El 27 d’abril de 2016 es va aprovar el Reglament (UE) 2016/679 sobre protecció de dades, que és de plena aplicació des del 25 de maig del 2018.
La globalització i l’ús de les noves tecnologies impliquen un risc per a les dades personal. La finalitat de la nova normativa europea és dotar d’un major control a les persones que en són titulars.
A continuació farem un recull de les novetats que presenta el nou Reglament (UE) 2016/679, relatiu a la protecció de les dades personals i lliure circulació d’aquestes dades.
Àmbit d’aplicació
El Reglament afecta organitzacions públiques privades, i persones físiques professionals que tractin amb dades de caràcter personal, sempre que actuïn dins de la Unió Europea (UE), a fi de proporcionar un marc normatiu harmonitzat per a tots els estats membres i oferir més garanties a la ciutadania europea.
En relació a les organitzacions, no és important el fet que la seva seu estigui ubicada físicament o no al territori de la Unió Europea, sempre i quan:
- Ofereixin béns i serveis (inclosos els gratuïts) a Europa.
- Disposin de fitxers de ciutadans/es europeus/es. En aquest cas, si no tenen un establiment permanent a la Unió Europea, hauran de nomenar un representant a la UE, que actuarà com a punt de contacte amb les autoritats de supervisió i amb les persones ciutadanes.
Informació sobre el tractament de dades
La informació sobre el tractament de dades haurà d’adequar-se a les persones destinatàries, especialment quan es tracti de persones menors d’edat. S’haurà de facilitar per escrit, en un llenguatge clar i senzill.
Els principals elements que ha de recollir aquest dret són els següents:
- Dades identificatives i de contacte del responsable de tractament.
- Dades identificatives i de contacte de la persona delegada de protecció de dades.
- Finalitat del tractament i la seva base jurídica.
- Persones destinatàries de les dades recollides i la categoria de dades.
- Intenció de transferir les dades a un tercer país.
- Termini de conservació de les dades.
- Drets de les persones titulars de les dades i el procediment per poder-los exercir.
Consentiment
La validesa del tractament de les dades implica que les persones titulars han de prestar el seu consentiment de forma expressa i inequívoca. Per tant, es considera invàlid qualsevol tipus de consentiment tàcit.
D’altra banda, els tractaments basats en el consentiment que s’hagin iniciat abans de l’aplicació de la nova normativa europea continuaran sent legítims, sempre que aquest consentiment s’hagi prestat de la manera que preveu la citada norma, és a dir, mitjançant una manifestació explícita.
Pel que fa a les persones menors d’edat, el tractament de les seves dades es considerarà vàlid quan tinguin, com a mínim, 16 anys.
Tot i així, els estats membres podran establir que el consentiment es pugui prestar per una persona amb una edat inferior, que podrà ser fins a 13 anys. En cas de ser menor de 13 anys, el consentiment l’ha de prestar la persona representant legal del menor.
Drets dels titulars de les dades
La normativa preveu uns drets de les persones titulars de les dades personals, entre els quals destaquen els següents:
- Dret d’accés a les dades.
- Dret de rectificació de les mateixes en cas que s’escaigui.
- Dret de cancel·lació de les dades que es considerin inadequades o excessives.
- Dret d’oposició al tractament de certes dades.
- Dret de supressió de les dades o també anomenat dret a l’oblit.
- Dret de limitació del tractament.
- Dret de portabilitat de les dades.
- Dret a no ser objecte de decisions individualitzades.
La norma europea no estableix una manera concreta per exercir els drets, però si permet que es faci per mitjans electrònics i de forma gratuïta. En cas que es tractés de sol·licituds infundades o excessives, el responsable del tractament pot decidir aplicar una taxa o bé negar-se a actuar.
Aquest també ha d’informar la persona interessada sobre les actuacions derivades de la seva petició d’exercici de drets en del termini d’un mes, que es pot ampliar a dos mesos més quan es tracta de sol·licituds especialment complexes.
Si la persona responsable decideix no atendre la sol·licitud, n’ha d’informar i motivar la negativa dins del termini d’un mes des que es va presentar.
Encàrrec del tractament de dades
Quan una entitat responsable del tractament d’unes dades cedeix una part d’aquestes a un tercer com, per exemple, a través d’una relació contractual de prestació de serveis, aquest tercer passa a denominar-se encarregat del tractament de dades.
La relació entre el responsable i l’encarregat de les dades s’ha de formalitzar mitjançant un contracte que ha de recollir com a mínim els següents aspectes:
- L’objecte i la durada de l’encàrrec.
- La naturalesa del tractament.
- El tipus de dades personals que han de tractar.
- Les categories d’interessats.
- Les obligacions i els drets del responsable.
- El compromís de confidencialitat.
- La disponibilitat per atendre les sol·licituds d’exercici de drets.
- La supressió o la devolució de les dades en finalitzar l’encàrrec.
La persona encarregada té la obligació de posar a disposició del o la responsable tota la informació necessària per demostrar que compleix les seves obligacions respecte a la protecció de dades, i permetre que el o la responsable o un/a altre/a auditor/a autoritzat/a efectuï auditories i inspeccions.
Si tens dubtes sobre el reglament de protecció de dades, l’equip jurídic de Suport Associatiu te’ls resol a través del servei en línia d’assessorament.
Informació relacionada:
Més novetats sobre la llei de protecció de dades
Quines sancions estableix la llei de protecció de dades?