GDPR 10. Els Destinataris de dades

04/09/2016 | Josep Aragonés Salvat



Cessió de dades a Destinataris


El Reglament defineix els Destinataris en l'article 4, apartat 9, com la persona física o jurídica, autoritat pública, servei o organisme que rep una comunicació de dades personals. Aquests subjectes no seran considerats Destinataris quan es transmetin dades a les autoritats públiques per a una investigació concreta d'interès general regulada per la llei.

Atenent el Considerant 48 del Reglament, quan un Responsable formi part d'un grup empresarial i pugui tenir un interès legítim en transmetre dades dins del grup per a fins administratius, laborals o comercials, la transmissió tampoc es considerarà realitzada a un Destinatari.

Per distingir un Destinatari de dades d'un Encarregat de tractament només cal discernir si tractarà les dades pel seu compte (Destinatari) o per compte del Responsable (Encarregat).

Poden ser Destinataris de dades les Asseguradores, Mútues d'accidents professionals, Vigilància de la salut, Subcontrates d'empleats, o qualsevol empresa que no hagi obtingut les dades directament de l'interessat (que els han estat transmeses per una altra empresa) i facturi directament a l'interessat.

Al GDPR no hi ha cap article dedicat als Destinataris, ja que els considera Responsables de les dades que rep i se'ls aplica el Reglament com a tals. En canvi, sí que nomena els Destinataris en les disposicions en què el tractament necessita la comunicació de dades a una altra organització diferent de l'Encarregat del tractament. En aquest sentit només es podran transmetre dades a Destinataris si es compleixen aquests dos requisits:
 
  • És necessari per assolir la finalitat del tractament.
  • S'informa a l'interessat de la cessió de dades.



Obligacions del Responsable amb els Destinataris


Per garantir que la comunicació de dades es realitza d'acord amb la normativa, el Responsable transmissor ha de subscriure un contracte amb el Responsable receptor (Destinatari) on es reflecteixi la licitud de l'obtenció de dades i la finalitat de la cessió, advertint al Destinatari que serà el Responsable del tractament d'aquestes dades. No serà necessari subscriure un contracte amb el Destinatari quan la transmissió de dades es realitzi a autoritats o organismes públics en l'exercici de les seves funcions públiques.

Quan un Responsable rep dades com Destinatari, haurà classificar-les en fitxers i assignar-los-hi les categories de dades i de tractament que lis corresponguin per tractar-les com Responsable.

 

Registre de les activitats del tractament


El Responsable o Encarregat del tractament tindran l'obligació de portar i conservar actualitzat un Registre de les activitats del tractament quan:
 
  • Doni feina a un mínim de 250 persones.
  • Pugui suposar un risc per als drets i llibertats de la persona interessada i no tingui un caràcter ocasional.
  • Es tracten categories especials de dades
  • Es tracten dades relatives a condemnes i delictes penals

El Registre d'activitats ha de contenir, entre d'altra informació, el nom i les dades de contacte de tots els Destinataris de dades.

 

Informació i comunicació als interessats


El Responsable del tractament ha d'informar l'interessat dels Destinataris o categories de destinataris de les dades en el moment d'obtenir el consentiment explícit per al tractament de dades.

Quan el tractament es realitzi per una obligació legal o per altres supòsits que no necessitin obtenir el consentiment explícit de l'interessat, s'ha d'informar de la cessió de dades en els mitjans informatius que el Responsable posi a disposició de l'interessat.

Quan les dades no s'hagin obtingut directament de l'interessat i la finalitat del tractament precisi la transmissió de dades, l'haurà d'informar d'aquest fet com a màxim en el moment en què les dades siguin revelades per primera vegada.

 

Exercici dels drets dels interessats


En el cas que hi hagi una comunicació de dades a Destinataris, el Responsable del tractament possibilitarà i donarà curs a l'exercici dels següents drets de l'interessat:
 
  • Dret d'accés: informar l'interessat dels Destinataris o categories de destinataris, inclosos els internacionals.
  • Dret de rectificació de les dades: informarà als Destinataris perquè procedeixin a la rectificació de les mateixes, llevat que sigui impossible o exigeixi un esforç desproporcionat.
  • Dret de supressió de les dades: informarà als Destinataris perquè procedeixin a la supressió de les mateixes, llevat que sigui impossible o exigeixi un esforç desproporcionat.
  • Dret a la limitació del tractament: informarà als Destinataris perquè procedeixin a la limitació del tractament, llevat que sigui impossible o exigeixi un esforç desproporcionat.
 
 

Seguiment del curs Expert en el GDPR


Tema anterior: 9. El Corresponsable del tractament     Tema següent: 11. La seguretat del tractament



Informació relacionada