¿Què és el GDPR?



General Data Protection Regulation o GDPR

GDPR és l'acrònim de General Data Protection Regulation, que identifica el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, del 27 d'abril del 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades. El GDPR deroga la Directiva 95/46/CE. El GDPR va entrar en vigor el 25 de maig del 2016 i és d'aplicació obligatòria a cada Estat membre de la UE des del 25 de maig del 2018.


Àmbit d’aplicació territorial

El GDPR s'aplica a les operacions realitzades sobre dades personals de ciutadans residents a la UE (interessats) efectuades per un Responsable (RT) o un Encarregat (ET) del tractament:

  • Establert a la UE, independentment que el tractament tingui lloc a la UE o no.
  • No establert a la UE, sempre que les activitats del tractament estiguin relacionades amb:
    • L'oferta de béns o serveis a persones residents a la UE, es pagui o no per això.
    • El control de la conducta de persones, si té lloc a la UE.
  • No establert a la UE, però sigui aplicable la legislació d'un Estat de la UE.


Àmbit d'aplicació material

  • El GDPR s’aplica al tractament de dades personals destinat a ser inclòs en un fitxer:
    • Automatitzat (digital o electrònic).
    • No automatitzat (manual o paper).
    • Parcialment automatitzat (digital o manual).
  • El GDPR no s’aplica al tractament de dades personals:
    • En l’exercici duna activitat no compresa en l’àmbit d’aplicació d’una llei.
    • Efectuat per una persona física en l'exercici d'activitats exclusivament personals o domèstiques
    • Per part de les autoritats competents amb fins de prevenció, investigació, detecció o enjudiciament d'infraccions penals, o d'execució de sancions penals, inclosa la de protecció davant d'amenaces a la seguretat pública i la seva prevenció.

Conceptes fundamentals

  • Dades personals: informació relativa a una persona física, identificada o identificable, per la qual se'n pugui determinar, directament o indirectament, la identitat.
  • Interessat: persona física sotmesa al tractament de les seves dades personals.
  • Tractament: operacions realitzades sobre dades personals:
    • Recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió, qualsevol altra forma d’habilitació d’accés, confrontació o interconnexió, limitació, supressió o destrucció.
  • Fitxer: conjunt estructurat de dades personals, accessibles d'acord amb criteris determinats, ja sigui centralitzat, descentralitzat o repartit de manera funcional o geogràfica.


Categories de dades

  • Bàsiques: dades personals no compreses en les categories especials o penals.
    • Per exemple: nom, adreça, correu electrònic, telèfon, edat, sexe, signatura, imatge, aficions, patrimoni, dades bancàries, informació acadèmica, professional, social, comercial, financera, etc.
  • Especials (dades sensibles): dades:
    • Relatives a l’origen ètnic o racial.
    • Relatives a opinions polítiques.
    • Relatives a conviccions religioses o filosòfiques.
    • Relatives a l'afiliació sindical.
    • Genètiques
    • Biomètriques que permetin la identificació unívoca duna persona.
    • Relatives a la salut.
    • Relatives a la vida i orientació sexual.
  • Penals: dades relatives a condemnes i delictes penals o mesures de seguretat connexes.


Categories de tractaments específics:

  • Alt risc: tractament subjecte a una avaluació d'impacte perquè és susceptible de comportar un alt risc per a la protecció dels drets i les llibertats dels interessats.
  • Transferències internacionals de dades: transmissió de dades personals a entitats de tercers països o organitzacions internacionals no establertes a la UE.
  • Elaboració de perfils: tractament automatitzat de dades personals, consistent a utilitzar aquestes dades per avaluar determinats aspectes personals d'una persona física, o en particular per analitzar o predir aspectes relatius al rendiment professional, situació econòmica, salut, preferències o interessos personals, fiabilitat, comportament, ubicació o moviments de la persona esmentada.
  • Grups d'empreses: grup que comprèn una empresa que exerceix el control i les empreses controlades.
  • Titularitat o interès públic:
    • Tractaments realitzats per autoritats o organismes públics en l’exercici de les seves funcions.
    • Tractaments amb fins d'interès públic fonamentats a la legislació vigent.
    • Tractaments amb finalitats de recerca històrica, estadística o científica.


Responsabilitats del tractament

  • Responsable del tractament (RT): persona física o jurídica, autoritat pública, servei o organisme que, sol o conjuntament amb altres, determini els fins i els mitjans del tractament.
    • Per exemple: Autònoms; Professionals; Societats; Associacions; Agrupacions; Comunitats; etc.
  • Encarregat del tractament (ET): persona física o jurídica, autoritat pública, servei o organisme que, tracti dades personals per compte del RT.
    • Per exemple: Assessories laborals, fiscals o comptables; Manteniment d’equips i aplicacions informàtiques; Còpies de seguretat externes; Seguretat i videovigilància; Destrucció de documents; etc.
  • Corresponsable del tractament (CT): quan diversos RT determinin conjuntament els fins i els mitjans del tractament.
    • Per exemple: grups d’empreses; franquícies, concessionaris; etc.
  • Destinatari de dades: persona física o jurídica, servei o organisme que rep dades personals mitjançant una comunicació o transmissió.
    • Les autoritats públiques que poden rebre dades personals en el marc d'una investigació concreta no s'han de considerar destinataris.
    • Per exemple: Asseguradores; Bancs; Mútues; Vigilància de la salut; Subcontractes d'empleats; etc.
  • Personal autoritzat: persona autoritzada per fer un tractament de dades sota l'autoritat directa del RT o ET, que s'hagi compromès a respectar la confidencialitat o tingui l'obligació legal de confidencialitat.


Agents de protecció de dades

  • Delegat de protecció de dades (DPO): persona encarregada de supervisar el compliment del GDPR i d'informar i assessorar el RT, ET i el personal autoritzat de les obligacions relatives a la protecció de dades personals.
  • Autoritat de control (AC): autoritat pública independent per supervisar l'aplicació del GDPR.
    • Per exemple: Agència Espanyola de Protecció de Dades (AEPD); Autoritat Catalana de Protecció de Dades (APDCAT); Agència Basca de Protecció de Dades (AVPD); Consell de Transparència i Protecció de Dades d'Andalusia (CTPDA), etc.


Principis del tractament de dades
Els principis del tractament són la base fonamental de la protecció de dades. Les dades personals seran tractades amb:

  • Licitud: lleialtat i transparència amb l'interessat.
  • Limitació dels fins: recollides amb fins determinats, explícits i legítims i no tractades posteriorment de manera incompatible amb aquests fins.
  • Minimització de les dades: adequades, pertinents i limitades al que és necessari en relació amb els fins per als quals són tractades.
  • Exactitud: actualitzades sense dilació respecte a les finalitats per a les quals es tracten.
  • Limitació del termini de conservació: mantingudes de manera que es permeti la identificació dels interessats durant no més temps del necessari per als fins pels quals es tracten.
    • Excepte si el tractament es fa exclusivament per a fins d'arxiu en interès públic o per a recerca històrica, estadística o científica.
  • Integritat i confidencialitat: implementant mesures tècniques i organitzatives adequades per protegir les dades contra tractaments no autoritzats o il·lícits i la seva pèrdua, destrucció o danys accidentals.
  • Responsabilitat proactiva: sent responsable del compliment de tots els principis i capaç de demostrar-ho.


Protocols de responsabilitat proactiva

  • Legitimació del tractament: en què es determinin les bases jurídiques que legitimen els tractaments.
  • Política d'informació: en què s'estableixin les fórmules per facilitar a l'interessat tota la informació relativa al tractament de les seves dades personals i els drets que l’assisteixen.
  • Política de seguretat: en què s'estableixin les mesures de seguretat tant tècniques com organitzatives per garantir la protecció de dades en totes les fases del tractament tenint en compte els riscos que els tractaments suposen per als drets i les llibertats dels interessats.
  • Gestió de riscos: en què s'identifiquen, analitzen i avaluen en totes les activitats de tractament tots els possibles riscos que aquests suposen per als drets i llibertats dels interessats; tractant aquests riscos mitjançant l'adopció de mesures de seguretat que els redueixin a nivells acceptables, i que seran part de la política de seguretat que s'elabori.
  • Avaluació d’impacte: gestió de riscos que es duu a terme de manera prèvia a l'inici del tractament, quan sigui probable que aquest, especialment si utilitzen noves tecnologies i tenint en compte la seva naturalesa, abast, context o fins, pugui comportar un alt risc per als drets i llibertats de les persones físiques.
  • Registre de les activitats del tractament: per registrar totes les activitats de tractament efectuades sota la responsabilitat de l'entitat com a RT o com a ET
  • Gestió de violacions de la seguretat: per resoldre les bretxes de seguretat produïdes en el transcurs del tractament de dades, per tal de minimitzar els riscos i mitigar els danys o perjudicis ocasionats a interessats o tercers.
  • Atenció de les sol·licituds d'exercici dels drets de l'interessat: per facilitar als interessats l'exercici dels drets que confereix el GDPR.
  • Garantia de compliment: el compliment del GDPR a través de la realització d'auditories, implantació de sistemes de gestió de seguretat de la informació (ISO 27001 o 27701, ENS, etc.), adhesió a codis de conducta o mecanismes de certificació en matèria de protecció de dades, segells i marques de protecció de dades.