20maig

Poden les empreses mesurar la temperatura corporal dels seus treballadors per la prevenció del contagi del Covid-19.

Davant la previsible desescalada de les restriccions imposades arran de la pandèmia del coronavirus, es vénen publicant diferents notícies sobre les mesures per a la prevenció del contagi del Covid-19 que adoptaran establiments públics i privats, empreses, fàbriques, recintes per a espectacles esportius i culturals, etc. A més de l’ús de guants, màscares i el manteniment de les distàncies mínimes entre persones, cada vegada es planteja amb més freqüència el mesurament de la temperatura corporal de les persones com a mesura de prevenció. Fins i tot, ja s’han instal·lat càmeres que permeten aquest mesurament en diferents recintes.

En l’àmbit de l’activitat empresarial la pregunta és obligada: pot una empresa mesurar la temperatura corporal dels treballadors que accedeixin a les seves instal·lacions? Si seguim el criteri emès per l’Agència Espanyola de Protecció de Dades (AEPD), aparentment la resposta fàcil tindria sentit afirmatiu: “Verificar si l’estat de salut de les persones treballadores pot constituir un perill per a elles mateixes, per a la resta del personal, o per a altres persones relacionades amb l’empresa constitueix una mesura relacionada amb la vigilància de la salut dels treballadors que, conforme a la Llei de Prevenció de Riscos Laborals, resulta obligatòria per a l’ocupador (tractament de dades en relació al coronavirus AEPD).

No obstant això, aquesta afirmació ha de ser matisada. En primer lloc, perquè atesa la resposta publicada per l’AEPD, podria interpretar-se que aquests mesuraments haurien de realitzar-se per personal sanitari, qüestió sobre la qual la doctrina tampoc acaba de posar-se d’acord. En aquest sentit, no ha d’oblidar-se que la temperatura corporal és una dada relativa a la salut de les persones i, en conseqüència, queda comprès entre les categories especials de dades als quals la normativa aplicable atorga un grau reforçat de protecció. En segon lloc, perquè l’AEPD es pronuncia simplement sobre “prendre la temperatura als treballadors” sense referir-se a la proporcionalitat dels sistemes que s’implantin per a això, com, per exemple, les cambres que permeten realitzar aquests mesuraments.


Per a acabar de complicar la qüestió, ens trobem que les diferents autoritats europees de protecció de dades estan emetent opinions contradictòries. Convé recordar que, fins i tot admetent les implicacions que la normativa de cada Estat membre té en aquesta matèria, els citats Estats estan subjectes a una normativa comuna en matèria de protecció de dades personals (Reglament General de Protecció de Dades)l’objectiu de les quals és, entre altres, evitar aquest tipus de discrepàncies interpretatives. En tot cas, mentre les autoritats francesa i italiana s’han mostrat obertament en contra d’aquesta mena de mesuraments, l’autoritat alemanya i, com s’ha dit, l’espanyola, mantenen postures més flexibles.


Sense entrar a analitzar les diferents normes aplicables a l’adopció d’aquestes mesures (normativa sanitària, legislació sobre prevenció de riscos laborals, etc.), és indubtable que, com ha posat de manifest el Comitè Europeu de Protecció de Dades, la normativa sobre protecció de dades no impedeix l’adopció de mesures per a la prevenció de la pandèmia. En aquest mateix sentit, el propi Reglament General de Protecció de Dades recull diferents supòsits que poden servir per a legitimar el tractament de dades dels interessats (també dels treballadors), inclosos les dades relatives a la seva salut, com són els tractaments necessaris per a protegir interessos vitals, aquells tractaments necessaris per al compliment d’obligacions legals (com les derivades de la legislació sobre prevenció de riscos laborals) i els tractaments realitzats per raons d’un interès públic essencial o en l’àmbit de la salut pública (Informe AEPD)

Per si no fos prou, el citat Reglament reconeix expressament la licitud de determinats tractaments en situacions d’epidèmia com en la que ara ens trobem Considerant (46) del RGPD: “(…) Certs tipus de tractament poden respondre tant a motius importants d’interès públic com als interessos vitals de l’interessat, com per exemple quan el tractament és necessari per a finalitats humanitàries, inclòs el control d’epidèmies i la seva propagació, o en situacions d’emergència humanitària, sobretot en cas de catàstrofes naturals o d’origen humà.”

No obstant això, finalment ens trobem amb la necessitat d’interpretar les bases legals que legitimarien el mesurament de la temperatura corporal dels treballadors i les obligacions que en matèria de prevenció de riscos laborals resulten aplicables. Tot això en un entorn interpretatiu que, com s’ha exposat, no és ni molt menys pacífic.
Davant aquesta situació, resulta atrevit contestar la qüestió plantejada de manera general, sent necessari estudiar detalladament cada supòsit i assumir, en tot cas, cert grau de risc en la decisió. Sense perjudici de l’anterior, els empresaris serien els responsables d’adequar aquests tractaments a altres requeriments legals, fonamentalment l’obligació d’informar els treballadors sobre les mesures adoptades, la recollida dels tractaments estrictament necessaris per a l’efectivitat de la mesura, la utilització de les dades recollides exclusivament per a la finalitat perseguida (prevenció del contagi) i la supressió de les dades tan aviat com hagin deixat de ser necessaris.

D’aquesta manera, davant la situació exposada, la decisió haurà d’adoptar-se considerant els riscos que, d’una banda, l’adopció d’aquestes mesures comporta des del punt de protecció de dades i, per un altre, els derivats de l’incompliment de les obligacions aplicables en matèria de prevenció de riscos laborals. En tot cas, seria desitjable que davant circumstàncies tan excepcionals com les actuals, les autoritats sanitàries, laborals i de protecció de dades, facilitessin -de manera clara i precisa- criteris que permetin a les empreses col·laborar de manera efectiva en la contenció de la pandèmia garantint el dret de protecció de dades dels seus empleats.


PEDROSA BUSQUETS & ASSOCIATS, assessors TIC

Copyright © 2020 Pedrosa Busquets & Associats, S.L. – Tots els drets reservats

www.pedrosabusquets.com

01nov.

Com sol·licitar l’eliminació de fotos o vídeos publicats a internet

La teva imatge, tant una foto com un vídeo en què apareixes, és una dada personal. La difusió d’imatges o vídeos publicats en diferents serveis d’internet sense el consentiment de les persones que hi apareixen, sobretot en xarxes socials, és un tema que es planteja amb freqüència davant l’Agència. La Llei Orgànica de Protecció de Dades reconeix a les persones el dret a que les seves dades personals inadequades o excessives es suprimeixin quan així ho sol·licitin.

L’Agència Espanyola de Protecció de Dades tutelarà el teu dret de cancel·lació si, després d’haver-te dirigit al responsable per un mitjà que permeti acreditar-ho, el responsable del tractament de dades no t’ha respost en el termini establert o si consideres que la resposta no ha estat adequada.

Què has de fer

  • L’exercici del dret de cancel·lació només pot sol·licitar-ho el afectat o, en cas de tractar-se de menors de 14 anys, els seus pares o tutors legals.
  • Sempre que les circumstàncies ho permetin, és recomanable contactar amb qui va pujar el contingut sol·licitant-la seva eliminació. Tant si optes per fer aquest pas com si no ho fas, és imprescindible que et dirigeixis a l’empresa o organisme que està tractant/difonent aquestes dades, en aquest cas a la xarxa social o pàgina web en la qual s’han publicat aquestes imatges o vídeos, acreditant la teva identitat i indicant quins enllaços són els que contenen les dades que vols cancel·lar.
  • L’empresa ha de resoldre sobre la sol·licitud de cancel·lació en el termini màxim de deu dies a comptar de la recepció de la mateixa. Transcorregut aquest termini sense que de forma expressa et responguin a la petició o si consideres que aquesta resposta és insatisfactòria, podeu interposar la corresponent reclamació de tutela davant aquesta Agència, acompanyant la documentació acreditativa d’haver sol·licitat la cancel·lació davant l’entitat de què es tracti. Aquest punt és molt important, ja que si no pots acreditar-nos que has exercit en primer lloc el teu dret de cancel·lació davant qui està tractant/difonent aquestes imatges o vídeos no podrem ajudar-te.

Les xarxes socials més populars, per la seva banda, disposen de mecanismes establerts per comunicar-los vulneracions de la privacitat o continguts inapropiats mitjançant els seus propis formularis. A continuació, detallem alguns dels mètodes que ofereixen:

Facebook. La xarxa social ofereix un servei d’ajuda per avisar de fotos o vídeos que puguin infringir el dret fonamental a la protecció de dades. Facebook ofereix diverses opcions en funció de les circumstàncies de cada cas concret. També permet denunciar una conducta abusiva mitjançant l’enllaç Denunciar, que apareix al costat de la majoria dels continguts publicats a Facebook.

Google. La companyia disposa d’una pàgina des de la qual es pot sol·licitar l’eliminació de contingut de les seves diferents serveis. En el cas del servei de vídeos YouTube, se’t oferiran diferents opcions en cas d’abús o assetjament, vulneracions de la privacitat, denúncia de continguts sexuals, continguts violents o altres problemes. D’altra banda, si consideres que un vídeo penjat a YouTube inclou un contingut inapropiat pots utilitzar la icona amb forma de bandera (Denunciar) per avisar del contingut i que l’empresa ho revisi.

Twitter. La xarxa aglutina en aquesta pàgina diferents formes d’informar sobre diversos incompliments, entre els quals es troben la publicació d’informació privada a Twitter, la usurpació d’identitat, l’assetjament o la publicació de vídeos ofensius.

Instagram. La xarxa social Instagram compta amb una pàgina des de la qual es pot reportar contingut publicat per tercers sense el teu consentiment que inclogui la teva informació personal, així com informar de conductes abusives o de casos d’assetjament.

Finalment, les persones tenen dret a sol·licitar, sota certes condicions, que els enllaços a les seves dades personals no figurin en els resultats d’una recerca a internet realitzada pel seu nom. La sentència del Tribunal de Justícia de la UE va confirmar, com ja venia aplicant l’Agència en les seves resolucions, que les persones tenen dret a limitar la difusió universal i indiscriminada de les seves dades personals en els cercadors generals quan la informació és obsoleta o ja no té rellevància ni interès públic, encara que la publicació original sigui legítima (en el cas de butlletins oficials o informacions emparades per les llibertats d’expressió o d’informació). Podeu obtenir més informació sobre l’exercici de l’anomenat dret a l’oblit i com exercir-lo en aquest enllaç.

 

Pedrosa Busquets & Associats

www.pedrosabusquets.com

20set.

Dada de caràcter personal és qualsevol informació concernent a una persona física identificada o identificable. Es requereix la concurrència d’un doble element: l’existència d’una informació o dada, i que aquesta dada pugui vincular-se a una persona física identificada o identificable.

Així, tenen la consideració de dada de caràcter personal, entre d’altres, el nom, cognoms, document nacional d’identitat, informació relativa a la salut, l’adreça IP, la imatge, l’empremta dactilar o la informació que es faciliti a través d’un GPS, quan es refereixin a una persona física identificada o identificable.

Tingues en compte, que en la societat de la informació actual, es manegen grans quantitats de dades personals, i que en ocasions, facilitem molts d’ells en navegar per Internet o amb l’ús de APPs.

Agencia Española de Protección de Datos

http://www.agpd.es

Pedrosa Busquets & Associats

www.pedrosabusquets.com

06febr.


Què és una dada de caràcter personal?
Què són dades especialment protegides?
Què es considera tractament de dades?
Què és un fitxer?
Què és l’Agència de Protecció de Dades?
Quin és l’objecte de l’APD?
Qui nomena el director de l’APD?
Pot l’APD realitzar inspeccions a les empreses d’ofici o necessiten denúncia?
Té potestat per a imposar multes?
És aplicable la LOPD als fitxers en format paper?
És aplicable la normativa de protecció de dades a les persones jurídiques?

Tinc una agenda personal amb gran quantitat de dades de persones físiques, he de notificar a l’Agència de
Protecció de Dades?
Què es considera font accessible al públic?
Quins principis regeixen la LOPD?
És d’aplicació la normativa de protecció de dades als professionals autònoms o només a les empreses?
He rebut publicitat d’un comerç i no vull rebre més. Com saben les meves dades si mai he comprat en ell? Què
puc fer perquè deixin d’enviar-me aquesta informació?

Què és una dada de caràcter personal?
Segons la Llei Orgànica, de 13 de desembre, de protecció de dades de caràcter personal (en endavant LOPD), és qualsevol informació concernent a persones físiques identificades o identificables.
El Reial decret 1332/1994, de 20 de juny, dóna una definició més àmplia, i els defineix com tota informació
numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus susceptible de recollida, registre,
tractament o transmissió concernent a una persona física identificada o identificable.
Per tant, dades com el correu electrònic i els biomètrics són també dades personals ja que permeten identificar la persona.

Què són dades especialment protegides?
Són dades corresponents a l’àmbit de la intimitat personal i familiar, i no de la professional. L’article 7 LOPD estableix que són les dades de caràcter personal que revelin:
-Ideologia.
-Afiliació sindical.
-Religió.
-Creences.
-Origen racial.
-Salut.
-Vida sexual.
-Comissió d’infraccions penals o administratives.

Què es considera tractament de dades?
Són totes les operacions i procediments tècnics de caràcter automatitzat o no, que permetin recollir, gravar,
conservar, elaborar, modificar, bloquejar i cancel·lació, així com les cessions de dades que derivin de comunicacions, consultes, interconnexions i transferències.
Es tracta d’una definició molt àmplia, pel fet que el legislador ha volgut englobar així qualsevol modalitat futura que pogués sorgir.
Què és un fitxer?
És tot conjunt organitzat de dades de caràcter personal, sigui quina sigui la forma o modalitat de creació,
emmagatzematge, organització i accés. Un fitxer pot ser un CDrom, un disquet o fins i tot un quadern.

Què és l’Agència de Protecció de Dades?
És un ens de dret públic, un organisme independent que es finança a través de pressupostos de l’Estat
principalment.
Quin és l’objecte de l’APD?
És garantir el compliment i aplicació de les previsions establertes a la normativa de protecció de dades de caràcter personal.
Qui nomena el director de l’APD?
És nomenat pel govern entre els membres del Consell Consultiu, per o període de 4 anys.
Pot l’APD realitzar inspeccions a les empreses d’ofici o necessiten denúncia?
La APD pot dur a terme aquestes inspeccions d’ofici o a instància dels afectats, dirigint-se als locals en què es troben els fitxers. En general l’APD sol avisar del dia i l’hora en la qual van a dur a terme la inspecció.

Té potestat per a imposar multes?
El director de l’APD té entre les seves funcions la potestat d’iniciar, impulsar i resoldre els expedients sancionadors per l’APD.
És aplicable la LOPD als fitxers en format paper?
Si, la normativa de protecció de dades és aplicable tant als fitxers automatitzats com als no automatitzats.
La LORTAD només era aplicable als fitxers automatitzats, però amb la LOPD l’objecte s’ha ampliat als no
automatitzats també.


És aplicable la normativa de protecció de dades a les persones jurídiques?

La normativa de protecció de dades només és aplicable a les persones físiques, ja que l’objecte de la LOPD és garantir i protegir, pel que fa al tractament de les dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i especialment del seu honor i intimitat personal i familiar.

Tinc una agenda personal amb gran quantitat de dades de persones físiques, he de notificar a l’Agència de Protecció de Dades?
La LOPD recull una sèrie d’exclusions, entre elles es troben els fitxers mantinguts per persones físiques en l’exercici d’activitats exclusivament personals o domèstiques.
Què es considera font accessible al públic?
Són aquells fitxers que poden ser realitzada, per qualsevol persona, sense que ho impedeixi una norma limitativa o sense altra exigència que, si s’escau, l’abonament d’una contraprestació.
Són fonts accessibles al públic, exclusivament:
Cens promocional
Els repertoris telefònics en els termes que preveu la normativa específica
Les llistes de persones pertanyents a grups de professionals que continguin únicament les dades de nom, títol, professió, activitat, grau acadèmic, direcció i indicació de la seva pertinença al grup.
Els diaris i butlletins oficials (el dia de la seva emissió només) i els mitjans de comunicació.

Quins principis regeixen la LOPD?
Els principis són:
-Principi de qualitat: Les dades de caràcter personal només es poden recollir per ser tractades, així com sotmetre-les
a aquest tractament, quan siguin adequades, pertinents i no excessives en relació amb l’àmbit i les finalitats
determinades, explícites i legítimes per a les quals s’hagin obtingut.
-Principi de finalitat: La llei estableix que les dades no poden ser utilitzades per a finalitats diferents d’aquelles per als
quals van ser recollides. Es parla de finalitats incompatibles, la LORTAD parlava de finalitats diferents, però l’Agència de Protecció de Dades
-Principi d’actualitat: Les dades personals incorporades a un fitxer han de respondre a una situació actual.
-Principi d’exactitud: Les dades personals han de ser modificats i rectificats pel responsable del fitxer des del moment en què coneix la modificació.
-Principi d’informació: Quan es recullin dades de caràcter personal ha d’informar l’afectat de l’existència d’un fitxer, de la finalitat de la recollida, dels destinatari s dels mateix i de les dades necessàries per poder exercir els seus drets.
-Principi de consentiment: El tractament de les dades requereix el consentiment inequívoc (tàcit o exprés) de
l’afectat.

És d’aplicació la normativa de protecció de dades als professionals autònoms o només a les empreses?
La LOPD és aplicable a totes les dades de caràcter personal registrades en suport físic, que les faci susceptibles de tractament, per tant, qualsevol persona que tingui fitxers amb dades de caràcter personal, com ara una empresa, un arquitecte, un dentista, etc , han de complir amb aquesta normativa.
He rebut publicitat d’un comerç i no vull rebre més. Com saben les meves dades si mai he comprat en ell? Què puc fer perquè deixin d’enviar-me aquesta informació?
Les empreses recullen dades personals de fonts accessibles al públic o bé compren bases de dades a altres empreses.
Si vols saber quines dades tenen, has de dirigir al responsable del fitxer a l’adreça que aparegui d’aquest establiment, i sol·licitar l’accés als mateixos.
Si voleu cancel·lar les dades ha de dirigir un escrit, dirigit al responsable del fitxer, que contingui:
– Nom, cognoms de l’interessat i fotocòpia del DNI de l’interessat i, en els casos que excepcionalment s’admeti, de la
persona que el representi, així com el document acreditatiu de tal representació. La fotocòpia del DNI es pot
substituir sempre que s’acrediti la identitat per qualsevol altre mitjà vàlid en dret.
– Petició en què es concreta la sol·licitud.
– Domicili a efectes de notificacions, data i signatura del sol·licitant.

20set.

Sí, la Llei 34/2002, de 11 de juliol, de serveis de la societat de la informació i de comerç electrònic, pel que fa a “spam” (rebre correu electrònic no desitjat) i les denominades “cookies”; i la Llei 9/2014, de 9 de maig, general de telecomunicacions, en relació amb la privacitat de les comunicacions no sol·licitades, les dades de trànsit i de localització i les guies d’abonats.

Agencia Española de Protección de Datos

http://www.agpd.es

Pedrosa Busquets & Associats

www.pedrosabusquets.com

20set.

Quan s’aplica la normativa de protecció de dades?

La Llei Orgànica de Protecció de Dades de Caràcter Personal (LOPD) té per objecte garantir l’adequat tractament i ús de les dades personals.

És aplicable a les dades de caràcter personal registrades en suport físic que els faci susceptibles de tractament, i a tota modalitat d’ús posterior d’aquestes dades pels sectors públic i privat.

El dret a la protecció de dades de caràcter personal s’aplica al tractament de dades de les persones físiques, mai els relatius a persones jurídiques.

Per a més informació pot consultar els informes jurídics elaborats per aquesta Agència sobre l’àmbit d’aplicació de la LOPD.

Agencia Española de Protección de Datos

http://www.agpd.es

Pedrosa Busquets & Associats

www.pedrosabusquets.com

17ag.

L’anomenat dret a l’oblit és la manifestació dels tradicionals drets de cancel·lació i oposició aplicats als cercadors d’internet. En concret, inclou el dret a limitar la difusió universal i indiscriminada de dades personals en els cercadors generals quan la informació és obsoleta o ja no té rellevància ni interès públic, encara que la publicació original sigui legítima (en el cas de butlletins oficials o informacions emparades per les llibertats d’expressió o d’informació).

Agencia Española de Protección de Datos

http://www.agpd.es

Pedrosa Busquets & Associats

www.pedrosabusquets.com

17ag.

La imatge és una dada de caràcter personal ja que identifica o fa identificable una persona. En aquest sentit, la instal·lació de càmeres, amb diverses finalitats com podria ser la seguretat, el control laboral, l’accés a zones restringides captant la matrícula del cotxe i la imatge del conductor, o fins i tot el monitoratge d’una UVI, suposaria un tractament de dades de caràcter personal i en conseqüència, se li aplicaria la normativa de protecció de dades.

En aquest sentit, l’AEPD té publicada la seva Instrucció 1/2006 sobre el tractament de dades personals amb fins de vigilància a través de sistemes de càmeres o videocàmeres, així com una Guia de Videovigilància.

Agencia Española de Protección de Datos

http://www.agpd.es

Pedrosa Busquets & Associats

www.pedrosabusquets.com

Copyright © 2016 Pedrosa Busquets & Associats, S.L. – Tots els drets reservats –

17ag.

Segons l’article 6.1 de la LOPD el tractament de les dades de caràcter personal requereix el consentiment inequívoc de l’afectat, llevat que la Llei disposi una altra cosa. L’apartat 2 de l’esmentat article 6 necessita que no serà necessari el consentiment quan el tractament de dades es refereixi a les parts d’un contracte o precontracte d’una relació de negoci, laboral o administrativa i siguin necessaris per al seu manteniment o compliment.

En aquest sentit, l’article 20.3 de l’Estatut dels Treballadors estableix que l’empresari pot adoptar les mesures que consideri més oportunes de vigilància i control per verificar el compliment pel treballador de les seves obligacions i deures laborals, guardant en la seva adopció i aplicació la consideració a la seva dignitat humana i tenint en compte la capacitat real dels treballadors disminuïts, si escau.

No obstant això, l’existència d’aquesta legitimació, sense necessitat que presti consentiment previ el treballador, no exclou el compliment del deure d’informar regulat per l’article 5 de la LOPD, a més de la inscripció del corresponent fitxer, i compliment de la resta de la normativa de protecció de dades.

Agencia Española de Protección de Datos

http://www.agpd.es

Pedrosa Busquets & Associats

www.pedrosabusquets.com

Copyright © 2016 Pedrosa Busquets & Associats, S.L. – Tots els drets reservats –

05jul.

El Reglament General de Protecció de Dades ha entrat en vigor el 25 de maig de 2016. L’AEPD ha elaborat aquest document simplificat, que segueix el format pregunta-resposta, per facilitar la comprensió del nou marc normatiu als ciutadans i ajudar a les organitzacions a adaptar-se als canvis que incorpora i complir així amb les seves obligacions.

1. L’entrada en vigor del Reglament, suposa que ja no s’aplica la Llei Orgànica de Protecció de Dades espanyola?

No. El Reglament ha entrat en vigor el 25 maig 2016 però no començarà a aplicar-se fins a dos anys després, el 25 de maig de 2018. Fins llavors, tant la Directiva 95/46 com les normes nacionals que la transposen, entre elles l’espanyola, continuen sent plenament vàlides i aplicables.

2. Quin és, llavors, el significat que el Reglament hagi entrat en vigor?

El període de dos anys fins a l’aplicació del Reglament té com a objectiu permetre que els Estats de la Unió Europea, les Institucions Europees i també les organitzacions que tracten dades vagin preparant-se i adaptant-se per al moment en què el Reglament sigui aplicable.

En aquests dos anys, per exemple, els Estats membres poden adoptar o iniciar l’elaboració de determinades normes que siguin necessàries per permetre o facilitar l’aplicació del Reglament. Aquestes normes no poden ser contràries a les disposicions de la vigent Directiva ni tampoc anar més enllà dels poders d’actuació normativa que el mateix Reglament preveu de manera explícita o implícita.

3. A quines empreses o organitzacions s’aplica?

El Reglament s’aplicarà com fins ara a responsables o encarregats de tractament de dades que estableix la Unió Europea, i s’amplia a responsables i encarregats no establerts a la UE sempre que realitzin tractaments derivats d’una oferta de béns o serveis destinats a ciutadans de la Unió o com a conseqüència d’un monitoratge i seguiment del seu comportament.

Perquè aquesta ampliació de l’àmbit d’aplicació es pugui fer efectiva, aquestes organitzacions han de nomenar un representant a la Unió Europea, que actuarà com a punt de contacte de les autoritats de supervisió i dels ciutadans i que, en cas necessari, pot ser destinatari de les accions de supervisió que desenvolupin aquestes autoritats. Les dades de contacte d’aquest representant a la Unió s’han de proporcionar als interessats entre la informació relativa als tractaments de les seves dades personals.

4. Què implica per als ciutadans que el Reglament ampliï l’àmbit d’aplicació territorial?

Aquesta novetat suposa una garantia addicional als ciutadans europeus. En l’actualitat, per tractar dades no és necessari mantenir una presència física sobre un territori, de manera que el Reglament pretén adaptar els criteris que determinen quines empreses han de complir-se a la realitat del món d’internet.

Això permet que el Reglament sigui aplicable a empreses que, fins ara, podien estar tractant dades de persones a la Unió i, en canvi, es regien per normatives d’altres regions o països que no sempre ofereixen el mateix nivell de protecció que la normativa europea .

5. Quines noves eines de control de les seves dades posseeixen els ciutadans?

El Reglament introdueix nous elements, com el dret a l’oblit i el dret a la portabilitat, que milloren la capacitat de decisió i control dels ciutadans sobre les dades personals que confien a tercers.

El dret a l’oblit es presenta com la conseqüència del dret que tenen els ciutadans a sol·licitar, i obtenir dels responsables, que les dades personals siguin suprimits quan, entre altres casos, aquests ja no siguin necessaris per a la finalitat amb la qual van ser recollides, quan s’hagi retirat el consentiment o quan aquests s’hagin recollit de forma il·lícita. Així mateix, segons la sentència del Tribunal de Justícia de la Unió Europea de 13 de maig de 2014, que va reconèixer per primera vegada el dret a l’oblit recollit ara en el Reglament europeu, suposa que l’interessat pot sol·licitar que es bloquegin en les llistes de resultats dels cercadors dels vincles que condueixin a informacions que l’afectin que resultin obsoletes, incompletes, falses o irrellevants i no siguin d’interès públic, entre d’altres motius.

Per la seva banda, el dret a la portabilitat implica que l’interessat que hagi proporcionat les seves dades a un responsable que els estigui tractant de manera automatitzat podrà sol·licitar recuperar aquestes dades en un format que li permeti el seu trasllat a un altre responsable. Quan això sigui tècnicament possible, el responsable haurà transferir les dades directament al nou responsable designat per l’interessat.

6. A quina edat poden els menors prestar el seu consentiment per al tractament de les seves dades personals?

El Reglament estableix que l’edat en què els menors poden prestar per si mateixos el seu consentiment per al tractament de les seves dades personals en l’àmbit dels serveis de la societat de la informació (per exemple, xarxes socials) és de 16 anys. No obstant això, permet rebaixar aquesta edat i que cada Estat membre estableixi la seva pròpia, establint un límit inferior de 13 anys. En el cas d’Espanya, aquest límit continua en 14 anys. Per sota d’aquesta edat, cal el consentiment de pares o tutors.

En el cas de les empreses que recopilin dades personals, és important recordar que el consentiment ha de ser verificable i que l’avís de privacitat ha d’estar escrit en un llenguatge que els nens puguin entendre.

7. Què implica la responsabilitat activa recollida en el Reglament?

Un dels aspectes essencials del Reglament és que es basa en la prevenció per part de les organitzacions que tracten dades. És el que es coneix com a responsabilitat activa. Les empreses han d’adoptar mesures que assegurin raonablement que estan en condicions de complir amb els principis, drets i garanties que el Reglament estableix. El Reglament entén que actuar només quan ja s’ha produït una infracció és insuficient com a estratègia, atès que aquesta infracció pot causar danys als interessats que poden ser molt difícils de compensar o reparar. Per a això, el Reglament preveu una bateria completa de mesures:

– Protecció de dades des del disseny

– Protecció de dades per defecte

– Mesures de seguretat

– Manteniment d’un registre de tractaments

– Realització d’avaluacions d’impacte sobre la protecció de dades

– Nomenament d’un delegat de protecció de dades

– Notificació de violacions de la seguretat de les dades

– Promoció de codis de conducta i esquemes de certificació.

8. Llavors, suposa una major càrrega d’obligacions per a les empreses?

El Reglament suposa un major compromís de les organitzacions, públiques o privades, amb la protecció de dades. Però això no implica necessàriament ni en tots els casos una major càrrega. En molts casos serà només una forma de gestionar la protecció de dades diferent de la que es ve emprant ara.

En primer lloc, algunes de les mesures que introdueix el Reglament són una continuació o reemplacen a altres ja existents, com és el cas de les mesures de seguretat o de l’obligació de documentació i, fins a cert punt, l’avaluació d’impacte i la consulta a autoritats de supervisió.

Altres constitueixen la formalització en una norma legal de pràctiques ja molt esteses a les empreses o que, en tot cas, formarien part d’una correcta posada en marxa d’un tractament de dades, com poden ser la privadesa des del disseny i per defecte, la avaluació d’impacte sobre protecció de dades en certs casos o l’existència d’un delegat de protecció de dades.

En tots els casos, el Reglament preveu que l’obligació d’aquestes mesures, o la manera en què s’apliquin, dependrà de factors com ara el tipus de tractament, els costos d’implantació de les mesures o el risc que el tractament presenta per als drets i llibertats dels titulars de les dades.

Per això, cal que totes les organitzacions que tracten dades realitzin una anàlisi de risc de les seves tractaments per poder determinar quines mesures s’han d’aplicar i com fer-ho. Aquestes anàlisis poden ser operacions molt simples en entitats que no duen a terme més que uns pocs tractaments senzills que no impliquin, per exemple, dades sensibles, o operacions més complexes en entitats que desenvolupin molts tractaments, que afecten gran quantitat d’interessats o que per les seves característiques requereixen d’una valoració acurada dels seus riscos.

Les autoritats de protecció de dades europees de forma col·lectiva, i l’Agència Espanyola individualment, estem ja treballant en el desenvolupament d’eines que facilitin la identificació i valoració de riscos i en recomanacions sobre l’aplicació de mesures, especialment en relació amb pimes que realitzen els tractaments de dades més habituals en la gestió empresarial.

9. Canvia la forma en què cal obtenir el consentiment?

Una de les bases fonamentals per tractar dades personals és el consentiment. El Reglament demana que el consentiment, amb caràcter general, sigui lliure, informat, específic i inequívoc. Per poder considerar que el consentiment és? Inequívoc ?, el Reglament requereix que hi hagi una declaració dels interessats o una acció positiva que indiqui l’acord de l’interessat. El consentiment no pot deduir-se del silenci o de la inacció dels ciutadans.

Les empreses haurien de revisar la forma en la qual obtenen i registren el consentiment. Pràctiques que s’enquadren en l’anomenat consentiment tàcit i que són acceptades sota l’actual normativa deixaran de ser-ho quan el Reglament sigui aplicable.

A més, el Reglament preveu que el consentiment hagi de ser? Explícit? en alguns casos, com pot ser per autoritzar el tractament de dades sensibles. Es tracta d’un requisit més estricte, ja que el consentiment no es pot entendre com concedit implícitament mitjançant algun tipus d’acció positiva. Així, cal que la declaració o acció es refereixin explícitament al consentiment i al tractament en qüestió.

Cal tenir en compte que el consentiment ha de ser verificable i que els que recopilin dades personals han de ser capaços de demostrar que l’afectat els va atorgar el seu consentiment. Per això, és important revisar els sistemes de registre del consentiment perquè sigui possible verificar-ho davant d’una auditoria.

10. Les empreses veure els teus avisos de privacitat?

Amb caràcter general, si. El Reglament preveu que s’incloguin en la informació que es proporciona als interessats un seguit de qüestions que amb la Directiva i moltes lleis nacionals de transposició no eren necessàriament obligatòries. Per exemple, caldrà explicar la base legal per al tractament de les dades, els períodes de retenció dels mateixos i que els interessats pot dirigir les seves reclamacions a les autoritats de protecció de dades. Si creuen que hi ha un problema amb la forma en què estan manejant les seves dades. És important recordar que el Reglament exigeix ​​de forma expressa que la informació que es proporcioni sigui fàcil d’entendre i presentar-se en un llenguatge clar i concís.

11. En què consisteix el sistema de ‘finestreta única’?

Aquest sistema està pensat perquè els responsables establerts en diversos Estats membres o que, estant en un sol Estat membre, facin tractaments que afectin significativament a ciutadans en diversos Estats de la UE tinguin una única autoritat de protecció de dades com a interlocutora. També implica que cada autoritat de protecció de dades europea, en lloc d’analitzar una denúncia o autoritzar un tractament a nivell estrictament nacional, a partir de l’aplicació del Reglament de valorar si el supòsit té caràcter transfronterer, en aquest cas caldrà obrir un procediment de cooperació entre totes les autoritats afectades buscant una solució acceptable per a totes. Si hi ha discrepàncies insalvables, el cas pot elevar-se al Comitè Europeu de Protecció de Dades, un organisme de la Unió integrat pels directors de totes les autoritats de protecció de dades de la Unió. Aquest Comitè ha de resoldre la controvèrsia mitjançant decisions vinculants per a les autoritats implicades.

Aquest nou sistema no suposa que els ciutadans hagin de relacionar-se amb diverses autoritats o amb autoritats diferents de la de l’Estat on resideixin. Sempre poden plantejar les seves reclamacions o denúncies davant la seva pròpia autoritat nacional (en el cas espanyol, l’Agència Espanyola de Protecció de Dades). La gestió serà realitzada per aquesta Autoritat, que serà també responsable d’informar a l’interessat del resultat final de la seva reclamació o denúncia.

La finestreta única, en tot cas, no afectarà a empreses que només estiguin en un Estat membre i que realitzin tractaments que afectin només a interessats en aquest Estat.

12. Tenen les empreses de començar a aplicar ja les mesures previstes en el Reglament?

No. El Reglament està en vigor, però no serà aplicable fins 2018.

No obstant això, pot ser útil per a les organitzacions que tracten dades començar ja a valorar la implantació d’algunes de les mesures previstes, sempre que aquestes mesures no siguin contradictòries amb les disposicions de la LOPD, que segueix sent la norma per la qual han de regir-se els tractaments de dades a Espanya.

Per exemple, les organitzacions han de tenir en compte que a partir de maig de 2018 hauran de realitzar anàlisis de risc dels seus tractaments i que pot ser útil per a elles començar des d’ara a identificar el tipus de tractaments que realitzen, el grau de complexitat de l’anàlisi que de dur a terme, etc. En aquesta tasca podrien utilitzar les eines i recursos que de mica en mica vagin desenvolupant les autoritats de protecció de dades.

Igualment, res impedeix que les organitzacions comencin a planificar o a establir el registre de tractaments de dades o a implantar les avaluacions d’impacte o qualsevol altra de les mesures previstes.

De la mateixa manera, les organitzacions podrien començar a dissenyar i implantar els procediments per notificar adequadament a les autoritats de protecció de dades o als interessats les fallides de seguretat que es puguin produir.

En general, les organitzacions que tracten dades personals haurien de començar a preparar l’aplicació d’aquestes mesures, així com d’altres modificacions pràctiques derivades del Reglament. Per exemple, el Reglament exigeix ​​que els responsables de tractament faciliten als interessats l’exercici dels seus drets. Tot i que la interpretació de? Facilitar? pugui variar depenent dels casos, inclou en tots ells algun tipus d’actuació positiva per part dels responsables per fer més accessibles i senzilles les vies per a l’exercici de drets.

L’avantatge d’una ràpida aplicació és que permetrà detectar dificultats, insuficiències o errors en una etapa en què aquestes mesures no són obligatòries i, en conseqüència, la seva correcció o eficàcia no estarien sotmeses a supervisió. Això permetria corregir errors per al moment en què el Reglament sigui d’aplicació.

Agencia Española de Protección de Datos

http://www.agpd.es

Pedrosa Busquets & Associats

www.pedrosabusquets.com

Copyright © 2016 Pedrosa Busquets & Associats, S.L. – Tots els drets reservats –