FAQS - Preguntes freqüents

Tots els textos especificats en aquesta web, tenen caràcter informatiu i no tenen tota validesa jurídica. L’ús que es faci d’aquests, és responsabilitat exclusiva de l’usuari.

Glossari de definicions del Reglament General de Protecció de Dades (RGPD) i de la Llei Orgànica de Protecció de Dades i Garantia de Drets Digitals (LOPDGDD):

El RGPD proporciona -en el seu article 4- la definició dels conceptes sobre els quals gravita la regulació de la protecció de dades de caràcter personal.

Així, la ciutadania, els poders públics, tenen al seu abast una definició del que podem considerar “conceptes essencials” de la norma, el significat de la qual resulta necessari tant per comprendre com per a conèixer l’abast dels drets que el RGPD i la LOPDGDD reconeixen als interessats, com per a complir adequadament amb les obligacions que el Reglament i la Llei imposen.

Tota informació sobre una persona física identificada o identificable («l’interessat»); es considerarà persona física identificable tota persona la identitat de la qual pugui determinar-se, directa o indirectament, en particular mitjançant un identificador, com per exemple el nom, número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona.

Qualsevol operació o conjunt d’operacions realitzades sobre dades personals o conjunts de dades personals, sigui per procediments automatitzats o no, com la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, acarament o interconnexió, limitació, supressió o destrucció.

Marcar de les dades de caràcter personal conservades amb la finalitat de limitar el seu tractament en el futur.

Tota forma de tractament automatitzat de dades personals consistent en utilitzar dades personals per a avaluar determinats aspectes personals d’una persona física, en particular per analitzar o preveure aspectes relatius al rendiment professional, situació econòmica, salut, preferències personals, interessos, fiabilitat, comportament, ubicació o moviments d’aquesta persona física.

El tractament de dades personals de tal manera que no puguin atribuir-se a un interessat sense utilitzar informació addicional, sempre que aquesta informació addicional figuri per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s’atribueixin a una persona física identificada o identificable.

La normativa defineix el responsable del tractament com la persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que sol o conjuntament amb uns altres decideix sobre la finalitat, contingut i ús del tractament, encara que no el realitzi materialment.

És el responsable de la protecció i el control de totes les dades personals que es troben en possessió d’aquesta empresa o entitat. Li correspon establir les finalitats per als quals s’utilitzen les dades personals i quina protecció de privacitat ha d’implementar-se.

La persona física o jurídica, autoritat pública, servei o un altre organisme que tracti dades personals per compte del responsable del tractament.

La persona física o jurídica, autoritat pública, servei o un altre organisme al qual es comuniquin dades personals, es tracti o no d’un tercer. No obstant això, no es consideraran destinataris les autoritats públiques que 4.5.2016 ES Diari Oficial de la Unió Europea L 119/33 puguin rebre dades personals en el marc d’una recerca concreta de conformitat amb el Dret de la Unió o dels Estats membres; el tractament d’aquestes dades per dites autoritats públiques serà conforme amb les normes en matèria de protecció de dades aplicables a les finalitats del tractament.

Persona física o jurídica, autoritat pública, servei o organisme diferent de l’interessat, del responsable del tractament, de l’encarregat del tractament i de les persones autoritzades per a tractar les dades personals sota l’autoritat directa del responsable o de l’encarregat.

Tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual l’interessat accepta, mitjançant una declaració o una clara acció afirmativa, el tractament de dades personals que el concerneixen.

Tota violació de la seguretat que ocasioni la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra forma, o la comunicació o accés no autoritzats a aquestes dades.

Dades personals relatives a les característiques genètiques heretades o adquirides d’una persona física que proporcionin una informació única sobre la fisiologia o la salut d’aquesta persona, obtingudes en particular de l’anàlisi d’una mostra biològica de tal persona.

Dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d’una persona física que permetin o confirmin la identificació única d’aquesta persona, com a imatges facials o dades dactiloscòpiques.

Dades personals relatives a la salut física o mental d’una persona física, inclosa la prestació de serveis d’atenció sanitària, que revelin informació sobre el seu estat de salut.

Adopció de mesures tècniques i organitzatives la finalitat de les quals és aplicar de manera efectiva els principis de protecció de dades i integrar les garanties necessàries en el tractament de les dades.

Adopció de mesures tècniques i organitzatives la finalitat de les quals és garantir que per defecte només es tractin aquelles dades que siguin necessaris per a les finalitats del tractament.

Anàlisi d’aquells tractaments de dades que puguin suposar un alt risc per als drets i llibertats de les persones.

El Reglament General de Protecció de Dades (RGPD) és el nou marc legal a la Unió Europea que reemplaçà a la Directiva de Protecció de Dades.

Va entrar en vigor el maig de 2016, és d’aplicació obligatòria per a tots els estats membres de la Unió Europea a partir del 25 de maig de 2018, i atorga un major control i seguretat als ciutadans sobre la seva informació personal en el món 2.0. El RGPD amplia els drets a decidir com desitgem que les nostres dades siguin tractades i com volem rebre informació de les entitats.

L’objectiu de la LOPDGDD és adaptar la legislació espanyola a la normativa europea, definida pel Reglament General de Protecció de Dades (RGPD), vigent des del 25 de maig de 2018. Aquesta llei va entrar en vigor el 6 de desembre de 2018, substituint i derogant a l’antiga Llei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal.

Per tant, si parlem de protecció de dades a Espanya, actualment la norma de referència és la LOPDGDD.

Garantia dels Drets Digitals “GDD”: S’incorpora un nou Títol X de la Llei, amb una nova regulació relativa a la “Garantia de Drets Digitals” en la qual es recullen drets que introdueixen, en l’ordenament jurídic, aspectes necessaris per a adaptar la normativa a la societat actual, l’activitat de la qual pivota en gran manera en un entorn digital.

En aquest títol es desenvolupen els nous drets digitals i es regula com es vol garantir per a totes les persones el dret a l’accés a Internet. Inclou des de l’article 79 al 97. Anem a veure’ls:

  • Articles del 79 al 84. Consagren una sèrie de drets universals.
  • Articles 85 i 86. Són els articles referents a la rectificació a Internet i dret a l’actualització d’informacions en mitjans digitals “fake news”
  • Articles del 87 al 91. Són els més específics en l’àmbit labor Tracten de fixar les normes per a la desconnexió digital, la privacitat en l’ús de dispositius electrònics, videovigilància en el treball o la geolocalització.
  • Article 92. Tracta la privacitat de les dades de menors a Internet.
  • Articles del 93 al 95. Es refereixen al dret a l’oblit en les cerques i xarxes socials i serveis equivalents.
  • Article 96. Aborda el testament digital per a regular com poden els familiars o la persona designada dirigir-se als mitjans i serveis digitals, on la persona difunta disposi de dades i continguts, per a donar les oportunes instruccions per a recuperar-los o suprimir-los.
  • Article 97. Impuls dels drets digitals, el Govern elaborarà un Pla d’Accés a Internet per a superar les bretxes digitals de col·lectius vulnerables, fomentar els espais de connexió d’accés públic, promoció d’accions perquè els menors d’edat facin un ús equilibrat i responsable dels dispositius digitals, entre altres accions.

 

Nous drets digitals en l’àmbit laboral

En l’àmbit laboral, els nous drets inclosos tenen especial rellevància en els següents aspectes:

  • Dret a la desconnexió digital.
  • Dret a la intimitat enfront de l’ús de dispositius de videovigilància.
  • Dret a la intimitat davant la utilització de sistemes de geolocalització en l’àmbit laboral.
  • També es reconeix el dret d’establir garanties i drets digitals addicionals en els convenis col·lectius de cada sector.

A l’estat espanyol cal complir amb les dues, el RGPD i la LOPDGDD.

Totes les entitats públiques i privades que utilitzin qualsevol dada personal en el desenvolupament de les seves activitats.

És a dir, si en el seu treball diari tracta dades personals de tercers, per exemple: dades d’empleats, de clients, d’associats, de contactes del web, de subscriptors, alumnes, pacients, dades de navegació d’usuari que recapte mitjançant cookies analítiques, etc., ha de complir amb el RGPD i la LOPDGDD, sense excepcions.

És igual que sigui autònom o empresa, tingui més o menys empleats, pertanyi al sector públic o privat, si és una ONG o una entitat sense ànim de lucre; ha de complir les exigències del RGPD i la LOPDGDD i oferir les garanties suficients a tots els que li faciliten les seves dades.

Totes les entitats que tractin dades personals de ciutadans europeus, independentment de la seva mida, estan obligades a complir amb la Llei de protecció de dades europea, el RGPD.

Si l’entitat està ubicada fora de la Unió Europea, també haurà de complir si tracta dades de ciutadans europeus.

Aquest és un breu resum de les accions a realitzar:

1) Deure d’informar i obtenció del consentiment. És obligatori informar les persones interessades sobre les circumstàncies relatives al tractament de les seves dades. El consentiment pot recaptar-se únicament mitjançant declaració explícita dels interessats o una acció positiva que indiqui el seu consentiment.

2) Clàusules informatives i avisos de privacitat. És fonamental assegurar-se que disposem de clàusules informatives i avisos legals actualitzats a les normatives vigents.

Han d’incloure qüestions com: responsable del tractament, base jurídica del tractament, termini de conservació, criteris per a la seva determinació, informació sobre els drets…

A més, hauran de ser concises, transparents, intel·ligibles, accessibles, amb un llenguatge clar i senzill, per escrit i d’accés gratuït.

3) Compromís de confidencialitat amb els empleats/des, té dues vessants, la primera que el/la treballador/a (usuari amb accés a dades) es comprometi a tractar de manera confidencial les dades a les quals té accés en el seu dia a dia per a realitzar la seva activitat laboral, i la segona, informar el/la treballador/a perquè consenti el tractament de les seves dades de caràcter personal per part de l’entitat per a diferents finalitats (gestió RH, elaboració de nòmines, assegurances, etc.), així com informar-lo dels seus drets.

4) Els contractes amb tercers encarregats de tractament (ET). Els encarregats de tractament (ET) són tots els col·laboradors externs que ens presten algun servei i, per a realitzar-lo, els facilitem dades personals nostres i de tercers.

5) Disposar del protocol d’exercici de drets. Totes les persones podem exercir el dret d’accés, rectificació, supressió, portabilitat de les dades i limitació o oposició del seu tractament, així com no ser objecte de decisions individuals automatitzades.

6) Implantació de procediments per a notificar incidents de seguretat. També conegudes com a bretxes de seguretat. Aquestes s’han de comunicar als afectats i a l’Agència Espanyola de Protecció de Dades (AEPD) en un termini màxim de 72 hores.

7) Mesures de seguretat tècniques i organitzatives. El responsable i l’encarregat del tractament aplicaran mesures tècniques i organitzatives adequades al risc que comporta el tractament. Això implicarà haver de fer una avaluació dels riscos associats a cada tractament, per a determinar les mesures de seguretat a implementar.

8) Registre d’activitats de tractament. El registre haurà de constar per escrit, inclús en format electrònic, i haurà de ser posat a la disposició de l’autoritat de control que ho sol·liciti.

9) Anàlisi de riscos. Des del punt de vista de la seguretat de la informació una anàlisi dels riscos requereix identificar les amenaces (per exemple, accés no autoritzat a les dades personals), valorar quina és la probabilitat que es produeixi i l’impacte que tindria en les persones afectades.

10) Designar Delegat de Protecció de Dades (DPD), si escau. El Reglament introdueix la figura del delegat de protecció de dades, que pot formar part de la plantilla del responsable o l’encarregat o bé actuar en el marc d’un contracte de serveis.

11) Realitzar avaluació d’impacte, si escau. Quan un tractament, per la seva naturalesa, abast, context o finalitats suposi un alt risc per als drets i llibertats de les persones físiques, especialment quan s’utilitzin noves tecnologies, el responsable ha de fer una avaluació de l’impacte en la protecció de dades (EIPD).

12) Vídeo vigilància, si disposen de càmeres de captació d’imatges és necessari complir amb els requisits legals i conèixer el protocol de sol·licitud de les imatges.

13) Wifi, si disposen de wifi a la disposició de clients, usuaris, empleats, etc., és necessari complir amb els requisits legals i conservar els registres de connexió dos anys.

14) Pàgina web. Ha de disposar de les clàusules i avisos legals en compliment de la LSSIce.

Sí, i les autoritats de control competents no sols estan posant multes a les grans companyies com Facebook o Google. Hi ha moltes altres empreses de menor grandària que també estan patint les conseqüències d’infringir la llei de protecció de dades.

A més, el Govern espanyol, el passat 2019 va augmentat els pressupostos per a l’Agència Espanyola de Protecció de Dades, aquest fet ens pot ajudar a entendre la importància que està adquirint la protecció de dades personals en el si de la Unió Europea.

 

Detallem els diferents tipus de dades:

Dades especialment protegides: Ideologia, afiliació sindical, religió, creences, origen racial o ètnic, salut, vida sexual, dades genètiques i biomètriques (Art. 9 del RGPD) així com dades relatives a condemnes i infraccions penals (Art. 10 del RGPD).

Dades identificatives: DNI, adreça postal o electrònica, imatge, veu, núm. de la seguretat social o Mutualitat, telèfon, fax, marques físiques, nom i dos cognoms, signatura o empremta, signatura electrònica, targeta sanitària.

Dades relatives a les característiques personals: Dades d’estat civil, dades de família, data de naixement, edat, sexe, nacionalitat, llengua materna, característiques físiques o antropomètriques.

Dades relatives a les circumstàncies socials: Característiques de l’allotjament, habitatge, situació familiar, propietats, possessions, aficions i estil de vida, pertinença a clubs i associacions, llicències, permisos i autoritzacions.

Dades acadèmiques i professionals: Formació, titulacions, historial de l’estudiant, experiència professional, pertinença a col•legis o associacions professionals.

Detalls d’ocupació: Professió, llocs de treball, dades no econòmiques de la nòmina, historial del treballador, vida laboral.

Dades que aporten informació comercial: Activitats i negocis, llicències comercials, subscripcions a publicacions o mitjans de comunicació, creacions artístiques, literàries, científiques o tècniques.

Dades econòmiques, financers i d’assegurances: Ingressos, rendes, inversions, béns patrimonials, crèdits, prestem, avals, dades bancàries, plans de pensions, jubilació, dades econòmiques de nòmina, dades de deduccions impositives/imposades, assegurances, hipoteques, subsidis, beneficis, historial de crèdits, targetes de crèdit.

Aquest principi es defineix com la necessitat (obligatorietat) que el responsable del tractament de dades apliqui mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament de dades personals és conforme amb el Reglament. És a dir, no n’hi ha prou amb complir amb la normativa de protecció de dades, també cal poder demostrar que s’està complint amb la normativa.

Aquest principi ve recollit en l’article 5 apartat 2 del RGPD: “El responsable del tractament serà responsable del compliment del que es disposa en l’apartat 1 i capaç de demostrar-lo («responsabilitat proactiva»)”.

La imatge és una dada de caràcter personal, ja que identifica o fa identificable a una persona. En aquest sentit, la instal·lació de càmeres, amb diverses finalitats com podria ser la seguretat, el control laboral, l’accés a zones restringides captant la matrícula del cotxe i la imatge del conductor, o fins i tot el monitoratge d’una UVI, suposaria un tractament de dades de caràcter personal i en conseqüència, se li aplicaria les normatives de protecció de dades.

És necessari tenir molta precaució a l’hora de publicar imatges a Internet, siguin fotografies o vídeos, si en aquestes hi apareixen persones.

La imatge d’una persona és també una dada de caràcter personal i no pot ser tractada de manera diferent a la finalitat per a la qual s’hagi obtingut, ni ser publicada sense un consentiment previ i exprés de la persona afectada. Això s’aplica a qualsevol activitat empresarial o professional que tracti amb imatges dels seus clients, associats, alumnes, etc.

Per exemple, una empresa dedicada a les activitats de muntanya, que ofereix rutes en grup i que fa fotografies de l’activitat, no podria publicar-les en el seu web o xarxes socials, sense haver obtingut prèviament el consentiment dels seus clients i haver-los informat de la seva posterior publicació.

Si bé l’article 8.1, paràgraf segon del RGPD, no considerava lícit el tractament de dades personals d’un nen/a menor de setze anys en relació amb l’oferta directa a nens/es de serveis de la societat de la informació, tret que els Estats membres establissin per llei una edat inferior, el legislador estatal en la LOPDGDD ha optat en el seu article 7 per establir com a lícit el tractament de dades de caràcter personal dels menors quan aquests siguin majors de catorze anys, en qualsevol dels casos.

Resumint, que el consentiment per al tractament de dades de personals podrà prestar-se pel mateix menor quan aquest sigui major de catorze anys.

S’exceptuen els supòsits en què la llei exigeixi l’assistència dels titulars de la pàtria potestat o tutela per a la celebració de l’acte o negoci jurídic en el context del qual es recapta el consentiment per al tractament.

El tractament de les dades personals dels menors de catorze anys, serà lícit si el consentiment l’atorga el pare, mare o el titular de la pàtria potestat o tutela.

La LOPDGDD, amplia els drets reconeguts a les persones vinculades als difunts permetent exercir, a més de la cancel·lació o supressió, els drets d’accés i rectificació. Així mateix, estableix com a excepció, que els hereus o persones vinculades no podran accedir, rectificar o suprimir les dades dels difunts, si aquest ho hagués prohibit o si una llei així ho estableix, sense perjudici d’aquelles dades de caràcter patrimonial als quals tinguessin dret a accedir.

S’estableix a més que en cas de produir-se la defunció d’un menor o una persona amb discapacitat aquests drets els podran exercir els seus representants legals o el Ministeri Fiscal.

L’article 96 de la LOPDGDD estableix a més, amb relació a l’eliminació dels perfils de xarxes socials de persones mortes, el dret al testament digital assenyalant que “les persones legitimades podran decidir sobre el manteniment o eliminació dels perfils personals de persones mortes en xarxes socials o serveis equivalents, tret que el difunt hagués decidit sobre aquesta circumstància, i en aquest cas s’estarà a les seves instruccions. El responsable del servei al qual se li comuniqui, d’acord amb el paràgraf anterior, la sol·licitud d’eliminació del perfil, haurà de procedir sense dilació a la mateixa” pel que sembla més clar que mai el reconeixement de certes garanties en el tractament de dades dels difunts.

Diàriament moltes empreses al voltant del món es veuen afectades per bretxes de seguretat. Els tractaments de dades i l’ús de les noves tecnologies impliquen que, de manera permanent, les empreses puguin ser afectades per les bretxes de seguretat.

Amb l’aplicació del RGPD sorgeix l’obligació de notificar les bretxes o violacions de seguretat a l’Agència Espanyola de Protecció de Dades i a les persones afectades, tret que sigui improbable que aquesta violació de la seguretat constitueixi un risc per als drets i les llibertats de les persones físiques.

És convenient establir un procediment per a gestionar les bretxes de seguretat en les empreses que incloguin les mesures tècniques i organitzatives per a poder afrontar un incident, així com la identificació dels agents implicats en la gestió de la bretxa, l’anàlisi de riscos i/o avaluació d’impacte i definició de plans de resposta a incident o pla de contingència.

La LSSIce o Llei 34/2002 de Serveis de la Societat de la Informació i del Comerç Electrònic, és una normativa que regula les activitats econòmiques a través d’internet, entenent aquestes com aquells productes o serveis oferts a través de pàgines webs, botigues online i correu electrònic.

L’objectiu que persegueix és regular el règim jurídic dels serveis relacionats amb Internet i la contractació electrònica.

Les persones que realitzin activitats econòmiques a Internet o altres mitjans telemàtics (correu electrònic, televisió digital interactiva…), sempre que:
• La direcció i gestió dels seus negocis estigui centralitzada a Espanya o,
• posseeixi una sucursal, oficina o qualsevol altre tipus establiment permanent situat en territori espanyol, des del qual es dirigeixi la prestació de serveis de la societat de la informació.
Es presumiran establerts a Espanya i, per tant, subjectes a la Llei als prestadors de serveis que es trobin inscrits en el Registre Mercantil o en un altre Registre públic espanyol en el qual fos necessària la inscripció per a l’adquisició de personalitat jurídica.

Quan aquest percep ingressos directes (per les activitats de comerç electrònic que dugui a terme a través de la pàgina, etc.) o indirectes (per publicitat, patrocini, etc.) derivats de la seva pàgina web, amb independència que aquests permetin sufragar el cost de manteniment de la pàgina, igualin aquesta quantitat o la superin.

La prestació de qualsevol servei a través d’Internet o altres mitjans electrònics pot realitzar-se lliurement i no requereix cap autorització específica. No obstant això, aquelles activitats o serveis que estiguin subjectes a autorització administrativa o a qualsevol altre requisit estaran sotmesos al règim general que els sigui aplicable per raó de les lleis i normes ja existents, amb independència que es prestin a través d’Internet.
Per exemple: l’autorització general de tipus C necessària per a prestar serveis d’accés a Internet continuarà sent exigible als proveïdors d’accés a Internet i les autoritzacions precises per a l’obertura de determinada mena d’establiments, com les farmàcies, o la necessitat de col·legiar-se per a exercir certes professions no resulten afectades per aquesta Llei.

És la celebració d’un contracte en el qual l’oferta i l’acceptació es transmeten per mitjà d’equips electrònics de tractament i emmagatzematge de dades connectades a una xarxa de telecomunicacions.

La LSSI assegura la validesa i eficàcia dels contractes que se celebrin per via electrònica encara que no constin, a la vegada, en suport paper. D’aquesta manera, es reforça l’eficàcia dels documents electrònics com a prova davant els Tribunals.
Qualsevol tipus de contracte pot celebrar-se per via electrònica excepte els relatius al Dret de família i successions (per exemple, un testament o uns capítols matrimonials).
Si els contractes han d’anar seguits del compliment de certs requisits formals (com la seva elevació a escriptura pública o la seva inscripció en algun Registre) aquests requisits continuaran sent exigibles perquè el contracte celebrat electrònicament sigui plenament vàlid o eficaç.

Haurà de posar a la disposició de l’usuari de manera permanent, fàcil i gratuïta la següent informació clara, comprensible i inequívoca sobre:

Abans d’iniciar el procediment de contractació:

  • Les condicions generals de contractació que, en el seu cas, regeixin el contracte.
  • Els tràmits o passos que ha de seguir per a celebrar el contracte.
  • Si s’arxivarà el document electrònic del contracte i si serà accessible.
  • Els mitjans tècnics que posa a la seva disposició per a identificar i corregir els errors en la introducció de les dades abans de confirmar-los.
  • La llengua o llengües en les quals pot formalitzar-se el contracte.

Després d’haver-se celebrat el contracte:

  • Confirmar la recepció de l’acceptació per algun dels següents mitjans:

Per mitjà d’un justificant de recepció per correu electrònic o un altre mitjà de comunicació electrònica equivalent a l’adreça que el contractant hagi assenyalat en el termini de les 24 hores següents a la recepció.

Per mitjà d’un mitjà equivalent al que s’hagi utilitzat en el procediment de contractació.

Sí. La Llei s’aplica a tota activitat amb transcendència econòmica que es realitzi per mitjans electrònics. En aquest cas, l’empresa només està obligada a facilitar, a través de la seva pàgina web, les dades d’informació general establerts en l’article 10.

La Llei no s’aplicarà a una pàgina web personal quan el seu titular no realitzi cap mena d’activitat econòmica a través d’aquesta.

Si la pàgina web té allotjada publicitat en forma de “bàners”, “pop-ups”, etc., el seu titular estarà subjecte a la Llei si percep alguna remuneració per aquests. Si aquests no generen cap ingrés al seu titular, per exemple, per haver estat imposats a canvi de la prestació d’un servei gratuït d’allotjament, aquest no estarà obligat a complir les obligacions previstes en la Llei. Tot això sense perjudici que a aquesta pàgina l’afectin altres normes jurídiques que siguin aplicable per ser públicament accessible.

Tota forma de comunicació dirigida a la promoció, directa o indirecta, de la imatge o dels béns o dels béns o serveis d’una empresa o organització o persona que realitzi una activitat comercial, industrial, artesanal o professional.

En realitzar e-mail màrqueting es tracten dades personals. Per tant, han de tenir-se en compte les següents normes:

La LSSIce, ja que regula totes les comunicacions que es realitzen de manera electrònica ja sigui amb persones o amb empreses, el RGPD i la LOPDGDD ja que el correu electrònic és considerat una dada personal.

Es prohibeix l’enviament de comunicacions comercials electròniques o publicitat via e-mail, tret que existeixi consentiment o autorització expressa prèvia per part del receptor. Són també il·legals els correus comercials a adreces de correu electrònic recollides en Internet o en bases de dades comprades.

Es consideren dades de caràcter personal els correus electrònics professionals, per la qual cosa dirigir-se a potencials clients, sense el seu consentiment, a través de l’e-mail és considerada una pràctica il·legal.

El RGPD exigeix que el consentiment, perquè sigui vàlid l’enviament d’informació comercial, ha de ser:

  • Lliure. El consentiment ha de ser prestat en un marc de llibertat.
  • Informat. S’ha d’informar l’interessat de:
    • la finalitat del tractament per al qual es vol recaptar el consentiment
    • el nom del responsable del tractament
    • com es tractaran aquestes dades
    • els drets dels quals és titular l’interessat
  • Específic. Amb això el regulador vol assegurar-se que quan el tractament tingui diverses finalitats es recapti el consentiment per a cadascun d’ells.
  • Inequívoc. La forma d’obtenció del consentiment ha de ser comprensible, és a dir que l’afectat sàpiga sense cap dubte perquè està donant el seu beneplàcit.


Per a complir aquests requisits, no pot admetre’s un consentiment tàcit o per defecte i s’exigeix, per tant, que existeixi una declaració dels interessats o una acció positiva que indiqui l’acord de l’interessat.

El RGPD exigeix que es pugui acreditar el consentiment i per aquest motiu és imprescindible comprovar els sistemes de registre del consentiment perquè sigui possible verificar-lo davant una auditoria o inspecció.

El prestador ha d’oferir a l’interessat la possibilitat d’oposar-se al tractament de les seves dades amb finalitats promocionals, tant en el moment de recollida de les dades com en cadascuna de les comunicacions comercials que li dirigeixi.

. Però com hem dit, l’afectat haurà de realitzar una clara acció afirmativa per a considerar aquest consentiment com a vàlid i si es pugui acreditar.

Per exemple: És vàlid recollir el consentiment dels clients mitjançant un formulari en paper, mitjançant una signatura d’aquests, com també és vàlid usar una PDA o tauleta per a recollir aquest consentiment si no volem tenir documentació en paper i ho volem tenir tot en format electrònic. Però es sebe assegurar que es pot acreditar aquest consentiment.

. No obstant això hi ha dues situacions a tenir en compte:

  1. Majors de 14 anys: El consentiment prestat per majors de 14 anys es pressuposa vàlid, sempre que no hi hagi una llei que per a un cas específic no ho permeti.

  2. Menors de 14 anys: Serà necessària la participació dels titulars de la pàtria potestat per a considerar el consentiment prestat per un menor de 14 anys.
    Per tant si es recapta el consentiment de manera online caldrà establir procediments perquè puguem verificar el consentiment parental.

Una cookie (o galeta informàtica) és una petita informació enviada per un lloc web i emmagatzemada en el navegador de l’usuari, de manera que el lloc web pot consultar l’activitat prèvia de l’usuari.

Les seves principals funcions són:

  • Portar el control d’usuaris: quan un usuari introdueix el seu nom d’usuari i contrasenya, s’emmagatzema una cookie perquè no hagi d’estar introduint-les per a cada pàgina del servidor. No obstant això, una cookie no identifica només a una persona, sinó a una combinació de computador-navegador-usuari.
  • Aconseguir informació sobre els hàbits de navegació de l’usuari, i intents de spyware (programes espia), per part d’agències de publicitat i uns altres. Això pot causar problemes de privacitat i és una de les raons per la qual les cookies tenen els seus detractors.

Si una pàgina web utilitza cookies (que és el més probable), s’ha de tenir en compte que en utilitzar cookies que poden identificar a un usuari i generar un perfil s’està realitzant un tractament de dades; això, per si mateix, ja obliga a comptar amb el consentiment de l’usuari. Per tant, s’aplicaran totes les disposicions relacionades amb el tractament de dades que preveu la legislació en temes com l’emmagatzematge, tractament o consentiment exprés.

L’existència d’arxius com les cookies es contempla en la LSSIce, però el RGPD i la LOPDGDD han reforçat les garanties i els drets de l’usuari.

L’Agència Espanyola de Protecció de Dades (AEPD), en col·laboració amb les associacions adigital, Autocontrol i IAB Spain, ha editat una Guia sobre l’ús de cookies a Espanya.

Aquesta guia pretén oferir orientacions sobre com complir les obligacions previstes en l’apartat segon de l’article 22 de la Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i de comerç electrònic (LSSIce), en relació amb el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, General de Protecció de Dades (RGPD) i la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades i garantia dels drets digitals (LOPDGDD).

El prestador del serveis, ha de facilitar de manera accessible i permanent la informació necessària perquè els usuaris puguin estar informats sobre aquest tema i prestar el seu consentiment per a la instal·lació de cookies.

L’opció més habitual és una finestra emergent, en forma de barra en l’encapçalat o al peu de pàgina, amb un text en el qual s’indiqui que la web, blog, etc. utilitza cookies i que contingui un link a la Política de Cookies, on l’usuari pugui trobar tota la informació detallada sobre aquest tema.

Segons la Llei, un prestador de serveis establert a Espanya, que opera amb caràcter comercial a través de qualsevol suport electrònic que instal·li cookies, té l’obligació de complir amb els requeriments establerts en la normativa.

L’incompliment de la LSSIce pot comportar sancions de fins a 600.000€, en funció de la infracció comesa:

  • Infraccions lleus: Sancions fins a 30.000€
  • Infraccions greus: Sancions entre 30.001€ i 150.000€
  • Infraccions molt greus: Sancions entre 150.001€ i 600.000€


Són infraccions lleus:

  • Ni informar en la forma prescrita per l’article 10.1 sobre els aspectes assenyalats en els apartats b), c), d), e) i g) d’aquest.
  • L’incompliment del que es preveu en l’article 20 per a les comunicacions comercials, ofereixes promocions i concursos.
  • L’enviament de comunicacions comercials per correu electrònic o un altre mitjà de comunicació electrònica equivalent als destinataris que no hagin sol·licitat o autoritzat expressament la seva remissió, quan no constitueixi una infracció greu.
  • No facilitar la informació que es requereix l’article 27.1, quan les parts no hagin pactat la seva exclusió o el destinatari sigui un consumidor.
  • L’incompliment de l’obligació de confirmar la recepció d’una petició en els termes establerts en l’article 28, quan no s’hagi pactat la seva exclusió o el contracte de faig celebrat amb un consumidor, tret que constitueixi infracció greu.

 

Són infraccions greus:

  • L’incompliment del que s’estableix en els paràgrafs a) i f) de l’article 10.1.
  • L’enviament massiu de comunicacions comercials per correu electrònic o un altre mitjà de comunicació electrònica equivalent a destinataris que no hagin autoritzat o sol·licitat expressament la seva remissió, o l’enviament, en el termini d’un any, de més de tres comunicacions comercials pels mitjans al·ludits a un mateix destinatari, quan aquest no hagués sol·licitat o autoritzat la seva remissió.
  • No posar a la disposició del destinatari del servei les condicions generals al fet que, en el seu cas, se subjecti el contracte, en la forma prevista en l’article 27.
  • L’incompliment habitual de l’obligació de confirmar la recepció d’una acceptació, quan no s’hagi pactat la seva exclusió o el contracte de faig celebrat amb un consumidor.
  • La resistència, exclosa o negativa a l’actuació inspectora dels òrgans facultats per a dur a terme amb a reglo a aquesta Llei.

 

Sancions molt greus:

  • L’incompliment de les ordres dictades en virtut de l’article 8 en aquells supòsits en què hagin estat dictades per un òrgan administratiu.
  • L’incompliment de l’obligació de suspendre la transmissió, l’allotjament de dades, l’accés a la xarxa o la prestació de qualsevol altre servei equivalent d’intermediació, quan un òrgan administratiu competent l’ordeni, en virtut del que es disposa en l’article 11.
  • L’incompliment de l’obligació de retenir les dades de trànsit generats per les comunicacions establertes durant la prestació d’un servei de la societat de la informació prevista en l’article 12.
  • La utilització de les dades retingudes, en compliment de l’article 12, per a finalitats diferents dels assenyalats en ell.

La figura del delegat de protecció de dades adquireix una destacada importància en el Reglament General de Protecció de Dades (RGPD) i així ho recull la Llei orgànica de Protecció de Dades i Garantia de Drets Digitals (LOPDGDD), que parteix del principi que té caràcter obligatori o voluntari, pot estar o no integrat en l’organització del responsable o encarregat i pot ser una persona física com una persona jurídica. 

Una de les novetats introduïdes pel Reglament General de Protecció de Dades (RGPD) és la instauració de la figura del “delegat de protecció de dades”. Així, l’article 37 del RGPD incorpora l’obligatorietat de designar un Delegat de Protecció de Dades en determinats supòsits i de manera més específica, en els contemplats en l’article 34 de la Llei orgànica de Protecció de Dades i Garantia de Drets Digitals (LOPDGDD).

Doncs bé, atenent el que es disposa en el considerant 97, el delegat de protecció de dades pot ser definit com una persona que participa en la supervisió de l’observança del Reglament que s’exigeix al responsable o encarregat del tractament ajudant-los en el compliment d’aquest.

La designació del DPD i les seves dades de contacte han de fer-se públiques pels responsables i encarregats i hauran de ser comunicades a les autoritats de supervisió competents, en el termini de deu dies.

L’article 37, apartat 1, del RGPD requereix la designació d’un Delegat de Protecció de Dades en tres casos específics:

  1. Quan el tractament el duguin a terme autoritats o organismes públics ->; tant autoritats nacionals com regionals o locals, així com en organismes regits pel dret públic (per ex. transport públic, subministrament d’energia, infraestructures, etc.). El seu nomenament obeeix a la necessitat de protecció addicional que pot requerir una persona que, habitualment, no tindrà un control sobre si les seves dades es tracten i de quina manera, o bé tenen un escàs poder de decisió.
  1. Quan els responsables o encarregats tinguin entre les seves activitats principals les operacions de tractament que requereixin una observació habitual i sistemàtica d’interessats a gran escala ->; per exemple, operadors d’una xarxa de telecomunicacions, aplicacions mòbils amb seguiment d’ubicació, publicitat comportamental, dispositius de mesurament i seguiment d’estat físic i salut, domòtica, cotxes intel·ligents connectats, etc.
  1. Quan els Responsables o encarregats tinguin entre les seves activitats principals el tractament a gran escala de dades sensibles ->; categories especials de dades personals o dades relatives a condemnes i infraccions penals.

 

La LOPDGDD, en el seu article 34, estableix la designació obligatòria de DPD en els següents supòsits (a més dels contemplats en el RGPD), sense importar, nombre d’empleats o volum de dades tractades:

  1. Els col·legis professionals i els seus consells generals.
  2. Els centres docents de tots els nivells, des d’escoles infantils a Universitats públiques i privades.
  3. Les empreses de telecomunicacions electròniques, quan tractin habitual i sistemàticament dades personals a gran escala, i altres prestadors de serveis de la societat de la informació, quan elaborin a gran escala perfils d’usuaris.
  4. Les entitats bancàries, caixes d’estalvi, cooperatives de crèdit i L’Institut de Crèdit Oficial.
  5. Els establiments financers de crèdit.
  6. Les entitats asseguradores i reasseguradores.
  7. Les empreses de serveis d’inversió, regulades per la legislació del Mercat de Valors.
  8. Els distribuïdors i comercialitzadors d’energia elèctrica i de gas natural.
  9. Les entitats responsables de fitxers de morosos
  10. Els responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i del finançament del terrorisme:
    • Entitats de crèdit, companyies d’assegurances i empreses de serveis d’inversió.
    • Notaris i registradors.
    • Entitats de pagament, diners electrònics, canvi de moneda, serveis postals de gir o transferència.
    • Advocats, procuradors o altres professionals quan actuïn per compte dels seus clients en operacions financeres, immobiliàries, o quan prestin els serveis de constituir societats, exercir la secretaria o altres serveis afins.
    • Promotors immobiliaris, API’s i agències immobiliàries.
    • Auditors de comptes, comptables externs i assessors fiscals.
    • Casinos de joc.
    • Joiers, galeries d’art i antiquaris.
    • Loteries i altres jocs d’atzar.
    • Fundacions i associacions.
  11. Les entitats que desenvolupin activitats de publicitat i prospecció comercial, incloent-hi les de recerca comercial i de mercats, quan duguin a terme tractaments basats en les preferències dels afectats o realitzin activitats que impliquin l’elaboració de perfils d’aquests.
  12. Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients. S’exceptuen els professionals de la salut que, fins i tot estant legalment obligats al manteniment de les històries clíniques dels pacients, exerceixin la seva activitat a títol individual.
  13. Les entitats que emetin informes comercials de persones físiques.
  14. Els operadors que desenvolupin l’activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius, conforme a la normativa de regulació del joc (joc en línia).
  15. Les empreses de seguretat privada.
  16. Les federacions esportives quan tractin dades de menors d’edat.

Els responsables o encarregats del tractament no inclosos en la relació anterior podran designar de manera voluntària un delegat de protecció de dades.

Quan una organització designi un DPD de manera voluntària, s’aplicaran a la seva designació i les seves tasques els requisits establerts en els articles 37 a 39 del RGPD.

Una vegada designat el DPD, els responsables i encarregats del tractament comunicaran en el termini de deu dies a l’Agència Espanyola de Protecció de Dades o, si s’escau, a les autoritats autonòmiques de protecció de dades, les designacions, nomenaments i cessaments dels delegats de protecció de dades tant en els supòsits en què es trobin obligades a la seva designació com en el cas en què sigui voluntària.

Agència Española de Protección de Datos:
https://sedeagpd.gob.es/sede-electronicaweb/vistes/formDelegadoProteccionDatos/*procedimientoDelegadoProteccion.jsf

Autoritat Catalana de Protecció de Dades:
https://apdcat.gencat.cat/ca/seu_electronica/tramits/comunicacio/

Agència Basca de Protecció de Dades:
https://www.avpd.euskadi.eus/formulari-de-*notificacion-de-delegats-de-*proteccion-de-dades/*s04-5273/és/

Referent a les funcions del Delegat de Protecció de Dades podem realitzar la següent classificació conforme a l’article 39 del RGPD:

  1. El Delegat de Protecció de Dades estarà obligat a informar i assessorar el responsable o a l’encarregat del tractament i als empleats que s’ocupin del tractament de les obligacions que els incumbeixen en virtut del RGPD i la LOPDGDD.
  1. A més haurà de supervisar el compliment del que es disposa en el RGPD i en la LOPDGDD i de les polítiques del responsable o de l’encarregat del tractament en matèria de protecció de dades personals, inclosa l’assignació de responsabilitats, la conscienciació i formació del personal que participa en les operacions de tractament, i les auditories corresponents.
  1. Haurà d’oferir l’assessorament que se li sol·liciti sobre l’avaluació d’impacte relativa a la protecció de dades i supervisar la seva aplicació de conformitat amb l’article 35 del RGPD.
  1. Una de les seves principals funcions serà la de cooperar amb l’autoritat de control, actuar com a punt de contacte per a qüestions relatives al tractament, inclosa la consulta prèvia a què es refereix l’article 36 del RGPD, i realitzar consultes, si s’escau, sobre qualsevol altre assumpte.
  • Es considera una infracció greu No designar un delegat de protecció de dades (DPD) quan sigui obligatori.
  • Es considera una infracció lleu No publicar les dades de contacte del delegat de protecció de dades o no comunicar-los a l’autoritat de control.

És així com distribueix i categoritza la LOPDGDD el tipus d’infraccions que es poden dur a terme. La quantia a pagar dependrà directament de la proporcionalitat de la infracció comesa. Aquesta seria la taula d’infraccions:

INFRACCIONS

QUANTIA

Lleus

Fins a 40.000 euros

Greus

40.001€ a 300.000€

Molt greus

300.000€ a 20.000.000€
2% a 4% facturació bruta anual

La LOPDGDD categoritza les infraccions en molt greus, greus i lleus.

Alguns dels actes sancionables de cadascun dels tres nivells, així com els terminis de prescripció, són:

Infraccions molt greus (prescriuen als 3 anys)

  • Vulnerar els principis establerts en el RGPD.
  • Incomplir els requisits exigits per a la validesa del consentiment.
  • Tractar dades personals per a una finalitat diferent per a la qual van ser recollides.
  • Exigir un pagament per a atendre les sol·licituds d’exercici de drets.
  • Realitzar una transferència internacional de dades personals sense garanties.
  • Incomplir resolucions dictades per l’autoritat de protecció de dades.
  • Revertir deliberadament l’anonimització amb la finalitat de reidentificar als titulars.

Infraccions greus (prescriuen als 2 anys):

  • Tractar dades d’un menor d’edat sense el seu consentiment, o el dels pares o tutors legals, si s’escau.
  • No adoptar mesures tècniques i organitzatives apropiades per a garantir el compliment de la protecció de dades o un nivell de seguretat adequat.
  • Contractar un encarregat de tractament que no ofereixi les garanties suficients o sense la prèvia formalització d’un contracte.
  • No disposar del registre d’activitats de tractament.
  • No notificar una violació de seguretat de les dades a l’autoritat de control.
  • Tractar dades personals sense realitzar una avaluació de l’impacte, quan sigui exigible.
  • No designar un delegat de protecció de dades (DPD) quan sigui obligatori.

Infraccions lleus (prescriuen en 1 any):

  • No complir el principi de transparència de la informació.
  • Incomplir el deure d’informar a l’interessat.
  • No suprimir les dades referides a una persona morta quan això sigui obligatori.
  • Disposar d’un Registre d’activitats de tractament incomplet.
  • Notificar una violació de seguretat a l’autoritat de protecció de dades de manera defectuosa.
  • No publicar les dades de contacte del delegat de protecció de dades o no comunicar-les a l’autoritat de control.

Una de les novetats destacades del Reglament General de Protecció de Dades (RGPD) és l’establiment d’un nou règim sancionador, les empreses que no compleixin les obligacions s’exposen a multes de fins a 20 milions d’euros o el 4% de la facturació anual. La Llei orgànica de Protecció de Dades i Garantia dels Drets Digitals desenvolupa el sistema de sancions del RGPD.

És així com distribueix i categoritza la LOPDGDD el tipus d’infraccions que es poden dur a terme. La quantia a pagar dependrà directament de la proporcionalitat de la infracció comesa. Aquesta seria la taula d’infraccions:

INFRACCIONS

QUANTIA

Lleus (Art. 74 LOPDGDD)

Fins a 40.000 euros

Greus (Art. 73 LOPDGDD)

40.001€ a 300.000€

Molt greus (Art. 72 LOPDGDD)

300.000€ a 20.000.000€
2% a 4% facturació bruta anual