NOTICIAS
Glossari
Protecció de dades
La LOPD té per objecte garantir i protegir, pel que fa al tractament de les dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i especialment del seu honor, intimitat i privadesa personal i familiar.
Qualsevol informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus concernent persones físiques identificades o identificables.
Tot conjunt organitzat de dades de caràcter personal que permeti l’accés a les dades sigui quina sigui la forma o modalitat de la seva creació, emmagatzematge, organització i accés. (Exemple: fitxers informatitzats o manuals).
És qualsevol operació o procediment tècnic, sigui o no automatitzat, que permeti la recollida, enregistrament, conservació, elaboració, modificació, consulta, utilització, cancel·lació, bloqueig o supressió, així com les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències.
Persona física titular de les dades que siguin objecte de tractament. És a dir, el client, empleat, proveïdor, candidat a formar part de l’empresa, pacient, etc., les dades del qual estiguin sent tractades per l’empresa. És l’autèntic propietari de la informació recollida als fitxers.
Persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que decideixi sobre la finalitat, contingut i ús del tractament. És a dir, la pròpia empresa serà la responsable dels fitxers que contenen dades relatives als seus empleats, proveïdors, clients, etc.
La relació entre el responsable del fitxer i lencarregat del tractament sha de formalitzar a través dun contracte per escrit.
Qualsevol persona o entitat que presti algun tipus de servei que impliqui el tractament de les dades de caràcter personal per compte del responsable del fitxer, incloent-hi entre d’altres les assessories comptables, assessories laborals, a les empreses de màrqueting, etc.
És la persona que realitza el tractament de les dades recopilades en un fitxer en diferents moments d’un tractament de dades, ja sigui mitjançant eines específiques (per exemple, aplicacions informàtiques), o accedint-hi en fitxers de paper.
Estan obligats a complir la LOPD tota persona, empresa o entitat (tant pública com privada) que a l’exercici de la seva activitat hagi d’utilitzar dades de caràcter personal (Ex: dades de clients, proveïdors, empleats, pacients, alumnes, etc.) . Entitats públiques i Entitats privades.
Nivells de seguretat
Dades personals:
DNI/NIF; número de la Seguretat Social/Mutualitat; nom i cognoms; adreça i telèfon, signatura/petjada; imatge/veu; dades acadèmiques i professionals, dades de salut, que es refereixin exclusivament al grau o condició.
Nivell mitjà
Dades relatives a la comissió d’infraccions administratives o penals.
Prestació de serveis de solvència patrimonial i de crèdit.
Dades relatives a serveis financers, hisenda pública, dades econòmiques, etc
Dades de mútues daccidents de treball i malalties, professionals de la Seguretat Social, etc.
Nivell alt
Dades relatives a la ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual.
Dades recollides amb fins policials, sense consentiment de les persones afectades.
Derivades dactes de violència de gènere.
Fitxers dels quals siguin responsables els operadors que prestin serveis de comunicacions electròniques disponibles al públic o explotin xarxes de comunicacions electròniques.
Dades relatives a la comissió d’infraccions administratives o penals.
Prestació de serveis de solvència patrimonial i de crèdit.
Dades relatives a serveis financers, hisenda pública, dades econòmiques, etc.
Dades de mútues daccidents de treball i malalties, professionals de la Seguretat Social, etc.
Dades relatives a la ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual.
Dades recollides amb fins policials, sense consentiment de les persones afectades.
Derivades dactes de violència de gènere.
Fitxers dels quals siguin responsables els operadors que prestin serveis de comunicacions electròniques disponibles al públic o explotin xarxes de comunicacions electròniques.
Creació, modificació o supressió dels fitxers públics
Els fitxers de titularitat pública s’han de fer per mitjà de la publicació d’una disposició de caràcter general, publicada al BOE o al Diari Oficial que correspongui. Aquesta disposició o acord s’ha de dictar i publicar amb caràcter previ a la creació, modificació o supressió del fitxer.
Estructura bàsica del fitxer
Comunicacions de dades previstes
Transferències internacionals
Òrgans responsables del fitxer
Nivells de seguretat exigibles
Identificació del fitxer o tractament
Origen de les dades
Notificacions de l'agència
El sistema NOTA és el mitjà pel qual es permetrà als responsables de fitxers amb dades de caràcter personal tant de titularitat privada com pública, complir amb l’obligació de notificar els fitxers a l’Agència Espanyola de Protecció de Dades.
El formulari interactiu NOTA en format .pdf permet la presentació de notificacions a través d’Internet amb certificat de signatura electrònica i sense, en suport paper i en format xml.
Telemàtica
Amb el certificat electrònic
(Presentació a través d’Internet amb certificat de signatura reconegut.)
Sense certificat electrònic
(A través d’Internet sense certificat de signatura electrònica reconegut).
En format paper
Notificacions simplificades
En format XML
Amb el certificat electrònic
Sense certificat electrònic
Què és el format XML?
Aquest format està previst per als responsables de fitxers que vulguin complir amb les seves obligacions mitjançant les seves pròpies aplicacions informàtiques, així com per als desenvolupadors de programes de protecció de dades que vulguin oferir als clients la possibilitat de notificar els fitxers.
Qui està obligat a notificar la creació, modificació o supressió de fitxers al RGPD?
Totes aquelles persones físiques o jurídiques, de naturalesa pública o privada, o òrgan administratiu, que procedeixin a la creació dels fitxers que continguin dades de caràcter personal.
Què passa si no es notifica l‟existència d‟un fitxer?
En aquest cas podria incórrer en falta lleu o greu, tal com s’assenyala a l’article 44 de la Llei Orgànica 15/1999, i queden subjectes al règim sancionador previst a la Llei.
Quines operacions sobre un fitxer es notifiquen a RGPD?
Ha de comunicar a l’AGPD, si crearà un fitxer o realitzarà un nou tractament de dades, qualsevol modificació que afecti el contingut de la inscripció realitzada a l’RGPD, per descomptat també s’ha de comunicar a l’AGPD la supressió del fitxer per part del responsable, perquè es procedeixi a la cancel·lació de la inscripció.
L'Agència Espanyola de Protecció de Dades
És un ens de dret públic amb personalitat jurídica pròpia i plena capacitat pública i privada que actua amb independència de lAdministració pública en lexercici de les seves funcions. Vetlla pel compliment de la legislació de protecció de dades per part dels responsables dels fitxers (entitats públiques, empreses privades, associacions, etc.).
Pel que fa als afectats
Ajuda el ciutadà a exercitar els seus drets
Atén les peticions i reclamacions formulades
Vetlla per la publicitat de l’existència dels fitxers
En relació amb els qui tracten dades
Ajuda els responsables i encarregats de tractament a complir les obligacions que estableix la LOPD ia resoldre els seus dubtes.
Garanteix el dret a la protecció de dades investigant les actuacions dels responsables o encarregats del tractament de fitxers que puguin ser contràries a la LOPD, bé d’ofici, o per denúncia de particular.
Imposa les sancions corresponents.
En l’elaboració de les normes
Informa sobre el contingut, els principis i les garanties del dret fonamental a la protecció de dades regulat per la LOPD.
Dicta instruccions precises per adequar els tractaments a la LOPD i instruccions sobre les condicions de seguretat dels fitxers amb fins estadístiques.
En matèria de telecomunicacions
Tutela els drets i les garanties dels abonats i usuaris en l’àmbit de les comunicacions electròniques.
Altres funcions
Vetlla per la publicitat en els tractaments
Cooperació Internacional
Representació i observança del que disposa la Llei Reguladora de la Funció Estadística Pública.
Tipus de fitxers
Per procedir a la recollida de dades de caràcter personal dels nostres clients, proveïdors o qualsevol altra persona necessitem obtenir el consentiment de l’interessat.
Conjunt organitzat de dades de caràcter personal que permeti accedir a la informació relativa a una persona física determinada utilitzant procediments de cerca automatitzats, és a dir, aquells en què la informació s’emmagatzema en suports informàtics.
Fitxer el suport físic del qual permet la lectura i escriptura directa, sense necessitat d’utilitzar un dispositiu electrònic intermediari. S’hi inclouen les dades contingudes en suport paper o un altre material imprimible.
Són aquells dels quals en són responsables les persones, empreses o entitats de dret privat, independentment de qui aporti el capital o els recursos econòmics.
Són aquells dels quals són responsables els òrgans constitucionals o amb rellevància constitucional de l’estat, les institucions autonòmiques amb funcions anàlogues, les administracions públiques territorials, les corporacions de dret públic sempre que la seva finalitat sigui l’exercici de potestats de dret públic.
Són fitxers de treball creats per usuaris o processos que són necessaris per a un tractament ocasional o com a pas intermedi durant la realització d’un tractament. Un cop s’han utilitzat han de ser esborrats o destruïts.
Fitxer de violència domèstica i de gènere. Finalitat
Millorar l’eficàcia a la protecció de víctimes de violència de gènere.
Facilitar el seguiment de les circumstàncies de risc que hi concorren i alertar de la seva evolució.
Dades personals de la Història Clínica del pacient
Els centres sanitaris tenen l’obligació de conservar la documentació clínica durant 5 anys.
El personal de gestió i administració dels centres sanitaris només pot accedir a les dades de la història clínica relacionades amb les pròpies funcions. El personal queda subjecte al deure secret.
Tot professional que intervé en lactivitat assistencial està obligat al compliment dels deures dinformació i documentació clínica, i al respecte de les decisions adoptades lliurement i voluntàriament pel pacient.
Els pacients tenen dret a conèixer tota la informació disponible sobre el seu historial clínic ja que es respecti el caràcter confidencial i fins i tot a negar-se al tractament de les dades, llevat dels casos establerts per la Llei. Tota actuació a l’àmbit de la salut d’un pacient necessita el consentiment lliure i voluntaris de l’afectat.
Infraccions i sancions a l'RGPD
Són infraccions lleus:
a) No remetre a l’Agència Espanyola de Protecció de Dades les notificacions que preveu aquesta Llei o les seves disposicions de desplegament.
b) No sol·licitar la inscripció del fitxer de dades de caràcter personal al Registre General de Protecció de Dades.
c) L’incompliment del deure d’informació a l’afectat sobre el tractament de les seves dades de caràcter personal quan les dades siguin demanades del mateix interessat.
d) La transmissió de les dades a un encarregat del tractament sense donar compliment als deures formals establerts a l’article 12 d’aquesta Llei.
Registre d’incidències: Entre 900-40.000 euros
Control d’accés: A l’any
Criteris d’arxiu: A l’any
Són infraccions greus:
a) Procedir a la creació de fitxers de titularitat pública o iniciar la recollida de dades de caràcter personal per a aquests, sense autorització de disposició general, publicada al Butlletí Oficial de l’Estat o diari oficial corresponent.
b) Tractar dades de caràcter personal sense demanar el consentiment de les persones afectades, quan aquest sigui necessari conforme al que disposa aquesta Llei i les seves disposicions de desplegament.
c) Tractar dades de caràcter personal o usar-les posteriorment amb conculcació dels principis i les garanties que estableix l’article 4 d’aquesta Llei i les disposicions que el despleguen, llevat que sigui constitutiu d’infracció molt greu.
d) La vulneració del deure de guardar secret sobre el tractament de les dades de caràcter personal a què fa referència l’article 10 d’aquesta Llei.
Registre d’incidències: Entre 40.001-300.000 euros
Control d’accés: Als 2 anys
Criteris d’arxiu: Als 2 anys
Són infraccions molt greus:
a) La recollida de dades en forma enganyosa o fraudulenta.
b) Tractar o cedir les dades de caràcter personal a què es refereixen els apartats 2, 3 i 5 de l’article 7 d’aquesta Llei llevat dels supòsits en què aquesta ho autoritza o violentar la prohibició continguda a l’apartat 4 de l’article 7 .
c) No cessar en el tractament il·lícit de dades de caràcter personal quan hi hagi un requeriment previ del director de l’Agència Espanyola de Protecció de Dades per fer-ho.
d) La transferència de dades de caràcter personal amb destinació a països que no proporcionin un nivell de protecció equiparable sense autorització del director de l’Agència Espanyola de Protecció de Dades llevat dels supòsits en què conforme a aquesta Llei i les disposicions de desplegament dita autorització no és necessària.
Registre d’incidències: Entre 300.000-600.000 euros
Control d’accés: Al cap de 3 anys
Criteris d’arxiu: Al cap de 3 anys
El document de seguretat
El document de seguretat és un document privat però d’accés públic on assenyalen les polítiques de seguretat que se seguiran pels qui tracten dades, és a dir, recollirà les mesures d’índole tècnica i organitzativa, que serà de compliment obligat per al personal amb accés a les dades.
Mesures, normes, procediments i regles de seguretat exigits
Algunes de les mesures més importants que hauran de reflectir al vostre document de seguretat:
Identificació i autenticació.
Control daccés.
Registre dincidències.
Gestió de suports i documents.
Criteris darxiu.
Emmagatzematge dinformació.
Còpies de seguretat.
Trasllat de documentació.
Fitxers tractats fora dels locals de lempresa.
Funcions i obligacions del personal.
Procediment general d’informació al personal
Al document de seguretat haurem d’indicar, quin és el procediment pel qual s’informarà cada persona amb accés a les dades, de les normes que han de complir i de les conseqüències de no fer-ho. Ex: circulars, recordatoris, noves normes, etc. (Circular interna…).
Funcions i obligacions de caràcter personal
Les funcions i obligacions de cadascun dels usuaris o perfils dusuaris amb accés a les dades de caràcter personal i als sistemes dinformació estaran clarament definides.
Procediment de notificació, gestió i resposta davant de les incidències
Especificar els procediments de notificació i gestió dincidències.
Procediments de revisió
Especificar els procediments previstos per a la modificació del document de seguretat, amb especificació concreta de les persones que poden o han de proposar-los aprovar-los.
Conseqüències de l’incompliment del document de seguretat
Indicar la normativa sancionadora aplicable, davant de l’incompliment de les obligacions i mesures de seguretat establertes en aquest document.
Auditoria
En cas de ser una externa, s’ha de fer contracte amb la persona que faci el procediment d’auditoria.
Consisteix en la verificació de les Mesures de Seguretat del RD 1720/2007
És obligatòria en fitxers de nivell Mitjà i Alt
Es pot fer de forma interna o externa
Serà opcional als fitxers de nivell bàsic
S’ha de fer cada dos anys.
Excepcions als drets d'accés, rectificació i cancel·lació
Excepcions:
Els fitxers que continguin les dades a què fa referència els apartats 2.3 i 4 de l’art. 22 RGPD podran denegar l’accés, rectificació o cancel·lació en funció de:
Dels perills que es puguin derivar per a la defensa de l’Estat o la Seguretat Pública.
De la protecció dels drets i llibertats de 3r
De les necessitats de les investigacions que s’estiguin fent.
Els responsables de la Hisenda pública podran denegar l’exercici dels drets Arco quan:
Obstaculitzi les actuacions administratives tendents a assegurar el compliment de les obligacions tributàries.
Quan l’afectat estigui sent objecte d’actuacions inspectores.
L’afectat a qui es denegui, totalment o parcialment l’exercici dels seus drets, ho posarà en coneixement:
Del director de l’Agpd
Organisme competent de cada comunitat autònoma.
Aquests òrgans s’han d’assegurar de la procedència o la improcedència de la denegació.
Altres excepcions als drets dels afectats es recullen als articles 21 i 24 de RGPD.
