, o bé entrar a la Borsa d’Habitatge per veure si pot ser beneficiària d’un pis de lloguer. De moment decideix provar sort a la borsa.

“T-047 Sol·licitud per llogar un habitatge de la Borsa d’Habitatge. Consentiment de verificació de dades. D’acord amb la Llei 15/2003, del 18 de desembre, qua-lificada de protecció de dades personals, autoritzo el departament d’Habitatge, els altres departaments del Govern d’Andorra i la Caixa Andorrana de Seguretat So-cial a intercanviar recíprocament les meves dades amb la finalitat exclusiva que s’avaluï la meva sol·licitud.Signatura de la persona que sol·licita i de tots els mem-bres de la llar a excepció dels fills a càrrec.Font: Ministeri de Salut, Benestar i Treball. Departament d’Habitatge. www.habitatgegovern.ad



Decret del 16-12-2009 que regula el fitxer de dades perso-nals per a la comunicació de l’Administració general amb el ciutadà.Exposició de motiusL’article 30 de la Llei qualificada 15/2003, del 18 de desembre, de protecció de dades personals estableix, entre d’altres, que la creació, la modificació o la supressió de fitxers de naturalesa pública s’ha de dur a terme mitjançant una norma de creació aprovada per l’entitat pública responsable de tractar-los, i que ha de ser publicada al Butlletí Oficial del Principat d’Andorra abans que el fitxer es creï, es modifiqui o se suprimeixi.En conseqüència, a fi de fer efectiu el mandat legal esmentat anteriorment, per garantir la màxima transparència en el tracta-ment de dades de caràcter personal i per assegurar als ciuta-dans l’exercici dels seus drets legítims, el Govern, en la sessió del 16 de desembre del 2009, a proposta del secretari d’Estat per a la Reforma de l’Administració i la Promoció de la Societat del Coneixement, aprova aquest Decret amb el contingut següent:Article 1Es crea el fitxer de dades personals denominat Base de dades per a la comunicació de l’Administració general amb el ciutadà, amb les característiques que es descriuen a l’annex d’aquest Decret, que estan subjectes a tots els efectes de la Llei qua-lificada 15/2003, del 18 de desembre, de protecció de dades personals.Article 2Del fitxer que es crea, se’n regula el tractament i s’estableixen a l’annex la denominació, la finalitat del tractament, les fonts de les quals s’obtindran les dades de caràcter personal, la tipologia de dades que contindrà, les comunicacions internacionals de dades que es preveu efectuar, la identificació d’altres entitats de naturalesa pública amb les quals es preveu intercanviar dades personals a l’efecte de gestionar el fitxer, la identificació dels òrgans responsables del fitxer i dels òrgans davant els quals es podran exercir els drets d’accés, rectificació, supressió i oposi-ció, i una descripció genèrica de les mesures tècniques i d’or-ganització que s’apliquin al tractament del fitxer, d’acord amb l’article 12 de la Llei qualificada 15/2003, del 18 de desembre, de protecció de dades personals.Disposició finalAquest Decret entra en vigor l’endemà de ser publicat al Butlletí Oficial del Principat d’Andorra.

Cosa que es fa pública per a coneixement general.Andorra la Vella, 16 de desembre del 2009Jaume Bartumeu Cassany. Cap de GovernAnnexDenominació: Fitxer de dades personals per a la comunicació de l’Administració general amb el ciutadà.Finalitat del tractament del fitxer: disposar de les dades ne-cessàries per a l’enviament de minimissatges a telèfons mòbils (SMS) i correus electrònics a fi d’informar els ciutadans sobre diverses notificacions de l’Administració d’interès per al ciuta-dà: avisos, saludes, consultes, notícies.Fonts d’obtenció de les dades: el mateix ciutadà.Tipologia de dades: número de cens, nom i cognoms, núme-ros de telèfons fixos i mòbils, adreces de correus electrònics, serveis de subscripció, adreces postals, fax.Comunicacions internacionals de dades: no se’n preveuen.Altres entitats de naturalesa pública amb les quals es pre-veu intercanviar dades personals: no se’n preveuen.Identificació dels òrgans responsables del fitxer i dels òrgans davant els quals es podran exercir els drets d’accés, rectificació, supressió i oposició: Servei de Tràmits del Govern d’Andorra.Descripció genèrica de les mesures de seguretat tècni-ques i d’organització que s’apliquen al tractament del fitxer:Tractament automatitzat.Mesures de control d’accés lògic als fitxers de dades (identifi-cadors i contrasenyes).Mesures de control d’accés lògic als sistemes en què estiguin emmagatzemats els fitxers de dades.Procediments d’assignació d’identificadors i contrasenyes, i d’autoritzacions per a l’accés físic als sistemes.Procediments de gestió de la seguretat dels suports que con-tinguin els fitxers de dades personals.Procediments de còpia de seguretat dels fitxers.Procediments de recuperació de les dades en cas de pèrdua dels fitxers.Procediment de gestió i registre d’incidències.Procediments per garantir la confidencialitat de les dades en cas de transmissió per xarxes de telecomunicacions.Tractament en paper.Custòdia en armaris amb clau.Sales d’accés restringit.

Supòsit pràctic 7. Cessió de dades a tercersRecepció i tractament de currículums

Supòsit pràctic 9. Norma de creació de fitxersFitxer de dades personals per a la comunicació de l’Administració general amb el ciutadà

Supòsit pràctic 8. Cessió de dades sense consentimentComunicació de dades personals a la Batllia

7.1. No, com a responsable del tractament dels currículums només podràs dur a terme el tractament de dades per a la finalitat prevista, cobrir en aquests moments una plaça d’auxiliar administratiu.

7.2. Per cedir el currículum a tercers, és a dir, fer una comunicació de dades a tercers, és necessari el consentiment inequívoc o exprés de la persona inte-ressada. En rebre un currículum, s’entén que l’emissor l’envia per voluntat pròpia i que està donant el con-sentiment perquè el receptor (tu) utilitzi la informació. Però només pots cedir-lo a d’altres departaments

per complir la finalitat per a la qual es va sol·licitar el currículum, és a dir, cobrir la vacant de la plaça d’au-xiliar administratiu en concret. Tot i així, pot ser que la persona interessada hagi inclòs en algun lloc del currículum les condicions d’utilització, per limitar el tractament que pugui fer-ne el receptor.

7.3. Els currículums contenen moltes dades de caràcter personal. Quan el fitxer obert per acollir aquests currículums ja no tingui cap funció, serà in-necessari l’emmagatzematge i es podrà procedir a la destrucció de manera efectiva.

El responsable d’aquest fitxer públic és l’Adminis-tració central (Govern). L’òrgan davant del qual l’in-teressat pot exercir els seus drets és el Servei de Tràmits del Govern d’Andorra. La disposició conté els requisits mínims exigits per la LQPD: finalitat del tractament, fonts de les quals s’obtindran les dades

(el mateix ciutadà), tipologia de dades, si es preve-uen o no comunicacions internacionals o cessió de dades a d’altres administracions (no se n’hi preve-uen), i la identificació del responsable de tractament. Per últim, preveu les mesures tècniques i organitzati-ves que s’aplicaran al fitxer.

8.1. Un dels supòsits en què pot haver-hi co-municació de dades sense la necessitat del con-sentiment de l’interessat és per requeriment dels tribunals. No obstant això, les peticions han de respectar igualment els principis de qualitat de les dades i, per tant, hauran de ser precises i no ex-cessives. Com a responsable del tractament has de valorar l’equilibri entre la informació sol·licitada per la Batllia i la destinació o ús que se’n farà. Pots en aquests casos demanar consell a l’Agència Andor-rana de Protecció de Dades.

7.1. Pots utilitzar aquests currículums indefinidament?7.2. Pots cedir els currículums a tercers?7.3. Quan s’hagi cobert la plaça, què n’has de fer dels currículums?

La creació, modificació i supressió de fitxers públics s’ha de dur a terme per una disposició aprovada pel responsable de tractament i publicada prèviament en el BOPA.

8.1. Has de facilitar les dades al jutge sense el consentiment de l’interessat?

El Comú de Canillo necessita urgentment cobrir una plaça d’auxiliar administratiu, amb la qual cosa inicia un procediment d’incorporació d’un treballador temporal, fins que es pugui tornar a la situació inicial o fins que es realitzi la convocatòria pública per crear la nova plaça. Ets la persona encarregada de rebre els currículums dels candidats.

Exemple de norma de creació de fitxers públics.

Treballes a l’Administració pública, i com a responsable de tractament reps un requeriment judicial perquè facilitis unes dades de caràcter personal del teu fitxer.



Supòsit pràctic 10. Dret d’accésRepresentació de l’interessat

Supòsit pràctic 12. Dades personals als mitjans de comunicacióFotografia d’un ciutadà publicada a l’Informatiu Comunal d’Andorra la Vella

Supòsit pràctic 11. Dret d’informacióEnregistrament per càmeres de videovigilància

10.1. No, no pot exercir el dret d’accés en nom de la seva dona. Els drets de les persones en l’àm-bit de la protecció de dades són personalíssims, i no es pot exercir cap dret en representació d’una altra persona sense el seu consentiment. En aquest cas, la fotocòpia del passaport i la còpia de les pro-clames de matrimoni civil no comporten el consen-timent de la dona perquè el marit exerceixi els seus drets en nom seu. Per tant, únicament es pot adme-tre la sol·licitud de dret d’accés si la dona hagués

facilitat el seu consentiment a l’Administració.A falta d’aquest consentiment, si la Rosa Maria vol exercir qualsevol dels seus drets ha de sol·licitar-los ella mateixa.Només en certs casos sí que es pot fer sense el con-sentiment de l’interessat. Per exemple, els pares o tutors legals poden sol·licitar el dret d’accés, de rec-tificació, de supressió o d’oposició en nom del fill/tu-telat. I els representants legals també ho poden fer en nom dels incapacitats.

12.1. En les informacions dels mitjans de comunica-ció, tant públics com privats, el consentiment de l’inte-ressat no és una conditio sine qua non perquè puguin aparèixer dades personals. El dret fonamental a la pro-tecció de dades personals no és un dret absolut i en determinades situacions pot entrar en conflicte amb altres drets també fonamentals i reconeguts constitu-cionalment, com ara el dret a la llibertat d’expressió i el dret d’informació. Per tant, en cada cas caldrà obser-var quines són les dades personals que apareixen i quin tipus de mitjà de comunicació les recull. En el supòsit en concret que ens ocupa, els ciutadans envi-en al Comú queixes o suggeriments per tal que es pu-bliquin al butlletí comunal. En aquest cas és inneces-sari que hi apareguin dades personals perquè la raó d’ésser d’aquesta participació ciutadana incentivada des del canal de comunicació comunal és la denúncia de fets o suggeriments de millores, i no pas qui co-met el fet. Per tant, hagués calgut el consentiment del ciutadà per publicar la foto. En aquests casos el mitjà pot optar per pixelar el rostre del ciutadà quan no té un consentiment previ, ja que el dret a la protecció de dades personals preval sobre el dret a la informació. Cal recordar que per dret d’informació s’entén el dret que té qualsevol persona a donar i a rebre informa-ció. Aquesta informació ha de ser veraç, s’ha de con-trastar i cal haver actuat amb diligència informativa. Per tant, si es donés un supòsit diferent en què el dret a la informació sí que prevalgués sobre el dret a la protecció de dades, però no obstant la dada apa-reguda no fos veraç o resultés ofensiva o susceptible d’atemptar contra el dret a l’honor o la intimitat, l’in-teressat podria igualment sol·licitar amb garanties el dret de rectificació, o fins i tot iniciar accions legals davant la jurisdicció pertinent.

12.2. Si en Ferran creu que la publicació de la seva fotografia no és veraç (no es correspon amb el text o peu de la foto), resulta ofensiva o vulnera el seu honor o intimitat, o simplement no està d’acord amb la publi-cació de la seva imatge al butlletí comunal per no haver donat consentiment previ, s’haurà de dirigir al respon-sable del tractament del fitxer que està especificat en la norma de creació publicada al BOPA. En cas de dubte, podrà adreçar-se a l’APDA per consultar-ho.

12.3. Tot i que se li deneguin les sol·licituds dels drets personals, això no treu que l’interessat pugui anar a la jurisdicció ordinària pertinent per reclamar danys i per-judicis (dret a indemnització). Cal saber informar-lo per-què conegui bé tots els seus drets. En cas que el res-ponsable del fitxer no contesti en els terminis previstos en cada exercici de drets, ni per atorgar ni per denegar el dret, en Ferran pot formalitzar una denúncia davant l’Agència Andorrana de Protecció de Dades.

12.4. Malgrat que el responsable del fitxer eviti respon-sabilitats en la recollida de dades perquè la informació la va enviar un altre ciutadà, el responsable ha de tenir cura en el procés de tractament de dades i aplicar mesures de seguretat per protegir les dades de caràcter personal. Cal tenir molt clar que no es poden publicar dades de ca-ràcter personal com és la fotografia en qüestió en aquest supòsit en concret sense el consentiment de l’interessat. En el cas del Comú d’Andorra la Vella, en el procés de recollida de dades realitzat al seu web, ja preveu aquesta hipòtesi i indica expressament per mitjà d’una clàusula:

12.5. Si en Ferran fos menor d’edat, no podria sol-licitar el rescabalament de la presumpta vulneració del dret fonamental a la protecció de dades, sinó els seus pares o tutors. I segon, en cas que es tractés d’un menor d’edat, el dret a la protecció de dades personals sempre preval sobre el dret a la informació. Si s’hagués publicat la foto, el rostre del menor hauria d’haver estat pixelat. Per tant, el mitjà sí que hauria d’acceptar les sol·licituds d’en Ferran i la família, ja que les dades personals dels menors tenen un nivell més alt de protecció.

11.1. Sí, els ciutadans tenen dret a ser informats de la recollida de dades de caràcter personal, i la imatge d’una persona és una dada personal. L’enre-gistrament amb càmeres de videovigilància per a un

tractament posterior entra en l’àmbit d’aplicació de la Llei qualificada de protecció de dades personals i s’ha d’adequar als requisits de la LQPD.

10.1. Has de facilitar que trameti la sol·licitud en representació de la seva dona?

12.1. És necessari el consentiment del Ferran perquè surti la seva foto al mitjà?12.2. A qui pot dirigir-se en Ferran per queixar-se?12.3. Quines accions pot seguir si se li deneguen les sol·licituds?12.4. Quin grau de responsabilitat té en Paulo?12.5. I si en Ferran fos menor d’edat, canviaria alguna cosa?

11.1. Cal informar els ciutadans de l’enregistrament per mitjà de càmeres de seguretat en els edificis de l’Administració pública?

L’Antoni, cònjuge de la Rosa maria, vol exercir el dret d’accés de la seva dona per conèixer quines dades sobre ella es troben registrades en una administració. Es presenta al teu departament i et demana sol·licitar el dret d’accés i omplir el formulari corresponent, i et porta la fotocòpia del passaport de la seva dona i la còpia de l’edicte publicat al BoPA del 9/10/2002 de les proclames del matrimoni civil que van celebrar ambdós.

El Comú d’Andorra la Vella incentiva la participació ciutadana en un dels seus canals de comunicació, Informatiu Comunal, a través d’una adreça electrònica a la qual el ciutadà pot dirigir les seves col·laboracions ([email protected]). Els ciutadans poden participar-hi proposant un tema o redactant un article d’opinió, però també enviant una foto per il·lustrar una queixa o un suggeriment. En Ferran veu una fotografia seva per a la qual no ha donat el consentiment perquè aparegui al mitjà, i es molesta. La fotografia, en què apareixen diverses persones, l’havia enviada un altre ciutadà, en Paulo.

“L’usuari es compromet a enviar únicament textos o imat-ges dels quals sigui propietari o dels quals tingui els drets de propietat. El comú no es fa responsable de les respon-sabilitats que puguin derivar-se de l’incompliment d’aquest apartat. Els textos es publicaran literalment d’acord amb el contingut rebut a Participació Ciutadana. El comú es reser-va el dret a no publicar aquells textos o fotografies que vul-nerin el respecte a la dignitat de la persona, que siguin dis-criminatoris, xenòfobs, racistes, pornogràfics, que atemptin contra la infància, l’ordre o la seguretat pública, o que a ju-dici seu no resultin adequats per publicar-se. Tots els litigis que se’n derivin seran sotmesos a la jurisdicció dels tribu-nals andorrans. Les dades dels participants i els continguts dels textos i imatges seran tractats d’acord amb l’establert en la Llei 15/2003, del 18 de desembre, qualificada de pro-tecció de dades personals.” Font: Comú d’Andorra la Vella.



Supòsit pràctic 13. Comunicació internacional de dadesComunicació de dades de salut amb Espanya

13.1. Tot i que les dades relatives a la salut són dades especialment protegides i requereixen el consentiment exprés i per escrit de l’interessat (dades sensibles), en un cas com aquest no cal ni el consentiment de l’acci-dentat ni el de la família per facilitar dades de caràcter personal com ara l’historial mèdic o l’anàlisi de sang, perquè preval l’interès vital de la persona. Però en el cas que ens pertoca, com que s’ha de traslladar el pacient a l’estranger –i, per tant, també dades perso-nals com ara l’historial mèdic–, es plantegen dubtes en l’àmbit de la comunicació internacional de dades.

La normativa especifi ca que la comunicació inter-nacional només es pot efectuar entre països que disposin d’un nivell equivalent en l’àmbit de la pro-tecció de dades. La LQPD estableix que els mem-bres de la Unió Europea sí que compleixen aquest

requisit, amb la qual cosa es pot efectuar una co-municació internacional amb Espanya.

Per fer efectiva una comunicació internacional de dades cal el consentiment de l’interessat. Però, en aquest cas, igual com es preveu amb les cessions a tercers dins l’àmbit nacional, la LQPD especifi ca que “no cal el consentiment quan es faci a l’efecte d’auxili judicial internacional, o per al reconeixement, l’exercici o la defensa d’un dret en el marc d’un pro-cediment judicial, prevenció, diagnosi social o per l’interès vital de la persona interessada”.

Per tant, el responsable del fi txer (en aquest cas el SAAS) pot enviar lliurement a l’Institut Català de la Salut i a l’hospital pertinent totes les dades neces-sàries per ajudar a salvaguardar la vida del pacient.

13.1. Quins consentiments calen per facilitar les dades relatives a la salut tenint en compte que es tracta d’una comunicació internacional de dades?

En Jofre té un accident de moto i l’han dut a l’hospital Nostra Senyora de meritxell. Està molt greu i cal traslladar-lo a un hospital de Barcelona per ser operat amb urgència. 3 Supòsits concrets

3.1. DRET A LA PRoTECCIó DE DADES PERSoNALS. mARC GENERAL

1. Què és el dret a la protecció de dades perso-

nals i a què s’aplica?

És un dret fonamental que sorgeix amb el desen-

volupament de les noves tecnologies de la infor-

mació i la comunicació.

El dret a la protecció de dades personals s’ha de

considerar com a part d’una qüestió més àmplia:

la de la protecció de la vida privada i la dignitat

humana. Així, algunes persones ho inclouen en

l’àmbit dels drets humans de tercera generació,

és a dir, el dret a la identitat de l’individu, a la pro-

pietat sobre la pròpia informació i el dret a la inti-

mitat, a la privadesa i a la pròpia imatge.

En aquest sentit, alguns autors denominen

aquest dret com d’autodeterminació informa-

tiva. Es tracta de poder conèixer i controlar la

gestió de la informació personal, és a dir, qui-

na informació existeix, qui hi té accés, qui té

capacitat per crear i difondre informació sobre

terceres persones, per a què s’usen aquestes

dades personals i quines decisions es prenen

amb elles, entre d’altres.

2. A qui pertanyen les dades personals?

Les dades personals pertanyen a les persones a

les quals es refereixen, i només elles poden deci-

dir sobre aquestes dades. Per tant, els diferents

serveis o departaments ofi cials no són els titulars

de les dades, sinó que ho són les persones a les

quals es refereixen.

Existeixen lleis que permeten que els serveis o

departaments d’una entitat administrativa puguin

tenir accés a dades personals fi ns i tot sense el

consentiment de la persona. No obstant això,

només es poden utilitzar respectant la normativa

sobre protecció de dades de caràcter personal.

3. És aplicable la normativa de protecció de dades

personals a les dades de les persones difuntes?

Les persones difuntes no són titulars del dret a la

protecció de dades personals. No obstant això,

la data de la defunció d’una persona o les dades

de caràcter personal referents a persones mor-

tes quan siguin dades relatives a altres persones

(els seus fi lls/es, els seus hereus/ves, etc.), poden

ser considerades dades de caràcter personal. Per

tant, sí que són objecte de protecció i els és apli-

cable la normativa sobre protecció de dades.

4. Els tràmits administratius i les comunicaci-

ons per via electrònica estan subjectes al rè-

gim de protecció de dades personals?

La llei no estableix distincions segons el tipus de

suport en què les dades són tractades. Per això,

també els tràmits administratius que es realitzin

mitjançant l’administració electrònica queden

subjectes als requeriments que la normativa so-

bre protecció de dades estableix.

Les dades personals que es duguin a terme en les

tramitacions administratives telemàtiques integra-

II. PREGUNTES i SUPÒSITS 3. Supòsits concrets


RECoRDA!




www.apda.ad

RECoRDA!

ran els corresponents fi txers, que hauran de ser

creats i publicats al BOPA. Per generar els fi txers

haurà de sol·licitar-ne el consentiment del titular de

les dades, excepte que una llei n’exclogui l’obliga-

ció. En qualsevol cas la persona afectada n’haurà

de ser informada.

5. Revelar dades personals a través d’un web

constitueix un tractament de dades personals?

Fer referència en una plana web a una persona i

identifi car-la pel seu nom o per altres mitjans com,

per exemple, el seu número de telèfon, i facilitar in-

formació relativa a les seves condicions de treball

o a les seves afi cions, constitueix un tractament de

dades de caràcter personal. Per tant, és necessari

complir les previsions establertes en la legislació

en matèria de protecció de dades personals.

Hem de ser conscients de la facilitat amb què es

poden trobar referències personals en planes web

mitjançant l’ús de cercadors, especialitzats a ras-

trejar documents que contenen dades personals

a través de la xarxa.

1. Què són les dades personals?

S’entén per dada personal qualsevol informació

(numèrica, alfabètica, gràfi ca, fotogràfi ca, acústi-

ca, etc.) relativa a una persona física identifi cada

o identifi cable.

El terme identifi cable no s’aplica quan es requereix

una gran quantitat de temps i d’esforç per identifi -

car una persona a partir de les dades utilitzades en

diversos fi txers o documents. Tampoc no s’aplica la

normativa sobre protecció de dades personals si la

informació és anònima o si es presenta com a da-

des agregades. Per exemple: el perfi l de l’estructura

d’edat dels treballadors d’una organització.

Els fi txers públics normalment inclouen la següent

tipologia de dades personals: nom i cognoms,

passaport / DNI, telèfon, domicili, titulacions aca-

dèmiques i dades formatives, data de naixement,

nacionalitat, sexe, activitats professionals, deman-

da d’activitats culturals i esportives, dades bancà-

ries, impostos, vehicles en propietat, immobles en

propietat, diverses prestacions socials, demanda

d’activitats formatives, ajudes i subvencions, cir-

cumstàncies socials, ingressos i rendes.

2. Què són les dades personals especialment

protegides?

Algunes dades tenen la consideració de parti-

cularment delicades perquè pertanyen a l’esfera

més íntima de la persona o perquè la divulgació

d’aquestes dades pot fer vulnerable el titular. Per

aquest motiu són reconegudes com a dades sen-

sibles, de tal manera que el seu tractament com-

porta un afegit de mesures per garantir-ne el cor-

recte tractament.

Aquestes dades són les que revelen opinions

polítiques, creences religioses i pertinença a or-

ganitzacions polítiques o sindicals d’una perso-

na. També les dades que fan referència a la salut,

la vida sexual o l’origen ètnic. Cal tenir present

que respecte a les dades d’ideologia, religió o

creences, ningú no pot ser obligat a declarar.

Per al tractament d’aquesta categoria de dades

defi nides per la llei com dades sensibles, serà

necessari el consentiment exprés i per escrit de

la persona afectada, excepte que la llei sectorial

aplicable prevegui altres disposicions.

3. Quins fi txers solen publicar al BoPA les admi-

nistracions?

Les administracions públiques estan obligades a

publicar al BOPA les normes de creació de tots

els fi txers que generen per a l’exercici de les se-

ves competències legals, sempre que incloguin

dades personals.

4. Què signifi ca ‘tractament de dades’, sigui

manual o automàtic?

L’expressió tractament de dades inclou la recolli-

da, conservació, combinació, comunicació o qual-

sevol altra forma d’utilització de dades personals,

sigui de forma manual o informatitzada. En ocasi-

ons, un tractament de dades és tant manual com

automatitzat, ja que és habitual combinar els ar-

xius tradicionals amb sistemes informàtics, de tal

manera que aquests últims conserven només una

part de les dades disponibles i remeten als arxius

físics per a la resta de la informació.

5. Quina és la diferència entre ‘fi txers automa-

titzats’ i ‘fi txers manuals’?

Un fi txer és un conjunt organitzat de dades de ca-

ràcter personal. Permet qualsevol manera o forma

de creació, emmagatzematge, organització o ac-

cés. De forma progressiva, els fi txers utilitzats per

les diferents administracions s’han anat automa-

titzant, és a dir, s’han generat grups d’informació

estructurada en bases de dades i necessiten de la

informàtica per al seu processament, emmagatze-

matge i explotació. Per això, se’ls anomena també

fi txers informàtics.

No obstant això, les administracions conserven

fi txers o conjunts organitzats d’expedients també

en format paper. La normativa de protecció de da-

des personals s’aplica tant a fi txers automatitzats

com a fi txers manuals. Les mesures que busquen

garantir la seguretat de la informació s’adeqüen al

format, informàtic o manual, del fi txer.

6. Quina norma o disposició han d’emprar les

administracions per crear els fi txers de dades

personals?

La Llei 15/2003, del 18 de desembre, qualifi cada

de protecció de dades personals estableix que els

fi txers han de crear-se, modifi car-se o suprimir-se

per una norma de creació publicada al BOPA.

Les normes de creació són decisions dels òrgans de

l’Administració pública, sotmeses a la LQPD, i que

han de contenir, com a mínim, la fi nalitat del tracta-

ment del fi txer i les fonts de les quals s’obtindran les

dades personals; la tipologia de dades que contindrà

el fi txer; la identifi cació dels òrgans responsables del

fi txer i dels òrgans davant els quals es podran exercir

els drets d’accés, rectifi cació, supressió i oposició;

així com la descripció de les mesures tècniques i d’or-

ganització que s’apliquin en el tractament del fi txer.

A més, si s’escau, hauran d’indicar també les co-

municacions internacionals que es preveuen efec-

tuar; i les entitats de naturalesa pública amb les

quals es preveu intercanviar dades personals als

efectes de la gestió del fi txer.

7. Qui pot ser responsable de fi txers en les enti-

tats públiques?

La fi gura del responsable del tractament és una

persona, física o jurídica, de naturalesa pública o

privada, o un òrgan administratiu, que decideix so-

bre la fi nalitat, el contingut i l’ús del tractament de

les dades personals.

Hem de diferenciar el responsable del tractament

del responsable del fi txer. Aquest últim és la perso-

na o persones que s’encarreguen de la utilització

del fi txer en les seves tasques quotidianes.

3.2. DADES PERSoNALS I FITxERS EmPRATS PER LES ADmINISTRACIoNS PÚBLIQUES



1.1 Què s’entén per ‘consentiment’?

S’entén per consentiment tota manifestació de volun-

tat mitjançant la qual la persona interessada consent

el tractament de les seves dades personals. Aquest

consentiment o manifestació de voluntat ha de ser:

- Lliure. Consentiment no prestat per error, violèn-

cia, intimidació o dol.

- Inequívoc. Consentiment específic, referit a una

determinada operació de tractament i per a una

finalitat explícita.

- Informat. La persona coneix, de forma prèvia al trac-

tament, l’existència del consentiment i la finalitat.

1.2 Quan i en quina forma se sol·licita el con-

sentiment?

Quan s’han de recollir dades de caràcter personal que

després es tractaran en fitxers, s’ha de sol·licitar el

consentiment del titular de les dades. El consentiment

sempre ha de ser inequívoc, és a dir, no presump-

te. Vol dir que ha d’existir expressament una acció o

omissió que impliqui l’existència del consentiment.

El consentiment pot ser:

- Tàcit: s’informa, se sol·licita el consentiment i es

comunica que s’entendrà atorgat si no hi ha una

manifestació en contra.

- Exprés: s’informa, se sol·licita i ha d’atorgar-se

expressament de manera verbal.

- Exprés i per escrit: s’informa, se sol·licita i ha

d’atorgar-se expressament de manera escrita

(aquest procediment és obligatori amb les dades

personals relatives a ideologia, religió, creences i

afiliació sindical).

1.3 Quan no és necessari sol·licitar el con-

sentiment?

Hi ha diverses situacions en què no serà neces-

sari sol·licitar el consentiment com, per exem-

ple, quan existeix una llei que autoritza el trac-

tament de les dades. Tampoc no serà necessari

el consentiment quan les dades es necessiten

per a l’exercici de competències de les entitats

comunals; ni quan en un contracte o precon-

tracte entre l’Administració i una persona (titular

de dades personals) existeix una relació labo-

ral, negocial o administrativa i les dades són

necessàries per al manteniment o compliment

de la relació. Per últim, tampoc no serà neces-

sari quan estigui en joc la vida d’una persona

com, per exemple, en casos d’accidents i trac-

taments sanitaris.

2.1 Què és el dret d’informació en la recollida

de dades? De què s’ha d’informar?

Les persones a les quals se sol·licitin dades per-

sonals han de ser prèviament informades de ma-

nera expressa si existeix un fitxer o tractament

de dades personals; la finalitat i els destinataris

de la informació; si és obligatori o no respondre

a les preguntes, així com les conseqüències de

l’obtenció de les dades o de la negativa a sub-

ministrar-les. També haurà d’informar-se el ciu-

tadà de la possibilitat que té d’exercir els drets

d’accés, rectificació, cancel·lació i oposició, a

més de la identitat i l’adreça del responsable del

tractament de dades.

La qüestió essencial és la següent: saben els ti-

tulars de dades personals les implicacions de la

informació que donen a l’Administració? Els ciu-

tadans han de disposar d’informació suficient per

prendre decisions i poder donar el seu consenti-

ment (consentiment informat).

2.2 Si a una persona se li sol·liciten dades de

forma verbal, de quina manera s’ha d’infor-

mar o n’he d’informar?

La informació s’ha de proporcionar a través d’un

mitjà que sigui coherent amb el sistema de recolli-

da de les dades. La informació que s’ha de facilitar

és la mateixa encara que es comuniqui verbalment,

per escrit o per via electrònica. És a dir, el mitjà pel

qual s’informa el titular de dades pot variar, però

sempre ha de contenir la mateixa informació per-

què el ciutadà pugui atorgar el consentiment.

Quan es recullen dades de forma verbal també

serà necessari informar de manera expressa, pre-

cisa i inequívoca:

- Expressament: bé verbalment, bé per escrit

mitjançant el lliurament d’una nota informativa.

- Precisament: donant la informació necessària

sobre tots els aspectes descrits (fitxer, finalitat,

destinataris, adreça del responsable, caràcter de

la seva resposta, drets accés, etc.).

- Inequívocament: evitant dades o detalls que

facin la informació inadequada, inexacta o que

indueixi a l’error.

Si es recullen dades personals mitjançant qües-

tionaris o impresos escrits hi ha de figurar cla-

rament la informació següent: l’existència d’un

fitxer, la finalitat de la recollida del fitxer i els des-

tinataris de la informació; la identitat i adreça de

la persona responsable del tractament; el caràc-

ter obligatori o facultatiu de la seva resposta; les

conseqüències de l’obtenció de les dades o de

la negativa a subministrar-los, així com la possi-

bilitat d’exercitar els drets d’accés, rectificació,

cancel·lació i oposició.

2.3 Si a una persona se li sol·liciten dades per-

sonals mitjançant el web, de quina manera

se l’ha d’informar?

Normalment s’utilitzaran qüestionaris o impresos

adaptats a la pàgina web. Hi han de figurar amb

claredat les clàusules informatives, que són les

mateixes que les dels impresos no electrònics o

que les verbals:

- Existència d’un fitxer, de la finalitat de la recollida

del fitxer i dels destinataris de la informació.

- La identitat i adreça de la persona responsable

del tractament.

- El caràcter obligatori o facultatiu de la seva

resposta.

- Les conseqüències de l’obtenció de les dades o

de la negativa a subministrar-los.

- La possibilitat d’exercitar els drets d’accés, rec-

tificació, cancel·lació i oposició.

Si, excepcionalment, el disseny del document im-

pedeix o desaconsella la inclusió de les clàusules

informatives, es complementarà la informació que

cal subministrar a través d’un enllaç dins del ma-

teix web, on s’oferirà aquesta informació.

2.4 S’ha de donar una informació diferent en la

recollida de dades especialment protegides?

Sí, és convenient donar la informació per escrit.

Serà necessari informar-ne de manera:

- expressa: per escrit mitjançant el lliurament

d’una nota informativa.

Quan se sol·liciten dades sensibles s’ha d’obte-

nir el consentiment exprés de l’interessat, però

el dret d’informació del ciutadà és el mateix que

per a qualsevol dada de caràcter personal, és a

dir, es pot informar dels drets també per qual-

sevol mitjà (verbal, electrònic, etc.) sempre que

contingui tota la informació descrita en l’apartat

anterior. En cas que no s’informi de tot adequa-

dament, el consentiment del titular de les dades

no serà vàlid tot i que sigui exprés.

- precisa: donar la informació necessària:

- L’existència d’un fitxer, de la finalitat de la re-

collida i dels destinataris de la informació.

- La identitat i adreça de la persona responsa-

ble del tractament.

- El caràcter obligatori o facultatiu de la seva

resposta.

- Les conseqüències de l’obtenció de les dades

o de la negativa a subministrar-les.

- La possibilitat d’exercitar els drets d’accés,

rectificació, cancel·lació i oposició.

1. Consentiment

2. Dret d’informació

3.3. RECoLLIDA DE DADES



- inequívoca: evitar dades o detalls que facin la

informació inadequada, inexacta o que indueixi

a error. Addicionalment, és necessari advertir:

a. Què s’entén per qualitat de dades?

És un dels principis bàsics de la protecció de

dades i garanteix a les persones que les seves

dades seran:

- Recollides per mitjans lícits, lleials i no frau-

dulents.

- Tractades per a propòsits explícits i limitats, i

no per a d’altres finalitats distintes.

- Adequades, pertinents i no excessives.

- Exactes i posades al dia.

- No emmagatzemades més temps que el que

sigui estrictament necessari.

b. Què són ‘dades adequades, pertinents i no

excessives’?

Les dades són adequades quan són les més

apropiades per respondre a les circumstàn-

cies i condicions de la finalitat que es pretén

amb la recollida d’informació.

Les dades són pertinents si tenen relació i

condueixen a la finalitat que es pretén amb la

recollida d’informació.

Les dades seran no excessives si no van més

enllà del lícit i raonable per aconseguir la finali-

tat que es pretén amb la recollida d’informació.

c. Què s’entén per ‘finalitats determinades,

explícites i legítimes’?

Són finalitats determinades aquelles que es-

tan clarament concretades, que són preci-

ses, que no són vagues.

Són finalitats explícites les que expressen cla-

rament i de manera determinada una cosa.

Són finalitats legítimes aquelles conformes

a les lleis.

1. Què és un prestador de serveis de dades

personals?

És una persona, empresa, autoritat pública, ser-

vei o qualsevol altre organisme que tracta dades

personals per compte de l’Administració o de la

persona responsable del fitxer.

Exemple: pel que fa a alguns tractaments de les

administracions, ho pot ser una empresa informà-

tica externa que tingui accés a les dades. En la

mesura en què tracten dades personals han d’es-

tablir i complir totes les mesures de seguretat que

resultin d’aplicació.

2. Quins són els supòsits més freqüents d’en-

càrrecs de tractament amb accés a dades

personals per part dels comuns?

Contractes amb empreses per a:

- Realització i manteniment d’aplicacions infor-

màtiques amb tractament de dades personals.

Exemple: desenvolupament d’aplicació de ges-

tió de tributs, de gestió d’impostos, etc.

- Gestió de lectura de comptadors d’aigua; gestió

del cobrament de determinades taxes o impos-

tos; gestió de la seguretat i salut laboral; gestió

d’enviament de documentació (amb empreses

de mailing); gestió del pagament de la nòmina

o de la coordinació del pagament d’impostos

(entitats financeres), i gestió de la destrucció de

papers i llistes.

- Seguretat física d’instal·lacions; neteja.

- Entitats financeres, per coordinar el pagament

de nòmines; elaboració de les nòmines per as-

sessories externes.

3. Quines clàusules relacionades amb la protec-

ció de dades ha d’incloure un contracte amb

una entitat si aquesta ha d’accedir a fitxers

comunals amb dades personals?

L’Administració ha de regular la realització del trac-

tament de dades personals per part de l’entitat

contractada, a qui es reconeixerà com a prestador

de serveis. Aquesta regulació s’ha de realitzar pre-

ferentment per mitjà d’un contracte escrit, sempre

que permeti acreditar-ne la celebració i el contingut.

El contingut del contracte per signar ha d’incloure:

quines dades es faciliten, en quin fitxer està regulat

el seu tractament, per a quin tipus d’activitat es

concreta la tasca que s’ha de realitzar i com s’han

de tractar les dades.

Les obligacions del prestador de serveis són:

complir les disposicions de la Llei qualificada de

protecció de dades de caràcter personal 15/2003;

utilitzar la informació exclusivament per a la fina-

litat definida; tractar la informació conforme a les

instruccions; guardar el secret professional, tant

l’empresa com el personal al seu càrrec; complir

les mesures de seguretat; informar el respon-

sable del tractament sobre eventuals fallides del

sistema de seguretat; no reproduir, comunicar ni

cedir a tercers la informació; no subcontractar

l’activitat, excepte autorització, i finalment, esbor-

rar les dades o retornar el suport informàtic una

vegada finalitzat el servei contractat.

4. Quina documentació específica és exigible

en els contractes menors que incloguin en el

seu objecte el tractament de dades de caràc-

ter personal?

La formalització d’un contracte menor es pot rea-

litzar simplement a través d’una factura, compro-

vant o rebut. No obstant això, quan s’utilitzi per

tramitar la contractació de béns o serveis que im-

pliquin el tractament de dades personals per part

del contractista, ha d’existir un document contrac-

tual, elaborat amb anterioritat a la realització del

servei contractat, que desenvolupi les obligacions

establertes en l’article 12 de la Llei qualificada de

protecció de dades de caràcter personal i la sub-

missió a elles per part del contractista.

El contingut del contracte inclourà: quines dades

es faciliten, en quin fitxer està regulat el seu trac-

tament, per a quin tipus d’activitat es concreta el

treball i com s’han de tractar les dades.

Les obligacions del prestador de serveis són:

complir les disposicions de la Llei qualificada

15/2003; utilitzar la informació exclusivament per

a la finalitat definida; tractar la informació confor-

me a les instruccions; guardar el secret professi-

onal, tant l’empresa com el personal al seu càr-

rec; complir les mesures de seguretat; informar

l’entitat local contractant sobre eventuals fallides

del sistema de seguretat; no reproduir, comunicar

ni cedir a tercers la informació; no subcontrac-

tar l’activitat, excepte autorització, i esborrar les

dades o retornar el suport informàtic una vegada

finalitzat el servei contractat.

5. Què és una finalitat incompatible respecte

d’aquella per a la qual van ser sol·licitades les

dades?

Les dades de caràcter personal no es poden utilit-

zar per a finalitats incompatibles amb aquelles per

a les quals van ser recollides. No es considerarà

incompatible el tractament posterior d’aquestes

dades amb fins històrics o científics. Són finalitats

incompatibles aquelles que no es poden unir o

concórrer amb la inicialment prevista.

Exemple: no es poden emprar les dades personals

del fitxer sobre l’impost de circulació, la finalitat del

qual és el cobrament del tribut, per assignar tar-

getes personalitzades d’aparcaments de residents

sense demanar abans el consentiment.

L’única manera per poder aprofitar les dades d’un

fitxer seria utilitzant tècniques de dissociació, és a

dir, transformant la informació en dades no asso-

ciades a cap persona. En aquest exemple concret,

això no obstant, no servirien per assignar targetes

personalitzades als residents, perquè ja no se sa-

bria a quina persona pertany cada dada. Per tant,

cal tenir clar que les dades dissociades no poden

contenir cap dada de caràcter personal, perquè

fan referència a fets i no a persones.

6. En la gestió d’informació personal, què s’entén

per ‘dades personals exactes i posades al dia’?

Les dades de caràcter personal han de ser exactes

i posades al dia, de manera que responguin amb

veracitat a la situació actual de l’afectat. Són dades

3.4. TRACTAmENT DE DADES I PRESTADoRS DE SERVEIS



exactes aquelles que responen amb fidelitat i ajusta-

dament a la situació de l’afectat. Són dades posades

al dia les que estan actualitzades, és a dir, que res-

ponen a la situació real de l’afectat en cada moment.

Les diferents administracions han de realitzar ope-

racions periòdiques per actualitzar i revisar l’exac-

titud de la informació que gestionen. Per tant, pe-

riòdicament han de preguntar als ciutadans si les

dades personals que posseeixen d’ells són exactes

o bé s’han d’actualitzar. En cas que el personal ad-

ministratiu detecti dades que no són correctes, cal

bloquejar-les per evitar que s’usin en posterioritat.

1. Com s’ha d’actuar quan és necessari sol-

licitar el consentiment de l’interessat per als

casos de cessions de dades?

Les dades de caràcter personal només podran ser

comunicades a una tercera persona o entitat quan

es compleixin les condicions següents:

- La cessió es realitza per complir fins directament

relacionats amb les funcions legítimes de l’enti-

tat responsable i de la part a la qual se cedeixen.

- La cessió es realitza amb el previ consentiment

de les persones titulars de les dades, amb les

excepcions establertes en la llei.

El procediment per cedir dades és el següent:

a. Sol·licitud de cessió de dades.

b. Sol·licitud del consentiment previ de les persones ti-

tulars de les dades, excepte quan no sigui necessari.

c. Cessió de les dades.

2. Quan i en quines condicions es poden sol·licitar

cessions de dades a d’altres administracions?

Si una entitat local necessita dades de caràcter

personal podrà sol·licitar-les a d’altres adminis-

tracions (entitats locals, departaments del Govern

andorrà, etc.) quan tingui constància que aquella

administració posseeix les dades que necessita; i

quan tingui la competència per realitzar l’activitat

per a la qual es requereix el fitxer amb les dades

personals sol·licitats. En aquest cas ha d’acredi-

tar aquesta competència.

Una vegada realitzada la sol·licitud, l’administració

a la qual s’ha sol·licitat la cessió determinarà si és

un supòsit en què es requereix consentiment ex-

prés de les persones titulars de les dades o si la

cessió està emparada en alguna de les situacions

previstes en la Llei qualificada 15/2003.

3. Quan i en quines condicions es poden cedir

dades a d’altres administracions?

Si una entitat local és requerida per altres adminis-

tracions (entitats locals, departaments del Govern,

etc.) per a la cessió de dades, ha de seguir el pro-

tocol oportú, en funció si és necessari o no el con-

sentiment de les persones titulars de les dades:

a. Quan és necessari el consentiment:

Cal la sol·licitud de cessió de dades personals,

i també la sol·licitud del consentiment a les per-

sones titulars de dades.

b. Quan no és necessari el consentiment:

És suficient la sol·licitud de cessió de dades personals.

4. És adequat que els centres educatius de les

parròquies, públics o privats, demanin dades

del domicili dels infants nascuts en un deter-

minat any per fer una campanya promocional

de matriculació?

La cessió de dades del cens a un centre educatiu

privat sense consentiment previ dels titulars de

les dades, o dels seus representants si són me-

nors, no s’ajusta a la normativa en matèria de pro-

tecció de dades.

La cessió de dades del cens a un centre educatiu

públic hauria de complir el requisit següent: les da-

des han de ser necessàries per a l’exercici de les

respectives competències d’ambdues administra-

cions i exclusivament per a assumptes en què el

domicili constitueixi una dada rellevant.

És dubtós que un centre públic tingui la competèn-

cia relativa a la promoció de la matriculació edu-

cativa, perquè es troba en mans del departament

d’Educació del Govern, a través dels seus serveis

centrals o territorials.

5. És adequat que els diferents departaments

del Govern demanin dades personals als co-

muns per realitzar campanyes de comunica-

ció específiques? Hi ha alternatives per com-

plir el mateix objectiu?

Freqüentment els departaments del Govern plan-

tegen peticions d’informació als comuns ja que

les dades del cens parroquial són les més actu-

alitzades. Per exemple, el departament de Sanitat

sol·licita periòdicament dades per realitzar la cam-

1. Regla general

Els responsables de tractament han d’establir les

mesures tècniques i d’organització necessàries

per garantir la confidencialitat i la seguretat de les

dades personals que siguin objecte de tractament.

Si la totalitat o una part del tractament s’encarre-

ga a prestadors de serveis de dades personals,

correspon al responsable del tractament la res-

ponsabilitat que els prestadors tinguin establertes

mesures tècniques i d’organització suficients per

garantir la confidencialitat i la seguretat de les da-

des objecte del servei.

A aquest efecte, els responsables del tracta-

ment han d’exigir als prestadors de serveis de

dades personals l’establiment de les mesures

tècniques i d’organització que el responsable de

tractament consideri mínimes, sempre que es

corresponguin amb les que el mateix responsa-

ble tingui establertes per a tractaments de dades

pròpies i de naturalesa anàloga als que siguin

objecte del servei.

2. Quines són les recomanacions estàndards

respecte a l’ús de contrasenyes?

- Longitud mínima de 8 caràcters.

- Utilitzar tant majúscules com minúscules, inclo-

ent-hi alguns números i signes de puntuació.

- Canviar la contrasenya periòdicament (per exem-

ple, cada tres mesos), sense seguir cap cicle.

Exemple gràfic:

Una contrasenya ha de ser com el raspall de dents:

Usa’l cada dia, canvia’l regularment i NO el com-

parteixis amb els teus amics.

3. Quines operacions s’han de realitzar per elimi-

nar definitivament les dades personals contin-

gudes en un suport quan es deixa d’utilitzar?

Quan es vol inutilitzar un suport hem de prendre les

mesures adequades perquè no se’n puguin recuperar

les dades, tenint en compte el tipus de suport. Potser

haurem d’emprar una destructora de paper o sobre-

escriure un disc amb zeros (0) i uns (1) aleatòriament.

Exemple: què fem amb l’ordinador antic quan proce-

dim a l’actualització d’un lloc de treball? En aquests

casos, ens hem d’assegurar que una vegada que

està passada tota la informació de l’ordinador vell al

nou, eliminem del tot el contingut amb utilitats especí-

fiques o adequades d’esborrat segur. Tota la informa-

ció de l’ordinador antic ha de ser irrecuperable.

Actualment un dels suports més utilitzats per al

trasllat d’informació són les memòries USB. Hem

de ser cauts amb la informació que traslladem a

aquests dispositius. A més d’eliminar la informació,

hem d’assegurar-nos que no es pugui recuperar (el

simple esborrat no és suficient, ja que existeixen

programes de recuperació). Pot ser necessari el

suport o l’assessorament de tècnics especialitzats.

4. Quines són les mesures ordinàries de protec-

ció de fitxers de dades manuals?

Els fitxers manuals es classifiquen, igual que els fit-

xers automatitzats, en virtut del caràcter de la infor-

mació personal de la qual són objecte. Exemples:

utilització d’armaris en zones amb control d’acces-

sos, tancaments amb clau, elements de seguretat

que evitin que es puguin destruir (detectors), inven-

taris, accés limitat a persones autoritzades, etc.

3.5. TRACTAmENT DE DADES I mESURES DE SEGURETAT

3.6. CESSIó DE DADES



panya de prevenció del càncer de mama. Com a

norma general, la cessió de dades del cens a una

altra administració haurà de complir el requisit in-

dispensable que les dades siguin necessàries per

a l’exercici de les competències d’ambdues ad-

ministracions i que s’utilitzin exclusivament per a

assumptes en què la residència o el domicili cons-

titueixin dades rellevants.

Les administracions sol·licitants han d’acreditar

que tenen la competència per realitzar l’activitat

que pretenen i que el domicili és una dada rellevant

per a aquesta activitat. A més, els comuns han de

notificar a l’APDA les comunicacions que es facin,

com recull la Llei del cens.

6. Es poden cedir dades del cens comunal a

persones físiques o empreses privades?

És freqüent que empreses de nova instal·lació en

una parròquia sol·licitin al comú corresponent el

cens d’habitants amb la finalitat d’enviar publicitat

sobre els seus productes als residents. No obstant

això, aquesta cessió no és possible perquè l’ús de

les dades del cens comunal està restringit a la fina-

litat que la llei li confereix.

sable del fitxer. Aquest exercici del dret d’accés és

gratuït. El termini per respondre afirmativament o

negativament a la petició d’accés és de 5 dies des

de la recepció de la sol·licitud. En cas de resposta

afirmativa, s’ha de facilitar l’accés en els pròxims

5 dies des de l’estimació positiva del dret.

- Procediment de tutela del dret:

Si la persona sol·licitant entén que no se li ha facili-

tat correctament el dret d’accés a les seves dades

(per exemple, no se l’ha contestada en 5 dies, la

contestació ha estat negativa, etc.) pot reclamar da-

vant l’Agència Andorrana de Protecció de Dades.

3. És possible denegar l’exercici del dret d’ac-

cés per la dificultat o l’elevat cost que pot su-

posar aquest exercici?

No. En aquest sentit, la LQPD preveu que les da-

des de caràcter personal han de ser emmagatze-

mades de manera que permetin l’exercici del dret

d’accés. A més, l’accés a les dades és gratuït.

4. Què és el dret de rectificació i com se sol·licita?

És el dret que té qualsevol persona a sol·licitar

d’una administració que rectifiqui, corregeixi o

completi dades seves si són inexactes, inadequa-

des, incompletes o excessives.

- Com sol·licitar la rectificació de les dades

personals pròpies?

Cal que ho sol·liciti la persona interessada o el seu

representant legal, i que dirigeixi la sol·licitud a la

persona designada com a responsable del fitxer.

L’interessat ha d’indicar a quines dades es refe-

reix i la correcció que s’hagi de realitzar, que ha

d’acompanyar de la documentació justificativa.

El responsable del fitxer resoldrà i, si escau, rec-

tificarà les dades, en el termini màxim d’1 mes

des de la recepció de la sol·licitud. L’exercici del

dret de rectificació també és gratuït.

- Procediment de tutela dels drets

Si el sol·licitant entén que no se li ha facilitat cor-

rectament el dret de rectificació de les seves da-

des, no se l’ha contestat en 1 mes o la contestació

ha estat negativa, pot reclamar davant l’APDA.

5. Què és el dret de supressió i com se sol·licita?

És el dret de qualsevol persona a sol·licitar d’una

administració que elimini dades seves quan hagin

deixat de ser necessàries o pertinents per a la fina-

litat per a la qual es van obtenir, o bé s’hagi superat

el període necessari per al compliment de les finali-

tats per a les quals van ser recollides.

- Com sol·licitar la cancel·lació de les dades

personals pròpies?

Cal que ho sol·liciti directament la persona interes-

sada o el seu representant legal, que haurà de dirigir

la sol·licitud a la persona designada com a respon-

sable del fitxer. El responsable del fitxer resoldrà, i si

escau suprimirà les dades, en el termini màxim d’1

mes des de la recepció de la sol·licitud. L’exercici del

dret de cancel·lació és gratuït. La cancel·lació impli-

ca l’esborrat físic de les dades personals, excepte

quan la supressió no sigui materialment possible. En

aquest cas, el responsable del fitxer bloquejarà les

dades amb la finalitat d’impedir-ne el tractament.

- Procediment de tutela del dret.


rectament el dret de cancel·lació de les seves da-

des, no se l’ha contestat en 1 mes o la contestació

ha estat negativa, pot reclamar davant l’APDA.

6. En quines circumstàncies no es poden can-

cel·lar les dades personals?

Quan les dades personals hagin de ser conservades

durant determinats terminis temporals. Aquests perí-

odes de temps s’estableixen segons les disposicions

legals que siguin d’aplicació, o es deriven, si escau,

dels contractes o de les relacions contractuals exis-

tents entre el responsable del tractament i la perso-

na interessada, contractes que han estat l’origen del

tractament de les dades personals en qüestió.

En aquests supòsits, transcorregut el termini de

conservació, les dades personals s’han de blo-

quejar, i estaran a disposició exclusivament de les

administracions públiques, jutges i tribunals per

atendre les possibles responsabilitats sorgides del

tractament. Quan finalitza el termini de prescripció

les dades personals s’han de suprimir.

1. Com es pot facilitar als ciutadans l’exercici

dels seus drets d’accés, rectificació, supres-

sió i oposició pel que fa al tractament de les

seves dades personals?

Les administracions han de facilitar a les persones l’exer-

cici dels drets d’accés, rectificació, supressió i oposició.

Per aquest motiu, han de realitzar les accions següents:

- Redissenyar els procediments administratius, si

és necessari, perquè l’exercici dels drets (accedir

a dades, rectificar-les, etc.) no resulti una tasca

complicada per a l’Administració ni per al ciutadà.

- Dissenyar models de documents, en format paper,

electrònic, etc., perquè, mitjançant el seu com-

pliment, es faciliti l’exercici de drets. Es podran

utilitzar els models que s’acompanyen en aquest

Manual o els disponibles en el lloc web de l’APDA.

- Donar una formació adequada als empleats pú-

blics amb funcions d’atenció als ciutadans per-

què els informin dels drets que tenen i els orien-

tin perquè puguin exercir-los.

2. Què és el dret d’accés i com se sol·licita?

És el dret que té qualsevol persona a preguntar i obte-

nir de l’Administració informació de quines dades de

caràcter personal té sobre ella, del detall d’aquestes

dades, les finalitats per a les quals es van emmagatze-

mar, la procedència i les comunicacions o cessions de

dades realitzades o que es preveuen efectuar.

- Com es pot sol·licitar l’accés a les dades per-

sonals pròpies? L’ha de sol·licitar la persona in-

teressada o el seu representant legal. Cal dirigir la

sol·licitud a la persona designada com a respon-

3.7. ExERCICI DELS DRETS DELS CIUTADANS EN RELACIó AmB LA PRoTECCIó DE DADES PERSoNALS



7. Què és el dret d’oposició i com se sol·licita?

És el dret de qualsevol persona a sol·licitar d’una

administració que no realitzi el tractament de les

seves dades personals o que cessi en aquest trac-

tament en els supòsits següents:

a) Quan el responsable del tractament no les hagi ob-

tingudes directament de la persona interessada.

b) Quan no sigui necessari el seu consentiment per

al tractament, com a conseqüència de la con-

currència d’un motiu legítim i fonamentat que ho

justifiqui, referit a la seva concreta situació per-

sonal, sempre que una llei no disposi el contrari.

c) Quan el tractament tingui per finalitat l’adopció

d’una decisió referida a la persona afectada i ba-

sada únicament en un tractament automatitzat

de les seves dades de caràcter personal.

- Com se sol·licita l’oposició de les dades per-

sonals pròpies?

Cal que ho sol·liciti directament la persona in-

teressada o el seu representant legal, i que diri-

geixi la sol·licitud a la persona designada com a

responsable del fitxer. El responsable del fitxer

resoldrà i, si escau, exclourà del tractament les

dades relatives a la persona sol·licitant, en el ter-

mini màxim d’1 mes des de la recepció de la sol-

licitud. L’exercici del dret d’oposició és gratuït.

Si denega la sol·licitud d’oposició, haurà de fer-

ho motivadament, també en el termini d’1 mes.

En cas que no disposi de dades de caràcter per-

sonal del sol·licitant, haurà igualment de comu-

nicar-li-ho en el mateix termini.

- Procediment de tutela dels drets


rectament el dret d’oposició, no se l’ha contestat

en 1 mes o la contestació ha estat negativa, pot

reclamar davant l’APDA.

8. Què s’entén per decisions que afecten significati-

vament els ciutadans i que estan basades única-

ment en un tractament automatitzat de dades?

Les persones tenen dret a no veure’s sotmeses a

una decisió amb efectes jurídics sobre elles, o que

els afecti de manera significativa, quan es basa úni-

cament en un tractament automatitzat de dades

destinat a avaluar determinats aspectes de la seva

personalitat, com ara el seu rendiment laboral, crè-

dit, fiabilitat o conducta. Els ciutadans podran exer-

cir el dret d’oposició respecte d’aquestes decisions.

No obstant això, els afectats podran veure’s sot-

mesos a una d’aquestes decisions quan s’hagin

adoptat en el marc d’un contracte celebrat a petició

de l’interessat, sempre que se li doni la possibili-

tat d’al·legar el que estimi pertinent. En tot cas, el

responsable del fitxer haurà d’informar prèviament

l’afectat, de forma clara i precisa, que s’adoptaran

decisions d’aquestes característiques i cancel·larà

les dades en cas que no arribi a dur-se a terme final-

ment el contracte. També podran veure’s sotmesos

quan una d’aquestes decisions estigui autoritzada

per una llei que estableixi mesures que garanteixin

l’interès legítim de la persona interessada.

9. Si els drets d’una persona en relació amb les

seves dades personals no són atesos, com es

pot sol·licitar la tutela per part de l’APDA?

El ciutadà té dret a reclamar davant l’APDA perquè

iniciï un procediment administratiu quan li hagi

estat denegat, totalment o parcialment, l’exer-

cici dels drets d’accés, rectificació, supressió o

oposició, o quan cregui que no se li ha facilitat o

atès l’exercici d’aquests drets. A la pàgina web

de l’APDA (www.apda.ad), en l’apartat Ciutadans,

es troben disponibles uns models de formularis

per sol·licitar l’inici del procediment de tutela i la

relació de documents que és necessari aportar.

- Com pot una persona evitar que li arribi publi-

citat no desitjada?

Els ciutadans tenen dret a conèixer on s’han obtin-

gut les dades personals pròpies que s’han utilitzat

per a fins de publicitat i prospecció comercials. En

moltes ocasions, l’origen de les seves dades pro-

vé d’un consentiment que es va prestar en realitzar

una altra activitat (per exemple, quan es va signar

el contracte d’ús d’una targeta de fidelització). Es

pot revocar en qualsevol moment el consentiment

en virtut de com es rep la publicitat. En tot mo-

ment és factible oposar-se a aquest tractament de

dades personals, sense necessitat de justificar-ho,

mitjançant petició expressa i sense cap cost, i sol-

licitar la cancel·lació de les dades personals, que

seran donades de baixa de manera immediata. Es

pot exercir el dret a oposar-se davant el comerci-

ant (responsable del tractament). El procediment

ha de ser senzill: un telèfon gratuït, un missatge de

correu electrònic o a través d’un servei de queixes

o d’atenció al client.

1. Qui té dret a l’accés a la informació d’expedi-

ents comunals en tramitació? En quines con-

dicions s’ha de facilitar aquest accés?

L’accés als documents que obren els expedients en

tràmit es limitarà a les persones interessades o parti-

cipants en els procediments afectats durant el temps

que duri la tramitació, a fi de preservar l’eficàcia de

l’actuació administrativa. En els casos en què s’apli-

qui la tècnica del silenci administratiu s’haurà d’en-

tendre que, a l’efecte de l’exercici del dret d’accés a la

informació, el procediment ha conclòs des de la data

de venciment del termini de resolució i notificació.

Cal deixar ben clar que l’accés a un expedient adminis-

tratiu no és el mateix que el dret d’accés a dades perso-

nals. Hi ha casos en què el dret d’accés a dades perso-

nals es pot denegar si l’expedient està obert. Per accedir

a un expedient administratiu cal tenir un interès legítim.

2. Es pot facilitar informació sobre les persones

empadronades en un habitatge al propietari?

No és possible facilitar la informació de les persones

empadronades en un habitatge ni al propietari de l’ha-

bitatge. No obstant això, per poder empadronar en un

habitatge una altra persona que no en sigui la propi-

etària és necessari que la persona interessada aporti

una còpia del títol o contracte d’arrendament del pis

o una autorització escrita de la persona propietària (o

persona inscrita com a principal ocupant de l’habitat-

ge que legitimi l’ocupació). Si bé no és possible faci-

litar dades personals al propietari d’un habitatge que

sol·licita informació sobre les persones que l’ocupen,

sí que es pot facilitar informació sobre el nombre de

persones ocupants, però sense identificar-les.

3. Es pot facilitar un certificat del cens comunal

d’habitants a una persona distinta de la titular

de les dades personals però amb qui té una

relació de parentiu?

Les dades personals són propietat de les perso-

nes a les quals es refereixen i només elles o, en

el cas de menors o incapacitats, els seus repre-

sentants legals, poden decidir sobre les seves

dades personals. En conseqüència, la sol·licitud

d’un certificat d’empadronament l’ha de realitzar

la mateixa persona interessada.

Ara bé, es pot arbitrar la possibilitat que, en el

moment de formular aquesta sol·licitud, la perso-

na titular de les dades manifesti la seva voluntat o

desig que una altra persona, en el seu nom, pu-

gui recollir el certificat d’empadronament Això es

pot realitzar per mitjà del seu esment exprés en la

sol·licitud a través d’un espai específic o un espai

reservat a observacions. Sense aquesta habilitació

expressa no es poden facilitar certificats amb da-

des personals a persones diferents de la titular de

les dades, siguin familiars de la persona o no.

4. Es pot facilitar un certificat del cens comunal d’ha-

bitants a una persona que és família d’una altra

que ha mort, si resulta necessari per a les gestions

relacionades amb l’herència i assegurances?

Sí, es pot facilitar un certificat del cens d’habi-

tants que conté dades personals d’una persona

morta a una altra persona que és familiar de la

primera. Aquest fet no és contrari a la LQPD.

En principi, les persones mortes no són titulars

del dret a la protecció de dades personals. No

3.8. ACCÉS A LA INFoRmACIó. oFICINES D’ATENCIó CIUTADANA. LLIURAmENT DE CERTIFICATS



obstant això, les dades de caràcter personal re-

ferents a persones mortes, o la dada de la de-

funció d’una persona, quan són dades personals

relatives a altres persones (els seus fills o filles,

els hereus, etc.), poden ser considerades dades

de caràcter personal a l’efecte d’aplicació de la

normativa sobre protecció de dades, amb la qual

cosa sí que són objecte de protecció.

5. És adequat que una persona ens demani un

certificat per via telefònica i que l’enviem a

l’adreça postal de la persona titular?

La realització de consultes i tràmits senzills per telè-

fon, com l’emissió de certificats d’empadronament,

és una funcionalitat concebuda com a servei d’ajuda

a la ciutadania, en el sentit que s’ofereix a les perso-

nes la possibilitat d’estalviar-se desplaçaments físics

que no són imprescindibles. La condició necessària

és l’adequada identificació de la persona que truca

per telèfon, a fi de preservar la confidencialitat de la

informació que s’ha de subministrar.

Per solucionar aquesta qüestió una opció pot ser

identificar la persona que demana el servei sol-

licitant-li que ens faciliti les dades que nosaltres es-

tem veient en pantalla. Per exemple, si ens sol·licita

un volant d’empadronament, li podem demanar el

nom i número de passaport, el del cònjuge, la data

de naixement d’algun fill o filla, és a dir, dades que

normalment només pot saber la persona sol·licitant.

Finalment, remetrem la documentació sempre a

l’adreça postal que figura en el cens comunal.

6. Una persona sol·licita un certificat per correu

postal, n’acredita adequadament la identitat

(mitjançant un escrit signat i amb còpia del

document identificatiu, DNI o passaport) però

demana l’enviament del certificat a un domi-

cili diferent del que consta en la inscripció

censal. Com hem d’actuar?

En general, la sol·licitud de qualsevol tipus de certifi-

cat s’ha de formular per la persona interessada mit-

jançant un escrit dirigit al comú. Podrà realitzar-se

en l’imprès normalitzat que disposi l’administració

comunal en les seves oficines o al servei d’atenció

ciutadana, en un format electrònic o en qualsevol

altre format que lliurement triï la persona sol·licitant.

En el supòsit plantejat, la mateixa persona interes-

sada, en formalitzar la sol·licitud, ha donat l’autorit-

zació per a aquest tractament concret de les seves

dades personals, és a dir, per enviar-li el certificat

censal a un determinat domicili. Per tant, sí que és

procedent realitzar el tràmit sol·licitat.

7. Justificant de pagament. Procediment de sol-

licitud i lliurament.

La legislació tributària determina que les persones

que estan obligades a un pagament poden actuar

per mitjà d’un representant. D’altra banda, qual-

sevol persona pot efectuar el pagament i rebre el

corresponent justificant, amb independència que

tingui, o no, interès en el compliment de l’obliga-

ció, i que la persona obligada al pagament sàpiga

d’aquest pagament i ho aprovi o no.

Aquest pagament realitzat per una persona dis-

tinta de l’obligada no comporta legitimació per

exercitar davant l’Administració els drets que no-

més corresponguin a la persona obligada al pa-

gament. En la pràctica, sol ser la mateixa persona

interessada, o una altra en nom seu, qui realitza el

pagament material del deute tributari i, tot seguit,

se li facilita el document justificant de la liquidació

del deute o pagament.

1. Publicació de dades personals en butlletins

oficials i taulers d’edictes virtuals. Quines

cauteles s’han de seguir?

Si l’activitat informativa obeeix a una decisió discre-

cional de l’entitat local, la comunicació que inclo-

gui dades de caràcter personal només pot tenir lloc

quan s’hagi obtingut el consentiment de les perso-

nes interessades. Per contra, si la notificació o pu-

blicació a través d’un butlletí oficial o tauler d’anun-

cis respon al compliment d’un deure legal fixat amb

suficient precisió, res no impedeix la publicació de

dades personals de les persones afectades.

Un supòsit d’aquest tipus és quan la publicació

obeeix a propòsits de transparència.

Exemple: en ocasió de la publicació de la composi-

ció d’una comisió de selecció, a fi que la ciutadania

pugui identificar les persones sota la responsabilitat

de les quals s’ha portat a terme un procés selectiu.

Encara que la publicació respongui a un deure le-

gal, és necessari complir els següents criteris: com

a bona pràctica, en la publicació de dades perso-

nals en qualsevol mitjà s’ha d’acudir al principi de

proporcionalitat. Per tant, només es publicaran

aquelles dades personals que siguin imprescindi-

bles per aconseguir l’efecte legal pretès i que no

resultin excessives. Els butlletins oficials i els tau-

lers d’edictes virtuals són fàcilment accessibles al

públic. En virtut d’aquest caràcter, la publicació de

dades personals suposa facilitar el coneixement

o l’accés a terceres persones de dades personals

sense el consentiment de la persona afectada. Per

això, en la publicació oficial s’ha d’especificar que

només s’autoritza l’accés amb l’objectiu de donar

a conèixer el seu contingut, i que de cap manera

no es permet promoure un ús abusiu de les dades

personals publicades per a d’altres finalitats.

2. Processos de concurrència competitiva i pu-

blicació de dades personals

En un procediment de concurrència competitiva

l’actuació administrativa favorable beneficia només

una o algunes de les persones aspirants, perquè el

procediment és de naturalesa selectiva i l’Adminis-

tració fixa els límits. Així, poden ser procediments

de concurrència competitiva la concessió d’ajudes

econòmiques o subvencions, la contractació ad-

ministrativa d’obres, subministraments o serveis, i

els processos selectius de personal, entre d’altres.

En aquests casos, la pràctica habitual és publicar

la resolució inicial i la final en els butlletins oficials,

i les comunicacions d’actes de tràmit en taulers

d’anuncis i, fins i tot, en una pàgina web. Encara

que la publicació respongui a un deure legal, és

necessari complir el principi de proporcionalitat.

Només es publicaran aquelles dades personals

que siguin imprescindibles per aconseguir l’efecte

legal pretès i no resultin excessives.

Quan es publiquin a través de butlletins oficials o pà-

gines web, que són fàcilment accessibles al públic,

es facilita el coneixement o accés a terceres perso-

nes de dades personals en compliment d’un deure

legal. Per això, en la publicació oficial s’ha d’espe-

cificar que només s’autoritza l’accés amb l’objectiu

de donar a conèixer el seu contingut, i que de cap

manera no es permet promoure un ús abusiu de les

dades personals publicades per a d’altres finalitats.

3. No és necessari el consentiment de les perso-

nes per a una publicació preceptiva que inclou

dades personals, l’objectiu de la qual és algun

dels següents: assegurar una crida, la presèn-

cia de persones interessades en un procedi-

ment o el compliment d’un deure legal.

La tècnica per assegurar la crida o la presència

de les persones interessades en un procediment

és la publicació oficial de l’acte administratiu que

els afecta. Aquesta publicació es pot fer en tau-

lers d’anuncis, butlletins oficials, pàgines web i en

els mitjans de comunicació. Es pot plantejar si és

exigible el consentiment de les persones interes-

sades per a la publicació preceptiva de les seves

dades en diferents supòsits, com ara la concessió

3.9. PUBLICITAT, DIFUSIó I NoTIFICACIoNS



de llicències d’obertura d’establiments, notificació

de deutes tributaris o de sancions de trànsit per

impagaments, o per no haver-se pogut practicar la

notificació de manera personal.

En aquests casos, la publicitat està imposada nor-

mativament per raons de transparència (supòsits de

concessió de llicències d’obertura d’establiments),

per respondre a la necessitat d’assegurar l’efecte

útil del procediment (notificació de deutes tributaris)

o perquè es pretén obtenir un efecte exemplificatiu

(publicació de sancions de trànsit). Per tant, no cal-

drà el consentiment de la persona afectada perquè

la publicació respon al compliment d’un deure legal.

4. Es poden publicar a Internet les actes dels

plens comunals i de les reunions de la Junta

de Govern Comunal quan contenen dades de

caràcter personal?

Les actes dels plens comunals es poden publicar a

Internet sense consentiment de les persones les da-

des de les quals apareixen en les actes si es donen

dues condicions: que ho determini expressament el

reglament orgànic de l’entitat local i que la informa-

ció amb dades de caràcter personal que continguin

no afecti l’honor, la intimitat personal o familiar ni la

pròpia imatge de les persones afectades.

Les sessions dels plens de les corporacions locals

generalment són públiques, excepte en aquells

assumptes que puguin afectar el dret fonamental

dels ciutadans, si així s’acorda per majoria abso-

luta. No obstant això, les sessions de la Junta de

Govern Comunal no són públiques i per això les

seves actes no es poden publicar a Internet.

L’exposició pública i resumida de les actes dels

plens comunals, qualsevol que sigui el mitjà a través

del qual es realitzi, té com a finalitat oferir una infor-

mació genèrica als veïns i a les veïnes, i no ha de ser

necessàriament una pràctica informativa contrària

a la normativa sobre protecció de dades. Ara bé,

s’aconsella eliminar d’aquest resum aquelles dades

de caràcter personal que no siguin adequades, per-

tinents o que resultin excessives, a més de les da-

des personals especialment protegides.

En els supòsits en què s’autoritzi l’enregistrament,

per mitjà d’imatges i/o sons, de les sessions que

celebri el ple municipal de l’entitat comunal, se

suspendrà o limitarà aquest enregistrament i la

seva corresponent difusió durant el temps que duri

el debat d’assumptes que puguin afectar el dret a

la intimitat personal o familiar.

5. Procediments sancionadors i publicació de

dades personals

En procediments sancionadors, la publicació

dels acords adoptats està imposada en les nor-

mes reguladores del procediment i, per tant, no

és necessari el consentiment previ de la persona

afectada. No obstant això, en la publicació de les

dades personals s’han d’adoptar les mesures ne-

cessàries per identificar, de manera objectiva, la

persona afectada, però sense que aquesta publi-

cació suposi una invasió de la seva esfera privada

ni una activitat informativa de l’Administració que

es pugui descriure com a desproporcionadament

àmplia. Per exemple, mitjançant l’esment de la re-

ferència a un nombre d’expedient, de manera que

no sigui necessari fer constar el motiu concret de

la infracció ni de la sanció imposada.

1. Quines cauteles s’han de seguir quan els

consellers generals i comunals, en la seva

tasca de control, sol·liciten dades personals?

Els membres d’una corporació general o local tenen

dret a sol·licitar i obtenir de la presidència qualsevol

informació (qualitativa, quantitativa, antecedents,

dades personals, etc.), sempre que obri en poder

dels serveis de l’organisme i resulti necessària per al

desenvolupament de la seva funció de fiscalització i

control dels òrgans de govern de l’entitat.

Les institucions establiran un procediment per a

l’exercici d’aquest dret, que haurà d’incloure la for-

ma i models de sol·licitud i de resposta. Quan la

informació sol·licitada inclogui dades de caràcter

personal, s’haurà de valorar, en primer lloc, si és

possible conduir-la a la seva dissociació, sense

que això afecti el dret de rebre la informació ne-

cessària per a l’exercici de les funcions de control.

Si en la informació subministrada als consellers

es faciliten dades personals i no s’apliquen tèc-

niques de dissociació, en el model de lliurament

de documentació se’ls recordarà que han d’ob-

servar el deure de confidencialitat de la informa-

ció i, en particular, el deure de secret respecte a

les dades de caràcter personal a les quals acce-

deixen en l’exercici del seu càrrec representatiu.

Aquests deures subsisteixen després de finalit-

zat el mandat. Les dades facilitades no poden

ser utilitzades per a funcions diferents a les de

control dels òrgans de govern.

2. Quines cauteles s’han de seguir quan s’es-

menten dades de caràcter personal en els

plens comunals?

Les sessions del ple de les corporacions locals són

públiques. No obstant això, el debat i la votació

d’aquells assumptes que puguin afectar el dret fo-

namental dels ciutadans a l’honor, la intimitat per-

sonal i familiar i a la pròpia imatge (article 14 de

la Constitució) poden ser secrets, sempre que ho

acordi el ple per majoria absoluta.

3. Quines cauteles s’han de seguir respecte de

les dades de caràcter personal en l’exposició

pública i resumida de les actes?

Les sessions dels plens de les corporacions lo-

cals generalment són públiques, excepte en

aquells assumptes que puguin afectar el dret fo-

namental dels ciutadans, si així s’acorda per ma-

joria absoluta. L’exposició pública i resumida de

les actes del ple, qualsevol que sigui el mitjà a

través del qual es realitzi, té com a finalitat oferir

una informació genèrica als ciutadans, i no ha de

ser necessàriament una pràctica informativa con-

trària a la normativa sobre protecció de dades.

No obstant això, s’aconsella eliminar d’aquest

resum aquelles dades de caràcter personal que

no siguin adequades, pertinents o que resultin ex-

cessives i, per descomptat, les dades personals

especialment protegides.

4. Quines cauteles s’han de seguir quan es gra-

vin i difonguin els plens o treballs en comissió

a través de televisions locals o Internet?

En els supòsits en què s’autoritzi l’enregistra-

ment, per mitjà d’imatges i/o sons, de les ses-

sions que celebri el Comú, se suspendrà o es

limitarà aquest enregistrament i la corresponent

difusió per Internet o en televisions locals, durant

el temps que duri el debat d’assumptes que pu-

guin afectar el dret a la intimitat personal o famili-

ar i a la pròpia imatge.

3.10. PARTICIPACIó PoLíTICA



en particular mitjançant un número d’identificació

o un o diversos elements específics, caracterís-

tics de la seva identitat física, fisiològica, psíquica,

econòmica, cultural o social”.

En conseqüència, els fitxers que identifiquin els

enregistraments realitzats per càmeres de vídeo

s’han de crear i publicar al BOPA. Així mateix,

s’han de respectar els principis, les obligacions i

les mesures de seguretat previstos en la normativa

en matèria de protecció de dades.

5. Com s’ha d’avisar i informar de l’existència

de sistemes de videovigilància?

Fins ara no hi ha cap normativa específica que reguli

separadament els sistemes de vigilància per vídeo

utilitzats per cossos i forces de seguretat de l’Estat.

Per tant, qualsevol sistema de videovigilància esta-

rà sotmès al règim general de protecció de dades

personals, tant si és emprat per cossos i forces de

seguretat de l’Estat com si no. No obstant això, en

queden exclosos els supòsits que tracten les matèri-

es excloses de l’àmbit d’aplicació de la regulació de

la protecció de dades personals, com són els que fan

referència a la seguretat de l’Estat i a la investigació i

prevenció d’infraccions penals (art. 5 LQPD).

L’aplicació del règim general de protecció de da-

des indica que s’ha de complir amb el deure d’in-

formació previst en l’article 13 de la LQPD. Per

tant, aplicant-ho als sistemes de videovigilància,

cal tenir present, primer de tot, que s’ha d’informar

el públic, de manera clara i permanent, de l’exis-

tència de càmeres de vídeo fixes, sense la neces-

sitat, però, d’especificar-ne l’emplaçament. A més,

també se l’ha d’informar de l’autoritat competent

de la qual depèn el sistema de vigilància per vídeo.

Per a aquest fi s’han de col·locar en les zones vide-

ovigilades distintius informatius, situats en un lloc

suficientment visible, tant en espais oberts com

tancats. Aquests distintius informaran sobre quina

és la zona que està sotmesa a videovigilància, on

es pot demanar informació addicional i qui és el

responsable del tractament de les imatges.

Per aquest motiu, s’haurien de posar a disposició

dels interessats impresos en què es detalli la infor-

mació prevista en l’article 13 de la LQPD: informa-

ció sobre el fitxer i el tractament, la seva finalitat,

els destinataris de la informació, així com davant

de qui es poden exercir els drets d’accés, recti-

ficació, supressió i oposició al tractament de les

dades personals.

6. Quines pràctiques de sol·licitud de dades

personals són inadequades en els processos

de selecció?

L’entitat local ha de ser capaç d’avaluar si les

persones que vol contractar són treballadores

aptes per al compliment dels llocs de treball

oferts, i seleccionar entre elles les més idònies,

en funció del seu mèrit i capacitat.

Com a norma general, és necessari demanar el

consentiment previ de la persona abans de sol-

licitar les seves dades personals. Ara bé, el fet

d’omplir una instància de sol·licitud de partici-

pació en un procés selectiu suposa un consenti-

ment inequívoc de la persona a la recollida de les

seves dades personals, sempre que les dades

que es pretengui obtenir es puguin valorar com a

adequades, pertinents i no excessives en relació

amb la finalitat selectiva.

En aquest sentit, cal evitar algunes pràctiques se-

lectives de sol·licitud d’informació personal que

puguin suposar una intromissió en l’esfera privada

de la persona, per recollir dades irrellevants, és a

dir, no adequades, no pertinents i excessives.

A l’hora de determinar la recol·lecció mitjançant

qüestionaris o entrevistes selectives de dades

personals, fins i tot de dades delicades o espe-

cialment protegides, és necessari avaluar que la

informació personal que es va a sol·licitar té una

relació directa amb la decisió que s’ha de pren-

dre en matèria d’ocupació.

És difícil enumerar tots els tipus de dades que es

poden utilitzar amb una finalitat selectiva, per-

què la seva identificació dependrà de les carac-

terístiques de l’ocupació. És més lògic enunciar

regles destinades a garantir la claredat de l’ope-

1. Els cossos de seguretat poden cedir dades

personals relacionades amb accidents de cir-

culació a companyies asseguradores?

Sí. És una de les excepcions, recollida en la llei,

a la necessitat de sol·licitar el consentiment per

a la cessió de dades personals. El responsable

del fitxer on es recullen dades d’accidents de

circulació pot facilitar les dades personals re-

collides a les companyies d’assegurances que

actuïn en qualitat de part interessada. Amb ca-

ràcter previ a la cessió, és imprescindible que

les companyies asseguradores acreditin la re-

presentació dels seus assegurats i que aquests

tinguin un interès legítim i directe en l’accident

respecte al qual se sol·licita la informació que

disposa la policia.

2. Pot la policia accedir a les dades personals de

menors escolaritzats en un centre educatiu?

La policia pot efectuar diligències de prevenció i

actuacions per evitar la comissió d’actes delictius,

en el marc de les competències atribuïdes per la

Llei qualificada de la policia.

La recollida i el tractament de dades de caràc-

ter personal per a fins policials, per part de les

forces i cossos de seguretat, i sense consenti-

ment de les persones afectades, estan limitats a

aquells supòsits i categories de dades que resul-

tin necessaris per a la prevenció d’un perill real

per a la seguretat de l’Estat o per a la repressió

d’infraccions penals. Aquestes dades personals

han de ser emmagatzemades en fitxers especí-

fics establerts per a aquesta finalitat, que s’hau-

rien de classificar per categories en funció del

seu grau de fiabilitat.

El responsable del fitxer de dades personals dels

menors, en aquest cas el centre escolar, ha de

respondre a la sol·licitud d’informació de la policia

sempre que la petició es faci de forma concreta

i específica, ja que no és adequat fer sol·licituds

massives de dades.

Per ampliar la informació es poden consultar els

textos següents:

- Llei qualificada de la policia

- Llei qualificada 15/2003, de protecció de dades

de caràcter personal.

3. És adequat que un centre educatiu elabori un

informe, a petició de la policia, per valorar la

situació sociofamiliar d’un menor?

La policia no pot, a iniciativa pròpia, sol·licitar infor-

mes sobre menors als centres educatius per valorar

una potencial situació de desemparament. En tot cas,

si té constància de tal situació, haurà de comunicar-

ho prèviament a la Comissió de Tutela del Menor.

Les autoritats i els serveis públics tenen les obliga-

cions següents:

- Prestar, de forma immediata, l’atenció que ne-

cessiti qualsevol menor.

- Actuar si correspon al seu àmbit de competènci-

es o, si no, trasllar-ho a l’òrgan competent.

- Posar els fets en coneixement dels represen-

tants legals del menor o, quan sigui necessari,

de la Fiscalia.

4. S’han de declarar a l’APDA els sistemes de vi-

deovigilància instal·lats en edificis comunals?

Les imatges de persones captades o gravades per

càmeres o càmeres de vídeo han de ser conside-

rades dades de caràcter personal, d’acord amb la

definició de la LQPD, en l’article 3.1): “Qualsevol

informació concernent a persones físiques identifi-

cades o identificables.”

Més concretament, l’article 5.1 del Reglament de

l’Agència Andorrana de Protecció de Dades, que

desenvolupa la LQPD, considera dades de caràc-

ter personal “tota informació numèrica, alfabètica,

gràfica, fotogràfica, acústica o de qualsevol altre

tipus relativa a una persona física identificada o

identificable (persona interessada); s’entén per

identificable tota persona amb una identitat que

es pugui determinar, directament o indirectament,

3.11. PoLICIA I VIDEoVIGILÀNCIA



ració i el coneixement per la persona afectada.

No obstant això, en la majoria de les ocasions

no és necessari preguntar a les persones sobre

la seva vida fora de la feina.

Algunes pràctiques inadequades són:

- Demanar més dades del que és estrictament ne-

cessari per avaluar l’aptitud dels candidats.

- Sol·licitar les dades personals a terceres per-

sones sense el consentiment de l’aspirant. Per

exemple, recaptar informació sobre el rendiment

en una empresa anterior.

- Realitzar exàmens o preguntar per la salut als

candidats per a d’altres fins que no són determi-

nar l’aptitud per al lloc de treball ofert.

Per ampliar-ne informació:

OIT/96/29 7 octubre 1996. Repertori de recomana-

cions pràctiques sobre la protecció de dades per-

sonals dels treballadors.

7. És adequat publicar a Internet una guia de

comunicació de l’entitat local que inclogui,

a més de la identificació dels llocs de treball

que donen un servei públic, les dades d’iden-

tificació dels seus ocupants?

Les organitzacions volen facilitar la comunicació amb

els ciutadans. Per aquest motiu, les entitats públi-

ques identifiquen les seves unitats de servei, els llocs

de treball i les dades de contacte (correu electrònic,

telèfon i adreça postal), i les publiquen en guies de

comunicació, en format paper i en format electrònic.

Quant a la qüestió sobre la publicació, en particu-

lar a Internet, de les dades d’identificació personal

(enteneu, el nom i els cognoms) dels funcionaris,

aquesta pràctica comunicativa ha originat fre-

qüentment conflictes entre els treballadors i l’enti-

tat quan no ha estat precedida de la sol·licitud del

consentiment previ a les persones.

Des d’un punt de vista pràctic, per apropar l’Ad-

ministració al ciutadà i poder oferir-li la informació

que necessita amb la màxima celeritat possible (per

exemple, amb una simple crida), no sembla neces-

sària ni proporcional la publicació a Internet de les

dades personals d’un funcionari. I més quan, en

ocasions, la rotació de persones als llocs de treball

o l’absència en períodes de descans o baixes labo-

rals pot conduir a modificar, provisionalment o de-

finitiva, les dades personals publicades a la xarxa.

En qualsevol cas, si una entitat decidís publicar

una guia de comunicació que inclogués les dades

identificatives dels seus empleats, és recomanable

sol·licitar als treballadors el seu consentiment previ

i explicitar en la publicació que la informació no

constitueix una font d’accés públic.

8. Quines dades personals es poden publicar en

les llistes d’aspirants derivades de la gestió

dels processos selectius o de concursos de

trasllats? (llistes tant de candidats com des-

prés, amb els resultats).

En processos selectius o provisoris, les llistes amb

dades personals (llistes d’admesos, de puntuaci-

ons, etc.) poden tenir una capacitat de difusió major

(butlletins a Internet) o menor (intranet, Internet amb

claus d’accés, taulers d’anuncis en format paper)

en funció del que estableixi la convocatòria. Com a

norma general de respecte a la privadesa, les llistes

haurien de contenir les dades personals mínimes

per complir el principi de publicitat. A més, les llis-

tes haurien d’incorporar una clàusula que advertei-

xi que contenen dades de caràcter personal, que

s’ajusten a la legislació actual en matèria de protec-

ció de dades i que la seva única finalitat és donar

publicitat durant la fase del procés que es tracti i

notificar allò que calgui als participants.

Així mateix, haurien d’incorporar un paràgraf informa-

tiu en què es deixi constància que aquestes llistes no

constitueixen una font d’accés públic i que no podran

ser reproduïdes, ni en tot ni en part, ni transmeses ni

registrades per cap sistema de recuperació d’infor-

mació, sense el consentiment dels mateixos afectats.

9. És lícit examinar el contingut del correu elec-

trònic dels treballadors d’una entitat pública?

El correu electrònic és una eina de treball que per-

met una comunicació immediata, simplifica la feina

i pot ajudar a gestionar de forma més eficient el

temps. Existeixen tècniques per controlar i accedir

a tots els correus electrònics, tant a les dades de

l’enviament i recepció com al contingut dels mis-

satges. Però aquestes eines de control no es po-

den usar indiscriminadament en cap organització.

La Constitució garanteix el secret de les comuni-

cacions, especialment, de les postals, telegràfi-

ques i telefòniques. Per extensió s’interpreta que el

secret del correu electrònic està emparat constitu-

cionalment. La vigilància dels treballadors no està

prohibida, però ha d’adoptar límits molt clars. En

aquest sentit, només es pot efectuar si els treba-

lladors interessats han estat prèviament informats

sobre les intencions del contractant, és a dir, està

prohibit el control secret de l’ús del correu, excep-

te que hi hagi sospites raonablement justificades

d’activitats delictives o d’altres infraccions greus.

En conseqüència, abans que s’iniciïn les activitats

de vigilància, els treballadors han de conèixer les

finalitats d’aquesta vigilància i saber amb precisió

en quins períodes s’efectuarà. És convenient arri-

bar a acords, en el marc del conveni col·lectiu o de

l’acord de condicions laborals, en què s’estableixin

protocols d’actuació per a l’ús del correu electrò-

nic per part dels treballadors i, si escau, sobre els

sistemes de control per part de l’entitat local.


Constitució Andorrana. Art. 15

OIT/96/29. Repertori de recomanacions pràctiques so-

bre la protecció de dades personals dels treballadors.

10. És lícit examinar les pàgines d’Internet visi-

tades per les persones que treballen en una

entitat pública?

L’accés a Internet, així com l’aplicació de mecanis-

mes per restringir els llocs electrònics que poden

ser visitats, és determinat per l’entitat pública. Hi

ha tècniques per conèixer i controlar els llocs elec-

trònics visitats pels treballadors, però aquestes

operacions de control no es poden usar indiscrimi-

nadament en cap organització.

La vigilància dels treballadors no està prohibida, però ha

d’adoptar límits molt clars. En aquest sentit, només es

pot efectuar si els treballadors interessats han estat prè-

viament informats sobre les intencions del contractant,

és a dir, està prohibit el control secret de l’ús d’internet,

excepte que hi hagi sospites raonablement justificades

d’activitats delictives o d’altres infraccions greus.

En conseqüència, abans que s’iniciïn les activitats de

vigilància, els treballadors han de conèixer les finalitats

d’aquesta vigilància i saber amb precisió en quins pe-

ríodes s’efectuarà. El responsable ha d’establir unes

condicions d’ús adequat i donar-les a conèixer als

treballadors per poder controlar un potencial mal ús.

És convenient arribar a acords, en el marc del conveni

col·lectiu o de l’acord de condicions laborals, en què

s’estableixin protocols d’actuació per a l’ús del correu

electrònic per part dels treballadors i, si escau, sobre

els sistemes de control per part de l’entitat pública. En

qualsevol cas, és millor establir la participació dels re-

presentants sindicals en els procediments de control

i, així mateix, impedir l’accés a determinades pàgines

electròniques (millor prevenir que sancionar).


OIT/96/29. Repertori de recomanacions pràctiques so-

bre la protecció de dades personals dels treballadors.



1. En quines condicions un organisme públic

pot cedir dades d’expedients dels serveis so-

cials a un comú sense el consentiment previ

de la persona titular de les dades?

Segons estableix l’article 11 de la LQPD, només es

poden cedir les dades d’expedients dels serveis

socials entre les institucions públiques esmenta-

des quan es donin una sèrie de condicions:

- Que la cessió es produeixi per complir objec-

tius directament relacionats amb les funcions

legítimes de l’organisme cedent i del cessio-

nari, i amb el previ consentiment de la persona

interessada.

- Quan una llei reguli expressament la cessió.

Per tant, perquè hi pugui haver la cessió de dades

d’expedients dels serveis socials a un comú s’hau-

rà d’acreditar la sol·licitud de les dades, la compe-

tència de l’entitat sol·licitant i l’habilitació legal, en

cas que una llei reguli la cessió, o el consentiment

de l’interessat en altres casos.

2. Es pot proporcionar informació d’una perso-

na menor o incapacitada al seu pare o mare

quan la custòdia ha estat assumida per un

organisme públic tutelar? I a les persones

que es fan càrrec del menor a través d’un

programa d’acolliment?

L’exercici de la pàtria potestat és determinant per

gaudir de l’exercici de la representació legal de

menors o incapacitats. Com a norma general, són

els pares dels menors o incapacitats els que en

tenen la pàtria potestat atribuïda, i no la perden

tret que incompleixin els seus deures i els la retirin

per decisió judicial.

Per tant, en els dos supòsits plantejats, l’accés a

les dades relatives als menors o incapacitats cor-

respon als pares. És important diferenciar aquest

supòsit de guarda o custòdia del supòsit d’as-

sumpció de tutela per part d’una entitat pública

competent, ja que en aquest últim cas sí que es

produeix la suspensió de la pàtria potestat.

3. És possible facilitar a la persona interessada

una còpia dels informes o els dictàmens ela-

borats per diferents professionals i inclosos

en l’expedient?

Sí que és possible. Segons estableix la normativa

general de protecció de dades, quan els informes

continguin dades referides a la intimitat de la per-

sona, l’accés només es podrà portar a terme per

l’interessat. En conseqüència, la persona interes-

sada té dret a sol·licitar i obtenir còpia de tots els

documents que formin part del seu expedient.

4. Quines dades ha de sol·licitar una entitat públi-

ca a una persona per prestar-li un servei social?

El principi de qualitat de les dades de caràcter

personal establert en la LQPD determina que no-

més es podran recollir i sotmetre a tractament les

dades que siguin adequades, pertinents i no ex-

cessives en relació amb l’àmbit i les finalitats per

a les quals s’hagin obtingut. Aquestes finalitats

han de ser determinades, explícites i legítimes.

En l’àmbit d’actuació dels serveis socials gene-

ralment és necessari recollir una gran quantitat

de dades personals (econòmiques, formatives,

sociofamiliars, laborals, psicològiques, etc.) per

poder prestar l’atenció i l’ajuda adequades a les

necessitats de la persona.

Com a norma general, és necessari demanar el

consentiment previ de la persona abans de sol-

licitar les seves dades personals. No obstant això,

acudir als serveis socials per requerir la prestació

d’un servei suposa un consentiment inequívoc de

la persona a la recollida de les seves dades per-

sonals, sempre que les dades que es pretengui

obtenir puguin valorar-se com a adequades, per-

tinents i no excessives en relació amb la finalitat

d’assistència psicosocial. En aquest sentit, cal evi-

tar pràctiques de sol·licitud d’informació personal

que puguin suposar una intrusió en l’esfera privada

de la persona, per recollir dades irrellevants, és a

dir, no adequades, no pertinents i excessives.

A l’hora de determinar la recol·lecció de dades

personals mitjançant qüestionaris o entrevistes,

fins i tot de dades delicades o especialment pro-

tegides, és necessari avaluar que la informació

personal que se sol·licita té una relació directa

amb la decisió que s’ha de prendre en matèria

de prestació social.

És difícil enumerar tots els tipus de dades que

es poden utilitzar amb una finalitat de prestació

social, perquè la seva identificació dependrà de

les característiques de la situació carencial o

problemàtica que origini la petició o necessitat

d’ajuda. És més lògic enunciar regles destinades

a garantir la claredat i el coneixement de l’opera-

ció per la persona afectada. En tots els supòsits

de dades especialment protegides, el tractament

o ús s’ha de realitzar respectant tots els principis

que estableix la LQPD.

5. Les dades personals recollides amb la fina-

litat de prestar un servei social a la titular de

les dades, es poden utilitzar posteriorment

per a un altre objecte?

No, les dades personals recollides per al compli-

ment d’una finalitat determinada, explícita i legíti-

ma (en aquest cas amb la finalitat de prestar un

servei social) no es poden tractar o utilitzar per a

altres fins que siguin incompatibles amb la finalitat

de la recollida. A més, aquesta finalitat ha de ser

coneguda per la persona interessada amb caràcter

previ a la recollida de les seves dades.

No obstant això, no es considerarà incompati-

ble amb la finalitat inicial declarada de l’apila-

ment de dades personals, el tractament poste-

rior si es realitza amb fins històrics o científics.

El tractament de dades personals el propòsit de

les quals és l’anàlisi i la investigació de caràcter

històric o científic, amb freqüència es pot portar

a terme amb dades dissociades, és a dir, apli-

cant procediments de dissociació, de tal ma-

nera que s’elimina la possibilitat d’identificar la

persona titular de les dades.

En altres ocasions, tant per a fins d’anàlisi històrica

o científic com per conèixer la realitat social i poder

planificar les polítiques públiques adequades, és

més rellevant i útil emprar dades socials o agrega-

des (informació referida a un grup o col·lectiu soci-

al) en lloc de dades personals. En aquest sentit, la

protecció de les dades personals no és un obsta-

cle perquè les entitats o els grups socials disposin

de la informació necessària que necessiten per re-

alitzar les seves comeses i avaluar els resultats de

les polítiques i els programes públics.

6. Pot un empleat que treballa en els serveis so-

cials d’una entitat pública accedir a les dades

personals que hi ha en els fitxers?

Un empleat pot accedir exclusivament a les da-

des personals que necessita per desenvolupar

les tasques que té encomanades. És convenient

definir en un document les responsabilitats de

cada usuari i/o les tasques i els fitxers als quals

està autoritzat a accedir per fer la seva tasca.

Els fitxers de dades personals que es creen per

prestar un servei social solen incloure dades es-

pecialment protegides, com ara dades de salut,

d’origen racial o derivats d’actes de violència de

gènere. Per aquest motiu, requereixen l’establi-

ment d’un afegit de mesures per garantir-ne la

seguretat. Així, pel que fa als fitxers automatit-

zats, és recomanable l’existència de mesures de

seguretat especials relacionades amb la identifi-

cació i la distribució de suports que continguin

dades especialment protegides, còpies de se-

guretat i recuperació, i registre d’accessos i de

transmissió d’aquestes dades a través de siste-

mes de telecomunicacions.

És important que recordem les mesures que cal

adoptar respecte dels fitxers no automatitzats o

manuals, perquè encara existeixen molts fitxers

d’aquest tipus relacionats amb l’activitat de servei

social. En concret, cal establir mecanismes que

permetin identificar les persones que han accedit

al fitxer, quan hi ha més d’una persona amb accés

autoritzat. També cal dotar de claus, o d’altres sis-

temes de control de l’accés, els locals on es troben

3.12. SERVEIS SoCIALS



els expedients. És necessari prohibir la possibilitat

de fer còpies dels documents dels expedients a

les persones no autoritzades, així com destruir les

còpies dels documents que contenen dades per-

sonals mitjançant procediments que n’impedeixin

la recuperació posterior.

Altres mesures de seguretat pel que fa als fi txers

manuals són: establir la custòdia obligatòria per

part de la persona autoritzada de la documentació

que no es trobi en l’arxiu, i adoptar mesures que

impedeixin l’accés de terceres persones quan es

traslladen els expedients físicament.

Guia ràpida

III

Localitza els teus dubtes [índex de referències]

II. PREGUNTES i SUPÒSITS


III. GUIA RÀPIDA 1. Localitza els teus dubtes [índex de referències]

Una de les funcions principals d’aquest manual és

que sigui una eina útil de consulta en la teva tasca

diària. En aquest apartat disposes d’una guia de

referències perquè quan t’aparegui un dubte ob-

tinguis una resposta ràpida, amb la qual cosa gua-

nyaràs efi ciència. Així podràs localitzar de manera

transversal arreu del manual totes les explicacions

que facin referència als dubtes més bàsics.

1 Localitza els teus dubtes [índex de referències]

QUALITAT DE LES DADES

Com han de ser les dades personals que recullis?

Pàgines 18 i 19 punt 4.1

Destacat pàg. 21

Pàgina 62 punt 3.2 apartat 1

Pàgina 50 supòsit pràctic 1, punts 1.1 i 1.2

Pàgina 54 supòsit pràctic 5, punt 5.3

El prestador de serveis també té dret a guardar

secret? Qui està subjecte al deure de secret?

Pàgina 24 paràgraf segon

Destacat pàg. 25

Pàgina 28 punt 4.7



Quines són les mesures de seguretat bàsiques

que has de seguir en la teva tasca diària en

l’àmbit de la protecció de dades personals?

Pàgina 24 paràgraf tercer i quart

Pàgina 25

Pàgina 68 punt 3.5

Pàgines 75, 76 i 77 punts 3.9 i 3.10

Com es tracten les dades de persones difuntes?


Pàgines 73 i 74 punt 3.8 apartat 4

Com pot una persona evitar que li enviïn publi-

citat no desitjada?


Drets i condicions per a accedir expedients

comunals.


Publicació i difusió de dades personals en but-

lletins ofi cials.


CoNSENTImENT DE L’INTERESSAT

Necessites el consentiment previ del ciutadà

per recollir i tractar dades personals?

Pàgines 19, 20 i 21

Quadre pàg. 21

Pàgina 45 FAQ 14

Pàgina 47 FAQ 20





Pàgina 64 punt 3.3 apartat 1.1


I per tractar dades sensibles?

Pàgines 22 i 23

Quadre pàg. 21

Pàgina 44 FAQ 9

Pàgina 45 FAQ 15

Pàgina 47 FAQ 21


Pàgina 51 supòsit pràctic 2, punts 2.1, 2.2 i 2.3

Pàgina 52 supòsit pràctic 3, punts 3.1, 3.2 i 3.3

Com ha de ser el consentiment de l’interessat?



Quan no cal el consentiment de l’interessat?

Quadre pàg. 23

Pàgina 19 i 20 punt 4.2 apartat 2




III. GUIA RÀPIDA 1. Localitza els teus dubtes [índex de referències]

CESSIó DE DADES

Necessites el consentiment previ del ciutadà

per cedir dades a un tercer?

Pàgina 26 apartat 4.5 paràgraf primer






Necessites el consentiment previ del ciutadà si

es tracta d’una cessió de dades a una altra ad-

ministració pública?

Pàgina 27 apartat 4.6

Pàgina 69 punt 3.6 apartats 2 i 3


Quan serà nul el consentiment que obtinguis

del ciutadà en una cessió de dades?

Pàgina 26 punt 4.5 paràgraf segon

Si reps una comunicació o cessió de dades, de

quins aspectes n’has d’informar el ciutadà?


Pàgina 69 punt 3.6

Quan informes un ciutadà d’una cessió de da-

des i no contesta, a partir de quin termini de

temps s’entendrà que el silenci és sinònim de

consentiment?


En quins casos el ciutadà no es pot oposar a la

cessió de dades a tercers?


Pàgina 69 punt 3.6

Pots denegar a la Batllia la cessió de dades

d’un fitxer públic que reclama?


El ciutadà et pregunta a qui s’han cedit les se-

ves dades personals, què has de fer?

Pàgina 45 FAQ núm. 12

Què has de tenir en compte a l’hora de fer una

transferència internacional de dades?

Pàgina 29 punts 2, 3 i 5

Pàgina 48 FAQ 26, 27 i 28


DRETS DELS CIUTADANS

Com has d’informar el ciutadà pel que fa al pro-

cés d’obtenció i tractament de dades?

Pàgines 30 i 31

Pàgina 45 FAQ 11

Pàgina 65 punt 3.3 apartats 2.1, 2.2, 2.3 i 2.4



Com has d’informar el ciutadà de la possibilitat

d’exercir els seus drets?




Quin termini tens per contestar una sol·licitud

de dret d’accés?



Com has de subministrar la informació dema-

nada pel ciutadà?


Pots denegar una sol·licitud de dret d’accés?




Un ciutadà vol exercir el seu dret de rectificació

sense acreditar les noves dades, què has de fer?



De quin termini disposes per contestar una

sol·licitud de rectificació?


Quadre pàg. 37


De quin termini disposes per contestar una

sol·licitud de supressió de dades?


Quadre pàg. 37


Si un ciutadà que prèviament havia donat el

seu consentiment exprés perquè aparegues-

sin les seves dades en un fitxer ara vol que se

suprimeixin, què has de fer?

Pàgina 36 punt 5.7


Què has de fer amb les dades si s’accepta la

sol·licitud de supressió?

Pàgina 36 punt 5.7 punt 4

Pàgina 46 FAQ 17

Per quines causes pots denegar el dret de su-

pressió de l’interessat?

Pàgina 36 punt 5.7 punt 2


Com informes el ciutadà que es queixa que les

seves dades surten a Internet sense el seu con-

sentiment?

Pàgina 35 punt 5.6

Pàgina 45 FAQ 13




Com informes el ciutadà que vol exercir el seu

dret a indemnització perquè considera que

s’han vulnerat els seus drets en matèria de pro-

tecció de dades?




FITxERS

Com s’inscriu o es modifica un fitxer públic?



Quins fitxers públics estan exempts de la llei?

Destacat pàg. 38


Pàgina 44 FAQ 3 i 4

Pàgina 57 supòsit pràctic 9

on pot consultar el ciutadà els fitxers públics i

els privats?

Pàgina 38 punt 5.9

Pàgina 42 punt 7.3

Pàgina 44 FAQ 7 i 8

Diferència entre ‘responsable de tractament’ i

‘responsable del fitxer’ en les entitats públiques.


Per a quins fitxers no cal que es publiqui al

BoPA una norma de creació?

Pàgina 40 paràgraf tercer

Destacat pàg. 38

Quins requisits ha de contenir una norma de cre-

ació d’un fitxer públic per ser publicada al BoPA?

Pàgina 40 paràgraf quart

Destacat pàg. 40

Pàgina 47 FAQ 22


Pàgina 57 supòsit pràctic 9


III. GUIA RÀPIDA

Annexos

IV

A1. Models i formularis

A2. Glossari de termes clau

Diferència entre ‘fi txers automatitzats’ i ‘fi txers

manuals’



Si un fi txer està publicat en el BoPA, ja el pots

aplicar o bé has de tenir en consideració algun

detall més?


Has de facilitar la informació que et demana un

inspector de l’APDA o pots denegar-la-hi?


ALTRES

Quines cauteles s’han de seguir en el tracta-

ment de dades personals en l’àmbit polític?

Pàgina 77 punt 3.10

Altres especifi citats en el tractament de dades

personals: els cossos de seguretat, els siste-

mes de videovigilància i els processos públics

de selecció de personal.

Pàgines 78, 79 i 80 punt 3.11


Pot una entitat pública controlar els correus

electrònics i les pàgines visitades a Internet

dels seus treballadors?


Pots accedir a les dades personals d’un fit-

xer si treballes en els serveis socials d’una

entitat pública?



Accés Un dels drets de tot interessat és d’ac-

cés, que permet saber si les seves dades perso-

nals han estat comunicades o cedides per una

empresa o administració a una altra. Ha d’exercir

el dret davant del responsable del fi txer que con-

té les seves dades.

Accessos autoritzats Autoritzacions concedides

a un usuari per a la utilització dels diversos recur-

sos. Poden incloure les autoritzacions o funcions

que tingui atribuïdes un usuari per delegació del

responsable del fi txer o tractament o del respon-

sable de seguretat.

APDA L’Agència Andorrana de Protecció de Da-

des és l’autoritat de control que vetlla per la pro-

tecció de les dades de caràcter personal de les

persones físiques. L’Agència actua amb plena

independència i objectivitat.

Autenticació Procediment de comprovació de la

identitat d’un usuari.

Cessió o comunicació de dades Qualsevol ces-

sió o comunicació de dades de caràcter personal

que el responsable del tractament dugui a terme

en favor d’un tercer destinatari sempre que les

dades siguin utilitzades pel destinatari per al com-

pliment de fi nalitats directament relacionades amb

les funcions legítimes del cedent i el cessionari.

Comunicació internacional de dades Tota co-

municació de dades o tot accés a les dades per

part d’un prestador de serveis de dades personals,

quan els destinataris de la comunicació o els pres-

tadors de serveis estiguin domiciliats a l’estranger,

o emprin mitjans de tractament de dades perso-

nals ubicats a l’estranger per a la comunicació de

les dades o per a la prestació del servei.

Consentiment de l’interessat Qualsevol manifes-

tació de voluntat, lliure, inequívoca, específi ca i in-

formada, mitjançant la qual l’interessat consent el

tractament de dades personals que el concerneixen.

Contrasenya Informació confi dencial, freqüentment

constituïda per una cadena de caràcters, usada en

l’autenticació d’un usuari o en l’accés a un recurs.

Control d’accés Mecanisme que en funció de la

identifi cació ja autenticada permet accedir a da-

des o a recursos.

Còpia de seguretat Còpia de les dades d’un

fi txer automatitzat en un suport que possibiliti

recuperar-les.

Dada dissociada Dada que no permet la identifi -

cació d’un afectat o interessat.

Dades de caràcter personal Qualsevol informa-

ció numèrica, alfabètica, gràfi ca, fotogràfi ca, acús-

tica o de qualsevol altre tipus que concerneix per-

sones físiques identifi cades o identifi cables.

A2A1 Models i formularis Glossari de termes clau

RECoRDA!

L’enllaç on la persona interessada pot

descarregar-se els models és:

https://www.apda.ad/node/108

RECoRDA!

moDELS D’ExERCICI DELS DRETS

A l’apartat de Documentació / Model d’exercici

dels drets del lloc web de l’Agència Andorrana

de Protecció de Dades (www.apda.ad) es poden

descarregar els models corresponents a cadas-

cun dels drets de les persones interessades.

• Modeld’exercici del dret d’accés.

• Modeld’exercici del dret d’oposició.

• Modeld’exercici del dret de rectifi cació.

• Modeld’exercici del dret de supressió.

• Modelde sol·licitud de denúncia.

• Modeldesol·licitud per a la denegació

del dret d’accés.


del dret de rectifi cació.


del dret de supressió.

IV. ANNEXOS A2. Glossari de termes clau


Dades sensibles Dades referents a opinions po-

lítiques, creences religioses, pertinença a organit-

zacions polítiques o sindicals, salut, vida sexual o

origen ètnic de les persones interessades.

Dades de caràcter personal relacionades amb

la salut Les informacions que concerneixen la

salut passada, present i futura, física o mental,

d’un individu. Es considera dades relacionades

amb la salut de les persones les referides al seu

percentatge de discapacitat i a la seva informació

genètica i també les relacionades amb el consum

d’alcohol, de drogues tòxiques i de substàncies

psicotròpiques.

Destinatari Tercera persona física o jurídica, ser-

vei o qualsevol altre organisme que rebi una co-

municació de dades.

Document Qualsevol escrit gràfic, sonor o d’imat-

ge, o qualsevol altra classe d’informació que pot

ser tractada en un sistema d’informació com una

unitat diferenciada.

Exportador de dades personals La persona física

o jurídica, pública o privada, o l’òrgan administratiu

situat en el territori andorrà que realitzi, conforme

al que disposa la normativa, una transferència de

dades de caràcter personal a un país tercer.

Fitxer de dades personals (“fitxer”) Tot conjunt es-

tructurat i organitzat, centralitzat o no, de dades per-

sonals, qualsevol que sigui la seva forma o modalitat

de creació, emmagatzematge, organització i accés.

Fitxers exempts Fitxers que queden fora de l’àmbit

d’aplicació de la LQPD, com els relatius a la segure-

tat de l’Estat i la investigació i prevenció d’infracci-

ons penals, o quan el responsable sigui una perso-

na física i destini les dades a finalitats exclusivament

particulars, com ara les agendes personals o els di-

rectoris personals d’adreces i dades de contacte,

etcètera (vegeu-ne els casos en la LQPD).

Gratuïtat de l’exercici dels drets L’exercici dels

drets d’accés, rectificació, supressió i oposició

és gratuït, no es pot sotmetre per part del res-

ponsable del fitxer a cap formalitat ni al paga-

ment per la persona interessada de les despeses

que puguin correspondre.

Identificació Procediment de reconeixement de

la identitat d’un usuari.

Importador de dades personals La persona fí-

sica o jurídica, pública o privada, o l’òrgan admi-

nistratiu receptor de les dades en cas de transfe-

rència internacional d’aquestes dades d’un tercer

país, tant si és responsable del tractament, encar-

regada del tractament o un tercer.

Incidència Qualsevol anomalia que afecti o pugui

afectar la seguretat de les dades.

Interessat Persona física titular de les dades que

siguin objecte del tractament.

Perfil d’usuari Accessos autoritzats a un grup

d’usuaris.

Persona identificable Qualsevol persona la

identitat de la qual es pugui determinar, directa-

ment o indirectament, mitjançant qualsevol infor-

mació referida a la seva identitat física, fisiològi-

ca, psíquica, econòmica, cultural o social. Una

persona física no es considera identificable si la

dita identificació requereix terminis o activitats

desproporcionats.

Prestador de serveis de dades personals La

persona física o jurídica, de naturalesa pública o

privada, o l’autoritat pública, o el servei o qualse-

vol altre organisme que, sol o conjuntament amb

d’altres, tracta les dades de caràcter personal per

compte del responsable del tractament, o que ac-

cedeix a les dades personals per a la prestació

d’un servei a favor i sota el control del responsa-

ble del tractament, sempre que no utilitzi les da-

des a què tingui accés per a finalitats pròpies, o

que no les faci servir més enllà de les instruccions

rebudes o per a finalitats diferents del servei que

ha de prestar a favor del responsable.

Procediment de dissociació Qualsevol tracta-

ment de dades personals que permeti l’obtenció

de dades dissociades.

Registre públic d’inscripció de fitxers de dades

personals És l’òrgan de l’Agència Andorrana de

Protecció de Dades a qui correspon vetllar per la

publicitat dels fitxers de dades de caràcter perso-

nal, amb la finalitat de fer possible l’exercici dels

drets d’informació, accés, rectificació i supressió

de dades personals. Es tracta d’un òrgan d’accés

públic, general i gratuït.

Recurs Qualsevol part component d’un sistema

d’informació.

Registre públic accessible Qualsevol registre al qual

les persones amb un interès legítim poden accedir.

Responsable del tractament La persona física o

jurídica, el servei o qualsevol altre organisme com-

petent per decidir sobre el tractament de dades

personals i els mitjans que es destinaran a tal trac-

tament, i que vetlla perquè les finalitats que es pre-

tenen assolir amb el tractament es corresponguin

amb les concretades en la norma o en la decisió de

creació del fitxer.

Sistema de tractament Manera en què s’orga-

nitza o s’utilitza un sistema d’informació. Poden

ser automatitzats, no automatitzats o parcial-

ment automatitzats.

Sistemes d’informació Conjunt de fitxers, trac-

taments, programes, suports i, si s’escau, equips

utilitzats per al tractament de dades de caràcter

personal.

Suport Objecte físic que emmagatzema o conté

dades o documents, o objecte susceptible de ser

tractat en un sistema d’informació i sobre el qual

es poden gravar i recuperar dades.

Supressió Procediment en virtut del qual el

responsable cessa en l’ús de les dades. La su-

pressió implica el bloqueig de les dades, que

consisteix en la identificació i la reserva de les

dades amb la finalitat d’impedir-ne el tracta-

ment, excepte per posar-les a disposició de les

administracions públiques, jutges i tribunals per

a l’atenció de les possibles responsabilitats sor-

gides del tractament i només durant el termini de

prescripció de les responsabilitats esmentades.

Transcorregut aquest termini s’ha de procedir a

la supressió de les dades.

Tercer La persona física o jurídica, autoritat públi-

ca, servei o qualsevol altre organisme diferent de

l’interessat, del responsable del tractament o del

seu representant i del prestador de serveis.

Tractament de dades personals (“tractament”)

Qualsevol operació o conjunt d’operacions efec-

tuades mitjançant procediments automatitzats

o no, i aplicades a dades de caràcter personal,

com ara la recollida, el registre, l’organització, la

conservació, l’elaboració o la modificació, l’extra-

cció, la consulta, la utilització, la comunicació per

transmissió, la difusió o qualsevol altra forma que

en faciliti l’accés, la comparació o la interconne-

xió, el bloqueig, la supressió o la destrucció.

Transmissió de documents Qualsevol trasllat,

comunicació, enviament, lliurament o divulgació

de la informació que conté.

IV. ANNEXOS A2. Glossari de termes clau

96 Manual de bones pràctiques. Funcionaris i cossos especials

Fonts i bibliografia

FoNTS. Aquest Manual ha estat possible gràcies a la documentació extreta de les següents fonts:

Agència Andorrana de Protecció de Dadeswww.apda.ad Agencia Española de Protección de Datoswww.agpd.es Agència Catalana de Protecció de Dadeswww.apd.cat

Agencia Vasca de Protección de Datoswww.avpd.euskadi.net

Agencia de Protección de Datos de la Comunidad de Madrid www.madrid.org/apdcm

BIBLIoGRAFIA. Per elaborar la informació continguda en el Manual s’ha consultat també la bibliografia següent:

Manual de Buenas Prácticas para entidades locales de la Comunidad Autónoma del País Vasco en materia de protección de datos personalesEUDEL. Asociación de Municipios Vascos. D.L.: BI-1237-08 Manual práctico de protección de datosAntonio Ruiz CARRillo

Editorial Bosch, S. A. 2005ISBN: 84-9790-113-4 La protección de datos personales. Un derecho autónomo con base en los conceptos de intimidad y privacidadConCepCión Conde oRtiz

Editorial Dykinson, S. L. 2005ISBN: 84-9772-597-2 La protección de los datos personales en las Administraciones PúblicasMAnuel FeRnández SAlMeRón

Civitas Ediciones, S. L. 2003ISBN: 84-470-2105-X

La cesión o comunicación de datos de carácter personalJeSúS AlbeRto MeSSíA de lA CeRdA bAlleSteRoS

Civitas Ediciones, S. L. 2003ISBN: 84-470-2104-1 Guía Práctica de Protección de Datos desde la óptica del titular del ficheroMiguel ángel dAvARA RodRíguez

ASNEF · Asociación Nacional de Establecimientos Financieros de Crédito. 1999ISBN: 84-923731-1-3 Los datos de carácter personalAntonio Ruiz CARRillo

Editorial Bosch, S. A. 1999ISBN: 84-7676-576-2

Que no se t’escapin!







Man

ual d

e bo

nes

pràc

tiqu

es ·

FU

NC

ION

AR

IS I

CO

SS

OS

ES

PE

CIA

LS

Manual de bones pràctiquesLa protecció de les dades de caràcter personal i el seu tractament en l’àmbit de l’Administració pública


(APDA) és l’autoritat de control que vetlla per

la protecció de les dades de caràcter perso-

nal de les persones físiques. L’Agència actua


L’any 2003, en el marc de la Llei 15/2003

qualificada de protecció de dades perso-

nals (LQDP), es va crear l’APDA amb la

funció principal de vetllar pel compliment

del marc normatiu de la protecció de da-

des de caràcter personal així com per ges-

tionar el Registre Públic d’Inscripció de

Fitxers de Dades Personals. Es tracta d’un

òrgan de control que té el deure d’exercir

la potestat inspectora i sancionadora per

a les infraccions que vulnerin la normativa

en la matèria.

Amb aquest Manual de bones pràctiques

dirigit als treballadors de l’Administració

pública, l’APDA té l’objectiu de sensibilitzar

aquest col·lectiu en el tractament de les da-

des de caràcter personal i oferir-li una eina

pràctica de consulta com a recordatori dels

principis bàsics que regula la llei.

El contingut d’aquest manual està dirigit

a tots els treballadors de les diferents ad-

ministracions que mantenen contacte diari

amb el ciutadà i que han de tenir coneixe-

ments bàsics sobre la matèria per si poden

esdevenir responsables de tractament de

dades o simplement per poder informar el

ciutadà amb garanties.

El format pràctic i uns continguts didàctics i

entenedors fan que aquest manual el pugui

usar tothom que en algun moment del de-

senvolupament de la seva tasca hagi d’obte-

nir o controlar dades de caràcter personal.

ObjectiusÉs un manual d’aprenentatge de la Llei de

protecció de dades personals i té una doble

funció: fer la legislació més entenedora i, a

la vegada, servir de recordatori dels principis

bàsics de la regulació en aquesta matèria.

· Conèixer els conceptes bàsics relacionats

amb la protecció de dades.

· Conèixer en què consisteix el dret fona-

mental a la protecció de dades i el seu marc

normatiu general.

<< El Manual de bones pràctiques és la millor eina per complir amb eficiència els principis bàsics de la protecció de dades de caràcter personal. >>

www.apda.ad

Manual de Bones Pràctiques per a Funcionaris i Cossos Especials

Documents

Transcript of Manual de Bones Pràctiques per a Funcionaris i Cossos Especials