Drets de les persones afectades. Autoritat Catalana de Protecció de Dades

Com reforça l’RGPD els drets de les persones?

L’RGPD introdueix nous drets per a les persones afectades, com el dret a l'oblit, que es vincula al dret de supressió, el dret a la portabilitat o el dret a la limitació del tractament.

També n’amplia la aplicabilitat, en determinades circumstàncies, a responsables i encarregats del tractament que no estan en un estat de la Unió Europea; això reforça especialment l'aplicabilitat de la normativa europea en els serveis prestats a la xarxa. També garanteix el dret de les persones afectades a ser informades sense dilacions indegudes de les violacions de seguretat que comporten un risc alt per als seus drets i llibertats, perquè puguin adoptar les mesures pertinents.

Finalment, en tractaments en què hi pugui haver elements d'internacionalitat, el mecanisme de la finestreta única (one stop shop) que preveu l’RGPD permet que els ciutadans no s’hagin de relacionar amb autoritats de control diferents de la de l'estat en què resideixen, per plantejar reclamacions o denúncies.

Quins drets té qualsevol persona física en l’àmbit de la protecció de dades personals i en què consisteixen?

L’RGPD recull drets ja existents i els amplia, però també en crea de nous. Així, regula:

El dret d’accés

Dret de la persona afectada a saber si el responsable del tractament tracta dades personals seves i, si és així, a accedir a aquestes dades i obtenir la informació sobre com s’estan tractant.

El dret de rectificació

Dret a rectificar les dades personals inexactes i que es completin les que siguin incompletes, fins i tot mitjançant una declaració addicional.

El dret de supressió (dret a l’oblit)

Dret a obtenir la supressió de les dades personals, quan: ja no són necessàries per a la finalitat per a la qual es van recollir; es revoca el consentiment en el qual es basava el tractament; hi ha oposició al tractament; les dades s'han tractat il·lícitament; les dades s’han tractat per complir una obligació legal o s'han obtingut en relació amb l'oferta de serveis de la societat de la informació adreçada a menors.

Quan el responsable ha fet públiques les dades personals i s'han de suprimir, ha d’adoptar mesures raonables per informar de la supressió altres responsables que estan tractant aquestes dades.

El dret d’oposició

Dret a oposar-se al tractament de les dades personals per motius relacionats amb la situació personal de la persona afectada

Quan el tractament té per objecte el màrqueting directe, inclosa l'elaboració de perfils relacionats amb aquest màrqueting, les dades s’han de deixar de tractar de manera immediata.

El dret a la limitació del tractament

Dret consistent a marcar les dades de caràcter personal conservades, amb la finalitat de limitar-ne el tractament en el futur.

La limitació del tractament suposa que, a petició de la persona afectada, les seves dades personals es deixaran de tractar.

El dret a la portabilitat

Dret a rebre les dades personals que ha facilitat a un responsable del tractament en un format estructurat, d'ús comú i de lectura mecànica, i a transmetre-les a un altre responsable, si es compleixen els requisits següents:

- El tractament es basa en el consentiment o en un contracte

- El tractament es fa per mitjans automatitzats.

El dret a no ser objecte de decisions individuals automatitzades

Dret a no ser objecte d’una decisió basada només en el tractament automatitzat de les dades, inclosa l’elaboració de perfils, que produeixi efectes jurídics sobre la persona afectada o que l’afecti negativament. Això, tret que la decisió sigui necessària per formalitzar o executar un contracte entre l’interessat i un responsable de tractament, es basi en el consentiment explícit de l’interessat o estigui autoritzada pel dret de la Unió o de l’estat membre corresponent.

Tots aquests drets s'han d'exercir davant l'entitat responsable del tractament (Generalitat, diputació, ajuntament, consorci, universitat, etc.) que correspongui.

El dret d’accés inclou el dret a saber quines persones concretes al servei del responsable o l’encarregat han accedit a la informació?

El dret d’accés no inclou el dret a conèixer la identitat de les persones concretes al servei del responsable o encarregat del tractament que han accedit a la informació. En aquest sentit, l’Autoritat s’ha pronunciat en els dictàmens CNS 8/2019 i CNS 53/2019

Es pot exercir el dret a la portabilitat de les dades davant una administració pública?

El dret a la portabilitat de les dades no és exigible quan: el tractament de les dades personals és necessari per complir una missió realitzada en interès públic; per exercir poders públics conferits al responsable del tractament; o quan el tractament de les dades personals és necessari per complir una obligació legal. Com que les administracions públiques fan la majoria dels seus tractaments de dades fonamentades en aquestes bases jurídiques, es pot dir que, en general, el dret a la portabilitat no és exigible a les administracions públiques en l’exercici de les seves competències.

Això no obstant, aquest dret sí que serà exigible quan el tractament, a més d’efectuar-se per mitjans automatitzats, tingui com a base jurídica el consentiment de l’interessat o sigui necessari per a l’execució d’un contracte en el qual l’interessat sigui part. En conseqüència, en aquests casos les administracions han d’informar del dret a la portabilitat i facilitar-ne l'exercici.

Quin termini té el responsable del tractament per atendre els drets d'accés, rectificació, supressió, oposició, limitació del tractament i portabilitat?

El responsable ha d’atendre la sol·licitud d’exercici del dret en el termini d’un mes des que la rep, prorrogable dos mesos més si és necessari, segons la complexitat i el nombre de sol·licituds.

S’ha d’informar l’interessat de la pròrroga dins el termini del primer mes (des que es rep la sol·licitud) i indicar els motius de la dilació.

Com puc saber si una entitat té dades personals meves?

L'Autoritat Catalana de Protecció de Dades no disposa d’informació sobre quines entitats tenen les dades personals que concerneixen una persona particular.

Si voleu saber si una entitat disposa de les vostres dades personals, podeu exercir, gratuïtament, el dret d'accés davant del responsable del tractament. Mitjançant aquest dret, podeu obtenir una còpia de les dades que es tracten i informació sobre:

Si es tracten les vostres dades personals, amb quina finalitat i quins usos concrets.
Les categories de dades que es tracten.
D'on s'han obtingut i si s'han comunicat o es pretenen comunicar, i a qui.
El termini de conservació de les dades o els criteris per determinar-lo.
El dret a sol·licitar l’accés a les dades, a rectificar-les o a suprimir-les, a limitar-ne el tractament, a oposar-s’hi i a sol·licitar-ne la portabilitat.
El dret a presentar una reclamació davant una autoritat de control, o, si escau, davant el delegat de protecció de dades.
L'existència de decisions automatitzades, inclosa l’elaboració de perfils, i la informació sobre la lògica aplicada i les seves conseqüències.

Es poden exercir els drets respecte les dades personals de les persones difuntes?

Sí, les persones vinculades al difunt per raons familiars o de fet, així com els seus hereus es poden dirigir a la persona responsable o encarregada del tractament amb l’objecte de sol·licitar l’accés a les dades personals d’aquell i, si s’escau, la seva rectificació o supressió. Com a excepció, les persones a què es refereix el paràgraf anterior no poden accedir a les dades del causant, ni sol·licitar-ne la rectificació o la supressió, quan la persona difunta ho hagi prohibit expressament o així ho estableixi una llei (art. 3 LOPDGDD).

L’exercici de drets suposa algun cost per la persona afectada?

L’RGPD disposa que tant les actuacions com les comunicacions fetes en virtut dels drets regulats a l’RGPD són gratuïtes, llevat que les sol·licituds siguin manifestament infundades o excessives, especialment si són repetitives. En aquest cas, el responsable del tractament té dues possibilitats: cobrar un cànon raonable o negar-se a actuar respecte de la sol·licitud.