10 requisits per complir la LOPD a la nostra entitat (I)
Comparteix
Una de les obligacions que hem de tenir en compte a la nostra entitat és el compliment de la LOPD, ja que el seu incompliment pot comportar greus sancions econòmiques per a la nostra associació.
La Llei 15/1999 de 13 de desembre, de Protecció de Dades té l’objectiu de garantir i protegir el dret de tota persona física a exercir un control efectiu sobre les seves dades personals. Aquest reconeixement es configura com un dret fonamental.
A continuació analitzarem els conceptes i principis bàsics que hem de conèixer en matèria de protecció de dades i el marc legal aplicable, a fi de poder disposar de la informació necessària per valorar si la nostra entitat està complint la normativa o què deuria de fer per adequar-se a la mateixa.
Marc legal aplicable
La normativa aplicable i que hem de complir a la nostra entitat respecte a la protecció de dades, és la següent:
- Article 18.3 i 18.4 de la Constitució Espanyola.
- Llei orgànica 15/1999, de 13 de desembre
- Real Decret 1720/2007, de 21 de desembre, de desenvolupament de la LOPD
- Directiva 95/46/CE del Parlament Europeu, relativa a la Protecció de Dades
- Instruccions de l’Agència de Protecció de Dades
- Llei 5/2002, de 19 d’abril, de l’Agència Catalana de Protecció de Dades
A qui se li aplica la LOPD?
La Llei de protecció de dades és una regulació que s’aplica a qualsevol empresa, autònom, associació, fundació, Administració Pública o altres persones jurídiques que tractin dades de persones físiques.
Les persones jurídiques queden fora de l’àmbit de de la protecció de dades.
Per tant, si a la nostra entitat disposem de dades personals de persones físiques (treballadors, voluntariat, socis i sòcies, etc.), estem sotmesos a la LOPD i tenim que vetllar pel seu compliment.
Quines dades personals s’han de protegir?
Per dada personal entenem qualsevol dada corresponent a les persones físiques que les puguin fer identificables.
Aquesta dada personal pot contenir qualsevol tipus d’informació:
- Lletres i signes.
- Números (telèfon, IP, etc.)
- Imatges (fotografies, imatges captades amb càmeres de videovigilància..)
- Informació acústica (gravacions de veu)
- Informació alfabètica o numèrica, etc.
Nivells de seguretat de les dades
En funció de la sensibilitat de les dades, la normativa distingeix tres nivells de protecció i aquesta classificació implica que hauran de disposar de mesures de seguretat diferent.
Els nivells són els següents:
- Nivell alt: ideologia, afiliació sindical, religió, creences, raça, salut, test psicotècnics, vida sexual, dades sobre violència de gènere, etc.
- Nivell mig: comissió d’infraccions administratives o penals, dades relacionades amb la Hisenda Pública, serveis financers, avaluació de la personalitat, etc.
- Nivell bàsic: La resta de dades que no fan referència a les categories anteriors, per exemple: nom i cognoms, adreça, dades bancàries, salari, etc.
Quins conceptes bàsics hem de tenir en compte respecte a la LOPD?
En relació a la protecció de dades, hi ha uns conceptes bàsics que hem de contemplar amb l’objectiu de complir tot el que disposa la regulació a la nostra entitat.
Els criteris fonamentals són els següents:
- Fitxer: Conjunt de dades estructurat des d’un punt de vista conceptual. El fitxer conté un conjunt de dades personals, per exemple: nom, cognoms, DNI, data de naixement, etc.
El fitxer té unes característiques determinades:
- Ha d’estar organitzat seguint un criteri específic.
- Les dades recollides han de tenir la mateixa finalitat.
- Les dades poden estar recollides en qualsevol suport: manual, informàtic, etc.
- Existeix la possibilitat de que el fitxer estigui constituït per diferents aplicacions, ubicades inclús en llocs físics diferents.
A les entitats, habitualment, disposem de diferents fitxers, com per exemple: fitxers d’usuaris de serveix, fitxer de recursos humans, fitxer de contactes, fitxer de voluntaris i voluntàries, fitxer de socis i sòcies, etc.
- Tractament de dades: Per tractament de dades entenem les operacions i procediments que permeten la recollida, gravació, conservació, elaboració, modificació, consulta, utilització, modificació, bloqueig i supressió de dades. També inclou les cessions de dades que resulten de comunicacions, consultes, interconnexions i transferències.
- Responsable del fitxer: Entitat que decideix sobre la finalitat, contingut i ús del tractament de dades. Pot ser un professional autònom, empresa, administració pública, fundació o associació sense afany de lucre, etc.
- Encarregat del tractament: Empresa, professional o entitat sense ànim de lucre que tracta dades personals per compte del responsable del fitxer en el marc de la prestació d’uns serveis. Un exemple d’encarregat del tractament seria la gestoria que duu la gestió laboral de l’entitat.
- Afectat o interessat: És la persona física titular de les dades personals.
Quins són els principis fonamentals que regeixen la protecció de dades?
La normativa recull un conjunt de principis fonamentals d’obligat compliment per poder dur a terme la protecció de les dades de l’entitat, els quals, són els següents:
- Qualitat de les dades: La qualitat de les dades es refereix a que aquestes han de ser adequades, pertinents i no excessives tenint en compte la finalitat per la qual es demanen. No es poden demanar dades que no siguin pertinents i proporcionals amb l’objectiu pel qual es sol·liciten.
Aquest principi també està relacionat amb el fet que les dades que recollim a l’entitat s’han de cancel·lar una vegada ja no són necessàries o ja s’ha complert la finalitat per la que es van demanar.
- Dret d’informació en la recollida de les dades: Sempre s’ha de realitzar l’avís legal a fi d’informar a la persona física que es procedeix a la recollida de dades, quina és la seva finalitat a la qual es destinen, quins són els drets que els assisteixen al respecte, i la identitat i adreça del responsable dels fitxers.
- Consentiment de l’afectat per al tractament de les dades: S’ha de disposar del consentiment previ i inequívoc de la persona física per tractar les seves dades. Quan parlem de dades especialment protegides, és necessari el consentiment exprés i per escrit.
- Deure de Secret: Fa referència al secret professional. És la obligació de secret que tenen les persones que tracten dades. Aquest deure s’estén també cap al futur, ja que la obligació persisteix encara que ja no es tractin aquestes dades.
- Consentiment per a la comunicació de dades a tercers: Per poder fer una cessió de dades cal lliurar la informació corresponent a la persona interessada i aconseguir el seu consentiment previ per fer-ho. La persona interessada també ha de ser informada del cessionari, de la naturalesa de les dades cedides i de la finalitat de la cessió.
- Seguretat de les dades: Existeix la obligatorietat de disposar d’un document de seguretat. S’ha de complir amb totes les mesures que imposa la llei per vetllar per la seguretat i protecció de les dades en el seu tractament.
A continuació, en un segon recurs, tractarem altres qüestions d’interès respecte al tractament de dades, concretament, les obligacions que té l’entitat respecte a les dades, els drets que assisteixen als interessats, les infraccions i les sancions que comporta l’incompliment de les disposicions legals.