Cercaterm

Nota

• Àmbit: Unió Europea / Espanya / Catalunya
• Una dada personal és qualsevol informació sobre una persona física identificada o identificable. Té la consideració de persona física identificable qualsevol persona la identitat de la qual es pot determinar, directament o indirectament, normalment mitjançant un identificador.
  L'article 18.4 de la Constitució espanyola protegeix les persones físiques en relació amb el tractament de dades personals, siguin analògiques o digitals, per tant, es tracta d'un dret fonamental. L'article 8 de la Carta dels Drets Fonamentals de la Unió Europea, del 28 d'abril de 2000, i l'article 16.1 del Tractat de Funcionament de la Unió Europea estableixen que tota persona té dret a la protecció de dades personals que la concerneixen.
  La regulació sobre la protecció de dades personals ha estat objecte de dedicació de l'òrgan legislador de manera continuada. La Llei orgànica 5/1992, del 29 d'octubre, reguladora del tractament automatitzat de dades personals, va regular per primer cop a l'Estat espanyol la protecció de dades personals. Aquesta norma va ser derogada per la Llei orgànica 15/1999, del 5 de desembre, de protecció de dades personals, a fi de transposar al dret intern la Directiva 95/46/CE del Parlament Europeu i del Consell, del 24 d'octubre, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades digitals, juntament amb el reglament aprovat pel Reial decret 1720/2007, del 21 de desembre. La Directiva 95/46/CE té per objecte garantir que el dret a la protecció de dades personals no suposi un obstacle a la lliure circulació de les dades en el si de la Unió Europea, i estableix un espai comú de garantia del dret que, alhora, asseguri que, en cas de transferència internacional de les dades, el tractament que se'n faci al país de destinació estigui protegit. El Reglament 2016/679 del Parlament Europeu i del Consell, del 27 d'abril, sobre protecció de les persones físiques pel que fa al tractament de dades personals i la lliure circulació d'aquestes dades, deroga la Directiva 95/46/CE. Finalment, a l'Estat espanyol la Llei orgànica 3/2018, del 5 de desembre, regula la protecció de dades personals i la garantia dels drets digitals.
  Aquesta llei estableix el deure de confidencialitat, que a la vegada és un deure complementari al del secret professional. El tractament de dades com a criteri general ha d'estar basat en el consentiment de la persona afectada. El tractament de dades personals només es pot considerar fonamentat en el compliment d'una obligació legal exigible a la part responsable del seu tractament, en els termes que estableix l'article 6.1c del Reglament 2016/679, quan així ho determini una norma de dret de la Unió Europea o una norma amb rang de llei.
  Està prohibit el tractament de dades personals, anomenades categories especials de dades personals, que revelin l'origen ètnic o racial, les opinions polítiques, les creences religioses, filosòfiques o sindicals, i el processament de dades genètiques, dades biomètriques per a identificar de manera única una persona física, dades de salut o dades relatives a la vida sexual o les orientacions sexuals d'una persona física. No s'aplica aquesta prohibició: a) quan la persona interessada n'hagi donat el consentiment explícit, o quan les seves dades siguin manifestament públiques; b) quan sigui necessari per al compliment d'obligacions i l'exercici de drets específics de l'ens responsable del tractament en l'àmbit del dret laboral i de la seguretat i la protecció social, autoritzada pel dret comunitari dels estats membres o en virtut d'un conveni col·lectiu en la mesura que ho estableixi el dret intern de l'estat de la persona afectada; c) quan el tractament sigui necessari per a protegir els interessos vitals de la persona interessada o d'una altra persona física, en cas que la part interessada no estigui qualificada, físicament o legalment, per a donar el seu consentiment; d) quan el tractament de les dades es porti a terme, en l'àmbit de les seves activitats legítimes i amb les degudes garanties, per part d'una fundació, associació o qualsevol altra organització sense ànim de lucre, la finalitat de la qual sigui política, filosòfica, religiosa o sindical, sempre que el tractament es refereixi exclusivament a membres actuals o exmembres d'aquestes entitats o persones que hi tinguin contactes regulars pel que fa a les seves finalitats i sempre que les dades no siguin comunicades sense el consentiment de les parts interessades; e) quan el tractament sigui necessari per a la formulació, l'exercici o la defensa de reclamacions o quan els tribunals actuïn en l'exercici de llur funció judicial; f) quan el tractament sigui necessari per raons d'interès públic essencial, per a fins de medicina preventiva o laboral, avaluació de la capacitat laboral, diagnòstic mèdic, assistència sanitària o tractament mèdic, assistència social, o per raons de salut pública, medicament o productes sanitaris, i g) quan tingui per objecte aportar o tractar dades a arxius d'interès públic, per a investigació científica o històrica, o finalitats estadístiques.
  Les persones responsables i encarregades del tractament de dades han de determinar les mesures tècniques i organitzatives apropiades que han d'aplicar a fi de garantir i acreditar que el tractament s'ajusta a la normativa. Així mateix, han de portar a terme un registre de les activitats de tractament sota la seva responsabilitat.
  La part encarregada del tractament és la persona física o jurídica, autoritat pública, servei o un altre organisme que presta un servei a l'ens responsable de les dades que comporta el tractament de dades personals pel seu compte. La part responsable del tractament és la persona física o jurídica, autoritat pública, servei o un altre organisme que tracta dades personals per compte del responsable del tractament. Ambdues parts del tractament han de designar una figura delegada de protecció de dades sempre que: a) el tractament el porti a terme una autoritat o organisme públic, excepte els jutjats que actuen en l'exercici de la seva funció judicial; b) les principals activitats de la persona responsable o encarregada consisteixin en operacions de tractament que per la seva naturalesa, abast o finalitats requereixin una observació habitual i sistemàtica de les parts interessades a gran escala, i c) les activitats principals de les figures responsables o encarregades consisteixen en el tractament a gran escala de categories especials de dades personals i dades relatives a condemnes per infraccions penals.
  El responsable del tractament té l'obligació de transparència i d'informació a la persona afectada. La part afectada té els drets d'accés, rectificació, supressió, a la limitació del tractament i a la portabilitat. El responsable del tractament ha de bloquejar les dades quan es dugui a terme la rectificació o la supressió.
  Les dades de contacte d'empresaris individuals i de professionals lliberals s'entenen emparades legalment quan es refereixin a les dades necessàries per a la seva localització professional i quan tinguin per finalitat exclusiva mantenir relacions amb la persona jurídica a qui prestin serveis.
  Tret que hi hagi una prova en contra, es considera lícit el tractament de dades personals relatives a l'incompliment d'obligacions dineràries, financeres o de crèdit per sistemes comuns d'informació creditícia quan es compleixin els requisits següents: a) que les dades les hagi facilitat la part creditora o qui actuï pel seu compte o interès; b) que les dades les hagi facilitat la part creditora o qui actuï pel seu compte o interès; c) que les dades es refereixin a deutes certs, vençuts i exigibles, l'existència o la quantia dels quals no hagi estat objecte d'una reclamació administrativa o judicial per part de la part deutora o mitjançant un procediment alternatiu de resolució de disputes vinculant entre les parts, i d) que la part creditora hagi informat la persona afectada en el contracte o en el moment de requerir el pagament sobre la possibilitat d'inclusió en els sistemes esmentats, amb indicació d'aquells en què participi. Així mateix, es consideren lícits els tractaments de dades, incloent-hi la comunicació amb caràcter previ, que es puguin derivar de l'execució de qualsevol operació de modificació estructural de societats o l'aportació o transmissió de negoci o de branca d'activitat empresarial, sempre que els tractaments siguin necessaris per al bon fi de l'operació i garanteixin, quan escaigui, la continuïtat en la prestació dels serveis.
  Les persones físiques o jurídiques, públiques o privades, poden dur a terme el tractament d'imatges a través de sistemes de càmeres o videocàmeres amb la finalitat de preservar la seguretat de les persones i els béns, així com de les instal·lacions. Només es poden captar imatges de la via pública en la mesura en què sigui imprescindible aquesta finalitat. No obstant això, és possible la captació de la via pública en una extensió superior quan sigui necessari per a garantir la seguretat de béns o instal·lacions estratègics o d'infraestructures vinculades al transport, sense que en cap cas no pugui suposar la captació d'imatges de l'interior d'un domicili privat. Les dades s'han de suprimir en el termini màxim d'un mes des que van ser captades, excepte quan s'hagin de conservar per a acreditar la comissió d'actes que atemptin contra la integritat de persones, béns o instal·lacions.
  Es poden tractar dades personals que tinguin per objecte evitar l'enviament de comunicacions comercials als qui hagin manifestat la seva negativa o oposició a rebre-les. A aquest efecte, es poden crear sistemes d'informació, generals o sectorials, en què només s'han d'incloure les dades imprescindibles per a identificar els afectats. Les entitats responsables dels sistemes d'exclusió publicitària han de comunicar a l'autoritat de control competent la seva creació, el seu caràcter general o sectorial, així com la manera com els afectats s'hi poden incorporar i, si escau, fer valer les seves preferències.
  És lícita la creació i el manteniment de sistemes d'informació per mitjà dels quals es pugui posar en coneixement d'una entitat de dret privat, fins i tot anònimament, la comissió en el seu si o en l'actuació de terceres parts que hi facin contractes d'actes o conductes que puguin ser contraris a la normativa general o sectorial que li sigui aplicable. Les parts ocupadores i les terceres parts han de ser informades sobre l'existència d'aquests sistemes d'informació. L'accés a les dades contingudes en aquests sistemes queda limitat exclusivament a les parts que, incardinades o no en el si de l'entitat, exerceixin les funcions de control intern i de compliment, o als ens encarregats del tractament que es designin eventualment a aquest efecte. Ara bé, és lícit l'accés a aquestes dades per part d'altres persones, o fins i tot comunicar-les a terceres parts, quan sigui necessari per a l'adopció de mesures disciplinàries o per a la tramitació dels procediments judicials. Només quan pugui escaure l'adopció de mesures disciplinàries contra una persona treballadora, es permet aquest accés al personal amb funcions de gestió i control de recursos humans.
  L'article 13 de l'Estatut dels treballadors (ET), aprovat pel Reial decret legislatiu 2/2015, del 23 d'octubre, fixa la normativa sobre el treball a distància i regula el treball a domicili. La definició aprovada per la Llei 3/2012, del 6 de juliol, de mesures urgents per a la reforma del mercat laboral considera treball a distància l'activitat laboral que es realitza de manera preponderant des del domicili de la persona treballadora o des de qualsevol altre lloc escollit per aquesta lliurement, fora de la seu de l'empresa. L'article 2 del Reial decret llei 28/2020, del 22 de setembre, de treball a distància especifica les diferents modalitats de treball. Les persones que teletreballen han d'estar protegides davant de qualsevol risc laboral, poden ser representades de forma col·lectiva per a la defensa dels drets laborals, i ser elegibles com a representants legals dels treballadors i treballadores. La norma garanteix el dret a la intimitat, a la protecció de dades, i a la desconnexió digital, tot i mantenir les facultats de control per part de l'empresari.
  L'Agència Espanyola de Protecció de Dades té per finalitat principal vetllar pel compliment de la normativa en aquesta matèria. Les autoritats autonòmiques exerceixen les mateixes funcions en l'àmbit geogràfic corresponent pel que fa a: a) tractaments dels quals siguin responsables les entitats integrants del sector públic de la comunitat autònoma corresponent o de les entitats locals incloses en el seu àmbit territorial o els qui prestin serveis a través de qualsevol forma de gestió directa o indirecta; b) tractaments que duguin a terme persones físiques o jurídiques per a l'exercici de les funcions públiques en matèries que siguin competència de l'Administració autonòmica o local corresponent, i c) tractaments que estiguin previstos expressament, si escau, als estatuts d'autonomia respectius.
  La Llei 5/2002, del 19 d'abril, crea l'Autoritat Catalana de Protecció de Dades. Al País Valencià hi ha la Fundació Comunitat Valenciana - Regió Europea, entitat sense ànim de lucre que té com a missió defensar, representar i promoure les institucions, les empreses, els ciutadans i els col·lectius. A Andorra, la normativa sobre la matèria està regulada per la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals.
  La normativa europea i estatal estableixen faltes molt greus, greus o lleus que són sancionades amb multes administratives. Els estats membres han d'establir normes sobre altres sancions aplicables a les infraccions de la regulació, en particular sobre les infraccions que no siguin sancionades per multes administratives d'acord amb l'article 83, i han de prendre totes les mesures necessàries per a garantir-ne el compliment. Aquestes sancions han de ser efectives, proporcionades i dissuasives.