D E U R E d... · 2019-06-28 · Per qualsevol dubte o qüestió, contacteu amb l'Agència...
Transcript of D E U R E d... · 2019-06-28 · Per qualsevol dubte o qüestió, contacteu amb l'Agència...
DEURE D'INFORMACIÓ
OBLIGACIONS DELS RESPONSABLESDE TRACTAMENT DE DADES.
G U I E S A P D A
CONTINGUTDEL DEURED'INFORMACIÓ
Sobre què cal informar?
En el moment de la recollida de les dades, la persona interessada té
dret a ser informada, per part del
responsable del tractament, de les circumstàncies següents:
Finalitat? La persona interessada ha de ser clarament informada de tal
manera que sàpiga i entengui inequívocament la finalitat i els usos
als quals es destinaran les seves dades objecte de recollida, i,
especialment, a la finalitat de la recollida i als usos de les seves dades
personals.
Identitat del responsable del tractament.
Finalitat del tractament de les dades sol·licitades.
Destinataris o tipus de destinataris de les dades.
Drets d'accés, rectificació i supressió de les seves dades i com pot
exercir-los.
Del seu dret a no atorgar el consentiment per al tractament de les
dades, i de les conseqüències de
no atorgar-lo (caràcter facultatiu o obligatori de les respostes).
Si s’utilitzen qüestionaris o altres impresos per a la recollida de les
dades personals, cal consignar de manera llegible, clara i
detalladament la informació ressenyada més amunt; així com el
consentiment de la persona interessada.
És obligació del responsable del tractament conservar el suport que
contingui i demostri l’acompliment del deure d’informar. Per a la
consecució d’aquest objectiu, pot utilitzar, també, mitjans informàtics o
telemàtics. En particular, pot escanejar la documentació en suport
paper, sempre que pugui demostrar que en l’automatització no hi ha
intervingut cap alteració dels suports originals.
En cas de dubte de la prova de l’existència del consentiment de la
persona interessada, la responsabilitat recau sobre el responsable
del tractament.
art. 13 Llei 15/2003, de 18 de desembre, qualificada de protecció de dades personals
art. 10, Decret 9-6-2010, d'aprovació del Reglament de l'Agència andorrana de
protecció de dades
NOVETATS RGPD
Si la meva empresa està afectada pel RGPD,tinc obligacions addicionals?
Les dades de contacte del delegat de protecció de dades, si escau.
La base jurídica o legitimació per al tractament.
L'interès legítim perseguit pel responsable o per un tercer, quan el tractament es basa en
aquest interès legítim.
La previsió de transferències a tercers països i l'existència d'una decisió d'adequació o de
garanties adequades i els mitjans per obtenir-ne una còpia.
El termini o els criteris de conservació de la informació.
El dret a sol·licitar la limitació del tractament i la portabilitat de les dades.
El dret a retirar el consentiment en qualsevol moment.
El dret a presentar una reclamació davant les autoritats de control.
L'existència de decisions automatitzades o l'elaboració de perfils, la lògica aplicada i les
seves conseqüències per la persona interessada.
Les categories de les dades i la font d'obtenció de les mateixes (quan les dades no
s'obtinguin del mateix interessat).
REQUISITS ADDICIONALS:
Quan el responsable de tractament prevegui un tractament de dades ulterior amb una finalitat
diferent a la estipulada en el moment de la recollida, caldrà que proporcioni a l'interessat, amb
anterioritat a aquest nou tractament, informació sobre aquesta nova finalitat i qualsevol altra
modificació d'allò informat prèviament.
En conseqüència, els procediments, models o formularis dissenyats de conformitat amb la
normativa andorrana s'han de revisar i adaptar per tal d'incorporar-hi els nous requisits en
els casos on sigui d'aplicació el Reglament Europeu de Protecció de Dades.
arts. 13 i 14, Reglament General 2016/679, del Parlament Europeu i del Consell de 27 d'abril de 2016,
relatiu a la protecció de les persones físiques en el que respecta a tractaments de dades i la lliure
circulació d'aquests i per el que es deroga la Directiva 95/46/CE (RGPD)
QUI I QUAN HA D'INFORMAR
En quin moment cal informar a l'interessat?
L'obligat a informar a les persones interessades sobre allò relatiu al tractament de dades és el
RESPONSABLE DEL TRACTAMENT.
Aquesta obligació persistirà encara que el responsable delegui la recollida de dades en un PRESTADOR
DE SERVEIS, que haurà de proporcionar la mateixa informació per compte del responsable.
QUI?
La persona interessada ha de conéixer la informació:
QUAN?
La informació provée del propi interessat? En el moment de la recollida.
- Si ja es disposa de les dades i no es té el consentiment, caldrà que cada interessat
consenteixi al tractament de dades, encara que sigui a posteriori.
La informació no provée del propi interessat? En un termini raonable mai superior a un mes,
excepte quan la informació es comuniqui a tercers (s'informarà abans de la comunicació) o quan
les dades s'utilitzin per establir un canal de comunicació interessat - responsable (s'informarà
amb anterioritat a la primera comunicació).
En ambdós casos, quan les dades vulguin emprar-se per a una finalitat diferent a la prevista
inicialment, convindrà informar a l'interessat amb anterioritat al nou tractament.
arts. 13 i 14 de la Llei 15/2003, de 18 de desembre, qualificada de protecció de dades personals i
art. 10 del Decret 9-6-2010, d'aprovació del Reglament de l'Agència andorrana de protecció de dades
En el cas d'administracions públiques, no hi haurà obligació d'informar si la informació
indicada s'ha descrit en la norma de creació de fitxers de naturalesa pública de l'art. 30
de la Llei 15/2003.
ON I COMCONVÉ INFORMAR?
L'obligació s'ha de complir sense necessitatde requeriment previ.
La normativa no estipula un tipus determinat de procediment de recollida d'informació ja que les
formes d'informar als interessats han d'adaptar-se a les circumstàncies de cadascun dels
mitjans emprats per recollir-les (formularis a paper, registres d'activitat personal o d'aplicatius
mòbils, entrevistes telefòniques, etc.).
ON?
La informació ha de presentar-se:
arts. 13 i 14, Reglament General 2016/679, del Parlament Europeu i del Consell de 27 d'abril de 2016,
relatiu a la protecció de les persones físiques en el que respecta a tractaments de dades i la lliure
circulació d'aquests i per el que es deroga la Directiva 95/46/CE (RGPD)
COM?
En un llenguatge clar, senzill i entenedor.
De forma expressa, precisa i inequívoca.
Evitar fórmules que dificultin la comprehensió general del text.
Cal adaptar el llenguatge al destinatari (com per exemple, si ens adrecem a menors
d'edat).
ULL! En el cas de menors d'edat només serà vàlid el consentiment donat quan el
menor sigui major de 16 anys i la fórmula emprada en el deure d'informació sigui
concisa, transparent, en llenguatge entenedor i comprehensible pel menor.
Informació per capes:
Novetat introduïda pel RGPD en la que es segueix un enfocament per nivells per tal de presentar
la informació bàsica exigida de forma resumida per tal que l'interessat pugui fer-se amb una
idea general de en què consistirà el tractament i oferir la resta d'informació, més detallada, en
un segon nivell.
DEURED'INFORMACIÓPER CAPES
Com cal informar?
Informació bàsica o resumida (primera capa):
redacció senzilla i sense massa informació (es desenvoluparà en la
segona capa). Incloure un epígraf que faci referència:
Responsable - indicar denominació.
Finalitat - enumera cadascuna de les previstes i si es faran o no
perfils o es prendran decisions automatitzades.
Destinataris o tipus de destinataris de les dades.
Drets - fer referència a la possibilitat d'exercir els drets d'accés,
oposició, rectificació i supressió
Categories de dades (en el cas de no haver obtingut les dades de
l'interessat) - ex. dades identificatives, acadèmiques, laborals i
economicofinanceres.
Procedència - ex. Com hem obtingut les vostres dades?
Informació detallada (segona capa):
Completar amb tot tipus de detalls la informació continguda als epígrafs de
la primera capa o afegir-ne de nous si així es desitja.
Responsable - identitat i dades de contacte (adreça postal i correu
electrònic) + dades de contacte del DPO, si escau.
Finalitat - determinar totes les finalitats. Cal evitar fórmules massa
genèriques que puguin conduir a tractaments posteriors que vagin
més enllà de les expectatives raonables dels interessats. En cas que
s'elaborin perfils o es prenguin decisions automatitzades, incloure
informació sobre la lògica aplicada i les conseqüències previstes
d'aquests tractaments.
Destinataris o tipus de destinataris de les dades- identitat,
comunicacions internacionals (país tercer? decisió d'adeqüació? etc).
Drets - forma i mecanismes detallats per exercir drets ARSO (models,
formularis, contacte) + possibilitat de reclamar davant l'autoritat de
control.
Legitimació - base legal del tractament de dades (consentiment
interessat, execució d'un contracte, obligació legal, etc).
EXEMPLE INFORMACIÓPER CAPES
Què en farem amb les vostresdades?
Tramitar la comanda, gestionar el vostrecompte, personalitzar la vostraexperiència a la plana web. La informació es compartirà amb elsmembres del nostre grup empresarial (siaixí ho consentiu) i en cap cas escomunicarà a tercers. Trobareu més informació aquí.
Per qualsevol dubte o qüestió, contacteuamb l'Agència andorrana de protecció de
dades: