GDPR 2. Els principis del tractament

Aplicació dels principis del tractament

El Reglament dedica tot el Capítol II als "Principis" del tractament de dades personals i al Considerant 26 ja especifica que "Els principis de la protecció de dades s'han d'aplicar a tota la informació relativa a una persona física identificada o identificable", motiu pel qual el Reglament es basa en l'aplicació d'aquests principis a totes les disposicions específiques que el componen, especialment en les mesures de protecció de dades des del disseny i per defecte (considerant 78) i a les transferències internacionals de dades (considerant 108) .

Els principis de protecció de dades s'apliquen al tractament de dades, és a dir, a qualsevol operació realitzada sobre dades personals: recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, confrontació o interconnexió, limitació, supressió o destrucció.

En tractaments realitzats amb fins periodístics o amb fins d'expressió acadèmica, artística o literària, els Estats de la UE podran establir exempcions o excepcions del que disposa en relació amb els principis del tractament, si són necessàries per conciliar el dret a la protecció dels dades personals amb la llibertat d'expressió i informació (article 85, apartat 2).

Cal destacar que les infraccions dels principis bàsics per al tractament són considerades greus, i es podran sancionar amb multes administratives de 20.000.000 € o del 4% de la facturació anual (article 83, apartat 5).

 

Principis del tractament (article 5)

Les dades personals seran tractades amb:

• Licitud: lleialtat i transparència amb l'interessat.
• Limitació dels fins: recollides amb fins determinats, explícits i legítims i no tractades posteriorment de manera incompatible amb aquestes finalitats.
• Minimització de les dades: adequades, pertinents i limitades al necessari en relació amb els fins per a les quals són tractades.
• Exactitud: actualitzades sense demora respecte als fins per als quals es tracten.
• Limitació del termini de conservació: mantingudes de manera que es permeti la identificació dels interessats durant no més temps del necessari per als fins pea les quals es tracten. Excepte si el tractament es realitza exclusivament per a fins d'arxiu en interès públic o per a investigació històrica, estadística o científica.
• Integritat i confidencialitat: implementant mesures tècniques i organitzatives adequades per protegir les dades contra tractaments no autoritzats o il·lícits i la seva pèrdua, destrucció o dany accidentals.
• Responsabilitat proactiva: sent responsable i capaç de demostrar el compliment de tots els principis del tractament.

 

Licitud del tractament (article 6)

El tractament només serà lícit si hi existeix alguna de les següents condicions:

• Consentiment explícit per a fins específics.
• Contracte o precontracte amb l'interessat.
• Protecció dels interessos vitals de la persona interessada o una altra persona física.
• Interès legítim del Responsable del tractament o tercers, sempre que no prevalguin els interessos o els drets i llibertats de la persona interessada, especialment si és un nen.
• Procedència legítima d'arxius d'accés públic:
  • Obtinguts d'una font pública.
  • L'interessat ha fet manifestament públiques les dades.

O quan estigui fonamentat en la legislació vigent per:
 

• Obligació jurídica a la qual estigui subjecte el Responsable del tractament.
• Compliment d'una comesa d'interès públic.
• Finalitats de recerca històrica, estadística o científica.
• Interès legítim de les Autoritats públiques en l'exercici de les seves funcions.

El tractament per a un altre fi diferent de l'inicial, podrà ser lícit si és compatible amb el mateix i hi ha una relació entre:
 

• Les finalitats del tractament.
• L'entorn del Responsable del tractament i els interessats.
• La categoria de dades.
• Les possibles conseqüències per a l'interessat.
• La protecció de dades (xifrat, seudonimització, etc.).

 

Condicions per al consentiment (article 7)

 

• El Responsable del tractament assumirà la prova del consentiment. Si es realitza per escrit, s'ha de distingir clarament d'altres assumptes.
• El consentiment no serà lícit si es condiciona a una prestació de serveis sense ser necessari per a la seva realització.
• El Responsable del tractament ha d'informar a l'interessat, abans de donar el seu consentiment, que té dret a retirar-lo en qualsevol moment sense que afecti el tractament efectuat fins aleshores.
• Serà tan fàcil retirar com donar el consentiment.
• Els consentiments que infringeixin parcialment el Reglament seran considerats nuls.

 

Tractament de dades de nens (article 8)

L'oferta directa de serveis de la societat de la informació (e-commerce) a menors de 16 anys (màxim 13 segons estableixi cada Estat de la UE) s'ha d'obtenir amb el consentiment del seu representant legal.

La informació del tractament dirigida a un menor s'ha de facilitar amb un llenguatge clar, senzill i adequat al receptor.

 

Tractaments de categories especials de dades (article 9)

Està prohibit tractar dades relatives a l'origen ètnic o racial, opinions polítiques, conviccions religioses o filosòfiques, afiliació sindical, dades genètiques o biomètrics que permetin la identificació unívoca d'una persona, dades relatives a la salut o la vida i orientació sexuals.

Més informació sobre excepcions i tractaments específics a: Tractament de categories especials de dades al GDPR

 

Tractaments relatius a condemnes i infraccions penals (article 10)

El tractament de dades relatives a condemnes i delictes penals o mesures de seguretat afins només podrà realitzar-se si està fonamentat en la legislació vigent amb garanties adequades per als drets i llibertats de les persones interessades o sota la supervisió de poders públics.

 

Tractament de dades sense identificació de l'interessat (article 11)

Quan les finalitats del tractament no requereixin la identificació de la persona interessada (seudonimització), el Responsable o Encarregat del tractament no han d'obtenir informació addicional per identificar-lo, excepte si és necessari per complir el Reglament.

Quan el Responsable del tractament sigui capaç de demostrar que no pot identificar a l'interessat, li ho comunicarà i deixarà d'aplicar els drets de l'interessat.


 

Que diu el GDPR

Considerant 26
Els principis de la protecció de dades s'han d'aplicar a tota la informació relativa a una persona física identificada o identificable. Les dades personals seudonimitzades, que es podria atribuir a una persona física mitjançant la utilització d'informació addicional, s'han de considerar informació sobre una persona física identificable. Per determinar si una persona física és identificable, s'han de tenir en compte tots els mitjans, com la singularització, que raonablement pugui utilitzar el responsable del tractament o qualsevol altra persona per identificar directament o indirectament a la persona física. Per determinar si hi ha una probabilitat raonable que s'utilitzin mitjans per identificar una persona física, s'han de tenir en compte tots els factors objectius, com els costos i el temps necessaris per a la identificació, tenint en compte tant la tecnologia disponible en el moment del tractament com els avenços tecnològics. Per tant els principis de protecció de dades no s'han d'aplicar a la informació anònima, és a dir informació que no guarda relació amb una persona física identificada o identificable, ni a les dades convertides en anònimes de manera que l'interessat no sigui identificable, o deixi de ser-ho. En conseqüència, el present Reglament no afecta el tractament d'aquesta informació anònima, inclusivament amb finalitats estadístiques o d'investigació.


Considerant 78
La protecció dels drets i llibertats de les persones físiques pel que fa al tractament de dades personals exigeix ??l'adopció de mesures tècniques i organitzatives apropiades per tal de garantir el compliment dels requisits d'aquest Reglament. Per tal de poder demostrar la conformitat amb el present Reglament, el responsable del tractament ha d'adoptar polítiques internes i aplicar mesures que compleixin en particular els principis de protecció de dades des del disseny i per defecte. Aquestes mesures podrien consistir, entre altres, a reduir al màxim el tractament de dades personals, seudonimitzar el més aviat possible les dades personals, donar transparència a les funcions i el tractament de dades personals, permetent als interessats supervisar el tractament de dades i al responsable del tractament crear i millorar elements de seguretat. En desenvolupar, dissenyar, seleccionar i utilitzar aplicacions, serveis i productes que estan basats en el tractament de dades personals o que tracten dades personals per complir la seva funció, s'ha d'encoratjar els productors dels productes, serveis i aplicacions a que tinguin en compte el dret a la protecció de dades quan desenvolupen i dissenyen aquests productes, serveis i aplicacions, i que s'assegurin, amb la deguda atenció a l'estat de la tècnica, que els responsables i els encarregats del tractament estan en condicions de complir les seves obligacions en matèria de protecció de dades. Els principis de la protecció de dades des del disseny i per defecte també s'han de tenir en compte en el context dels contractes públics.


Considerant 108
En absència d'una decisió per la qual es constati l'adequació de la protecció de les dades, el responsable o l'encarregat del tractament han de prendre mesures per compensar la falta de protecció de dades en un tercer país mitjançant garanties adequades per a l'interessat. Tals garanties adequades poden consistir en el recurs a normes corporatives vinculants, a clàusules tipus de protecció de dades adoptades per la Comissió o per una autoritat de control, o a clàusules contractuals autoritzades per una autoritat de control. Aquestes garanties han d'assegurar l'observança de requisits de protecció de dades i drets dels interessats adequats al tractament dins de la Unió, incloent-hi la disponibilitat per part dels interessats de drets exigibles i d'accions legals efectives, el que inclou el dret a obtenir una reparació administrativa o judicial efectiva i a reclamar una indemnització, a la Unió o en un tercer país. En particular, han de referir-se al compliment dels principis generals relatius al tractament de les dades personals i els principis de la protecció de dades des del disseny i per defecte. Les transferències també poden realitzar-les autoritats o entitats públiques amb entitats o autoritats públiques de tercers països o amb organitzacions internacionals amb competències o funcions corresponents, igualment sobre la base de disposicions incorporades a acords administratius, com un memoràndum d'entesa, que reconeguin drets exigibles i efectius als interessats. Si les garanties figuren en acords administratius que no siguin jurídicament vinculants s'ha de demanar l'autorització de l'autoritat de control competent.


Article 83. Condicions generals per a la imposició de multes administratives
... 5. Les infraccions de les disposicions següents es sancionaran, d'acord amb l'apartat 2, amb multes administratives de 20.000.000 € com a màxim o, tractant-se d'una empresa, d'una quantia equivalent al 4% com a màxim del volum de negoci total anual global de l'exercici financer anterior, optant per la de major quantia: a) els principis bàsics per al tractament, incloses les condicions per al consentiment d'acord amb els articles 5, 6, 7 i 9; ...


Article 85 Tractament i llibertat d'expressió i d'informació
... 2. Per al tractament realitzat amb fins periodístics o amb fins d'expressió acadèmica, artística o literària, els Estats membres han d'establir exempcions o excepcions del que disposen els capítols II (principis), III (drets dels interessats), IV ( responsable i encarregat del tractament), V (transferència de dades personals a tercers països o organitzacions internacionals), VI (autoritats de control independents), VII (cooperació i coherència) i IX (disposicions relatives a situacions específiques de tractament de dades), si són necessàries per conciliar el dret a la protecció de les dades personals amb la llibertat d'expressió i informació.
 
 

Seguiment del curs Expert en el GDPR

Tema anterior: 1. Conceptes generals de la protecció de dades     Tema següent: 3. El consentiment explícit

Informació relacionada

 

• Conceptes generals de la protecció de dades
• El consentiment explícit
• La informació del tractament
• Tractament de categories especials de dades
• Publicació oficial del Reglament Europeu de Protecció de Dades