Privacitat

EL DRET A LA PRIVACITAT

Introducció.

Els avanços tecnològics, informàtics, i l'ús d'Internet en totes les facetes de la vida fan necessària la protecció de les dades de caràcter personal dels ciutadans.

Dret Fonamental.

En efecte, el dret a la protecció de dades personals és un dret fonamental, amb tot el que això comporta respecte al seu tractament legislatiu i la seua especial protecció en els Tribunals.

En la nostra Constitució de 1978 l'article 18.4, diu literalment “La Llei limitarà l'ús de la informàtica per a garantir l'honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets.” No es refereix aquest article a la protecció de dades pròpiament dita, sinó al seu fonament primigeni.

És el Tribunal Constitucional qui en la seua Sentència 292/2000 consagra el dret a la protecció de dades com un dret fonamental autònom i diferent del dret a la intimitat, perquè és més ampli, ja que abasta a aspectes que no podrien considerar-se com a íntims pròpiament i que, no obstant això, són protegits igualment.

Legislació.

A partir del mandat Constitucional de garantir l'honor i la intimitat personal i familiar enfront de l'ús de la informàtica el Legislador va donar a llum l'any 1992 la Llei orgànica de regulació del tractament automatitzat de les dades de caràcter personal, coneguda com la LORTAD. Va ser aquesta la primera regulació al nostre país en aquesta matèria, que va ser seguida per diferents Reglaments de desenvolupament.

L'any 1995 es va aprovar la Directiva Europea relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació de dades.

Al desembre de 1999 es va publicar la Llei orgànica de Protecció de Dades de Caràcter Personal, d'ara en avant LOPD.

Amb bastant posterioritat a l'aparició de la LOPD es publica el Reial decret 1720/2007, de 21 de desembre pel qual s'aprova el primer Reglament de desenvolupament de la LOPD, ja que els anteriors Reglaments desenvolupaven la LORTAD. Així, el dia 19 d'abril de 2008 va entrar en vigor el Reglament de desenvolupament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, d'ara en avant RDLOPD, que deroga el Reial decret 1332/1994, de 20 de juny, pel qual es desenvolupen determinats aspectes de la Llei orgànica 5/1992, de 29 d'octubre, de Regulació del tractament automatitzat de les dades de caràcter personal, el Reial decret 994/1999, d'11 de juny, pel qual s'aprova el Reglament de Mesures de seguretat dels fitxers automatitzats que continguen dades de caràcter personal i totes les normes d'igual o inferior rang que contradiguen o s'oposen al que es disposa en aquest Reial decret.


No obstant això, s'ha va produir una important novetat en relació amb la normativa de protecció de dades, el 24 de maig de 2016 entre en vigor el Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d'abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades).

Aquestes normatives nacionals estan actualment derogades. No obstant això, el Reglament General de Protecció de Dades reconeix un marge de maniobra perquè els Estats membres especifiquen les seues normes.

És el propi Reglament General de Protecció de Dades el que faculta als Estats membres de la Unió a mantindre o adoptar disposicions nacionals a fi d'especificar en major grau l'aplicació de les seues normes pel que fa al tractament de dades personals per al compliment d'una obligació legal, per al compliment d'una missió realitzada en interés públic o en l'exercici de poders públics conferits al responsable del tractament.


Així, en els casos en què el Reglament General de Protecció de Dades estableix que les seues normes siguen especificades o restringides pel Dret dels Estats membres, aquests, en la mesura en què siga necessari per raons de coherència i perquè les disposicions nacionals siguen comprensibles per als seus destinataris, poden incorporar al seu Dret nacional elements del present Reglament.

Fruit d'això, al nostre país s'ha publicat la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.

Necessitat d'una normativa europea uniforme.

Per a garantir un nivell uniforme i elevat de protecció de les persones físiques i eliminar els obstacles a la circulació de dades personals dins de la Unió, el nivell de protecció dels drets i llibertats de les persones físiques pel que fa al tractament d'aquestes dades ha de ser equivalent en tots els Estats membres. Per això, ha de garantir-se en tota la Unió que l'aplicació de les normes de protecció dels drets i llibertats fonamentals de les persones físiques en relació amb el tractament de dades personals siga coherent i homogènia.

La protecció efectiva de les dades personals en la Unió exigeix que es reforcen i especifiquen els drets dels interessats i les obligacions dels qui tracten i determinen el tractament de les dades de caràcter personal, i que en els Estats membres es reconeguen poders equivalents per a supervisar i garantir el compliment de les normes relatives a la protecció de les dades de caràcter personal i les infraccions es castiguen amb sancions equivalents.


2.1. Reglament General de Protecció de Dades.

Per a garantir un nivell coherent de protecció de les persones físiques en tota la Unió Europea, i evitar divergències que dificulten la lliure circulació de dades personals dins del mercat interior, ha sigut necessària la substitució de la normativa europea de protecció de dades per una nova que proporcione seguretat jurídica i transparència als operadors econòmics, i oferisca a les persones físiques de tots els Estats membres el mateix nivell de drets i obligacions exigibles i de responsabilitats per als responsables i encarregats del tractament.

Aquesta nova normativa que ha nascut per a garantir un nivell coherent de protecció de les persones físiques en tota la Unió Europea és el Reglament General de Protecció de Dades, que garanteix una supervisió coherent del tractament de dades personals i sancions equivalents en tots els Estats membres, així com la cooperació efectiva entre les autoritats de control dels diferents Estats membres.


2.2. Normatives nacionals.

Actualment, juntament amb la normativa general i horitzontal sobre protecció de dades per la qual s'aplica la Directiva 95/46/CE, els Estats membres compten amb diferents normes sectorials específiques en àmbits que requereixen disposicions més específiques. En el nostre cas, Espanya compta amb la Llei orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal (d'ara en avant, LOPD), i el Reial decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desenvolupament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (d'ara en avant, RDLOPD).


Encara que aquestes normatives nacionals quedaran derogades al costat de la Directiva 95/46/CE, el Reglament General de Protecció de Dades reconeix també un marge de maniobra perquè els Estats membres especifiquen les seues normes, inclusivament per al tractament de categories especials de dades personals, les ara anomenades dades sensibles. En aquest sentit, el Reglament no exclou el Dret dels Estats membres que determina les circumstàncies relatives a situacions específiques de tractament, inclosa la indicació detallada de les condicions en les quals el tractament de dades personals és lícit.


És el propi Reglament General de Protecció de Dades el que faculta als Estats membres de la Unió a mantindre o adoptar disposicions nacionals a fi d'especificar en major grau l'aplicació de les seues normes pel que fa al tractament de dades personals per al compliment d'una obligació legal, per al compliment d'una missió realitzada en interés públic o en l'exercici de poders públics conferits al responsable del tractament.

Així, en els casos en què el Reglament General de Protecció de Dades estableix que les seues normes siguen especificades o restringides pel Dret dels Estats membres, aquests, en la mesura en què siga necessari per raons de coherència i perquè les disposicions nacionals siguen comprensibles per als seus destinataris, poden incorporar al seu Dret nacional elements del Reglament.

Fruit d'això, al nostre país es va publicar la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.

3. Àmbit d'aplicació.

La LOPD serà aplicable a tots aquells que es troben dins dels àmbits objectiu i territorial d'aquesta.

3.1. Àmbit d'aplicació material.

L'àmbit d'aplicació material del Reglament General de Protecció de Dades són els tractaments totalment o parcialment automatitzats de dades personals, així com els tractaments no automatitzats de dades personals continguts o destinats a ser inclosos en fitxers.

Aquesta descripció de l'àmbit d'aplicació del Reglament és molt similar a l'establida per la Directiva 95/46/CE, no obstant això, millora considerablement la que contenia la LOPD, que centrava el seu àmbit en l'existència d'un fitxer en comptes d'en un tractament de dades personals. Per tant, estan dins de l'àmbit d'aplicació del Reglament General de Protecció de Dades:

  • Els tractaments de dades personals totalment automatitzades.

  • Els tractaments de dades personals parcialment automatitzades.

  • Els tractaments de dades personals no automatitzades continguts en fitxers estructurats conformement a criteris específics.

  • Els tractaments de dades personals no automatitzades destinats a ser inclosos en fitxers estructurats conformement a criteris específics.

Analitzem a continuació els diferents elements que componen aquest àmbit d'aplicació material.

3.1.1. Tractament.

En primer lloc, ha de donar-se un "tractament", que segons defineix el propi Reglament és qualsevol operació o conjunt d'operacions realitzades sobre dades o conjunts de dades, ja siga per procediments automatitzats o no, com la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, acarament o interconnexió, limitació, supressió o destrucció.


A més, com la protecció de les persones físiques ha de ser tecnològicament neutra i no ha de dependre de les tècniques utilitzades, l'àmbit d'aplicació del Reglament es refereix tant a tractaments automatitzats de dades, així com a tractaments manuals, quan les dades personals figuren en un fitxer o estiguen destinats a ser inclosos en ell.

3.1.2. Dades personals

En segon lloc, el tractament ha de referir-se a dades personals, que segons el Reglament General de Protecció de Dades és tota informació sobre una persona física identificada o identificable, l'interessat.

Partint de la definició d'identificar de la Reial Acadèmia Espanyola, “donar les dades personals necessàries per a ser reconegut”, una persona identificada és aquella de la qual es tenen les dades personals necessàries per a ser reconeguda.

D'altra banda, segons el Reglament es considerarà persona física identificable tota persona la identitat de la qual puga determinar-se, directament o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona.

Per tant, el concepte de dada personal requereix la concurrència d'un doble element, d'una banda, l'existència d'una informació o dada, i per un altre, que aquesta dada puga vincular-se a una persona física identificada o identificable, independentment de la seua nacionalitat o del seu lloc de residència.

Per contra, no es troba de l'àmbit d'aplicació material del Reglament el tractament de dades personals relatives a persones jurídiques i en particular a empreses constituïdes com a persones jurídiques, inclòs el nom i la forma de la persona jurídica i les seues dades de contacte.

3.1.3. Fitxer.

Finalment, indica el Reglament que els tractaments de dades personals no automatitzades hauran d'estar continguts o destinats a un fitxer perquè aquest siga aplicable, considerant un “fitxer” com tot conjunt estructurat de dades personals, accessibles conformement a criteris determinats, ja siga centralitzat, descentralitzat o repartit de manera funcional o geogràfica.

Per tant, els tractaments de dades personals no automatitzades que no estiguen estructurats conformement a criteris específics no entraran en l'àmbit d'aplicació del Reglament General de Protecció de Dades.

3.2. Exclusions de l'àmbit d'aplicació material.

El Reglament General de Protecció de Dades estableix que no és aplicable al tractament de dades personals en l'exercici d'una activitat no compresa en l'àmbit d'aplicació del Dret de la Unió; per part dels Estats membres quan duguen a terme activitats compreses en l'àmbit de la Política Exterior i de Seguretat Comuna de l'establides en el Tractat de la Unió Europea; efectuat per una persona física en l'exercici d'activitats exclusivament personals o domèstiques; o per part de les autoritats competents amb finalitats de prevenció, investigació, detecció o enjudiciament d'infraccions penals, o d'execució de sancions penals, inclosa la de protecció enfront d'amenaces a la seguretat pública i la seua prevenció.

  • El Reglament General de Protecció de Dades no s'aplica a qüestions de protecció dels drets i les llibertats fonamentals o la lliure circulació de dades personals relacionades amb activitats excloses de l'àmbit de de el Dret de la Unió, com les activitats relatives a la seguretat nacional.

  • Tampoc s'aplica al tractament de dades de caràcter personal pels Estats membres en l'exercici de les activitats relacionades amb la política exterior i de seguretat comuna de la Unió.

  • Aquest Reglament tampoc s'aplica al tractament de dades personals per una persona física en el curs d'una activitat exclusivament personal o domèstica i, per tant, sense cap connexió amb una activitat professional o comercial. Entre les activitats personals o domèstiques cal incloure la correspondència i la gestió d'un repertori de direccions, o l'activitat en les xarxes socials i l'activitat en línia realitzada en el context d'aquestes activitats. No obstant això, el Reglament sí que s'aplica als responsables o encarregats del tractament que proporcionen els mitjans per a tractar dades personals relacionades amb tals activitats personals o domèstiques.

  • El Reglament no s'aplica tampoc al tractament de dades de caràcter personal per part de les autoritats competents a l'efecte de la prevenció, investigació, detecció o enjudiciament d'infraccions penals o de l'execució de sancions penals, inclosa la protecció enfront de les amenaces contra la seguretat pública i la lliure circulació d'aquestes dades i la seua prevenció. No obstant això, les dades personals tractats per les autoritats públiques deuen, si es destinen a tals fins, regir-se per un acte jurídic de la Unió més específic, la Directiva (UE) 2016/680.


Encara que el Reglament s'aplica a les activitats dels tribunals i altres autoritats judicials, amb la finalitat de preservar la independència del poder judicial en l'acompliment de les seues funcions, inclosa la presa de decisions, la competència de les autoritats de control no ha d'abastar el tractament de dades personals quan els tribunals actuen en exercici de la seua funció judicial. El control d'aqueixes operacions de tractament de dades ha de poder encomanar-se a organismes específics establits dins del sistema judicial de l'Estat, els quals deuen, en particular, garantir el compliment de les normes del Reglament, conscienciar més als membres del poder judicial sobre les seues obligacions en virtut d'aquest i atendre les reclamacions en relació amb tals operacions de tractament de dades.


Finalment respecte al Reglament, aquest no s'aplica a la protecció de dades personals de persones mortes.


Igualment la LOPDGDD estableix que s'aplica a qualsevol tractament totalment o parcialment automatitzat de dades personals, així com al tractament no automatitzat de dades personals continguts o destinats a ser inclosos en un fitxer.


La LOPDGDD no serà aplicable als tractaments exclosos de l'àmbit d'aplicació del Reglament General de Protecció de Dades que hem vist anteriorment, als tractaments sotmesos a la normativa sobre protecció de matèries classificades, i als tractaments de dades de persones mortes.


Respecte a les persones mortes, hi ha canvis en aquesta nova normativa perquè reconeix que les persones vinculades al mort per raons familiars o de fet així com els seus hereus podran dirigir-se al responsable o encarregat del tractament a fi de sol·licitar l'accés a les dades personals d'aquella i, en el seu cas, la seua rectificació o supressió.


Com a excepció, les persones a les quals es refereix el paràgraf anterior no podran accedir a les dades del causant, ni sol·licitar la seua rectificació o supressió, quan la persona morta l'haguera prohibit expressament o així ho establisca una llei. Aquesta prohibició no afectarà el dret dels hereus a accedir a les dades de caràcter patrimonial del causant.


Les persones o institucions a les quals el mort haguera designat expressament per a això podran també sol·licitar, conformement a les instruccions rebudes, l'accés a les dades personals d'aquest i, en el seu cas la seua rectificació o supressió.


Mitjançant reial decret s'establiran els requisits i condicions per a acreditar la validesa i vigència d'aquests mandats i instruccions i, si escau, el registre d'aquests.


En cas de defunció de menors, aquestes facultats podran exercir-se també pels seus representants legals o, en el marc de les seues competències, pel Ministeri Fiscal, que podrà actuar d'ofici o a instàncies de qualsevol persona física o jurídica interessada.


En cas de defunció de persones amb discapacitat, aquestes facultats també podran exercir-se, a més de per els qui assenyala el paràgraf anterior, pels qui hagueren sigut designats per a l'exercici de funcions de suport, si tals facultats s'entengueren compreses en les mesures de suport prestades pel designat.

3.3. Àmbit Territorial.

Abordem en aquest punt l'àmbit territorial del Reglament General de Protecció de Dades. Aquest Reglament s'aplica al tractament de dades personals en el context de les activitats d'un establiment del responsable o de l'encarregat en la Unió, independentment que el tractament tinga lloc en la Unió o no; al tractament de dades personals d'interessats que residisquen en la Unió per part d'un responsable o encarregat no establit en la Unió, quan les activitats de tractament estiguen relacionades amb l'oferta de béns o serveis a aquests interessats en la Unió, independentment de si a aquests se'ls requereix el seu pagament, o el control del seu comportament, en la mesura en què aquest tinga lloc en la Unió; i al tractament de dades personals per part d'un responsable que no estiga establit en la Unió sinó en un lloc en què el Dret dels Estats membres siga aplicable en virtut del Dret internacional públic.


Per tant, tot tractament de dades personals en el context de les activitats d'un establiment d'un responsable o un encarregat del tractament en la Unió ha de dur-se a terme de conformitat amb el Reglament, independentment que el tractament tinga lloc en la Unió. Un establiment implica l'exercici de manera efectiva i real d'una activitat a través de modalitats estables. La forma jurídica que revisten tals modalitats, ja siga una sucursal o una filial amb personalitat jurídica, no és el factor determinant sobre aquest tema.


Amb la finalitat de garantir que les persones físiques no es vegen privades de la protecció a la qual tenen dret en virtut del Reglament, el tractament de dades personals d'interessats que resideixen en la Unió per un responsable o un encarregat no establit en la Unió ha de regir-se per aquest si les activitats de tractament es refereixen a l'oferta de béns o serveis a aquests interessats, independentment que mitjance pagament. Per a determinar si aquest responsable o encarregat ofereix béns o serveis a interessats que residisquen en la Unió, ha de determinar-se si és evident que el responsable o l'encarregat projecta oferir serveis a interessats en un o diversos dels Estats membres de la Unió.


Si bé la mera accessibilitat del lloc web del responsable o encarregat o d'un intermediari en la Unió, d'una adreça de correu electrònic o altres dades de contacte, o l'ús d'una llengua generalment utilitzada en el tercer país on residisca el responsable del tractament, no basta per a determinar aquesta intenció, hi ha factors, com l'ús d'una llengua o una moneda utilitzada generalment en un o diversos Estats membres amb la possibilitat d'encarregar béns i serveis en aqueixa altra llengua, o l'esment de clients o usuaris que resideixen en la Unió, que poden revelar que el responsable del tractament projecta oferir béns o serveis a interessats en la Unió.


El tractament de dades personals dels interessats que resideixen en la Unió per un responsable o encarregat no establit en la Unió ha de ser també objecte del present Reglament quan estiga relacionat amb l'observació del comportament d'aquests interessats en la mesura en què aquest comportament tinga lloc en la Unió. Per a determinar si es pot considerar que una activitat de tractament controla el comportament dels interessats, ha d'avaluar-se si les persones físiques són objecte d'un seguiment en internet, inclusivament el potencial ús posterior de tècniques de tractament de dades personals que consistisquen en l'elaboració d'un perfil d'una persona física amb la fi, en particular, d'adoptar decisions sobre ell o d'analitzar o predir les seues preferències personals, comportaments i actituds.


Finalment, quan siga aplicable el Dret dels Estats membres en virtut del Dret internacional públic, el Reglament General de Protecció de Dades ha d'aplicar-se també a tot responsable del tractament no establit en la Unió, com en una missió diplomàtica o oficina consular d'un Estat membre.


4. Subjectes.

Els subjectes que d'alguna manera intervenen en la matèria de protecció de dades personals són:

  1. L'interessat.

L'interessat en el Reglament General de Protecció de Dades, és la persona física de la qual es tracta informació que la identifica o fa identificable.

  1. El responsable del tractament.

Tot tractament de dades personals en el context de les activitats d'un establiment d'un responsable o un encarregat del tractament en la Unió ha de dur-se a terme de conformitat amb el Reglament, independentment que el tractament tinga lloc en la Unió. Un establiment implica l'exercici de manera efectiva i real d'una activitat a través de modalitats estables. La forma jurídica que revisten tals modalitats, ja siga una sucursal o una filial amb personalitat jurídica, no és el factor determinant sobre aquest tema. Segons estableix el Reglament, el responsable del tractament és la persona física o jurídica, autoritat pública, servei o un altre organisme que, només o juntament amb uns altres, determine els fins i mitjans del tractament; si el Dret de la Unió o dels Estats membres determina els fins i mitjans del tractament, el responsable del tractament o els criteris específics per al seu nomenament podrà establir-los el Dret de la Unió o dels Estats membres.

  1. L'encarregat del tractament.

Segons defineix el Reglament General de Protecció de Dades, un encarregat del tractament és la persona física o jurídica, autoritat pública, servei o un altre organisme que tracta dades personals per compte del responsable del tractament. L'encarregat del tractament ha d'assistir al responsable quan siga necessari i a petició seua, a fi d'assegurar que es compleixen les obligacions que es deriven de la realització de les avaluacions d'impacte relatives a la protecció de dades i de la consulta prèvia a l'autoritat de control.


  1. El delegat de protecció de dades.

Estableix el Reglament General de Protecció de Dades estableix que la figura del delegat de protecció de dades no és obligatòria en tots els casos, no obstant això, tant el responsable com l'encarregat del tractament han de designar un delegat de protecció de dades sempre que:

  • El tractament el duga a terme una autoritat o organisme públic, excepte els tribunals que actuen en exercici de la seua funció judicial.

  • Les activitats principals del responsable o de l'encarregat consistisquen en operacions de tractament que, en raó de la seua naturalesa, abast i/o fins, requerisquen una observació habitual i sistemàtica d'interessats a gran escala.

  • Les activitats principals del responsable o de l'encarregat consistisquen en el tractament a gran escala de categories especials de dades i de dades relatives a condemnes i infraccions penals.

En casos diferents a aquests, el responsable o l'encarregat del tractament o les associacions i altres organismes que representen a categories de responsables o encarregats poden designar un delegat de protecció de dades o han de designar-lo si així ho exigeix el Dret de la Unió o dels Estats membres.

Un grup empresarial pot nomenar un únic delegat de protecció de dades sempre que siga fàcilment accessible des de cada establiment. Quan el responsable o l'encarregat del tractament siga una autoritat o organisme públic, es pot designar un únic delegat de protecció de dades per a diverses d'aquestes autoritats o organismes, tenint en compte la seua estructura organitzativa i grandària.


El delegat de protecció de dades ha de ser designat atenent les seues qualitats professionals i, en particular, als seus coneixements especialitzats del Dret i la pràctica en matèria de protecció de dades i a la seua capacitat per a exercir les funcions indicades en el Reglament. Aquest delegat pot formar part de la plantilla del responsable o de l'encarregat del tractament o exercir les seues funcions en el marc d'un contracte de serveis.

El responsable o l'encarregat del tractament ha de publicar les dades de contacte del delegat de protecció de dades i els ha de comunicar a l'autoritat de control.

És la LOPDGDD la que indica que s'haurà de designar un delegat de protecció de dades en els supòsits previstos en el Reglament i, en tot cas, quan es tracte de les següents entitats:

  1. Els col·legis professionals i els seus consells generals.

  2. Els centres docents que oferisquen ensenyaments en qualsevol dels nivells establits en la legislació reguladora del dret a l'educació, així com les Universitats públiques i privades.

  3. Les entitats que exploten xarxes i presten serveis de comunicacions electròniques conforme al que es disposa en la seua legislació específica, quan tracten habitual i sistemàticament dades personals a gran escala.

  4. Els prestadors de serveis de la societat de la informació quan elaboren a gran escala perfils dels usuaris del servei.

  5. Les entitats incloses en l'article 1 de la Llei 10/2014, de 26 de juny, d'ordenació, supervisió i solvència d'entitats de crèdit.

  6. Els establiments financers de crèdit.

  7. Les entitats asseguradores i reasseguradores.

  8. Les empreses de serveis d'inversió, regulades per la legislació del Mercat de Valors.

  9. Els distribuïdors i comercialitzadors d'energia elèctrica i els distribuïdors i comercialitzadors de gas natural.

  10. Les entitats responsables de fitxers comuns per a l'avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent als responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i del finançament del terrorisme.

  11. Les entitats que desenvolupen activitats de publicitat i prospecció comercial, incloent les d'investigació comercial i de mercats, quan duguen a terme tractaments basats en les preferències dels afectats o realitzen activitats que impliquen l'elaboració de perfils d'aquests.

  12. Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients. S'exceptuen els professionals de la salut que, fins i tot estant legalment obligats al manteniment de les històries clíniques dels pacients, exercisquen la seua activitat a títol individual.

  13. Les entitats que tinguen com un dels seus objectes l'emissió d'informes comercials que puguen referir-se a persones físiques.

  14. Els operadors que desenvolupen l'activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius, conforme a la normativa de regulació del joc.

  15. Les empreses de seguretat privada.

  16. Les federacions esportives quan tracten dades de menors d'edat.

Els responsables o encarregats del tractament no inclosos en el paràgraf anterior podran designar de manera voluntària un delegat de protecció de dades.

Els responsables i encarregats del tractament comunicaran en el termini de deu dies a l'Agència Espanyola de Protecció de Dades o, en el seu cas, a les autoritats autonòmiques de protecció de dades, les designacions, nomenaments i cessaments dels delegats de protecció de dades tant en els supòsits en què es troben obligades a la seua designació com en el cas en què siga voluntària.

L'Agència Espanyola de Protecció de Dades i les autoritats autonòmiques de protecció de dades mantindran, en l'àmbit de les seues respectives competències, una llista actualitzada de delegats de protecció de dades que serà accessible per mitjans electrònics.

En el compliment de les obligacions d'aquest article els responsables i encarregats del tractament podran establir la dedicació completa o a temps parcial del delegat, entre altres criteris, en funció del volum dels tractaments, la categoria especial de les dades tractades o dels riscos per als drets o llibertats dels interessats.

  1. Les autoritats de control.

L'establiment en els Estats membres d'autoritats de control capacitades per a exercir les seues funcions i exercir les seues competències amb plena independència constitueix un element essencial de la protecció de les persones físiques respecte al tractament de dades de caràcter personal.

Les condicions generals aplicables al membre o els membres de l'autoritat de control han d'establir-se per llei en cada Estat membre i disposar, en particular, que aquests membres han de ser nomenats, per un procediment transparent, pel Parlament, el Govern o el cap d'Estat de l'Estat membre, a proposta del Govern, d'un membre del Govern o del Parlament o una de les seues cambres, o per un organisme independent encarregat del nomenament en virtut del Dret dels Estats membres. A fi de garantir la independència de l'autoritat de control, els seus membres han d'actuar amb integritat, abstindre's de qualsevol acció que siga incompatible amb les seues funcions i no participar, mentre dure el seu mandat, en cap activitat professional incompatible, siga o no remunerada. L'autoritat de control ha de tindre el seu propi personal, seleccionat per aquesta o per un organisme independent establit pel Dret dels Estats membres, que estiga subordinat exclusivament al membre o els membres de l'autoritat de control.

Cada autoritat de control és competent en el territori del seu Estat membre per a exercir els poders i exercir les funcions que se li confereix Reglament General de Protecció de Dades, i ha d'abastar, en particular, el tractament en el context de les activitats d'un establiment del responsable o de l'encarregat en el territori del seu Estat membre, el tractament de dades personals realitzat per autoritats públiques o per organismes privats que actuen en interés públic, el tractament que afecte interessats en el seu territori, o el tractament realitzat per un responsable o un encarregat que no estiga establit en la Unió quan els seus destinataris siguen interessats residents en el seu territori. Ha d'incloure's l'examen de reclamacions presentades per un interessat, la realització d'investigacions sobre l'aplicació del present Reglament i el foment de la sensibilització del públic sobre els riscos, les normes, les garanties i els drets en relació amb el tractament de dades personals.


A més, els Estats membres tenen la possibilitat d'establir més d'una autoritat de control, a fi de reflectir la seua estructura constitucional, organitzativa i administrativa, tal com succeeix a Espanya, que existeix una autoritat de control nacional, l'Agència espanyola de Protecció de Dades, i diverses autoritats autonòmiques, actualment en País basc, Catalunya I Andalusia.

Obligacions.

Analitzarem a continuació les obligacions.

5.1. Regla general.

Entre les principals obligacions que estableix el Reglament General de Protecció de Dades. Entre aquestes es troben les següents:

Els principis del Reglament.

  1. Informació.

  2. Licitud del tractament.

  3. Anàlisi de risc.

  4. Mesures de seguretat.

  5. Violacions de la seguretat.

  6. Contracte entre el responsable i l'encarregat del tractament.

  7. El registre d'activitats de tractament.

  8. Avaluació d'impacte.

  9. Transferències internacionals.

  10. Designació d'un DPD.

5.2. Els principis.

El Reglament General de Protecció de Dades estableix que les dades personals hauran de ser tractats conforme als següents principis:

  • Principi de licitud.

  • Principi de lleialtat i transparència.

  • Principi de limitació de la finalitat.

  • Principi de minimització de dades.

  • Principi d'exactitud.

  • Principi de limitació del termini de conservació.

  • Principi d'integritat i confidencialitat.

  • Principi de responsabilitat proactiva.

Aquests principis van més enllà dels mers fonaments, ja que tenen naturalesa normativa, per això, a més d'haver de ser considerats en la interpretació del Reglament també han de servir per a trobar solucions concretes a casos i supòsits determinats a falta de normativa aplicable.

5.2.1. Principi de licitud.

En virtut del principi de licitud del tractament, les dades han de ser tractats de manera lícita en relació amb l'interessat. Perquè el tractament siga lícit, les dades personals han de ser tractats amb el consentiment de l'interessat o sobre alguna altra base legítima establida conforme a Dret, ja siga en el Reglament General de Protecció de Dades o en virtut d'un altre Dret de la Unió o dels Estats membres a què es referisca el Reglament, inclosa la necessitat de complir l'obligació legal aplicable al responsable del tractament o la necessitat d'executar un contracte en el qual siga part l'interessat o a fi de prendre mesures a instàncies de l'interessat amb anterioritat a la conclusió d'un contracte.

5.2.2. Principi de lleialtat i transparència.

Les dades han de ser tractats de manera lleial i transparent en relació amb l'interessat. D'acord amb aquest principi, la LOPD prohibia expressament la recollida de dades per mitjans deslleials.

En virtut d'aquest principi, per a les persones físiques ha de quedar totalment clar que s'estan recollint, utilitzant, consultant o tractant d'una altra manera dades personals que els concerneixen, així com la mesura en què aquestes dades són o seran tractats.

El principi de transparència exigeix que tota informació i comunicació relativa al tractament d'aquestes dades siga fàcilment accessible i fàcil d'entendre, i que s'utilitze un llenguatge senzill i clar. Aquest principi es refereix en particular a la informació dels interessats sobre la identitat del responsable del tractament i les fins del mateix i a la informació afegida per a garantir un tractament lleial i transparent respecte a les persones físiques afectades i al seu dret a obtindre confirmació i comunicació de les dades personals que els concernisquen que siguen objecte de tractament.

Les persones físiques han de tindre coneixement dels riscos, les normes, les salvaguardes i els drets relatius al tractament de dades personals, així com de la manera de fer valdre els seus drets en relació amb el tractament. En particular, els fins específics del tractament de les dades personals han de ser explícits i legítims, i han de determinar-se en el moment de la seua recollida.

5.2.3. Principi de limitació de la finalitat.

En virtut d'aquest principi, les dades personals han de ser recollits amb finalitats determinats, explícits i legítims, i no han de ser tractats ulteriorment de manera incompatible amb aquests fins. No obstant això, segons estableix el Reglament, el tractament ulterior de les dades personals amb finalitats d'arxiu en interés públic, fins d'investigació científica i històrica o fins estadístics no es considerarà incompatible amb els fins inicials.

Estableix el Reglament que quan es tracten dades personals amb finalitats d'arxiu en interés públic, el Dret de le Unió o dels Estats membres podrà preveure excepcions a aquest dret, subjectant-lo a les condicions i garanties, sempre que aqueixos drets puguen impossibilitar o obstaculitzar greument l'assoliment dels fins científics i quant aqueixes excepcions siguen necessàries per a aconseguir aqueixos fins.

5.2.4. Principi de minimització de dades

Estableix el Reglament General de Protecció de Dades el principi de minimització de dades exigint que les dades personals que es recullen han de ser adequades, pertinents i limitats al necessari en relació amb els fins per als quals són tractats.

En virtut d'aquest principi, en el moment de la recol·lecció de les dades no es poden sol·licitar a l'interessat més dades que aquells estrictament necessaris, i a més, aquesta sol·licitud ha de trobar-se plenament justificada, en funció de la naturalesa i la finalitat que es persegueix per aquest tractament.

5.2.5. Principi d'exactitud

Estableix el principi d'exactitud que les dades personals han de ser exactes i, si fora necessari, actualitzats, i que han d'adoptar-se totes les mesures raonables perquè se suprimisquen o rectifiquen sense dilació les dades personals que siguen inexactes respecte als fins per als quals es tracten.

Aquest principi exigeix al responsable del tractament que actue amb la diligència necessària, amb la finalitat d'assegurar, en la mesura del raonable, que les dades que tracta són correctes, complets, i que estan degudament actualitzats, i està directament relacionat amb el dret de rectificació, ja que, si una persona detecta que les seues dades contenen alguna inexactitud, pot sol·licitar que es rectifiquen, petició que ha d'atendre's per part del responsable en el termini d'un mes.


Segons estableix la LOPDGDD la inexactitud de les dades no serà imputable al responsable del tractament, sempre que aquest haja adoptat totes les mesures raonables perquè se suprimisquen o rectifiquen sense dilació, la inexactitud de les dades personals, respecte als fins per als quals es tracten, quan les dades inexactes:

  • Haurien sigut obtinguts pel responsable directament de l'afectat.

  • Haurien sigut obtinguts pel responsable d'un mediador o intermediari en cas que les normes aplicables al sector d'activitat al qual pertanga el responsable del tractament establiren la possibilitat d'intervenció d'un intermediari o mediador que reculla en nom propi les dades dels afectats per a la seua transmissió al responsable. El mediador o intermediari assumirà les responsabilitats que pogueren derivar-se en el supòsit de comunicació al responsable de dades que no es corresponguen amb els facilitats per l'afectat.

  • Foren sotmesos a tractament pel responsable per haver-los rebut d'un altre responsable en virtut de l'exercici per l'afectat del dret a la portabilitat.

  • Foren obtinguts d'un registre públic pel responsable.

5.2.6. Principi de limitació del termini de conservació.

El principi de limitació del termini de conservació es refereix al fet que les dades personals han de mantindre's de manera que es permeta la identificació dels interessats durant no més temps del necessari per als fins del tractament de les dades personals.

Com les dades personals objecte de tractament han de ser adequats, pertinents i limitats al necessari per als fins per als quals siguen tractats, es requereix garantir que es limite a un mínim estricte el seu termini de conservació. Així, les dades personals només han de tractar-se si la finalitat del tractament no poguera aconseguir-se raonablement per altres mitjans.

Per a garantir que les dades personals no es conserven més temps del necessari, el responsable del tractament ha d'establir terminis per a la seua supressió o revisió periòdica o usos no autoritzats d'aquestes dades i de l'equip utilitzat en el tractament.

No obstant això, el Reglament estableix que les dades personals podran conservar-se durant períodes més llargs sempre que es tracten exclusivament amb finalitats d'arxiu en interés públic, fins d'investigació científica o històrica o fins estadístic, sempre que se'ls apliquen les mesures tècniques i organitzatives apropiades que imposa el present Reglament a fi de protegir els drets i llibertats dels interessats.

Aquests tractaments hauran d'estar subjectes a les garanties adequades per a la protecció dels drets i les llibertats dels interessats, per la qual cosa hauran d'adoptar-se les mesures tècniques i organitzatives necessàries per a garantir el respecte del principi de minimització de les dades personals, podent-se incloure la seudonimizació, sempre que d'aqueixa forma puguen aconseguir-se aquests fins. És a dir, sempre que aqueixos fins poden aconseguir-se mitjançant un tractament ulterior que no permeta o ja no permeta la identificació dels interessats, aqueixos fins s'aconseguiran d'aqueixa manera.

5.2.7. Principi d'integritat i confidencialitat.

Sobre la base del principi d'integritat i confidencialitat les dades personals han de ser tractats de tal manera que es garantisca una seguretat adequada de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seua pèrdua, destrucció o mal accidental, mitjançant l'aplicació de mesures tècniques o organitzatives apropiades.

Aquest principi determina que als tractaments de dades personals han d'aplicar-se les mesures tècniques o organitzatives apropiades, en funció dels riscos inherents al tractament, de tal forma que es garantisca una seguretat adequada.

El Reglament General de Protecció de Dades modifica substancialment les mesures de seguretat exigibles respecte a les que exigia la LOPD i el seu Reglament de desenvolupament, que establien unes mesures concretes necessàries per a garantir la seguretat de les dades, amb la finalitat d'evitar la seua alteració, pèrdua, tractament o accessos no autoritzats.


No obstant això, el Reglament estableix un sistema obert pel qual els responsables i els encarregats hauran d'implementar les mesures apropiades per a garantir la integritat i confidencialitat de les dades personals previ anàlisis dels tractaments, la naturalesa de les dades, i els riscos existents.


No obstant això, malgrat ser un sistema obert, els responsables i encarregats, podran tindre com a models de referència les mesures que imposava el Reglament de desenvolupament de la LOPD, així com les establides per l'Esquema Nacional de Seguretat.


5.2.8. Principi de responsabilitat proactiva.

Un principi que influeix sobre tots els altres, és el de responsabilitat proactiva, pel qual el responsable del tractament ha de ser responsable no sols del compliment de tots els principis que estableix el Reglament, sinó que a més haurà de ser capaç de demostrar el seu compliment.

En termes pràctics, aquest principi requereix que les organitzacions analitzen quines dades tracten, amb quines finalitats ho fan i quin tipus d'operacions de tractament duen a terme. A partir d'aquest coneixement han de determinar de manera explícita la forma en què aplicaran les mesures que el Reglament preveu, assegurant-se que aqueixes mesures són les adequades per a complir amb el mateix i que poden demostrar-lo davant els interessats i davant les autoritats de supervisió.

En síntesi, aquest principi exigeix una actitud conscient, diligent i proactiva per part de les organitzacions enfront de tots els tractaments de dades personals que duguen a terme.

5.3. Informació.

Estableix el Reglament que quan s'obtinguen d'un interessat dades personals relatius a ell, el responsable del tractament, en el moment en què aquests s'obtinguen, ha de facilitar-li tota la informació indicada a continuació:

  • La identitat i les dades de contacte del responsable i, en el seu cas, del seu representant.

  • Les dades de contacte del delegat de protecció de dades, en el seu cas.

  • Els fins del tractament a què es destinen les dades personals i la base jurídica del tractament.

  • Els interessos legítims del responsable o d'un tercer, en el seu cas.

  • Els destinataris o les categories de destinataris de les dades personals, en el seu cas.

  • La intenció del responsable de transferir dades personals a un tercer país o organització internacional i l'existència o absència d'una decisió d'adequació de la Comissió, o la referència a les garanties adequades o apropiades i als mitjans per a obtindre una còpia d'aquestes o al fet que s'hagen prestat, tot això en el seu cas.

A més d'aquesta informació, el responsable del tractament ha de facilitar a l'interessat, en el moment en què s'obtinguen les dades personals, la següent informació necessària per a garantir un tractament de dades lleial i transparent:


  • El termini durant el qual es conservaran les dades personals o, quan no siga possible, els criteris utilitzats per a determinar aquest termini.

  • L'existència del dret a sol·licitar al responsable del tractament l'accés a les dades personals relatives a l'interessat, i la seua rectificació o supressió, o la limitació del seu tractament, o a oposar-se al tractament, així com el dret a la portabilitat de les dades.

  • L'existència del dret a retirar el consentiment en qualsevol moment, sense que això afecte la licitud del tractament basat en el consentiment previ a la seua retirada, en el seu cas.

  • El dret a presentar una reclamació davant una autoritat de control.

  • Si la comunicació de dades personals és un requisit legal o contractual, o un requisit necessari per a subscriure un contracte, i si l'interessat està obligat a facilitar les dades personals i està informat de les possibles conseqüències que no facilitar tals dades.

  • L'existència de decisions automatitzes, inclosa l'elaboració de perfils, i, almenys en tals casos, informació significativa sobre la lògica aplicada, així com la importància i les conseqüències previstes d'aquest tractament per a l'interessat.

  • A més, quan el responsable del tractament projecte el tractament ulterior de dades personals per a un fi que no siga aquell per al qual es van recollir, ha de proporcionar a l'interessat, amb anterioritat a aquest tractament ulterior, informació sobre aqueixa altra fi i qualsevol informació addicional pertinent a tenor de garantir un tractament de dades lleial i transparent.


No obstant això, també estableix el Reglament que aquestes exigències d'informació no seran aplicables quan i en la mesura en què l'interessat ja dispose d'aquesta.


Estableix el Reglament que quan les dades personals no hagen sigut obtinguts de l'interessat, el responsable del tractament ha de facilitar la següent informació:


  • La identitat i les dades de contacte del responsable i, en el seu cas, del seu representant.

  • Les dades de contacte del delegat de protecció de dades, en el seu cas.

  • Els fins del tractament a què es destinen les dades personals, així com la base jurídica del tractament.

  • Les categories de dades personals de què es tracte.

  • Els destinataris o les categories de destinataris de les dades personals, en el seu cas.

  • La intenció del responsable de transferir dades personals a un destinatari en un tercer país o organització internacional i l'existència o absència d'una decisió d'adequació de la Comissió, o les garanties adequades o apropiades i als mitjans per a obtindre una còpia d'elles o al fet que s'hagen prestat, tot això en el seu cas.

A més, el responsable del tractament ha de facilitar a l'interessat la següent informació necessària per a garantir un tractament de dades lleial i transparent respecte de l'interessat:

  • El termini durant el qual es conservaran les dades personals o, quan això no siga possible, els criteris utilitzats per a determinar aquest termini.

  • Els interessos legítims del responsable del tractament o d'un tercer, en el seu cas.

  • L'existència del dret a sol·licitar al responsable del tractament l'accés a les dades personals relatives a l'interessat, i la seua rectificació o supressió, o la limitació del seu tractament, i a oposar-se al tractament, així com el dret a la portabilitat de les dades.

  • L'existència del dret a retirar el consentiment en qualsevol moment, sense que això afecte la licitud del tractament basada en el consentiment abans de la seua retirada, en el seu cas.

  • El dret a presentar una reclamació davant una autoritat de control.

  • La font de la qual procedeixen les dades personals i, si escau, si procedeixen de fonts d'accés públic.

  • L'existència de decisions automatitzades, inclosa l'elaboració de perfils, i, almenys en tals casos, informació significativa sobre la lògica aplicada, així com la importància i les conseqüències previstes d'aquest tractament per a l'interessat.

El responsable del tractament ha de facilitar tota aquesta informació:

  • Dins d'un termini raonable, una vegada obtinguts les dades personals, i a tot tardar dins d'un mes, tenint en compte les circumstàncies específiques en les quals es tracten aquestes dades.

  • Si les dades personals han d'utilitzar-se per a comunicació amb l'interessat, a tot tardar en el moment de la primera comunicació a aquest interessat.

  • Si està previst comunicar-los a un altre destinatari, a tot tardar en el moment en què les dades personals siguen comunicats per primera vegada.

  • A més, quan el responsable del tractament projecte el tractament ulterior de les dades personals per a un fi que no siga aquell per al qual es van obtindre, ha de proporcionar a l'interessat, abans d'aquest tractament ulterior, informació sobre aqueixa altra fi i qualsevol altra informació necessària per a garantir un tractament de dades lleial i transparent respecte de l'interessat.

No obstant això, també estableix el Reglament que aquestes exigències d'informació no seran aplicables quan i en la mesura en què:

  • L'interessat ja dispose de la informació.

  • La comunicació d'aquesta informació resulte impossible o supose un esforç desproporcionat, en particular per al tractament amb finalitats d'arxiu en interés públic, fins d'investigació científica o històrica o fins estadístics, a reserva de les condicions i garanties indicades en el Reglament, o en la mesura en què l'obligació puga impossibilitar o obstaculitzar greument l'assoliment dels objectius de tal tractament. En tals casos, el responsable adoptarà mesures adequades per a protegir els drets, llibertats i interessos legítims de l'interessat, inclusivament fent pública la informació.

  • L'obtenció o la comunicació estiga expressament establida pel Dret de la Unió o dels Estats membres que s'aplique al responsable del tractament i que establisca mesures adequades per a protegir els interessos legítims de l'interessat.

  • Quan les dades personals hagen de continuar tenint caràcter confidencial sobre la base d'una obligació de secret professional regulada pel Dret de la Unió o dels Estats membres, inclosa una obligació de secret de naturalesa estatutària.

5.4.1. El consentiment.

El consentiment de l'interessat és tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual l'interessat accepta, ja siga mitjançant una declaració o una clara acció afirmativa, el tractament de dades personals que el concerneixen.

El consentiment ha de donar-se mitjançant un acte afirmatiu clar que reflectisca una manifestació de voluntat lliure, específica, informada, i inequívoca de l'interessat d'acceptar el tractament de dades de caràcter personal que el concerneixen, com una declaració per escrit, inclusivament per mitjans electrònics, o una declaració verbal. Això podria incloure marcar una casella d'un lloc web en internet, triar paràmetres tècnics per a la utilització de serveis de la societat de la informació, o qualsevol altra declaració o conducta que indique clarament en aquest context que l'interessat accepta la proposta de tractament de les seues dades personals.

Per tant, el silenci, les caselles ja marcades o la inacció no han de constituir consentiment. El consentiment ha de donar-se per a totes les activitats de tractament realitzades amb el mateix o els mateixos fins.

Quan el tractament tinga diversos fins, ha de donar-se el consentiment per a tots ells. Si el consentiment de l'interessat s'ha de donar arran d'una sol·licitud per mitjans electrònics, la sol·licitud ha de ser clara, concisa i no pertorbar innecessàriament l'ús del servei per al qual es presta.

Estipula el Reglament que l'interessat ha de tindre dret a retirar el seu consentiment en qualsevol moment. No obstant això, la retirada del consentiment no ha d'afectar la licitud del tractament basada en el consentiment previ a la seua retirada. A més, abans de donar el seu consentiment, l'interessat ha de ser informat del seu dret a retirar-lo, i ha de ser tan fàcil retirar el consentiment com donar-lo.

5.4.2. Dades de menors.

El Reglament estableix que quan la base legal del tractament siga el consentiment, en relació amb l'oferta directa a xiquets de serveis de la societat de la informació, el tractament de les dades personals d'un xiquet es considerarà lícit quan tinga com a mínim 16 anys. Si el xiquet és menor de 16 anys, tal tractament únicament es considerarà lícit si el consentiment el va donar o va autoritzar el titular de la pàtria potestat o tutela sobre el xiquet, i només en la mesura en què es va donar o va autoritzar. Això no afectarà les disposicions generals del Dret contractual dels Estats membres, com les normes relatives a la validesa, formació o efectes dels contractes en relació amb un xiquet.

No obstant això, els Estats membres poden establir per llei una edat inferior a tals fins, sempre que aquesta no siga inferior a 13 anys.

Nostra LOPDGDD estableix que el tractament de les dades personals d'un menor d'edat únicament podrà fundar-se en el seu consentiment quan siga major de 14 anys.

S'exceptuen els supòsits en què la llei exigisca l'assistència dels titulars de la pàtria potestat o tutela per a la celebració de l'acte o negoci jurídic en el context del qual es recapta el consentiment per al tractament.

El tractament de les dades dels menors de catorze anys, fundat en el consentiment, només serà lícit si consta el del titular de la pàtria potestat o tutela, amb l'abast que determinen els titulars de la pàtria potestat o tutela.

Segons estableix el Reglament General de Protecció de Dades el responsable del tractament haurà de fer esforços raonables per a verificar en tals casos que el consentiment va ser donat o autoritzat pel titular de la pàtria potestat o tutela sobre el xiquet, tenint en compte la tecnologia disponible.


5.4.3. Categories especials de dades.

Especial protecció mereixen les dades personals que, per la seua naturalesa, són particularment sensibles en relació amb els drets i les llibertats fonamentals, ja que el context del seu tractament podria comportar importants riscos per als drets i les llibertats fonamentals.


El Reglament considera que són categories especials de dades els que revelen l'origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l'afiliació sindical, i el tractament de dades genètiques, dades biomètriques dirigides a identificar de manera unívoca a una persona física, dades relatives a la salut o dades relatives a la vida sexual, o l'orientació sexual d'una persona física.


Aquestes dades personals no han de ser tractades, llevat que es permeta el seu tractament en situacions específiques contemplades en el Reglament, tenint en compte que els Estats membres poden establir disposicions específiques sobre protecció de dades a fi d'adaptar l'aplicació de les normes del Reglament al compliment d'una obligació legal o al compliment d'una missió realitzada en interés públic o en l'exercici de poders públics conferits al responsable del tractament. A més dels requisits específics d'aqueix tractament, han d'aplicar-se els principis generals i altres normes del Reglament, sobretot pel que fa a les condicions de licitud del tractament.


El Reglament disposa que no estarà prohibit el tractament d'aquestes categories especials de dades quan concórrega alguna de les circumstàncies següents:


  1. L'interessat haja donat el seu consentiment explícit per al tractament d'aquestes dades personals amb un o més dels fins especificats, excepte quan el Dret de la Unió o dels Estats membres establisca que aquesta prohibició no pot ser alçada per l'interessat.

  2. El tractament siga necessari per al compliment d'obligacions i l'exercici de drets específics del responsable del tractament o de l'interessat en l'àmbit del Dret laboral i de la seguretat i protecció social, en la mesura en què així ho autoritze el Dret de la Unió dels Estats membres o un conveni col·lectiu conformement al Dret dels Estats membres que establisca garanties adequades del respecte dels drets fonamentals i dels interessos de l'interessat.

  3. El tractament siga necessari per a protegir interessos vitals de l'interessat o d'una altra persona física, en el cas que l'interessat no estiga capacitat, física o jurídicament, per a donar el seu consentiment.

  4. El tractament siga efectuat, en l'àmbit de les seues activitats legítimes i amb les degudes garanties, per una fundació, una associació o qualsevol altre organisme sense ànim de lucre, la finalitat del qual siga política, filosòfica, religiosa o sindical, sempre que el tractament es referisca exclusivament als membres actuals o antics de tals organismes o a persones que mantinguen contactes regulars amb ells en relació amb els seus fins i sempre que les dades personals no es comuniquen fora d'ells sense el consentiment dels interessats.

  5. El tractament es referisca a dades personals que l'interessat ha fet manifestament públics.

  6. El tractament siga necessari per a la formulació, l'exercici o la defensa de reclamacions o quan els tribunals actuen en exercici de la seua funció judicial.

  7. El tractament siga necessari per raons d'un interés públic essencial, sobre la base del Dret de la Unió o dels Estats membres, que ha de ser proporcional a l'objectiu perseguit, respectar en l'essencial el dret a la protecció de dades i establir mesures adequades i específiques per a protegir els interessos i drets fonamentals de l'interessat.

El tractament siga necessari per a fins de medicina preventiva o laboral, avaluació de la capacitat laboral del treballador, diagnòstic mèdic, prestació d'assistència o tractament de tipus sanitari o social, o gestió dels sistemes i serveis d'assistència sanitària i social, sobre la base del Dret de la Unió o dels Estats membres o en virtut d'un contracte amb un professional sanitari i sense perjudici que el seu tractament ha de ser realitzat per un professional subjecte a l'obligació de secret professional, o sota la seua responsabilitat, d'acord amb el Dret de la Unió o dels Estats membres o amb les normes establides pels organismes nacionals competents, o per qualsevol altra persona subjecta també a l'obligació de secret d'acord amb el Dret de la Unió o dels Estats membres o de les normes establides pels organismes nacionals competents.

El tractament siga necessari per raons d'interés públic en l'àmbit de la salut pública, com la protecció enfront d'amenaces transfrontereres greus per a la salut, o per a garantir elevats nivells de qualitat i de seguretat de l'assistència sanitària i dels medicaments o productes sanitaris, sobre la base del Dret de la Unió o dels Estats membres que establisca mesures adequades i específiques per a protegir els drets i llibertats de l'interessat, en particular el secret professional.

El tractament siga necessari amb finalitats d'arxiu en interés públic, fins d'investigació científica o històrica o fins estadístics, de conformitat amb el que s'estableix pel Reglament, sobre la base del Dret de la Unió o dels Estats membres, que ha de ser proporcional a l'objectiu perseguit, respectar en l'essencial el dret a la protecció de dades i establir mesures adequades i específiques per a protegir els interessos i drets fonamentals de l'interessat.

Els Estats membres poden mantindre o introduir condicions addicionals, inclusivament limitacions, respecte al tractament de dades genètiques, dades biomètriques o dades relatives a la salut.

La LOPDGDD estableix que els tractaments de dades contemplades en les lletres g), h) i i) fundats en el Dret espanyol hauran d'estar emparats en una norma amb rang de llei, que podrà establir requisits addicionals relatius a la seua seguretat i confidencialitat.


5.4.4. Per a l'execució d'un contracte.

El tractament és lícit quan siga necessari en el context d'un contracte o de la intenció de concloure un contracte.

5.4.5. Obligació legal i interés públic.

Quan un tractament de dades personals es realitza en compliment d'una obligació legal aplicable al responsable del tractament, o si és necessari per al compliment d'una missió realitzada en interés públic o en l'exercici de poders públics, el tractament ha de tindre una base en el Dret de la Unió o dels Estats membres.


Quan el Reglament fa referència a una base jurídica o a una mesura legislativa, això no exigeix necessàriament un acte legislatiu adoptat per un parlament, sense perjudici dels requisits de conformitat de l'ordenament constitucional de l'Estat membre de què es tracte. No obstant això, aquesta base jurídica o mesura legislativa ha de ser clara i precisa i la seua aplicació previsible per als seus destinataris, de conformitat amb la jurisprudència del Tribunal de Justícia de la Unió Europea i del Tribunal Europeu de Drets Humans.

El Reglament no requereix que cada tractament individual es regisca per una norma específica. Una norma pot ser suficient com a base per a diverses operacions de tractament de dades basades en una obligació legal aplicable al responsable del tractament, o si el tractament és necessari per al compliment d'una missió realitzada en interés públic o en l'exercici de poders públics.

5.4.6. Interés essencial per a la vida.

El tractament de dades personals també ha de considerar-se lícit quan siga necessari per a protegir un interés essencial per a la vida de l'interessat o la d'una altra persona física.

En principi, les dades personals únicament han de tractar-se sobre la base de l'interés vital d'una altra persona física quan el tractament no puga basar-se manifestament en una base jurídica diferent. Uns certs tipus de tractament poden respondre tant a motius importants d'interés públic com als interessos vitals de l'interessat, com per exemple quan el tractament és necessari per a fins humanitaris, inclòs el control d'epidèmies i la seua propagació, o en situacions d'emergència humanitària, sobretot en cas de catàstrofes naturals o d'origen humà.

5.4.7. Interés Legítim.

L'interés legítim d'un responsable del tractament, fins i tot el d'un responsable al qual es puguen comunicar dades personals, o d'un tercer, pot constituir una base jurídica per al tractament, sempre que no prevalguen els interessos o els drets i llibertats de l'interessat, tenint en compte les expectatives raonables dels interessats basades en la seua relació amb el responsable.

Tal interés legítim podria donar-se, per exemple, quan existeix una relació pertinent i apropiada entre l'interessat i el responsable, com en situacions en les quals l'interessat és client o està al servei del responsable. En qualsevol cas, l'existència d'un interés legítim requeriria una avaluació meticulosa, inclusivament si un interessat pot preveure de manera raonable, en el moment i en el context de la recollida de dades personals, que puga produir-se el tractament amb tal fi. En particular, els interessos i els drets fonamentals de l'interessat podrien prevaldre sobre els interessos del responsable del tractament quan es procedisca al tractament de les dades personals en circumstàncies en les quals l'interessat no espere raonablement que es realitze un tractament ulterior.

5.5. Anàlisi de Riscos.

El Reglament General de Protecció de Dades condiciona l'adopció de les mesures de responsabilitat activa al risc que els tractaments puguen suposar per als drets i llibertats dels interessats. Es maneja el risc de dues maneres:

  1. En alguns casos, preveu que determinades mesures només hauran d'aplicar-se quan el tractament supose un alt risc per als drets i llibertats, per exemple, Avaluacions d'impacte sobre la Protecció de Dades.

  2. En altres casos, les mesures hauran de modular-se en funció del nivell i tipus de risc que el tractament comporte, per exemple, amb les mesures de Protecció de Dades des del Disseny o amb les mesures de seguretat.

Per tant, tots els responsables han de realitzar una valoració del risc dels tractaments que realitzen, a fi de poder establir quines mesures han d'aplicar i com han de fer-ho.


El tipus d'anàlisi variarà en funció de:

  1. Els tipus de tractament.

  2. La naturalesa de les dades.

  3. El nombre d'interessats afectats.

  4. La quantitat i varietat de tractaments que una mateixa organització duga a terme.

Així, les grans organitzacions, com a regla general, hauran de dur a terme aquesta anàlisi utilitzant alguna de les metodologies d'anàlisis de risc existents.

No obstant això, les organitzacions de menor grandària i amb tractaments de poca complexitat podran dur a terme aquesta anàlisi mitjançant el resultat d'una reflexió, mínimament documentada, sobre les implicacions dels tractaments en els drets i llibertats dels interessats.

Aquesta reflexió ha de donar resposta a determinades qüestions concretes, i com més gran siga el nombre de respostes afirmatives major seria el risc que podria derivar-se del tractament. Si la resposta a aquestes preguntes i altres del mateix tipus fora negativa, seria raonable concloure que l'organització no realitza tractaments que generen un elevat nivell de risc i que, per tant, no ha de posar en marxa les mesures previstes per a aqueixos casos.

Entre aquestes qüestions podem assenyalar les següents:

  • Es tracten dades sensibles?

  • S'inclouen dades d'una gran quantitat de persones?

  • Inclou el tractament l'elaboració de perfils?

  • Es creuen les dades obtingudes dels interessats amb altres disponibles en altres fonts?

  • Es pretén utilitzar les dades obtingudes per a una finalitat per a una altra mena de finalitats?

  • S'estan tractant grans quantitats de dades, inclòs amb tècniques d'anàlisi massiva tipus big data?

  • S'utilitzen tecnologies especialment invasives per a la privacitat, com les relatives a geolocalització, videovigilància a gran escala o unes certes aplicacions de la Internet de les Coses?

5.6. Mesures de seguretat.

El Reglament de Desenvolupament de la LOPD determinava amb detall i de manera exhaustiva les mesures de seguretat que havien d'aplicar-se segons la mena de dades objecte de tractament. Aquestes mesures estaven basades quasi exclusivament en la mena de dades que es tractaven, amb alguna matisació relativa al context en què es duien a terme els tractaments.

Aquest esquema de mesures de seguretat previst en el Reglament de Desenvolupament de la LOPD no continuarà sent vàlid de manera automàtica després de la data d'aplicació del Reglament General de Protecció de Dades, encara que en alguns casos els responsables podran continuar aplicant les mateixes mesures que estableix el Reglament de la LOPD si els resultats de l'anàlisi de riscos previ conclouen que les mesures són realment les més adequades per a oferir un nivell de seguretat adequat. En altres ocasions serà necessari completar-les amb mesures addicionals o prescindir d'alguna de les mesures.

Per tant, amb el Reglament General de Protecció de Dades, els responsables i encarregats han d'establir les mesures tècniques i organitzatives apropiades per a garantir un nivell de seguretat adequat en funció dels riscos detectats en l'anàlisi prèvia. Aquestes mesures ja no sols es basen en la mena de dades, sinó que es prenen en consideració més variables.


Les mesures tècniques i organitzatives han d'establir-se tenint en compte el següent:

  • El cost de la tècnica.

  • Els costos d'aplicació.

  • La naturalesa, l'abast, el context i els fins del tractament.

  • Els riscos per als drets i llibertats.

Tenint en compte això, el responsable i l'encarregat del tractament han d'aplicar mesures tècniques i organitzatives apropiades per a garantir un nivell de seguretat adequat al risc, que en el seu cas incloga, entre altres:

  • La seudonimització i el xifratge de dades personals.

  • La capacitat de garantir la confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament.

  • La capacitat de restaurar la disponibilitat i l'accés a les dades personals de manera ràpida en cas d'incident físic o tècnic.

  • Un procés de verificació, avaluació i valoració regulars de l'eficàcia de les mesures tècniques i organitzatives per a garantir la seguretat del tractament.

Adequació al nivell de seguretat.

En avaluar l'adequació del nivell de seguretat s'ha de tindre particularment en compte els riscos que presente el tractament de dades, en particular a conseqüència de la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservats o tractats d'una altra forma, o la comunicació o accés no autoritzats a aquestes dades.

L'adhesió a un codi de conducta o a un mecanisme de certificació segons preveu el Reglament pot servir d'element per a demostrar el compliment de les mesures necessàries de seguretat

Finalment, hem d'indicar que tant el responsable com l'encarregat han de prendre mesures per a garantir que qualsevol persona que actue sota la seua autoritat i tinga accés a dades personals només pot tractar aquestes dades seguint instruccions del responsable, llevat que estiga obligada a això en virtut del Dret de la Unió o dels Estats membres.

5.7. Violacions de la seguretat.

El Reglament General de Protecció de Dades defineix les violacions de seguretat de les dades, més comunament conegudes com a “fallides de seguretat”, d'una forma molt àmplia, que inclou tot incident que ocasione la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservats o tractats d'una altra forma, o la comunicació o accés no autoritzats a aquestes dades. Successos com la pèrdua d'un ordinador portàtil, l'accés no autoritzat a les bases de dades d'una organització, fins i tot pel seu propi personal, o l'esborrat accidental d'alguns registres constitueixen violacions de seguretat a la llum del Reglament i han de ser tractades com aquest estableix.

La valoració del risc de la fallida és diferent de l'anàlisi de riscos previ a tot tractament. Es tracta d'establir fins a quin punt l'incident, per les seues característiques, el tipus de dades als quals es refereix o el tipus de conseqüències que pot tindre per als afectats pot causar un mal en els seus drets o llibertats.

Els danys poden ser materials o immaterials, i anar des de la possible discriminació dels afectats a conseqüència del seu ús per qui ha accedit a ells de forma no autoritzada fins a usurpació d'identitat, passant per perjudicis econòmics o l'exposició pública de dades confidencials.

Es considera que es té constància d'una violació de seguretat quan hi ha una certesa que s'ha produït i es té un coneixement suficient de la seua naturalesa i abast. La mera sospita que ha existit una fallida o la constatació que ha succeït algun tipus d'incident sense que es coneguen mínimament les seues circumstàncies no haurien de donar lloc, encara, a la notificació, atés que en aqueixes condicions no seria possible, en la majoria dels casos, determinar fins a quin punt pot existir un risc per als drets i llibertats dels interessats.


En casos de fallides que per les seues característiques pogueren tindre gran impacte, sí que podria ser recomanable contactar amb l'autoritat de supervisió tan prompte com existisquen evidències que s'ha produït alguna situació irregular respecte a la seguretat de les dades, sense perjudici que aqueixos primers contactes puguen completar-se amb una notificació formal més completa dins del termini legalment previst.

Pot haver-hi casos en què la notificació no puga realitzar-se dins d'aqueixes 72 hores, per exemple, per la complexitat a determinar completament el seu abast. En aqueixos casos, és possible fer la notificació amb posterioritat, acompanyant-la d'una explicació dels motius que han ocasionat el retard. La informació pot proporcionar-se de manera escalonada quan no siga possible fer-ho en el mateix moment de la notificació.

5.7.1. Comunicació d'una violació de la seguretat de les dades personals a l'autoritat de control.

Estableix el Reglament que, en cas de violació de la seguretat de les dades personals, el responsable del tractament ha de notificar-lo a l'autoritat de control competent sense dilació indeguda i, de ser possible, a tot tardar 72 hores després que haja tingut constància d'ella, llevat que siga improbable que aquesta violació de la seguretat constituïsca un risc per als drets i les llibertats de les persones físiques.

Si la notificació a l'autoritat de control no té lloc en el termini de 72 hores, haurà d'anar acompanyada d'indicació dels motius de la dilació.

També estableix que l'encarregat del tractament haurà de notificar sense dilació indeguda al responsable del tractament les violacions de la seguretat de les dades personals de les quals tinga coneixement.

5.7.2. Contingut de la comunicació a l'autoritat de control.

Estableix el Reglament que aquestes notificacions deuen com a mínim:

  • Descriure la naturalesa de la violació de la seguretat de les dades personals, inclusivament, quan siga possible, les categories i el nombre aproximat d'interessats afectats, i les categories i el nombre aproximat de registres de dades personals afectats.

  • Comunicar el nom i les dades de contacte del delegat de protecció de dades o d'un altre punt de contacte en el qual puga obtindre's més informació.

  • Descriure les possibles conseqüències de la violació de la seguretat de les dades personals.

  • Descriure les mesures adoptades o propostes pel responsable del tractament per a posar remei a la violació de la seguretat de les dades personals, incloent, si escau, les mesures adoptades per a mitigar els possibles efectes negatius.

En el cas que no fora possible facilitar tota aquesta informació simultàniament, i en la mesura en què no ho siga, la informació haurà de facilitar-se de manera gradual sense dilació indeguda.

En qualsevol cas, el responsable del tractament ha de documentar qualsevol violació de la seguretat de les dades personals, inclosos els fets relacionats amb ella, els seus efectes i les mesures correctives adoptades, i aquesta documentació ha de permetre a l'autoritat de control verificar el compliment del que es disposa en el Reglament respecte a aquestes notificacions.

Comunicació d'una violació de la seguretat de les dades personals a l'interessat.

Estableix el Reglament que quan siga probable que la violació de la seguretat de les dades personals comporte un alt risc per als drets i llibertats de les persones físiques, el responsable del tractament la comunicarà a l'interessat sense dilació indeguda.

El criteri d'alt risc ha d'entendre's en el sentit que siga probable que la violació de seguretat ocasione danys d'entitat als interessats. Per exemple, en casos en què es revele informació confidencial, com a contrasenyes o participació en determinades activitats, es difonguen de manera massiva dades sensibles o es puguen produir perjudicis econòmics per als afectats.

Aquesta comunicació a l'interessat no serà necessària si es compleix alguna de les condicions següents:

  • El responsable del tractament ha adoptat mesures de protecció tècniques i organitzatives apropiades i aquestes mesures s'han aplicat a les dades personals afectats per la violació de la seguretat de les dades personals, en particular aquelles que facen inintel·ligibles les dades personals per a qualsevol persona que no estiga autoritzada a accedir a ells, com el xifratge.

  • El responsable del tractament ha pres mesures ulteriors que garantisquen que ja no existisca la probabilitat que es concrete l'alt risc per als drets i llibertats de l'interessat.

  • Supose un esforç desproporcionat. En aquest cas, s'optarà en el seu lloc per una comunicació pública o una mesura semblant per la qual s'informe de manera igualment efectiva als interessats.

  • Quan el responsable encara no haja comunicat a l'interessat la violació de la seguretat de les dades personals, l'autoritat de control, una vegada considerada la probabilitat que tal violació comporte un alt risc, podrà exigir-li que ho faça o podrà decidir que es compleix alguna de les condicions per la qual no és necessària la comunicació.

L'objectiu de la notificació als afectats és permetre que puguen prendre mesures per a protegir-se de les seues conseqüències. Per això, el Reglament requereix que es realitze sense dilació indeguda, sense fer referència ni al moment en què es tinga constància d'ella ni tampoc a la possibilitat d'efectuar la notificació dins d'un termini de 72 hores. El propòsit és sempre que l'interessat afectat puga reaccionar tan prompte com siga possible.

Estableix el Reglament que aquesta comunicació a l'interessat ha de descriure en un llenguatge clar i senzill la naturalesa de la violació de la seguretat de les dades personals i com a mínim deurà:

  • Comunicar el nom i les dades de contacte del delegat de protecció de dades o d'un altre punt de contacte en el qual puga obtindre's més informació.

  • Descriure les possibles conseqüències de la violació de la seguretat de les dades personals;

  • Descriure les mesures adoptades o propostes pel responsable del tractament per a posar remei a la violació de la seguretat de les dades personals, incloent, si escau, les mesures adoptades per a mitigar els possibles efectes negatius.

5.8. Contracte entre el responsable i l'encarregat del tractament.

El tractament per l'encarregat ha de regir-se per un contracte o un altre acte jurídic conformement al Dret de la Unió o dels Estats membres, que vincule a l'encarregat respecte del responsable i establisca l'objecte, la duració, la naturalesa i la finalitat del tractament, el tipus de dades personals i categories d'interessats, i les obligacions i drets del responsable.


Aquest contracte o un altre acte jurídic ha de constar per escrit, inclusivament en format electrònic, i en el seu contingut ha d'estipular-se, en particular, el següent:

  • Que l'encarregat tractarà les dades personals únicament seguint instruccions documentades del responsable, inclusivament respecte a les transferències de dades personals a un tercer país o una organització internacional, llevat que estiga obligat a això en virtut del Dret de la Unió o dels Estats membres que s'aplique a l'encarregat; en tal cas, l'encarregat informarà el responsable d'aqueixa exigència legal prèvia al tractament, llevat que tal Dret ho prohibisca per raons importants d'interés públic.

  • Que l'encarregat garantirà que les persones autoritzades per a tractar dades personals s'hagen compromés a respectar la confidencialitat o estiguen subjectes a una obligació de confidencialitat de naturalesa estatutària.

  • Que l'encarregat prendrà totes les mesures necessàries de conformitat amb el que s'estableix en el Reglament respecte de la seguretat del tractament.

  • Que l'encarregat no recorrerà a un altre encarregat sense l'autorització prèvia per escrit, específica o general, del responsable.

  • Que quan l'encarregat recórrega a un altre encarregat per a dur a terme determinades activitats de tractament per compte del responsable, s'imposaran a aquest altre encarregat, mitjançant contracte o un altre acte jurídic establit conformement al Dret de la Unió o dels Estats membres, les mateixes obligacions de protecció de dades que les estipulades en el contracte o un altre acte jurídic entre el responsable i l'encarregat.

  • Que l'encarregat assistirà al responsable, tenint compte la naturalesa del tractament, a través de mesures tècniques i organitzatives apropiades, sempre que siga possible, perquè aquest puga complir amb la seua obligació de respondre a les sol·licituds que tinguen per objecte l'exercici dels drets dels interessats.

  • Que l'encarregat ajudarà el responsable a garantir el compliment de les obligacions relatives a la seguretat de les dades personals, tenint en compte la naturalesa del tractament i la informació a la disposició de l'encarregat.

  • Que l'encarregat, a elecció del responsable, suprimirà o retornarà totes les dades personals una vegada finalitze la prestació dels serveis de tractament, i suprimirà les còpies existents llevat que es requerisca la conservació de les dades personals en virtut del Dret de la Unió o dels Estats membres;

  • Que l'encarregat posarà a la disposició del responsable tota la informació necessària per a demostrar el compliment de les obligacions establides en el present article, així com per a permetre i contribuir a la realització d'auditories, incloses inspeccions, per part del responsable o d'un altre auditor autoritzat per aquest responsable.

Finalment, el Reglament estableix que tant la Comissió com les autoritats de control poden fixar clàusules contractuals tipus per a aquestes exigències. Sense perjudici que el responsable i l'encarregat del tractament celebren un contracte individual, el contracte o un altre acte jurídic pot basar-se, totalment o parcialment, en les clàusules contractuals tipus, inclusivament quan formen part d'una certificació concedida al responsable o encarregat.

5.9. El registre d'activitats de tractament.

Per a demostrar la conformitat dels tractaments de dades personals amb l'estipulat en el Reglament, tant el responsable com l'encarregat del tractament han de mantindre registres de les activitats de tractament sota la seua responsabilitat.

A més, tots els responsables i encarregats estan obligats a cooperar amb l'autoritat de control i a posar a la seua disposició, prèvia sol·licitud, aquests registres, de manera que puguen servir per a supervisar les operacions de tractament.

No obstant això, no han de complir amb aquesta obligació les empresa o organitzacions que ocupen a menys de 250 persones, llevat que el tractament que realitze puga comportar un risc per als drets i llibertats dels interessats, no siga ocasional, o incloga categories especials de dades personals, o dades personals relatives a condemnes i infraccions penals o mesures de seguretat connexes.


5.9.1. El registre d'activitats del responsable.

Estableix el Reglament General de Protecció de Dades que cada responsable ha de portar un registre de les activitats de tractament efectuades sota la seua responsabilitat. En el seu cas, aquesta obligació recaurà sobre el seu representant. Aquest registre ha de contindre la següent informació:


  1. El nom i les dades de contacte del responsable i, en el seu cas, del corresponsable, del representant del responsable, i del delegat de protecció de dades.

  2. Els fins del tractament.

  3. Una descripció de les categories d'interessats i de les categories de dades personals.

  4. Les categories de destinataris als qui es van comunicar o comunicaran les dades personals, inclosos els destinataris en tercers països o organitzacions internacionals.

  5. En el seu cas, les transferències de dades personals a un tercer país o una organització internacional, inclosa la identificació de dita tercera país o organització internacional i, en el cas de ser necessari, la documentació de garanties adequades.

  6. Quan siga possible, els terminis previstos per a la supressió de les diferents categories de dades.

  7. Quan siga possible, una descripció general de les mesures tècniques i organitzatives de seguretat a què es refereix el Reglament.

5.9.2. El registre d'activitats de l'encarregat.

També estableix el Reglament que cada encarregat ha de portar un registre de totes les categories d'activitats de tractament efectuades per compte d'un responsable. En el seu cas, aquesta obligació recaurà sobre el seu representant. Aquest registre ha de contindre la següent informació:


  1. El nom i les dades de contacte de l'encarregat o encarregats i de cada responsable per compte del qual actue l'encarregat, i, en el seu cas, del representant del responsable o de l'encarregat, i del delegat de protecció de dades.

  2. Les categories de tractaments efectuats per compte de cada responsable.

  3. En el seu cas, les transferències de dades personals a un tercer país o organització internacional, inclosa la identificació de dita tercera país o organització internacional i, en el cas de ser necessari, la documentació de garanties adequades.

  4. Quan siga possible, una descripció general de les mesures tècniques i organitzatives de seguretat a què es refereix el Reglament.

Tots dos registres, el del responsable i el de l'encarregat, han de constar per escrit, inclusivament en format electrònic, i estaran a la disposició de l'autoritat de control que ho sol·licite.


5.10. Avaluació d'impacte.

A fi de millorar el compliment del Reglament en aquells casos en els quals siga probable que les operacions de tractament comporten un alt risc per als drets i llibertats de les persones físiques, ha d'incumbir el responsable del tractament la realització d'una avaluació d'impacte relativa a la protecció de dades, que avalue, en particular, l'origen, la naturalesa, la particularitat i la gravetat d'aquest risc.


El resultat de l'avaluació ha de tindre's en compte quan es decidisquen les mesures adequades que hagen de prendre's amb la finalitat de demostrar que el tractament de les dades personals és conforme amb el Reglament. Si una avaluació d'impacte relativa a la protecció de dades mostra que les operacions de tractament comporten un alt risc que el responsable no pot mitigar amb mesures adequades en termes de tecnologia disponible i costos d'aplicació, ha de consultar-se a l'autoritat de control abans del tractament.

5.10.1. Casos en els quals és necessari una avaluació d'impacte.

Estableix el Reglament que en els següents casos és obligatori realitzar una avaluació d'impacte:


  1. Quan es realitze una avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques que es base en un tractament automatitzat, com l'elaboració de perfils, i sobre la base dels quals es prenguen decisions que produïsquen efectes jurídics per a les persones físiques o que els afecten significativament de manera similar.

  2. Quan es realitze un tractament a gran escala de les categories especials de dades, o de les dades personals relatives a condemnes i infraccions penals.

  3. Quan es realitze una observació sistemàtica a gran escala d'una zona d'accés públic.

A més, les autoritats de control han de publicar una llista dels tipus d'operacions de tractament que requerisquen una avaluació d'impacte relativa a la protecció de dades de conformitat. En sentit contrari, aquestes autoritats també poden establir i publicar la llista dels tipus de tractament que no requereixen avaluacions d'impacte.

5.10.2. Contingut d'una avaluació d'impacte.

Una avaluació d'impacte ha d'incloure com a mínim:


  1. Una descripció sistemàtica de les operacions de tractament previstes i dels fins del tractament, inclusivament, quan siga procedent, l'interés legítim perseguit pel responsable del tractament.

  2. Una avaluació de la necessitat i la proporcionalitat de les operacions de tractament respecte a la seua finalitat.

  3. Una avaluació dels riscos per als drets i llibertats dels interessats.

  4. Les mesures previstes per a afrontar els riscos, incloses garanties, mesures de seguretat i mecanismes que garantisquen la protecció de dades personals, i a demostrar la conformitat amb el Reglament, tenint en compte els drets i interessos legítims dels interessats i d'altres persones afectades.


5.10.3. Consulta a l'autoritat de control.

Estableix el Reglament que el responsable ha de consultar a l'autoritat de control abans de conducta al tractament quan una avaluació d'impacte mostre que el tractament comportaria un alt risc si el responsable no pren mesures per a per a mitigar-lo. No obstant això, el Dret dels Estats membres pot obligar els responsables del tractament a consultar a l'autoritat de control i a recaptar la seua autorització prèvia en relació amb el tractament per un responsable en l'exercici d'una missió realitzada en interés públic, en particular el tractament en relació amb la protecció social i la salut pública.


Quan l'autoritat de control considere que aquest tractament previst podria infringir el Reglament, en particular quan el responsable no haja identificat o mitigat prou el risc, l'autoritat de control deurà, en un termini de huit setmanes des de la sol·licitud de la consulta, assessorar per escrit al responsable, i en el seu cas a l'encarregat. Aquest termini pot prorrogar-se sis setmanes, en funció de la complexitat del tractament previst. L'autoritat de control ha d'informar el responsable i, en el seu cas, a l'encarregat de tal pròrroga en el termini d'un mes a partir de la recepció de la sol·licitud de consulta, indicant els motius de la dilació. Aquests terminis podran suspendre's fins que l'autoritat de control haja obtingut la informació sol·licitada als fins de la consulta.


5.10.4. Contingut de la consulta.

Quan el responsable del tractament consulte a l'autoritat de control ha de facilitar-li la següent informació:

  1. En el seu cas, les responsabilitats respectives del responsable, els corresponsables i els encarregats implicats en el tractament, en particular en cas de tractament dins d'un grup empresarial.

  2. Els fins i mitjans del tractament previst.

  3. Les mesures i garanties establides per a protegir els drets i llibertats dels interessats de conformitat amb el Reglament.

  4. En el seu cas, les dades de contacte del delegat de protecció de dades.

  5. L'avaluació d'impacte relativa a la protecció de dades.

  6. Qualsevol altra informació que sol·liciten l'autoritat de control.


5.11. Transferències internacionals.

El model de transferències internacionals dissenyat pel Reglament General de Protecció de Dades segueix els mateixos criteris que l'establit per la Directiva 95/46 i per les legislacions nacionals de transposició. Així, el Reglament estableix que només es poden realitzar transferències de dades personals que siguen objecte de tractament o vagen a ser-ho després de la seua transferència a un tercer país o organització internacional si el responsable i l'encarregat del tractament compleixen les condicions establides en aquest, incloses les relatives a les transferències ulteriors de dades personals des del tercer país o organització internacional a un altre tercer país o una altra organització internacional.


5.11.1. Transferències basades en una decisió d'adequació.

Pot realitzar-se una transferència de dades personals a un tercer país o organització internacional quan la Comissió haja decidit que el tercer país, un territori o un o diversos sectors específics d'aqueix tercer país, o l'organització internacional de què es tracte garanteixen un nivell de protecció adequat. Aquesta transferència no requerirà cap autorització específica.


5.11.2. Transferències mitjançant garanties adequades.

Mancant decisió de la Comissió, el responsable o l'encarregat del tractament només pot transmetre dades personals a un tercer país o organització internacional si haguera oferit garanties adequades i a condició que els interessats compten amb drets exigibles i accions legals efectives.


Aquestes garanties poden ser aportades, sense que es requerisca cap autorització expressa d'una autoritat de control, per:


  1. Un instrument jurídicament vinculant i exigible entre les autoritats o organismes públics.

  2. Normes corporatives vinculants.

  3. Clàusules tipus de protecció de dades adoptades per la Comissió.

  4. Clàusules tipus de protecció de dades adoptades per una autoritat de control i aprovades per la Comissió.

  5. Un codi de conducta aprovat conformement al Reglament, juntament amb compromisos vinculants i exigibles del responsable o l'encarregat del tractament en el tercer país d'aplicar garanties adequades, incloses la relatives als drets dels interessats.

  6. Un mecanisme de certificació aprovat conformement al Reglament, juntament amb compromisos vinculants i exigibles del responsable o l'encarregat del tractament en el tercer país d'aplicar garanties adequades, incloses la relatives als drets dels interessats.

Sempre que existisca autorització de l'autoritat de control competent, les garanties adequades abans esmentades poden igualment ser aportades, en particular, mitjançant:


Clàusules contractuals entre el responsable o l'encarregat i el responsable, encarregat o destinatari de les dades personals en el tercer país o organització internacional.

Disposicions que s'incorporen en acords administratius entre les autoritats o organismes públics que incloguen drets efectius i exigibles per als interessats.

Les autoritzacions atorgades per un Estat membre o una autoritat de control de conformitat amb la Directiva 95/46/CE continuaran sent vàlides fins que hagen sigut modificades, substituïdes o derogades, en cas necessari, per aquesta autoritat de control. Igualment, les decisions adoptades per la Comissió en virtut del la Directiva 95/46/CE romandran en vigor fins que siguen modificades, substituïdes o derogades, en cas necessari, per una decisió de la Comissió.


5.11.3. Normes corporatives vinculants.

L'autoritat de control competent pot aprovar normes corporatives vinculants sempre que aquestes:


  1. Siguen jurídicament vinculants i s'apliquen i siguen complides per tots els membres corresponents del grup empresarial o de la unió d'empreses dedicades a una activitat econòmica conjunta, inclosos els seus empleats.

  2. Conferisquen expressament als interessats drets exigibles en relació amb el tractament de les seues dades personals.

  3. Complisquen els requisits establits que s'exposen a continuació.

Les normes corporatives vinculants han d'especificar, com a mínim, els següents elements:

  • L'estructura i les dades de contacte del grup empresarial o de la unió d'empreses dedicades a una activitat econòmica conjunta i de cadascun dels seus membres.

  • Les transferències o conjunts de transferències de dades, incloses les categories de dades personals, el tipus de tractaments i els seus fins, el tipus d'interessats afectats i el nom del tercer o els tercers països en qüestió.

  • El seu caràcter jurídicament vinculant, tant a nivell intern com extern.

  • L'aplicació dels principis generals en matèria de protecció de dades, en particular la limitació de la finalitat, la minimització de les dades, els períodes de conservació limitats, la qualitat de les dades, la protecció de les dades des del disseny i per defecte, la base del tractament, el tractament de categories especials de dades personals, les mesures encaminades a garantir la seguretat de les dades i els requisits respecte a les transferències ulteriors a organismes no vinculats per les normes corporatives vinculants.

  • Els drets dels interessats en relació amb el tractament i els mitjans per a exercir-los, en particular el dret a no ser objecte de decisions basades exclusivament en un tractament automatitzat, inclosa l'elaboració de perfils, el dret a presentar una reclamació davant l'autoritat de control competent i davant els tribunals competents dels Estats membres, i el dret a obtindre una reparació, i, quan siga procedent, una indemnització per violació de les normes corporatives vinculants.

  • L'acceptació per part del responsable o de l'encarregat del tractament establits en el territori d'un Estat membre de la responsabilitat per qualsevol violació de les normes corporatives vinculants per part de qualsevol membre de què es tracte no establit en la Unió; el responsable o l'encarregat només serà exonerat, totalment o parcialment, d'aquesta responsabilitat si demostra que l'acte que va originar els danys i perjudicis no és imputable a aquest membre.

  • La forma en què es facilita als interessats la informació sobre les normes corporatives vinculants.

  • Les funcions de tot delegat de protecció de dades designat, o de qualsevol altra persona o entitat encarregada de la supervisió del compliment de les normes corporatives vinculants dins del grup empresarial o de la unió d'empreses dedicades a una activitat econòmica conjunta, així com de la supervisió de la formació i de la tramitació de les reclamacions;

  • Els procediments de reclamació;

  • Els mecanismes establits dins del grup empresarial o de la unió d'empreses dedicades a una activitat econòmica conjunta per a garantir la verificació del compliment de les normes corporatives vinculants. Aquests mecanismes inclouran auditories de protecció de dades i mètodes per a garantir accions correctives per a protegir els drets de l'interessat.

  • Els mecanismes establits per a comunicar i registrar les modificacions introduïdes en les normes i per a notificar aqueixes modificacions a l'autoritat de control.

  • El mecanisme de cooperació amb l'autoritat de control per a garantir el compliment per part de qualsevol membre del grup empresarial o de la unió d'empreses dedicades a una activitat econòmica conjunta, en particular posant a la disposició de l'autoritat de control els resultats de les verificacions de les mesures contemplades.

  • Els mecanismes per a informar l'autoritat de control competent de qualsevol requisit jurídic d'aplicació en un país tercer a un membre del grup empresarial o de la unió d'empreses dedicades a una activitat econòmica conjunta, que probablement tenen un efecte advers sobre les garanties establides en les normes corporatives vinculants.

  • La formació en protecció de dades pertinent per al personal que tinga accés permanent o habitual a dades personals.


5.12. Designació d'un DPD.

Tant el responsable com l'encarregat del tractament han de designar un delegat de protecció de dades sempre que:


  • El tractament el duga a terme una autoritat o organisme públic, excepte els tribunals que actuen en exercici de la seua funció judicial.

  • Les activitats principals del responsable o de l'encarregat consistisquen en operacions de tractament que, en raó de la seua naturalesa, abast i/o fins, requerisquen una observació habitual i sistemàtica d'interessats a gran escala.

  • Les activitats principals del responsable o de l'encarregat consistisquen en el tractament a gran escala de categories especials de dades personals i de dades relatives a condemnes i infraccions penals.

6. Responsabilitats.

La protecció efectiva de les dades personals en la Unió exigeix que es reforcen i especifiquen els drets dels interessats i les obligacions dels qui tracten i determinen el tractament de les dades de caràcter personal, i que en els Estats membres es reconeguen poders equivalents per a supervisar i garantir el compliment de les normes relatives a la protecció de les dades de caràcter personal i les infraccions es castiguen amb sancions equivalents.


En aquest apartat s'analitzaran la responsabilitat del responsable i de l'encarregat del tractament respecte dels drets dels ciutadans i del règim sancionador establit en el Reglament General de Protecció de Dades.

6.1. Drets dels ciutadans.

En virtut del Reglament General de Protecció de Dades han d'arbitrar-se fórmules per a facilitar a l'interessat l'exercici dels seus drets, inclosos els mecanismes per a sol·licitar i, en el seu cas, obtindre de manera gratuïta, en particular, l'accés a les dades personals i la seua rectificació o supressió, així com l'exercici del dret d'oposició. El responsable del tractament també ha de proporcionar mitjans perquè les sol·licituds es presenten per mitjans electrònics, en particular quan les dades personals es tracten per mitjans electrònics.


El responsable del tractament està obligat a respondre a les sol·licituds de l'interessat sense dilació indeguda i a tot tardar en el termini d'un mes, i a explicar els seus motius en cas que no anara a atendre-les.


Segons estableix la LOPDGDD el responsable del tractament estarà obligat a informar l'afectat sobre els mitjans a la seua disposició per a exercir els drets que li corresponen. Els mitjans hauran de ser fàcilment accessibles per a l'afectat. L'exercici del dret no podrà ser denegat pel sol motiu d'optar l'afectat per un altre mitjà.


L'encarregat podrà tramitar, per compte del responsable, les sol·licituds d'exercici formulades pels afectats dels seus drets si així s'establira en el contracte o acte jurídic que els vincule.

La prova del compliment del deure de respondre a la sol·licitud d'exercici dels seus drets formulat per l'afectat recaurà sobre el responsable.

6.1.1. Dret d'accés.

Els interessats tenen dret a accedir a les dades personals recollits que el concernisquen i a exercir aquest dret amb facilitat i a intervals raonables, amb la finalitat de conéixer i verificar la licitud del tractament. Això inclou el dret dels interessats a accedir a dades relatives a la salut, per exemple, les dades de les seues històries clíniques que continguen informació com a diagnòstics, resultats d'exàmens, avaluacions de facultatius i qualssevol tractaments o intervencions practicades.


Tot interessat té el dret a conéixer i al fet que se li comuniquen, en particular, els fins per als quals es tracten les dades personals, el seu termini de tractament, els seus destinataris, la lògica implícita en tot tractament automàtic de dades personals i, almenys quan es base en l'elaboració de perfils, les conseqüències d'aquest tractament. Si és possible, el responsable del tractament ha d'estar facultat per a facilitar accés remot a un sistema segur que oferisca a l'interessat un accés directe a les seues dades personals.


Aquest dret no ha d'afectar negativament els drets i llibertats de tercers, inclosos els secrets comercials o la propietat intel·lectual i, en particular, els drets de propietat intel·lectual que protegeixen programes informàtics. No obstant això, aquestes consideracions no han de tindre com a resultat la negativa a prestar tota la informació a l'interessat. Si tracta una gran quantitat d'informació relativa a l'interessat, el responsable del tractament ha d'estar facultat per a sol·licitar que, abans de facilitar-se la informació, l'interessat especifique la informació o activitats de tractament a què es refereix la sol·licitud.


El responsable del tractament ha d'utilitzar totes les mesures raonables per a verificar la identitat dels interessats que sol·liciten accés, en particular en el context dels serveis en línia i els identificadors en línia. El responsable no ha de conservar dades personals amb l'únic propòsit de poder respondre a possibles sol·licituds.


Així, estableix el Reglament que l'interessat té dret a obtindre del responsable del tractament la confirmació de si s'estan tractant o no dades personals que el concerneixen i, en tal cas, el dret d'accés a les dades personals i a la següent informació:


  • Els fins del tractament.

  • Les categories de dades personals de què es tracte.

  • Els destinataris o les categories de destinataris als quals es van comunicar o seran comunicats les dades personals, en particular destinataris en tercers o organitzacions internacionals.

  • De ser possible, el termini previst de conservació de les dades personals o, de no ser possible, els criteris utilitzats per a determinar aquest termini.

  • L'existència del dret a sol·licitar del responsable la rectificació o supressió de dades personals o la limitació del tractament de dades personals relatives a l'interessat, o a oposar-se a aquest tractament.

  • El dret a presentar una reclamació davant una autoritat de control.

  • Quan les dades personals no s'hagen obtingut de l'interessat, qualsevol informació disponible sobre el seu origen.

  • L'existència de decisions automatitzades, inclosa l'elaboració de perfils i, almenys en tals casos, informació significativa sobre la lògica aplicada, així com la importància i les conseqüències previstes d'aquest tractament per a l'interessat.

  • A més, quan es transferisquen dades personals a un tercer país o a una organització internacional, l'interessat té dret a ser informat de les garanties adequades relatives a la transferència.


Per a donar resposta a aquests drets, el responsable del tractament ha de facilitar una còpia de les dades personals objecte de tractament. No obstant això, aquest dret no ha d'afectar negativament els drets i llibertats d'uns altres.


Quan l'interessat present la sol·licitud per mitjans electrònics, i llevat que aquest sol·licite que es facilite d'una altra manera, la informació s'ha de facilitar en un format electrònic d'ús comú.


Una novetat que estableix el Reglament és que el responsable podrà percebre per qualsevol altra còpia sol·licitada per l'interessat un cànon raonable basat en els costos administratius. És nostra LOPDGDD la que estableix que quan l'afectat trie un mitjà diferent al que se li ofereix que supose un cost desproporcionat, la sol·licitud serà considerada excessiva, per la qual cosa aquest afectat assumirà l'excés de costos que la seua elecció comporte. En aquest cas, només serà exigible al responsable del tractament la satisfacció del dret d'accés sense dilacions indegudes.


6.1.2. Dret de rectificació.

El responsable ha de prendre totes les mesures raonables per a garantir que es rectifiquen o suprimisquen les dades personals que siguen inexactes. De la mateixa forma, els interessats tenen dret al fet que es rectifiquen les dades personals que el concerneixen i un "dret a l'oblit" si la retenció de tals dades infringeix el Reglament o el Dret de la Unió o dels Estats membres aplicable al responsable del tractament. Per això, ha d'arbitrar fórmules per a facilitar a l'interessat l'exercici dels seus drets, inclosos els mecanismes per a sol·licitar i, en el seu cas, obtindre de manera gratuïta, en particular, l'accés a les dades personals i la seua rectificació o supressió, així com l'exercici del dret d'oposició.


Els interessats tenen dret al fet que les seues dades personals se suprimisquen i deixen de tractar-se si ja no són necessaris per als fins per als quals van ser recollits o tractats d'una altra manera, si els interessats han retirat el seu consentiment per al tractament o s'oposen al tractament de dades personals que els concerneixen, o si el tractament de les seues dades personals incompleix d'una altra manera el Reglament.


Aquest dret és pertinent en particular si l'interessat ha donat el seu consentiment sent xiquet i no s'és plenament conscient dels riscos que implica el tractament, i més tard vol suprimir tals dades personals, especialment en internet. L'interessat ha de poder exercir aquest dret encara que ja no siga un xiquet.


No obstant això, la retenció ulterior de les dades personals és lícita quan siga necessària per a l'exercici de la llibertat d'expressió i informació, per al compliment d'una obligació legal, per al compliment d'una missió realitzada en interés públic o en l'exercici de poders públics conferits al responsable del tractament, per raons d'interés públic en l'àmbit de la salut pública, amb finalitats d'arxiu en interés públic, fins d'investigació científica o històrica o fins estadístics, o per a la formulació, l'exercici o la defensa de reclamacions.


Així, estableix el Reglament que l'interessat té dret a obtindre sense dilació indeguda del responsable del tractament la rectificació de les dades personals inexactes que el concernisquen. Tenint en compte els fins del tractament, l'interessat té dret al fet que es completen les dades personals que siguen incomplets, inclusivament mitjançant una declaració addicional.


6.1.3. Dret de supressió.

Les dades personals només han de tractar-se si la finalitat del tractament no poguera aconseguir-se raonablement per altres mitjans. Per a garantir que les dades personals no es conserven més temps del necessari, el responsable del tractament ha d'establir terminis per a la seua supressió o revisió periòdica. Han de prendre's totes les mesures raonables per a garantir que es rectifiquen o suprimisquen les dades personals que siguen inexactes.


L'interessat té dret a obtindre sense dilació indeguda del responsable del tractament la supressió de les dades personals que el concerneixen, el qual està obligat a suprimir sense dilació indeguda les dades personals quan concórrega alguna de les circumstàncies següents:


  • Les dades personals ja no siguen necessàries en relació amb els fins per als quals van ser recollits o tractats d'una altra manera.

  • L'interessat retire el consentiment en què es basa el tractament, i aquest no es base en un altre fonament jurídic.

  • L'interessat s'opose al tractament, i no prevalguen altres motius legítims per al tractament.

  • Les dades personals hagen sigut tractats il·lícitament.

  • Les dades personals hagen de suprimir-se per al compliment d'una obligació legal establida en el Dret de la Unió o dels Estats membres que s'aplique al responsable del tractament;

  • Les dades personals s'hagen obtingut en relació amb l'oferta de serveis de la societat de la informació a xiquets.

  • Si el responsable del tractament ha fet públics les dades personals i està obligat a suprimir aquestes dades, tenint en compte la tecnologia disponible i el cost de la seua aplicació, ha d'adoptar mesures raonables, incloses mesures tècniques, amb la intenció d'informar els responsables que estiguen tractant les dades personals de la sol·licitud de l'interessat de supressió de qualsevol enllaç a aqueixes dades personals, o qualsevol còpia o rèplica d'aquests.


No obstant això, l'anteriorment indicat no és aplicable quan el tractament siga necessari:


  • Per a exercir el dret a la llibertat d'expressió i informació.

  • Per al compliment d'una obligació legal que requerisca el tractament de dades imposada pel Dret de la Unió o dels Estats membres que s'aplique al responsable del tractament, o per al compliment d'una missió realitzada en interés públic o en l'exercici de poders públics conferits al responsable.

  • Per raons d'interés públic en l'àmbit de la salut pública.

  • Amb finalitats d'arxiu en interés públic, fins d'investigació científica o històrica o fins estadístics, en la mesura en què el dret poguera fer impossible o obstaculitzar greument l'assoliment dels objectius d'aquest tractament.

  • Per a la formulació, l'exercici o la defensa de reclamacions.

  • A fi de reforçar el "dret a l'oblit" en l'entorn en línia, el dret de supressió ha d'ampliar-se de tal forma que el responsable del tractament que haja fet públiques dades personals estiga obligat a indicar als responsables del tractament que estiguen tractant tals dades personals que suprimisquen tot enllaç a ells, o les còpies o rèpliques de tals dades. En procedir així, aquest responsable ha de prendre mesures raonables, tenint en compte la tecnologia i els mitjans a la seua disposició, incloses les mesures tècniques, per a informar de la sol·licitud de l'interessat als responsables que estiguen tractant les dades personals.


6.1.4. Dret d'oposició.

Si l'interessat ha donat el seu consentiment o el tractament es basa en el Dret de la Unió o dels Estats membres que constitueix una mesura necessària i proporcionada en una societat democràtica per a salvaguardar, en particular, objectius importants d'interés públic general, el responsable ha d'estar facultat per al tractament ulterior de les dades personals, amb independència de la compatibilitat dels fins, però s'ha de garantir el dret d'oposició.


Estableix el Reglament que l'interessat pot tindre dret a oposar-se en qualsevol moment, per motius relacionats amb la seua situació particular, al fet que dades personals que el concernisquen siguen objecte d'un tractament, inclosa l'elaboració de perfils sobre la base d'aquestes disposicions. El responsable del tractament ha de deixar de tractar les dades personals, llevat que acredite motius legítims imperiosos per al tractament que prevalguen sobre els interessos, els drets i les llibertats de l'interessat, o per a la formulació, l'exercici o la defensa de reclamacions.


Quan el tractament de dades personals tinga per objecte el màrqueting directe, l'interessat té dret a oposar-se en tot moment al tractament de les dades personals que el concernisquen, inclosa l'elaboració de perfils en la mesura en què estiga relacionada amb el citat màrqueting.


A tot tardar en el moment de la primera comunicació amb l'interessat, aquest dret a oposar-se ha de ser esmentat explícitament a l'interessat i ha de ser presentat clarament i al marge de qualsevol altra informació.


Finalment, indicar que en el context de la utilització de serveis de la societat de la informació, l'interessat pot exercir el seu dret a oposar-se per mitjans automatitzats que apliquen especificacions tècniques, i que quan les dades personals es tracten amb finalitats d'investigació científica o històrica o fins estadístics, l'interessat té dret, per motius relacionats amb la seua situació particular, a oposar-se al tractament de dades personals que el concernisquen, llevat que siga necessari per al compliment d'una missió realitzada per raons d'interés públic.


6.1.5. Decisions individuals automatitzades.

Estableix el Reglament que tot interessat té dret a no ser objecte d'una decisió basada únicament en el tractament automatitzat, inclosa l'elaboració de perfils, que produïsca efectes jurídics en ell o l'afecte significativament de manera similar, excepte si la decisió:


  • És necessària per a la celebració o l'execució d'un contracte entre l'interessat i un responsable del tractament.

  • Està autoritzada pel Dret de la Unió o dels Estats membres que s'aplique al responsable del tractament i que establisca així mateix mesures adequades per a salvaguardar els drets i llibertats i els interessos legítims de l'interessat.

  • Es basa en el consentiment explícit de l'interessat.

En els dos primers casos, el responsable del tractament ha d'adoptar les mesures adequades per a salvaguardar els drets i llibertats i els interessos legítims de l'interessat, com a mínim el dret a obtindre intervenció humana per part del responsable, a expressar el seu punt de vista i a impugnar la decisió.


Aquestes excepcions no han de basar-se en les categories especials de dades personals llevat que l'interessat haja donat el seu consentiment explícit per al tractament d'aquestes dades personals amb un o més dels fins especificats, excepte quan el Dret de la Unió o dels Estats membres establisca que la prohibició no pot ser alçada per l'interessat, o que el tractament és necessari per raons d'un interés públic essencial, sobre la base del Dret de la Unió o dels Estats membres, que ha de ser proporcional a l'objectiu perseguit, respectar en l'essencial el dret a la protecció de dades i establir mesures adequades i específiques per a protegir els interessos i drets fonamentals de l'interessat, i s'hagen pres mesures adequades per a salvaguardar els drets i llibertats i els interessos legítims de l'interessat.


6.1.6. Dret a la portabilitat.

Indica el Reglament que ha d'encoratjar-se als responsables a crear formats interoperables que permeten la portabilitat de dades. Aquest dret ha d'aplicar-se quan l'interessat haja facilitat les dades personals donant el seu consentiment o quan el tractament siga necessari per a l'execució d'un contracte


No ha d'aplicar-se quan el tractament té una base jurídica diferent del consentiment o el contracte. Per la seua pròpia naturalesa, aquest dret no ha d'exercir-se en contra de responsables que tracten dades personals en l'exercici de les seues funcions públiques. Per tant, no ha d'aplicar-se, quan el tractament de les dades personals siga necessari per a complir una obligació legal aplicable al responsable o per al compliment d'una missió realitzada en interés públic o en l'exercici de poders públics conferits al responsable.


El dret de l'interessat a transmetre o rebre dades personals que el concernisquen no ha d'obligar el responsable a adoptar o mantindre sistemes de tractament que siguen tècnicament compatibles. Quan un conjunt de dades personals determinat concernisca més d'un interessat, el dret a rebre tals dades s'ha d'entendre sense menyscapte dels drets i llibertats d'altres interessats de conformitat amb el present Reglament.


D'altra banda, aqueix dret no ha de menyscabar el dret de l'interessat a obtindre la supressió de les dades personals i les limitacions d'aqueix dret recollides en el Reglament, i en particular no ha d'implicar la supressió de les dades personals concernents a l'interessat que aquest haja facilitat per a l'execució d'un contracte, en la mesura i durant el temps en què les dades personals siguen necessàries per a l'execució d'aquest contracte. L'interessat ha de tindre dret al fet que les dades personals es transmeten directament d'un responsable del tractament a un altre, quan siga tècnicament possible.


Així, estableix el Reglament que l'interessat té dret a rebre les dades personals que l'incumbisquen, que haja facilitat a un responsable del tractament, en un format estructurat, d'ús comú i lectura mecànica, i a transmetre'ls a un altre responsable del tractament sense que ho impedisca el responsable al qual li'ls haguera facilitats, quan el tractament estiga basat en el consentiment, o en un contracte, i el tractament s'efectue per mitjans automatitzats. En exercir el dret a la portabilitat de les dades, l'interessat ha de tindre dret al fet que les dades personals es transmeten directament de responsable a responsable quan siga tècnicament possible.


L'exercici d'aquest dret s'entén sense perjudici del dret de supressió, i no s'aplicarà al tractament que siga necessari per al compliment d'una missió realitzada en interés públic o en l'exercici de poders públics conferits al responsable del tractament, ni afectarà negativament els drets i llibertats d'uns altres.


6.1.7. Limitació del tractament.

Entre els mètodes per a limitar el tractament de dades personals caldria incloure els consistents a traslladar temporalment les dades seleccionades a un altre sistema de tractament, a impedir l'accés d'usuaris a les dades personals seleccionades o a retirar temporalment les dades publicades d'un lloc internet. En els fitxers automatitzats la limitació del tractament ha de realitzar-se, en principi, per mitjans tècnics, de manera que les dades personals no siguen objecte d'operacions de tractament ulterior ni puguen modificar-se. El fet que el tractament de les dades personals estiga limitat ha d'indicar-se clarament en el sistema.


Estableix el Reglament que l'interessat té dret a obtindre del responsable del tractament la limitació del tractament de les dades quan es complisca alguna de les condicions següents:


  • L'interessat impugne l'exactitud de les dades personals, durant un termini que permeta al responsable verificar l'exactitud d'aquests.

  • El tractament siga il·lícit i l'interessat s'opose a la supressió de les dades personals i sol·licite en el seu lloc la limitació del seu ús.

  • El responsable ja no necessite les dades personals per als fins del tractament, però l'interessat els necessite per a la formulació, l'exercici o la defensa de reclamacions.

  • L'interessat s'haja oposat, mentre es verifica si els motius legítims del responsable prevalen sobre els de l'interessat.

Si en virtut de l'anterior, el tractament de dades personals s'ha limitat, aquestes dades només podran ser objecte de tractament, amb excepció de la seua conservació, amb el consentiment de l'interessat o per a la formulació, l'exercici o la defensa de reclamacions, o amb la intenció de la protecció dels drets d'una altra persona física o jurídica o per raons d'interés públic important de la Unió o d'un determinat Estat membre.


Finalment, tot interessat que haja obtingut la limitació del tractament ha de ser informat pel responsable abans de l'alçament d'aquesta limitació.

6.2. Poder sancionador.

Per a garantir la supervisió i execució coherents del Reglament General de Protecció de Dades en tota la Unió, les autoritats de control han de tindre en tots els Estats membres les mateixes funcions i poders efectius, inclosos poders d'investigació, poders correctius i sancionadors, especialment en casos de reclamacions de persones físiques, i sense perjudici de les competències de les autoritats encarregades de la persecució dels delictes conformement al Dret dels Estats membres per a posar en coneixement de les autoritats judicials les infraccions del Reglament i exercitar accions judicials.


A fi de reforçar l'aplicació de les normes del Reglament, qualsevol infracció d'aquest ha de ser castigada amb sancions, incloses multes administratives, amb caràcter addicional a mesures adequades imposades per l'autoritat de control, o en substitució d'aquestes.


La imposició de sancions, incloses les multes administratives, ha d'estar subjecta a garanties processals suficients conforme als principis generals del Dret de la Unió i de la Carta, entre elles el dret a la tutela judicial efectiva i a un procés amb totes les garanties.


6.2.1. Sancions per Estats membres.

Els Estats membres tenen la possibilitat d'establir normes en matèria de sancions penals per infraccions del Reglament, incloses les infraccions de normes nacionals adoptades conformement a ell i dins dels seus límits.


Aquestes sancions penals poden així mateix autoritzar la privació dels beneficis obtinguts en infracció del Reglament. No obstant això, la imposició de sancions penals per infraccions d'aquestes normes nacionals i de sancions administratives no ha de comportar la vulneració del principi non bis in idem, segons la interpretació del Tribunal de Justícia.


A fi de reforçar i harmonitzar les sancions administratives per infracció del Reglament, cada autoritat de control està facultada per a imposar multes administratives. El Reglament General de Protecció de Dades indica les infraccions així com el límit màxim i els criteris per a fixar les corresponents multes administratives, que l'autoritat de control competent ha de determinar en cada cas individual tenint en compte totes les circumstàncies concurrents en ell, atenent en particular la naturalesa, gravetat i duració de la infracció i les seues conseqüències i a les mesures preses per a garantir el compliment de les obligacions imposades pel Reglament i impedir o mitigar les conseqüències de la infracció.


Si les multes administratives s'imposen a una empresa, per tal ha d'entendre's una empresa conformement als articles 101 i 102 del Tractat de Funcionament de la Unió Europea. Si les multes administratives s'imposen a persones que no són una empresa, l'autoritat de control ha de tindre en compte en valorar la quantia apropiada de la multa el nivell general d'ingressos prevalent en l'Estat membre així com la situació econòmica de la persona.


El mecanisme de coherència també pot emprar-se per a fomentar una aplicació coherent de les multes administratives. Ha de correspondre als Estats membres determinar si i en quina mesura s'ha d'imposar multes administratives a les autoritats públiques. La imposició d'una multa administrativa o d'un advertiment no afecte a l'exercici d'altres competències de les autoritats de control ni a l'aplicació d'altres sancions a l'empara del present Reglament.

6.2.2. Dret a presentar una reclamació.

Sense perjudici de qualsevol altre recurs administratiu o acció judicial, tot interessat té dret a presentar una reclamació davant una autoritat de control, en particular en l'Estat membre en el qual tinga la seua residència habitual, lloc de treball o lloc de la suposada infracció, si considera que el tractament de dades personals que el concerneixen infringeix el Reglament General de Protecció de Dades.


L'autoritat de control davant la qual s'haja presentat la reclamació ha d'informar el reclamant sobre el curs i el resultat de la reclamació, inclusivament sobre la possibilitat d'accedir a la tutela judicial.


6.2.3. Dret a la tutela judicial efectiva contra una autoritat de control.

Sense perjudici de qualsevol altre recurs administratiu o extrajudicial, tota persona física o jurídica té dret a la tutela judicial efectiva contra una decisió jurídicament vinculant d'una autoritat de control que el concernisca.


Sense perjudici de qualsevol altre recurs administratiu o extrajudicial, tot interessat té dret a la tutela judicial efectiva en cas que l'autoritat de control que siga competent no done curs a una reclamació o no informe a l'interessat en el termini de tres mesos sobre el curs o el resultat de la reclamació presentada.


Les accions contra una autoritat de control han d'exercitar-se davant els tribunals de l'Estat membre en què estiga establida l'autoritat de control.


Quan s'exerciten accions contra una decisió d'una autoritat de control que haja sigut precedida d'un dictamen o una decisió del Comité en el marc del mecanisme de coherència, l'autoritat de control ha de remetre al tribunal aquest dictamen o decisió.


6.2.4. Dret a la tutela judicial efectiva contra un responsable o encarregat del tractament.

Sense perjudici dels recursos administratius o extrajudicials disponibles, inclòs el dret a presentar una reclamació davant una autoritat de control, tot interessat té dret a la tutela judicial efectiva quan considere que els seus drets en virtut del Reglament han sigut vulnerats a conseqüència d'un tractament de les seues dades personals.


Les accions contra un responsable o encarregat del tractament han d'exercitar-se davant els tribunals de l'Estat membre en el qual el responsable o encarregat tinga un establiment. Alternativament, tals accions poden exercitar-se davant els tribunals de l'Estat membre en què l'interessat tinga la seua residència habitual, llevat que el responsable o l'encarregat siga una autoritat pública d'un Estat membre que actue en exercici dels seus poders públics.


6.2.5. Multes administratives.

Cada autoritat de control ha de garantir que la imposició de les multes administratives per les infraccions del Reglament siguen en cada cas individual efectives, proporcionades i dissuasives.


En decidir la imposició d'una multa administrativa i la seua quantia en cada cas individual s'ha de tindre degudament en compte:


  • La naturalesa, gravetat i duració de la infracció, tenint en compte la naturalesa, abast o propòsit de l'operació de tractament de què es tracte, així com el nombre d'interessats afectats i el nivell dels danys i perjudicis que hagen patit.

  • La intencionalitat o negligència en la infracció.

  • Qualsevol mesura presa pel responsable o encarregat del tractament per a pal·liar els danys i perjudicis patits pels interessats.

  • El grau de responsabilitat del responsable o de l'encarregat del tractament, tenint en compte les mesures tècniques o organitzatives que hagen aplicat.

  • Tota infracció anterior comesa pel responsable o l'encarregat del tractament.

  • El grau de cooperació amb l'autoritat de control amb la finalitat de posar remei a la infracció i mitigar els possibles efectes adversos de la infracció.

  • Les categories de les dades de caràcter personal afectats per la infracció.

  • La forma en què l'autoritat de control va tindre coneixement de la infracció, en particular si el responsable o l'encarregat va notificar la infracció i, en tal cas, en quina mesura.

  • Quan les mesures de control hagen sigut ordenades prèviament per l'autoritat contra el responsable o l'encarregat de què es tracte en relació amb el mateix assumpte, el compliment d'aquestes mesures.

  • L'adhesió a codis de conducta o a mecanismes de certificació aprovats segons estableix el Reglament.

  • Qualsevol altre factor agreujant o atenuant aplicable a les circumstàncies del cas, com els beneficis financers obtinguts o les pèrdues evitades, directament o indirectament, a través de la infracció.

En el cas que un responsable o un encarregat del tractament incomplira de manera intencionada o negligent, per a les mateixes operacions de tractament o operacions vinculades, diverses disposicions del Reglament, la quantia total de la multa administrativa no pot ser superior a la quantia prevista per a les infraccions més greus.