Àmbit
Jurídic

Com gestionar el dret a l'oblit?

Entitat redactora
Suport Tercer Sector - Jurídic
Autor/a
Sandra Pulido

La normativa recull que les persones tenen dret a voler eliminar les seves dades personals i, davant d'això, qui les gestiona ha d'actuar.

Les entitats sense ànim de lucre han de complir amb la normativa de protecció de dades. De fet, tot i que gestionin les dades personals d'acord amb la normativa i de manera legítima, en qualsevol moment una persona pot demanar que s'eliminin.

Davant d’aquesta situació, l’entitat ha de tenir en compte el que marca el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril del 2016, General de Protecció de Dades (GDPR). El dret de supressió o a l'oblit, a més, està recollit a la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD).

En aquest recurs s’explica el dret de supressió o a l’oblit i com aquest afecta en les obligacions de les entitats no lucratives.

Índex

Què és el dret de supressió o a l’oblit?

En primer lloc, cal tenir en compte que la persona titular de les dades pot demanar la supressió sempre que ho desitgi. Això significa que, encara que una entitat tingui les dades legítimament (per exemple, amb el document signat per poder publicar imatges), en el moment que la persona interessada vulgui que les seves dades siguin eliminades, haurà de prendre mesures.

Això, “sempre que el citat tractament no es basi en una altra causa que el legitimi”, segons l’Agència Espanyola de Protecció de Dades (AEPD). Per exemple, en el cas que una persona sòcia d'una entitat vulgui que les seves dades siguin eliminades però desitja continuar formant part de l'organització, la supressió no es podria fer perquè hi ha una causa que legitima que l'associació tingui aquesta informació.

A més, aquest dret es pot exercir en altres casos:

  • Quan les dades ja no són necessàries per a la finalitat amb la qual es van recollir o es tracten d’una altra manera.
  • Quan es demana la supressió de dades que “es fonamentaven en l’interès legítim o el compliment d’una missió d’interès públics”. També en cas que les dades tinguin una finalitat comercial.
  • Si les dades s’han tractat il·lícitament. En aquest cas, a més, la personas afectada podria interposar una denúncia.
  • Si s’han d’eliminar pel compliment d’una obligació legal dins de la Unió Europea o dels seus estats.

En aquest sentit, la normativa reconeix que les persones majors de catorze anys poden donar el seu consentiment per al tractament de les dades personals. En tot cas, cal parar especial atenció si les dades es recullen en aquesta situació i després es volen eliminar (encara que ja no sigui menor).

Què ha de fer l’entitat per eliminar les dades personals?

En cas que es demani la supressió de dades personals, l’entitat haurà de fer un esforç per eliminar-les. En aquest cas, el/la responsable del tractament ha de prendre “mesures raonables” per eliminar les dades que té sota el seu control, però també si les dades apareixen en altres llocs.

És rellevant tenir present que la norma recull la idea d’haver de fer un esforç raonable, perquè la difusió que es faci, per exemple, d’una imatge a través d'internet, pot quedar fora de les mans de l’entitat que les puja originalment. En tot cas, l’organització ha d’intentar posar-se en contacte amb els/les altres responsables que estiguin tractant les dades per demanar que les eliminin, així com “els enllaços o les còpies o les rèpliques de les dades”. Per tant, les organitzacions han de ser conscients que el tractament de les dades en els entorns digitals pot sobrepassar el seu control.

La norma també aclareix que s’ha de tenir en compte “la tecnologia disponible i el cost de l’aplicació”, un altre factor que salvaria les organitzacions amb recursos limitats. En qualsevol cas, ha d'existir una intenció real de voler aplicar el dret a l'oblit de qui ho demana.

Com eliminar les dades personals?

El reglament preveu diversos mètodes per eliminar les dades:

  • Tractar les dades amb un altre sistema.
  • Impedir que es pugui accedir a les dades.
  • Retirar les dades publicades a internet.
  • Tractar les dades tècnicament perquè no es puguin fer servir ni modificar-se després de la petició, tot i que es basin en mecanismes automatitzats.

A més, en el moment en el qual s’hagin suprimit les dades, el/la responsable del tractament ho ha de comunicar a la persona interessada, “excepte que sigui impossible o exigeixi un esforç desproporcionat”.

Tenir present el dret de supressió pot ajudar les entitats a ser conscients de la importància de tenir cura amb el tractament de les dades personals. A més, tot i la bona voluntat de les organitzacions, és pertinent que treballin segons la normativa per no incòrrer en incompliments. Per resoldre dubtes sobre els drets digitals es pot accedir als serveis d'assessorament.

Comparteix i difon