La normativa de protecció de dades estableix diverses obligacions i aspectes a tenir en compte per les entitats sense ànim de lucre.
La legislació aplicable en matèria de protecció de dades és el Reglament General de Protecció de Dades 2016/679 (RGPD) i la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD), que adapta i desenvolupa el RGPD a nivell estatal.
Tot seguit, exposem alguns dels elements que cal tenir en compte quan es tracten dades personals a les entitats.
Què són les dades personals i què significa tractar-les?
En primer lloc, són dades personals totes les informacions relatives a una persona física que la fan identificable. En aquest sentit, cal destacar que la legislació aplicable actualment contempla algunes categories especials de dades. Aquestes, per la seva naturalesa, estan especialment protegides, com per exemple: dades de salut, ideologia, religió, afiliació sindical o dades biomètriques, entre d’altres.
A més, el tractament de dades personals consisteix en totes aquelles operacions i processos que tracten dades, ja sigui a través de procediments automatitzats o no. Alguns exemples poden ser: la recollida de les dades, com es guarden, la transferència de les mateixes o la seva eliminació.
Principis de la protecció de dades
La normativa de protecció de dades estableix alguns principis que sempre caldrà tenir en compte a l’hora de tractar dades personals:
- La minimització i limitació en l’obtenció de dades. Les dades que es recullin han de ser les mínimes, evitant sempre demanar dades que siguin innecessàries. Així doncs, les dades que s’obtenen han d’anar relacionades amb la finalitat de l’obtenció de les dades, sense que aquestes es puguin utilitzar per finalitats diferents d’aquelles per a les quals s’han obtingut.
- L’exactitud de dades. Estableix que l’organització responsable del tractament de dades no se li podrà imputar la inexactitud de les dades que tracti pels fins pels quals van ser recollides, sempre que hagi adoptat totes les mesures raonables perquè es suprimeixin o rectifiquin sense dilació.
- El deure de confidencialitat. Qui és responsable del tractament de les dades i tota persona que intervingui en qualsevol de les fases del tractament estarà subjecta al deure de confidencialitat, evitant que tercers en el tractament hi puguin accedir. Aquest deure és addicional al de secret professional, de conformitat amb la seva normativa aplicable.
- La transparència. Caldrà informar sempre de qui recull les dades, quin és el tractament que se’n farà i quines són les finalitats de l’obtenció de les dades.
- Limitació en la conservació de les dades. Les dades no es poden guardar indefinidament. Un cop ha finalitzat l’ús pel qual es conservaven les dades i quan no hi hagi una obligació legal de mantenir aquestes dades, s’haurà d’establir un protocol d’eliminació o cancel·lació d’aquestes.
Legitimació per obtenir dades personals i tractar-les
La normativa estipula els supòsits que permeten tractar-les:
- Consentiment previ. La persona titular de les dades les proporciona de manera lliure, informada i voluntària, consentint que es tractin. En el cas dels/les menors de 14 anys, el consentiment el prestaran les persones adultes que ostentin la seva guarda i representació legal.
- Execució d’un contracte o precontracte, les dades facilitades i el seu tractament és inherent a la naturalesa del contracte i l’objectiu d’aquest.
- Compliment d’una obligació legal, derivada d’una norma.
- Protecció d’interessos vitals de l’interessat/interessada.
- Interès públic.
- Interès legítim del/la responsable del tractament de les dades, sempre que no prevalguin els interessos o drets i llibertats de l’interessat/interessada. És un mecanisme que la legislació admet, però que requerirà una major justificació.
En el cas de les entitats, habitualment el tractament de les dades es fonamenta en la relació contractual i en l’obtenció del consentiment.
Drets de les persones titulars de les dades
Les persones titulars de les dades personals poden exercir drets davant el tractament d’aquestes. Aquests drets són personalíssims, per tant, només els pot exercir la persona interessada o, si s’escau, tercers específicament autoritzats.
Cal destacar que la definició dels drets la trobem, essencialment, a la normativa de la Unió Europea.
Principals drets
Podem recollir les següents:
- Dret d’accés. El té qualsevol interessat/interessada de conèixer quines dades personals tenen les empreses, organitzacions o administracions que tracten dades, i quin ús n’estan fent.
- Dret de rectificació. Permet demanar que modifiquin les dades personals inexactes.
- Dret d’oposició. Les persones titulars de les dades es poden oposar a què es faci un tractament concret de les mateixes. Des del moment d’oposar-se, el/la responsable del tractament s’haurà d’abstenir d’utilitzar aquestes dades, excepte que concorri una causa legítima per a fer-ho.
- Dret de supressió o dret a l’oblit. Permet que la persona interessada sol·liciti l’eliminació d’aquelles dades personals que ja no siguin necessàries per complir l’objectiu pel qual van ser recollides. Sempre s’haurà d’exercir dins els límits fixats a la llei i sempre que no hi hagi una necessitat de mantenir les dades.
- Dret a la portabilitat. Es pot demanar que una organització concreta, especialment prestadora d’un servei o subministrament, traslladi les dades a una altra organització o ens les faci arribar en un format electrònic que permeti trametre-les. Aquest seria el cas de canvi de companyia prestadora d’un subministrament, quan aquesta trasllada automàticament les dades d’un client/a, o bé quan fan arribar un fitxer electrònic que permet un ràpid canvi de companyia.
- Dret a la limitació del tractament. Es pot limitar el tractament que una organització realitza de les dades personals.
- Dret a la retirada del consentiment. En aquells casos que l’obtenció de les dades personals ha estat mitjançant consentiment, aquest consentiment es pot retirar en qualsevol moment, dins els límits que imposa la legislació vigent.
Qualsevol persona titular de les dades ha de poder exercir aquests drets mitjançant un procediment fàcil, ràpid i gratuït. En cas que no es respongui la petició d’exercici d’aquests drets, la persona interessada podrà interposar una reclamació davant l’autoritat competent, o sigui, davant l’Agència Espanyola de Protecció de Dades o, a Catalunya, també davant l’Autoritat Catalana de Protecció de Dades.
Figura del delegat/da de protecció de dades
La figura de delegat/da de protecció de dades és la d’una persona que vetlla pel compliment de la protecció de dades a una entitat. Per tant, aquesta persona ha d’acreditar coneixements, a través d’una titulació universitària especialitzada en dret i en la pràctica de protecció de dades.
La Llei Orgànica de Protecció de Dades, a l’article 34, estableix una enumeració de les organitzacions que obligatòriament han de tenir un delegat/da de protecció de dades, entre les quals podem destacar els col·legis professionals, les federacions esportives quan tractin dades de menors d’edat i els centres sanitaris.
De tota manera, qualsevol entitat, voluntàriament, pot nomenar una persona delegada de protecció de dades.
Informació relacionada:
Font: Xarxanet