El mínim a saber sobre la protecció de dades
A Espanya són aplicables les següents normatives de privacitat:
GDPR:
Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46 / CE (Reglament general de protecció de dades).
LOPGDD:
Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.
Qui està obligat a aplicar les normatives de privacitat?
Qualsevol persona física o jurídica que en l'exercici de la seva activitat econòmica tracta dades personals.
Art. 2 de l'GDPR (Àmbit d'aplicació material):
1. Aquest Reglament s'aplica al tractament total o parcialment automatitzat de dades personals, així com al tractament no automatitzat de dades personals contingudes o destinades a ser incloses en un fitxer.
2. Aquest Reglament no s'aplica al tractament de dades personals:
a) en l'exercici d'una activitat no compresa en l'àmbit d'aplicació del Dret de la Unió;
b) per part dels Estats membres quan duguin a terme activitats compreses en l'àmbit d'aplicació del capítol 2 del títol V del TUE
c) efectuat per una persona física en l'exercici d'activitats exclusivament personals o domèstiques;
d) per part de les autoritats competents amb fins de prevenció, investigació, detecció o enjudiciament d'infraccions penals, o d'execució de sancions penals, inclosa la de protecció enfront d'amenaces a la seguretat pública i la seva prevenció.
Què són dades personals i què és un tractament?
Art. 2 (Definicions):
1) «dades personals»: tota informació sobre una persona física identificada o identificable ( «l'interessat»); es considerarà persona física identificable tota persona identitat de la qual es pugui determinar, directament o indirectament, en particular mitjançant un identificador, com ara un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona;
2) «tractament»: qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, confrontació o interconnexió, limitació, supressió o destrucció;
Què és un fitxer?
Art. 2 (Definicions):
6) «fitxer»: tot conjunt estructurat de dades personals, accessibles d'acord amb criteris determinats, ja sigui centralitzat, descentralitzat o repartit de forma funcional o geogràfica;
Com s'identifiquen les empreses o professionals que tracten dades personals?
Art. 2 (Definicions):
7) «responsable del tractament» o «responsable»: la persona física o jurídica, autoritat pública, servei o un altre organisme que, sol o juntament amb altres, determini els fins i mitjans del tractament
8) «encarregat del tractament» o «encarregat»: la persona física o jurídica, autoritat pública, servei o un altre organisme que tracti dades personals per compte del responsable del tractament;
9) «destinatari»: la persona física o jurídica, autoritat pública, servei o un altre organisme al que es comuniquin dades personals, es tracti o no d'un tercer.
Quines responsabilitats tenen?
Art. 82 (Dret a indemnització i responsabilitat):
1. Tota persona que hagi patit danys i perjudicis materials o immaterials com a conseqüència d'una infracció del present Reglament tindrà dret a rebre del responsable o l'encarregat del tractament una indemnització pels danys i perjudicis soferts.
2. Qualsevol responsable que participi en l'operació de tractament respondrà dels danys i perjudicis causats en cas que aquesta operació no compleixi el que disposa el present Reglament. Un encarregat únicament respondrà dels danys i perjudicis causats pel tractament quan no hagi complert amb les obligacions del present Reglament dirigides específicament als encarregats o hagi actuat al marge o en contra de les instruccions legals del responsable.
Quins són els principis fonamentals de la protecció de dades personals?
Art. 5 (Principis relatius al tractament)
1. Les dades personals seran:
a) tractades de manera lícita, lleial i transparent en relació amb l'interessat («licitud, lleialtat i transparència»);
b) recollides amb fins determinats, explícits i legítims, i no seran tractats ulteriorment de manera incompatible amb aquests fins; d'acord amb l'article 89, apartat 1, el tractament ulterior de les dades personals amb fins d'arxiu en interès públic, fins d'investigació científica i històrica o fins estadístiques no es considera incompatible amb els fins inicials («limitació de la finalitat») ;
c) adequades, pertinents i limitades al que és necessari en relació amb els fins per als quals són tractats («minimització de dades»);
d) exactes i, si cal, actualitzades; s'adoptaran totes les mesures raonables perquè es suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes respecte als fins per als quals es tracten («exactitud»);
e) mantingudes de manera que es permeti la identificació dels interessats durant no més temps del necessari per als fins del tractament de les dades personals; les dades personals es podran conservar durant períodes més llargs sempre que es tractin exclusivament amb fins d'arxiu en interès públic, fins d'investigació científica o històrica o fins estadístiques, de conformitat amb l'article 89, apartat 1, sens perjudici de l'aplicació de les mesures tècniques i organitzatives apropiades que imposa el present Reglament a fi de protegir els drets i llibertats de la persona interessada («limitació del termini de conservació»);
f) tractades de tal manera que es garanteixi una seguretat adequada de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l'aplicació de mesures tècniques o organitzatives apropiades («integritat i confidencialitat»).
2. El responsable del tractament serà responsable del compliment del que disposa l'apartat 1 i capaç de demostrar-ho («responsabilitat proactiva»).