Drets de les persones sobre les seves dades personals. Autoritat Catalana de Protecció de Dades

Quins drets té qualsevol persona física en l’àmbit de la protecció de dades personals?

L’RGPD recull drets ja existents i els amplia, però també en crea de nous. Així, regula els drets següents:

El dret d’accés
El dret de rectificació
El dret de supressió
El dret d’oposició
El dret a la limitació del tractament
El dret a la portabilitat
Dret a no ser objecte de decisions individuals automatitzades

Què és el dret a ser informat?

L’RGPD reconeix el dret a ser informat sobre les condicions en què es duu a terme el tractament de les dades personals.

La informació s’ha de proporcionar de manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, especialment quan la informació s’adreça a un menor.

La informació ha de fer referència a:

La identitat i dades de contacte del responsable i, si escau, del seu representant.
Les dades de contacte del delegat de protecció de dades.
Les finalitats i la base jurídica del tractament.
Els destinataris o categories de destinataris de les dades.
La intenció de transferir les dades a un tercer país o a una organització internacional i la base per fer-ho, si escau.
El termini durant el qual es conservaran les dades o els criteris per determinar-lo.
El dret a sol·licitar l’accés a les dades, a rectificar-les o a suprimir-les, a limitar-ne el tractament, a oposar-s’hi i a sol·licitar-ne la portabilitat.
El dret a retirar en qualsevol moment el consentiment que s'ha prestat.
Si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte, i si l’interessat està obligat a facilitar les dades i està informat de les conseqüències de no fer-ho.
El dret a presentar una reclamació davant una autoritat de control, o, si escau, davant el Delegat de protecció de dades.
L'existència de decisions automatitzades, inclosa l’elaboració de perfils, i la informació sobre la lògica aplicada i les seves conseqüències.

Què són els drets d'accés, rectificació, supressió, oposició, limitació del tractament, portabilitat i a no ser objecte de decisions individuals automatitzades?

Dret d'accés: dret de la persona interessada a saber si el responsable del tractament tracta dades personals seves i, si és així, a accedir a aquestes dades i obtenir la informació sobre com s’estan tractant.

Dret de rectificació: dret a rectificar les dades personals inexactes i que es completin les que siguin incompletes, fins i tot mitjançant una declaració addicional.

Dret de supressió (dret a l’oblit): dret a obtenir la supressió de les dades personals ("dret a l'oblit"), quan: ja no són necessàries per a la finalitat per a la qual es van recollir; es revoca el consentiment en el qual es basava el tractament; hi ha oposició al tractament; les dades s'han tractat il·lícitament; les dades s’han tractat per complir una obligació legal o s'han obtingut en relació amb l'oferta de serveis de la societat de la informació adreçada a menors.

Quan el responsable ha fet públiques les dades personals i s'han de suprimir, ha d’adoptar mesures raonables per informar de la supressió altres responsables que estan tractant aquestes dades.

Dret d’oposició: dret a oposar-se al tractament de les dades personals per motius relacionats amb la situació personal de la persona interessada.

Quan el tractament té per objecte el màrqueting directe, inclosa l'elaboració de perfils relacionats amb aquest màrqueting, les dades s’han de deixar de tractar de manera immediata.

Dret a la limitació del tractament: dret consistent en el marcat de les dades de caràcter personal conservades, amb la finalitat de limitar-ne el tractament en el futur.

La limitació del tractament suposa que, a petició de la persona interessada, les seves dades personals es deixaran de tractar.

Dret a la portabilitat de les dades: dret a rebre les dades personals que ha facilitat a un responsable del tractament en un format estructurat, d'ús comú i de lectura mecànica, i a transmetre-les a un altre responsable, si es compleixen els requisits següents:

El tractament es basa en el consentiment o en un contracte.
El tractament es fa per mitjans automatitzats.

Dret a no ser objecte de decisions individuals automatitzades: dret a no ser objecte d’una decisió basada només en el tractament automatitzat de les dades, inclosa l’elaboració de perfils, que produeixi efectes jurídics sobre la persona interessada o que l’afecti negativament, tret que la decisió sigui necessària per formalitzar o executar un contracte entre l’interessat i un responsable de tractament, es basi en el consentiment explícit de l’interessat o estigui autoritzada pel dret de la Unió o de l’estat membre corresponent.

Tots aquests drets s'han d'exercir davant l'entitat responsable del tractament (Generalitat, diputació, ajuntament, consorci, universitat, etc.) que correspongui.

Es pot exercir el dret a la portabilitat de dades davant una administració pública?

El dret a la portabilitat de les dades no és exigible quan el tractament de les dades personals és necessari per al compliment d’una missió realitzada en interès públic, per a l’exercici de poder públics conferits al responsable del tractament, o quan el tractament de les dades personals és necessari per al compliment d’una obligació legal. Com que les administracions públiques realitzen la majoria dels seus tractaments de dades fonamentades en aquestes bases jurídiques, es pot dir que, en general, el dret a la portabilitat no serà exigible a les administracions públiques en l’exercici de les seves competències.

Però no es pot obviar que, en determinats supòsits d’actuació administrativa en els quals el tractament a més d’efectuar-se per mitjans automatitzats tingui com a base jurídica el consentiment de l’interessat o sigui necessari per a l’execució d’un contracte en el qual l’interessat sigui part, aquest dret sí que serà exigible. En conseqüència, en aquests casos les administracions han d’informar del dret a la portabilitat i facilitar el seu exercici.

Si voleu més informació sobre aquest tema podeu consultar el Dictamen CNS 54/2018.

Com puc saber si una entitat té dades personals meves?

L'Autoritat Catalana de Protecció de Dades no disposa d’informació sobre quines entitats tenen les dades personals que concerneixen una persona particular.

Si voleu saber si una entitat disposa de les vostres dades personals, podeu exercir, gratuïtament, el dret d'accés davant del responsable del tractament. Mitjançant aquest dret podeu obtenir una copia de les dades que es tracten i informació sobre:

Si es tracten les vostres dades personals, amb quina finalitat i quins usos concrets.
Les categories de dades que es tracten.
D'on s'han obtingut i si s'han comunicat o es pretenen comunicar, i a qui.
El termini de conservació de les dades o els criteris per determinar-lo.
El dret a sol·licitar l’accés a les dades, a rectificar-les o a suprimir-les, a limitar-ne el tractament, a oposar-s’hi i a sol·licitar-ne la portabilitat.
El dret a presentar una reclamació davant una autoritat de control, o, si escau, davant el Delegat de protecció de dades.
L'existència de decisions automatitzades, inclosa l’elaboració de perfils, i la informació sobre la lògica aplicada i les seves conseqüències.

Quin termini té el responsable del fitxer per atendre els drets d'accés, rectificació, supressió, oposició, limitació del tractament i portabilitat?

El responsable ha d’atendre la sol·licitud d’exercici del dret en el termini d’un mes des que la rep, prorrogable dos mesos més si és necessari, segons la complexitat i el nombre de sol·licituds.

S’ha d’informar l’interessat de la pròrroga dins el termini del primer mes (des que es rep la sol·licitud) i indicar els motius de la dilació.

Com reforça l’RGPD els drets de les persones?

L’RGPD introdueix nous drets per a les persones afectades, com el dret a l'oblit, que es vincula al dret de supressió, el dret a la portabilitat o el dret a la limitació del tractament.

Però, a més, el Reglament estableix altres garanties per a les persones afectades:

D'una banda, estableix l'aplicabilitat de la normativa europea no només quan l'establiment del responsable o de l'encarregat estigui en un estat de la Unió Europea, sinó en qualsevol altre cas en què el tractament es faci en ocasió d'una oferta de béns i serveis o del control del comportament d’interessats que es troben a la Unió Europea. Això reforça especialment l'aplicabilitat de la normativa europea en els serveis prestats a la xarxa.

D'altra banda, també els garanteix el dret a ser informats sense dilacions indegudes de les violacions de seguretat que comporten un risc alt per als seus drets i llibertats, perquè puguin adoptar les mesures pertinents.

Finalment, en tractaments en què hi pugui haver elements d'internacionalitat, el mecanisme de la finestreta única (one stop shop) que preveu l’RGPD permet que els ciutadans no s’hagin de relacionar amb autoritats de control diferents de la de l'estat en què resideixen, per plantejar reclamacions o denúncies.

Com puc exercir el meu dret a deixar de rebre publicitat no desitjada?

La recepció de missatges i comunicacions publicitàries pot produir-se en supòsits en què has donat el teu consentiment, també en supòsits en què la publicitat estigui relacionada amb productes o serveis similars als que tens contractats amb una determinada empresa o com a conseqüència de l’interès legítim de l’entitat que promou l’enviament.

En funció de quina sigui la base jurídica en què es fonamenti l’enviament pots emprar una o altra de les següents vies per deixar de rebre publicitat:

Inscriu-te a un sistema d’exclusió publicitària (Llista Robinson)

Si no vols rebre publicitat en casos en què no hagis donat el teu consentiment inscriure’t a una Llista Robinson pot ser una bona solució. Aquestes llistes han de ser consultades per les empreses que vulguin realitzar una campanya publicitària i han d’excloure de la campanya les persones inscrites.

No obstant això, la inscripció en aquestes llistes no evitarà que rebis publicitat si es tracta d’una empresa de la qual ets client i afecta productes relacionats amb els que tens contractats o si has donat el teu consentiment a aquest tipus de trameses.

La inscripció en aquestes llistes és gratuïta.

Actualment només hi ha el sistema d’exclusió publicitària, denominat Llista Robinson, gestionat per l'Associació Espanyola d'Economia Digital (ADIGITAL).

En inscriure't en aquesta llista pots decidir deixar de rebre publicitat per qualsevol mitjà o be triar el mitjà o el canal de comunicació a través del qual no vols rebre publicitat (correu postal, trucades telefòniques, correu electrònic o altre mitjà).

Has de tenir en compte que la inscripció a la Llista Robinson és eficaç a partir del tercer mes des de la data en què es notifiqui l’exclusió. Per això, és possible que durant aquest termini segueixis rebent alguna comunicació comercial.

És important que les dades facilitades en el moment d’inscriure’s a la llista siguin exactes, atès que l’exclusió només produeix efecte respecte les adreces o número de telèfon que coincideixin, en tots els seus caràcters, amb les facilitades per la persona interessada.

Et pots inscriure a la Llista Robinson a través d'aquest enllaç.

Revoca el teu consentiment

La tramesa d’informació publicitària es pot basar en el consentiment de la persona afectada.

Aquest consentiment ha de ser exprés quan es tracti de trucades telefòniques automàtiques sense intervenció humana o quan es tracti de comunicacions comercials per mitjà de correu electrònic, sms, mms o altre mitjà de comunicació electrònica, excepte que es traci d’una entitat de la qual en siguis client i les comunicacions publicitàries es refereixin a productes o serveis similars als contractats.

Si vas donar el teu consentiment per utilitzar les teves dades amb finalitats publicitàries i no desitges seguir rebent publicitat, en qualsevol moment pots revocar el consentiment prestat, a través d'un mitjà senzill i gratuït, com pot ser la trucada a un telèfon gratuït o als serveis d'atenció al públic que hagi establert el responsable del tractament. Quan les comunicacions hagin estat trameses per correu electrònic, la tramesa ha d’incloure una adreça de correu electrònic o una altra adreça electrònica vàlida on es pugui revocar el consentiment.

Exerceix el teu dret d’oposició

Si no vols que una determinada empresa tracti teves dades amb finalitats publicitàries, pots exercir en qualsevol moment el teu dret d'oposició davant aquest responsable, a través d’un mitjà senzill i gratuït, perquè t’exclogui de les campanyes publicitàries que realitzi.

En exercir el teu dret d'oposició indica clarament en la sol·licitud que no vols que es tractin les teves dades amb finalitats publicitàries, indica el canal o canals als quals es refereix l’oposició, i les dades que no vols que es tractin.
Quan es tracti de comunicacions trameses per correu electrònic, l’exercici del dret d’oposició s’ha de poder fer a través de l’adreça de correu electrònic o una altra adreça electrònica vàlida que necessàriament s’ha d’incloure en les aquestes comunicacions electròniques amb fins publicitaris.

Exerceix el teu dret a no figurar en les guies telefòniques

Pots exercir, de manera gratuïta, el teu dret a no aparèixer a les guies telefòniques o, si ho prefereixes, a seguir-ne formant part però sense que es puguin emprar les teves dades que hi figuren amb finalitats publicitàries. També pots demanar que s’ometi parcialment l’adreça o alguna altra dada de les que hi figurin.

Per exercir aquest dret pots adreçar-te a l'operadora amb la qual tens contractat el servei telefònic i comunicar-li que no vols que les teves dades personals siguin publicats a les guies d'abonats o a que no siguin emprades amb finalitats publicitàries.

Les teves dades han de ser retirades o excloses de fins publicitaris de la versió en línia de les guies telefòniques i també en la següent edició de les que s'editen en paper o en algun altre suport físic.

Es poden exercir els drets respecte les dades personals de les persones difuntes?

Si bé la normativa de protecció de dades no s’aplica als tractament de les dades de persones difuntes, l’LOPDGDD preveu que, llevat que la persona difunta ho hagi prohibit expressament, les persones vinculades a la persona difunta, per raons familiars o de fet, així com els seus hereus poden sol·licitar al responsable o encarregat del tractament l’accés a les dades personals del seu familiar mort o, si escau, exercir en el seu nom els drets de rectificació o supressió de les mateixes.

També es preveu la possibilitat que es pugui fer una designació pòstuma per a que determinades persones o institucions puguin accedir a les dades personals de la persona difunta i exercir, si escau, els drets de rectificació o supressió de les mateixes.

En el cas dels menors aquestes funcions es poden realitzar pels seus representants legals o pel Ministeri Fiscal.

Tinc dret a conèixer la meva història clínica?

Qualsevol persona té dret a accedir a la documentació de la seva història clínica i a obtenir una còpia de les dades que hi figuren. No obstant això, aquest dret mai no pot ser en perjudici del dret de terceres persones a la confidencialitat de les seves dades que figuren en aquesta documentació, ni del dret dels professionals que han intervingut en l'elaboració de la documentació, que poden invocar la reserva de les seves observacions, apreciacions o anotacions subjectives.

Poden els pares accedir a les dades clíniques dels seus fills menors de 18 anys i exercir els seus drets?

Els menors d’edat que siguin majors de 14 anys, que no es trobin incapacitats, han de poder exercir els drets inherents a l’autodeterminació informativa per ells mateixos.
No obstant això, els pares que gaudeixin de la potestat parental o representants legals del menor -inclòs el menor que sigui major de 14 anys-, precisament per aquesta condició de representats legals, poden accedir a la informació del menor sense que això suposi una vulneració de la confidencialitat de la informació. Sens perjudici d’això, quan una llei ho prevegi o en aquells casos en què pugui haver-hi un conflicte d’interessos entre els pares o representants legals i el mateix menor, l’exercici dels drets per part d’aquells respecte determinades dades de salut del menor, pot veure’s limitat, per aplicació del principi de protecció de l’interès superior del menor, en atenció a les circumstàncies del cas concret.
Si voleu saber més sobre aquest tema, podeu consultar el Dictamen CNS 10/2018.

El dret d’accés a la història clínica inclou poder conèixer la identitat de les persones al servei del responsable del tractament que han accedit a les dades?

El dret d’accés no inclou l’obligació del centre sanitari de comunicar la identitat de les persones concretes que, com a personal propi d’aquell centre sanitari, hagin pogut accedir a la història clínica. En canvi el centre sí que ha d’informar de les comunicacions de dades del pacient que s’hagin produït respecte d’un destinatari extern al mateix centre.
Sobre aquesta qüestió podeu consultar el Dictamen CNS 8/2019.

Es pot exercir el dret d’accés respecte de la història clínica d’una persona difunta?

Les persones vinculades per raons familiars o de fet amb un pacient mort, han de poder demanar al responsable (un centre sanitari) accés a les dades de la història clínica del pacient sempre que no afecti la intimitat de la persona morta ni a les anotacions subjectives dels professionals, ni perjudiqui a tercers, atès que així ho preveu la normativa d’autonomia del pacient i la normativa de protecció de dades.
Sobre aquesta qüestió podeu consultar el Dictamen CNS 8/2019.