Aplicació del GDPR: 2. Licitud del tractament
Josep Aragonés Salvat 06/10/2016
Licitud per al tractament de dades
El GDPR deixa molt clar que el tractament de dades personals ha de basar-se, de forma general, en el consentiment lliure, informat, específic i inequívoc de l'interessat.
El nou Reglament requereix una declaració o acció positiva de l'interessat que indiqui la seva conformitat amb el tractament. I a més aquesta conformitat ha de ser basada en una informació concisa, transparent, intel·ligible i de fàcil accés.
Per això, perquè un tractament sigui considerat lícit ens basarem en 3 premisses:
- Obtenció del consentiment per al tractament de dades
- Informació del tractament facilitada a l'interessat
- Establir una poítica d'informació.
Anem a posar un exemple de la licitud del tractament als fixers d'una empresa Responsable del tractament:
| Fitxer | Finalitat | Consentiment | Informació |
| CLIENTS I PROVEÏDORS | Gestió fiscal i comptable. | Obligació jurídica del Responsable. | A disposició de l'interessat. |
| CONTACTES | Gestió comercial. | Autorització signada (paper o document electrònic). | En el moment de l'obtenció de dades. |
| CONSUMIDORS | Gestió de queixes i suggeriments d'usuaris de productes o serveis. | Per interès de l'interessat. | En el moment de l'obtenció de dades. |
| VIDEOVIGILÀNCIA | Captació d'imatges per motius de seguretat. | Icona formalitzada (logo videovigilància) | En combinació amb icona formalitzada visible abans de procedir al tractament. |
| PERSONAL | Gestió d'empleats, nòmines i RR HH. | Obligació jurídica del Responsable. | En el moment de l'obtenció de dades. |
| PRL | Prevenció de riscos laborals. | Obligació jurídica del Responsable. | A disposició de l'interessat. |
| ASSEGURANÇA LABORAL | Contractació d'assegurances per a desplaçaments comercials. | Interès legítim del Responsable del tractament | En el moment de la transmissió de dades al Destinatari (empresa d'assegurances). |
| CURRÍCULUMS | Dades de possibles treballadors de l'empresa. | Per interès de l'interessat. | En el moment de l'obtenció de dades. |
Què fem amb els consentiments tàcits i informats permesos per la LOPD
Per adaptar-nos al GDPR hem de considerar que el consentiment tàcit serà prohibit a partir que es derogui la LOPD, màxim al maig de 2018, pel que queda prou temps per informar els Responsables del tractament perquè comencin a sol·licitar als interessats el consentiment explícit que requereix el Reglament.
Per a l'obtenció de dades per una obligació legal, no es requereix el consentiment de l'interessat, pel que l'obtenció de dades per a aquest fi no tindrà cap repercussió, però per comunicar-se amb el client per enviar-los informació de productes o serveis (sempre que siguin persones individuals) si es necessitarà el consentiment explícit i verificable, el que comportarà que el Responsable del tractament ha de ser capaç de demostrar que l'interessat ho ha consentit. Les empreses hauran habituar-se a això perquè el GDPR pretén implementar una cultura de privacitat amb l'objectiu de protegir els drets i llibertats dels interessats.
Obtenció del consentiment per al tractament de dades
Com hem dit anteriorment, el consentiment ha de ser lliure, informat, específic i inequívoc.
Els requisits perquè un consentiment sigui considerat vàlid són:
- Informació específica: El consentiment ha de ser específic i basat en informació adequada. No és acceptable el consentiment genèric sense especificar el propòsit exacte de la seva finalitat.
- Moment: El consentiment s'ha de donar abans que comenci el tractament.
- Elecció activa: El consentiment ha de ser inequívoc. Ha de ser una indicació activa de la voluntat de l'interessat i no ha de deixar cap dubte quant a la seva intenció.
- Lliurement atorgat: El consentiment només serà vàlid si l'interessat està en condicions d'exercir una elecció real i no hi ha risc d'engany, intimidació, coacció o conseqüències negatives importants si l'interessat no dóna el consentiment.
Les condicions perquè un consentiment sigui considerat vàlid són:
S'han d'implementar polítiques per obtenir el consentiment i donar intruccions precises al personal autoritzat per al tractament de dades i als Encarregats del tractament perquè les compleixin i les facin complir.
- Guardar els comprovants del consentiment. Si és possible escanejar per a la seva ràpida localització.
- No condicionar el consentiment a una prestació de serveis que no requereixi el tractament de dades.
- Possibilitar la retirada del consentiment en qualsevol moment i facilitar-la de manera que sigui tan fàcil com el haver-lo obtingut.
Quan no és necessari obtenir el consentiment explícit de l'interessat:
- Quan hi hagi una obligació jurídica a la qual estigui subjecte el Responsable del tractament. Per exemple l'emissió d'una factura.
- Quan hi hagi un contracte o precontracte amb l'interessat que requereixi tractar les seves dades. El tractament serà per interès de l'interessat.
- Quan les dades es puguin obtenir legítimament d'arxius d'accés públic o l'interessat hagi fet manifestament públiques les seves dades. Sempre que existeixi un interés legítim del Responsabble o un interés públic per tractar-les.
- Quan hi hagi la necessitat de la protecció dels interessos vitals de la persona interessada o una altra persona física. Per exemple un accident de trànsit o per motius de salut.
- Per un interès legítim del Responsable del tractament o de tercers, sempre que no prevalguin els interessos o els drets i llibertats de la persona interessada, especialment si és un nen. Per exemple l'interès d'una empresa a assegurar la salut o la formació dels seus treballadors, o la transmissió de dades dins d'un grup empresarial per a fins administratius interns.
- Quan hi hagi una comesa d'interès públic fonamentada en la legislació vigent. Per exemple la prevenció de blanqueig de capitals o lluita contra la pornografia infantil.
Per a més informació sobre l'interès legítim pot consultar un article de Javier Sempere: Dictamen del Grup de l'Article 29 sobre tractament de dades basades en l'interès legítim.
Resumint, el tractament serà legítim quan les dades s'obtenen:
| INTERESSAT |
Autorització signada (paper o document electrònic). |
| TERCERS | Dades rebudes com Destinatari de dades d'un altre Responsable del tractament. Dades obtingudes legítimament de fonts públiques. |
| SITUACIONS ESPECÍFIQUES | Protecció dels interessos vitals de la persona. Interès legítim del Responsable del tractament. Interès públic. |
Informació del tractament facilitada a l'interessat
Tal com indicàvem en l'article anterior (Aplicació del GDPR: 1. Tractament de dades), el principi fonamental del tractament és la lleialtat i transparència amb l'interessat. Aplicant aquest principi, el Reglament disposa que s'haurà de facilitar la informació del tractament de forma concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, especialment si va dirigida a nens.
La informació es podrà facilitar a l'interessat de la següent manera:
- Per escrit o per mitjans electrònics.
- Oralment, si ho sol·licita expressament l'interessat.
- En combinació amb icones formalitzades que permetin proporcionar de forma visible, intel·ligible i clarament llegible una presentació adequada del tractament de dades previst. Per exemple el logo de videovigilància.
Què fem amb la informació reflectida en qualsevol document amb dades personals que obligava la LOPD per als consentiments tàcits
Ja no serà necessari informar del tractament en les diminutes clàusules que obligava la LOPD per als consentiments tàcits. El Reglament obliga a ser més transparents, el que significa que l'interessat ha d'estar clarament informat del tractament i que un cop informat no caldrà tornar a fer-ho.
Com el consentiment no pot ser tàcit, sinó explícit, i la informació facilitada a l'interessat ha de ser clara i concisa, es podran eliminar les clàusules informatives de la LOPD. Tot i que la informació del tractament sempre ha d'estar a disposició de l'interessat, no serà necessari que s'incorporin en els documents com fins ara es venia fent.
Contingut de la informació a l'interessat
En els documents on ds sol·liciti el consentiment explícit de l'interessat, el Responsable del tractament ha de facilitar, com a mínim, la següent informació:
- La base jurídica del tractament.
- La identitat i les dades de contacte del Responsable del tractament i del DPO (si existeix).
- Els fins del tractament.
- El termini de conservació de les dades o els criteris que ho determinin.
- Els drets de la persona interessada.
- L'interès legítim del Responsable del tractament, si el tractament es basa en aquest interès.
- Els Destinataris de les dades, si es preveu comunicar-les a un altre Responsable.
I per a tractaments específics s'afegirà la següent informació:
- Les transferències internacionals de dades i l'existència o absència d'una decisió de suficiència o de garanties apropiades.
- Quan hi hagi un mecanisme automatitzat d'elaboració de perfils, haurem facilitar informació sobre la lògica aplicada i les conseqüències previstes per a l'interessat.
- Si ens proposem tractar les dades per a altres fins, haurem facilitar a l'interessat informació d'aquests fins.
I si les dades són obtingudes de fonts externes (no de l'interessat), s'afegirà la següent informació:
- La font de procedència de les dades.
- Les categories de dades tractades.
Exemple de com informar del tractament per al fitxer CONTACTES
................ és el Responsable del tractament de les dades personals de l'interessat i l'informa que aquestes dades seran tractades de conformitat amb el que disposen les normatives vigents en protecció de dades personals, el Reglament (UE) 2016/679 de 27 d'abril de 2016 (GDPR), la Llei Orgànica (ES) 15/1999 de 13 de desembre (LOPD) i el Reial Decret (ES) 1720/2007 de 21 de desembre (RDLOPD ), per la qual cosa li facilita la següent informació del tractament: Fi del tractament: mantenir una relació comercial mitjançant la comunicació dels nostres productes i serveis. Legitimació del tractament: pel consentiment de l'interessat. Criteris de conservació de les dades: es conservaran durant no més temps del necessari per mantenir la fi del tractament i quan ja no sigui necessari per a tal fi, es suprimiran amb mesures de seguretat adequades per garantir la anonimació de les dades o la destrucció total de les mateixes. Comunicació de les dades: No es comunicaran les dades a cap destinatari, excepte por obligació legal. Drets que assisteixen a l'Interessat: - Dret a retirar el consentiment en qualsevol moment. - Dret d'accés, rectificació i supressió de les seves dades i de la limitació o oposició al seu tractament. - Dret a presentar una reclamació davant l'Autoritat de control (agpd.es) si considera que el tractament no s'ajusta a la normativa vigent. Dades de contacte per exercir els seus drets: .......................... |
Establir una política d'informació
El Responsable del tractament haurà de dissenyar polítiques concises, transparents, senzilles i accessibles per comunicar a l'interessat els detalls del tractament i l'exercici dels drets sobre les seves dades.
Aquestes polítiques haurien de formalitzar-se en un protocol d'actuació per a coneixement i aplicació del personal autoritzat per al tractament de dades i dels Encarregats del tractament perquè les compleixin i les facin complir.
La política d'informació a l'interessat hauria d'establir els procediments següents:
- Protocol per a donar curs a les sol·licituds dels drets dels interessats i complir amb els terminis establerts al Reglament per respondre-les.
- Protocol per a la comunicació de la informació a l'interessat:
- En el moment de l'obtenció de dades, si s'obtenen de l'interessat.
- En un termini màxim d'1 mes, si s'obtenen de fonts externes (o, si és anterior, en la primera comunicació dirigida a l'interessat).
- En el moment de la transmissió de dades a un Destinatari (per informar-los de la cessió).
- Protocol per no ser necessària la comunicació de la informació a l'interessat:
- Quan el tractament sigui una obligació legal del Responsable del tractament (per exemple l'emissió de factures).
- Quan l'interessat ja disposi de la informació.
- Quan la comunicació sigui impossible o suposi un esforç desproporcionat.
Informació relacionada
- Aplicació del GDPR: 1. Tractament de dades
- Aplicació del GDPR: 3. Responsabilitat del tractament
- Aplicació del GDPR: 4. Política de seguretat
- Aplicació del GDPR: 5. Categories de tratacment
- Aplicació del GDPR: 6. Drets de l'interessat
- Aplicació del GDPR: 7. Garanties de compliment (documentació)
- Conceptes generals de la protecció de dades
- Els principis del tractament
- El consentiment explícit
- La informació del tractament
- Publicació oficial del Reglament Europeu de Protecció de Dades
- Dictamen 06/2014 del Grup de l'Article 29 sobre el concepte d'interès legítim
Seguiment del curs Aplicació del GDPR
Tema anterior: 1. Tractament de dades Tema següent: 3. Responsabilitat del tractament