Protecció de Dades

El RGPD i la LOPDGDD: La Teva Guia Completa per Entendre’ls

Posted on by Oscar Lastera Sanchez

T’has trobat alguna vegada davant d’un document legal sobre protecció de dades i has pensat «què dimonis significa tot això»? No estàs sol. El Reglament General de Protecció de Dades (RGPD) i la Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD) són els dos pilars que sostenen la protecció de les nostres dades avui dia. Però no et preocupis, estem aquí per desxifrar-ho tot de manera clara i entenedora. Agafa un cafè, posa’t còmode i acompanya’m en aquest viatge pel món de la protecció de dades.

Què És el RGPD i Per Què Va Néixer?

Imagina’t per un moment que les dades personals són com el teu diari més íntim. Voldries que qualsevol pogués llegir-lo sense el teu permís? Evidentment no. Doncs això és exactament el que el RGPD pretén evitar, però a una escala molt més gran.

Els Antecedents: El Camí Cap al RGPD

La història comença el 2009, quan el Consell Europeu va convidar la Comissió Europea a avaluar el funcionament dels instruments que tenia la Unió Europea en matèria de protecció de dades. Fins aleshores, la normativa que legislava aquesta matèria era la Directiva 95/46/CE, que ja havia quedat obsoleta davant l’explosió tecnològica.

El 2012, la Comissió va presentar la seva proposta de Reglament, un document revolucionari que pretenia unificar i modernitzar la protecció de dades a tota Europa. Dos anys més tard, el 2014, el Parlament Europeu va aprovar el text donant llum verda al projecte.

Finalment, el 2016 es va aprovar el nou Reglament General de Protecció de Dades, entrant en vigor el 25 de maig de 2016. Però atenció: no va ser d’aplicació directa fins al 25 de maig de 2018, donant així un marge de dos anys perquè empreses i administracions s’adaptessin.

Per Què Europa Necessitava un Reglament Únic?

La resposta és senzilla però potent: la globalització i la revolució digital. Pensa-hi: cada dia es produeixen milers de milions de transaccions de dades entre països europeus. Les noves tecnologies avancen a una velocitat vertiginosa, i el mercat interior europeu s’ha tornat cada vegada més interconnectat.

Aquesta situació va crear diversos problemes:

  • Diferències entre països: cada estat membre tenia el seu propi nivell de protecció de dades, cosa que dificultava la lliure circulació d’informació
  • Obstacles econòmics: les empreses que operaven a diversos països havien de complir amb normatives diferents
  • Desprotecció ciutadana: els ciutadans tenien diferents nivells de protecció segons on visquessin

El RGPD va néixer amb objectius molt clars:

  • Harmonitzar els tractaments de dades de tota la ciutadania europea
  • Garantir un nivell coherent de protecció a tota la UE
  • Evitar divergències que dificultin la lliure circulació de dades
  • Proporcionar seguretat jurídica a les empreses
  • Oferir el mateix nivell de drets a totes les persones físiques
  • Establir responsabilitats equivalents per a responsables i encarregats del tractament
  • Proporcionar sancions equivalents per a tots els estats membres

És com si Europa hagués decidit que tots els països havien de jugar amb les mateixes regles del joc. I això, sens dubte, és una bona notícia per a tots.

Àmbit d’Aplicació: A Qui Afecta Realment?

Aquí ve una de les preguntes més habituals: «El RGPD m’afecta a mi?» La resposta curta és: probablement sí.

El RGPD s’aplica a:

  • Totes les persones físiques, independentment de la seva nacionalitat o lloc de residència
  • Tant el tractament total com parcialment automatitzat de dades personals
  • El tractament no automatitzat de dades contingudes en un fitxer
  • Totes les dades tractades per institucions, òrgans i organismes de la UE
  • El tractament que es realitzi dins del context d’un establiment a la UE
  • El tractament d’interessats que resideixin a la UE per part d’un responsable no establert a la UE, quan:
    • S’ofereixin béns o serveis a aquests interessats
    • Es controli el seu comportament a la UE

Un aspecte interessant: què passa amb les dades de persones difuntes? El RGPD no les cobreix directament, però la LOPDGDD espanyola sí que ho fa. Els hereus o familiars de les persones difuntes poden sol·licitar l’accés, rectificació o supressió de les dades, sempre que la persona difunta no ho hagués prohibit expressament.

Els Principis Fonamentals de la Protecció de Dades

Si el RGPD fos una casa, els principis serien els seus fonaments. Sense ells, tot l’edifici s’ensorraria. Són les regles d’or que qualsevol entitat ha de seguir quan tracta dades personals.

Integritat i Confidencialitat: El Teu Secret és Sagrat

Aquest principi és simple: només les persones autoritzades poden accedir a les dades. Tot responsable i encarregat del tractament, així com totes les persones que intervinguin en qualsevol fase del tractament, estan subjectes al deure de confidencialitat.

Imagina’t una consulta mèdica. El personal d’administració pot tenir accés a dades generals com el teu nom, adreça i telèfon, però no a les teves proves mèdiques ni resultats. Els metges, en canvi, sí que poden accedir a les proves mèdiques però potser no a les teves dades bancàries. Cada persona només accedeix a allò que necessita per fer la seva feina. És el principi del «need to know» (necessitat de saber).

Licitud, Lleialtat i Transparència: Joc Net amb les Dades

El tractament de dades ha de ser lícit, és a dir, legal. Però no n’hi ha prou amb això: també ha de ser lleial (sense intencions ocultes) i transparent (clar i comprensible per a tothom).

El tractament serà lícit quan:

  • Sigui necessari per a l’execució d’un contracte
  • Sigui necessari per al compliment d’una obligació legal
  • Sigui necessari per protegir un interès vital de l’interessat
  • Sigui necessari per al compliment d’una missió d’interès públic
  • Sigui necessari per a la satisfacció d’interessos legítims del responsable
  • L’interessat hagi donat el seu consentiment

La transparència significa que per a les persones físiques ha de quedar totalment clar que s’estan recollint, utilitzant o tractant les seves dades personals, així com la mesura en què seran tractades.

Limitació de la Finalitat: Cada Dada té un Propòsit

Les dades personals es recullen amb fins determinats, explícits i legítims. No pots recollir dades «per si de cas» o «ja se’ns acudirà alguna cosa».

Imagina’t que Isabel té una empresa i guarda les dades de contacte de la seva clientela per facilitar futurs intercanvis comercials. Fins aquí, tot correcte. Però un dia, Isabel decideix utilitzar aquestes dades per enviar publicitat de l’empresa del seu germà. Error! Això viola el principi de limitació de la finalitat, perquè en el consentiment signat pels clients no constava aquesta finalitat.

Exactitud i Minimització: Menys és Més

El principi d’exactitud estableix que les dades han de ser exactes i, quan sigui necessari, actualitzades. El responsable ha d’adoptar mesures raonables perquè se suprimeixin o rectifiquin sense dilació les dades inexactes.

Imagina’t que Iñigo està fent neteja al magatzem i troba carpetes de l’any 2000 amb dades de contacte de l’antiga clientela. Fa dos anys que ja no té aquesta empresa. Entre les dades hi ha noms, DNI, adreces i dades bancàries. Iñigo hauria d’haver destruït adequadament aquestes dades fa molt temps, ja que no és necessari mantenir-les.

El principi de minimització va una mica més enllà: només es recullen les dades necessàries, adequades, pertinents i limitades al mínim per al compliment de la finalitat contractada.

Exemple pràctic: inicialment, per comprar roba a través d’una web, la clientela havia de registrar-se proporcionant: nom, DNI, adreça, telèfon i fins i tot talles habituals. Després d’aplicar el principi de minimització, l’empresa va decidir que per comprar no calgués registrar-se, reduint les dades necessàries a: nom, adreça d’entrega i telèfon de contacte. Menys és més.

Protecció des del Disseny: Pensar Abans d’Actuar

Aquest principi és revolucionari: la protecció de dades no és algo que s’afegeix al final, sinó que s’incorpora des de l’inici.

Desenvolupar, dissenyar, seleccionar i usar aplicacions, serveis i productes que tinguin en compte el dret a la protecció de dades abans que existeixi un tractament de dades.

Un exemple: una empresa ha estat treballant en una aplicació de compra de roba usada. Abans de llançar-la al mercat, l’equip tècnic ha millorat els elements de seguretat per reduir al màxim el tractament de dades personals. A més, han creat una funcionalitat amb la qual l’interessat pot supervisar el tractament de les seves dades. Això és protecció des del disseny i per defecte.

La LOPDGDD: L’Adaptació Espanyola al Món Digital

Quan va sortir el RGPD el 2016, Espanya tenia encara vigent la seva antiga Llei Orgànica de Protecció de Dades (LOPD), que contenia contradiccions amb la nova normativa europea. Calia una adaptació urgent.

Què Aporta la LOPDGDD de Nou?

La Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals (LOPDGDD) va entrar en vigor el 6 de desembre de 2018. El RGPD ja s’estava aplicant des del maig d’aquell any, així que la LOPDGDD va arribar per completar el marc legal.

Les principals aportacions són:

1. Garantia dels drets digitals, que inclou:

  • Dret d’accés universal a Internet
  • Dret a l’educació digital
  • Dret a la seguretat digital
  • Dret a la neutralitat d’Internet
  • Dret de protecció de menors a Internet
  • Dret a l’actualització d’informacions en mitjans de comunicació digitals
  • Dret de rectificació a Internet
  • Dret al testament digital

2. Món digital i àmbit laboral, incorporant:

  • Dret a la desconnexió digital
  • Dret a la intimitat en l’ús de dispositius digitals
  • Dret a la intimitat davant videovigilància i gravació de sons
  • Dret sobre l’ús de sistemes de geolocalització
  • Dret de l’empresa a revisar dispositius

3. Aspectes específics espanyols:

  • Tractament de dades de menors de 14 anys (no 16 com permet el RGPD)
  • Tractament de dades de persones difuntes
  • Sistema d’informació per capes
  • Regulació específica de videovigilància
  • Designació obligatòria de DPD en determinats casos
  • Bloquei de dades quan es rectifiquin o suprimeixin
  • Règim sancionador adaptat

Garantia dels Drets Digitals: El Futur És Ara

La LOPDGDD és pionera a Europa en dedicar tot un títol als drets digitals. Alguns dels més destacats són:

El dret a l’oblit: pots reclamar i exigir la supressió de les teves dades personals presents a xarxes socials o cercadors quan estiguin desfasades, no s’ajustin a la realitat actual o perjudiquin la teva reputació. Atenció: aquest dret no elimina la informació d’Internet, només evita que es mostri en determinats criteris de cerca.

El dret a l’accés digital dels menors: només els majors de 14 anys estan autoritzats a donar el seu consentiment per a l’ús de les seves dades a Internet. Per sota d’aquesta edat, cal el consentiment dels pares o tutors legals.

El dret a la portabilitat: pots sol·licitar en qualsevol moment que el responsable del tractament et faciliti les dades que et concerneixen i transmetre-les a un altre responsable. És especialment útil quan canvies de companyia telefònica o proveïdor de serveis.

El Dret a la Desconnexió Digital: Desendolla’t del Treball

Aquest és, sens dubte, un dels drets més innovadors i necessaris de la LOPDGDD. L’article 88 de la llei reconeix el dret a la desconnexió digital en l’àmbit laboral.

Què significa? Que les persones treballadores, tant del sector privat com públic, tenen dret a que no se’ls requereixi la seva presència o activitat online per motius de treball fora del seu horari laboral.

Les modalitats d’exercici d’aquest dret atendran a la naturalesa i objecte de la relació laboral, potenciaran el dret a la conciliació i es subjectaran a allò establert en la negociació col·lectiva.

Per Què És Tan Important la Desconnexió?

Les xifres parlen per si soles i són preocupants:

  • El 51% de les persones treballadores pateixen estrès laboral segons l’Agència Europea per a la Seguretat i Salut Laboral
  • Entre un 20-30% de la ciutadania europea i nord-americana se sent més aïllada socialment que mai, malgrat estar més connectada
  • El 10% presenta problemes psicològics com a conseqüència de la seva activitat a Internet
  • Es consulta el mòbil unes 85 vegades al dia de mitjana
  • Es perden en clics compulsius, com desbloquejar el telèfon, 5 hores al dia

Han aparegut nous síndromes com:

  • Nomofòbia: por irracional a estar sense el mòbil
  • Síndrome de la vibració fantasma: creure que el mòbil vibra quan no ho fa
  • FOMO (Fear Of Missing Out): por a perdre’s alguna cosa

Recomanacions per a la desconnexió digital:

1. Gestió adequada del correu electrònic

  • La llei no prohibeix enviar emails fora de l’horari laboral, però empara el dret a no respondre
  • Les empreses poden configurar els gestors de correu perquè només estiguin operatius en determinats horaris
  • Les persones treballadores poden configurar l’enviament diferit de missatges

2. Gestió correcta de l’ús del mòbil

  • Utilitzar el «mode no molestar» per silenciar notificacions, trucades i missatges
  • Programar excepcions per a números importants
  • Establir franges horàries per revisar missatges

El Consentiment: La Clau de Volta de la Protecció de Dades

Si hi ha un concepte que s’ha mencionat una i altra vegada al llarg de tots els mòduls anteriors, és el consentiment. I és que, en la majoria dels casos, el consentiment suposa poder o no poder tractar les dades personals d’una persona.

Quan És Lícit Tractar Dades Personals?

Segons l’article 6 del RGPD, la licitud o legitimitat en el tractament de dades presenta sis bases diferents:

  1. Consentiment inequívoc de l’interessat
  2. Interès vital de l’interessat
  3. Interès públic
  4. Necessitat contractual
  5. Compliment d’obligacions legals
  6. Interès legítim del responsable del tractament

El consentiment és tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual l’interessat accepta el tractament de dades personals que li concerneixen.

Les Característiques d’un Consentiment Vàlid

Perquè el consentiment es consideri vàlidament atorgat, ha de ser:

Lliure: ha d’existir igualtat de condicions. No serà vàlid quan existeixi qualsevol tipus de desequilibri de poder (per exemple, entre empresari i empleat).

Específic: la finalitat per a la qual l’interessat atorga el consentiment ha de ser concreta i específica. No vals fórmules genèriques.

Informat: s’ha d’oferir de manera específica, per escrit i de forma clara informació sobre:

  • Qui és el responsable del tractament
  • Per a quines finalitats es recapten les dades
  • Quines són les dades a recollir
  • El dret de revocació
  • Si hi ha tractament automatitzat
  • Si hi ha transferència internacional de dades

Afirmatiu: es requereix un acte afirmatiu. Les caselles pre-marcades invaliden el consentiment.

Qüestions importants:

  • El responsable ha de poder demostrar que el consentiment ha estat atorgat
  • El consentiment no pot derivar del silenci, caselles predeterminades o inactivitat
  • És nul el consentiment prestat per persones sense capacitat legal
  • Ha de ser explícit quan es tracta de dades especialment sensibles

La Revocació: Tens Dret a Canviar d’Opinió

La revocació del consentiment és un dret amb caràcter general, per la qual cosa es pot realitzar en qualsevol moment.

Aspectes clau de la revocació:

  • No cal justificar-la
  • No ha de suposar cap risc ni conseqüències negatives
  • No ha de comportar cap benefici derivat de l’acord previ
  • Ha de ser tan fàcil de fer com va ser atorgar el consentiment
  • efectes de futur, no retroactius

Exemple: un consumidor està d’acord amb rebre publicitat comercial al seu correu electrònic. Aquest mateix consumidor ha de poder revocar el consentiment i el responsable del tractament haurà de deixar d’enviar publicitat el més ràpidament possible. No pot tenir conseqüències punitives com el cobrament d’una taxa.

El Consentiment Informat: Transparència Total

Un consentiment sense informació no és un consentiment vàlid. Els interessats han de tenir suficient informació abans de poder exercir la seva elecció sobre el tractament de les seves dades.

Informació per Capes: Facilitar la Comprensió

La informació a proporcionar és molt extensa, i per això, les autoritats de control recomanen adoptar un model de comunicació per capes o nivells:

  • Primera capa: informació bàsica i resumida, en el moment de recollida de dades
  • Segona capa: informació addicional i detallada, accessible en qualsevol moment

Aquesta informació es pot agrupar en uns epígrafs:

  1. Responsable (del tractament)
  2. Finalitat (del tractament)
  3. Legitimació (del tractament)
  4. Destinataris (de cessions o transferències)
  5. Drets (de les persones interessades)
  6. Procedència (de les dades, quan no provenen de l’interessat)

Primera Capa: La Informació Bàsica

La forma ideal de presentació és en forma de taula, perquè tota la informació quedi dins del camp de visió de l’interessat. Ha d’estar clarament identificada com «informació bàsica sobre protecció de dades».

En un formulari de sol·licitud, per exemple, la taula amb la informació bàsica hauria de situar-se en el mateix camp de visió que el lloc on s’hagi de manifestar la conformitat (la signatura, si és en paper, o el botó d'»enviar», si és un formulari electrònic).

Epígraf Legitimació: fa referència a la base jurídica en què es basa el tractament (execució d’un contracte, obligació legal, interès públic, interès legítim o consentiment).

Epígraf Destinataris: s’ha d’incloure sempre, encara que no es vagin a comunicar dades a tercers. Contribueix a una millor comprensió del tractament.

Epígraf Drets: es pot fer una breu al·lusió als drets més habituals i una referència a l’epígraf addicional de la segona capa.

A més, cal incloure una indicació sobre on o com es pot accedir a la informació addicional del segon nivell.

Segona Capa: Els Detalls Complets

La informació de la segona capa ha de completar amb tot detall la informació resumida prèviament, així com afegir tota la informació addicional requerida pel RGPD.

Formes de presentar aquesta informació:

En paper:

  • En el mateix formulari complimentat
  • En un annex que s’entregui a l’interessat
  • Com a informació exposada en cartells, panells o tríptics

En format electrònic:

  • En una pàgina web específica accessible mitjançant hipervincle
  • Com a document disponible per descarregar en una URL
  • Com a annex a un correu electrònic

En format telefònic:

  • Com a locució complementària
  • Amb oferta de disponibilitat d’informació accessible electrònicament o per correu

El llenguatge utilitzat ha de ser clar, concís i comprensible. L’AEPD recomana:

  • Utilitzar una exposició estructurada en «preguntes i respostes»
  • Buscar un equilibri entre concisió i previsió
  • Evitar cites legals o paraules tècniques
  • No utilitzar termes ambigus

Detalls dels epígrafs a la segona capa:

Responsable: identitat i dades de contacte del responsable, del representant (si escau) i del Delegat de Protecció de Dades (si n’hi ha).

Finalitat: descriure amb detall els fins del tractament, incloent el termini de conservació de les dades o els criteris per determinar-lo.

Legitimació: detallar la base jurídica segons correspongui (contracte, obligació legal, interès públic, interès legítim o consentiment).

Destinataris: identitat dels destinataris o categories de destinataris. Si hi ha transferències internacionals, informar de les garanties aplicables.

Drets: explicar com exercir els drets d’accés, rectificació, supressió, limitació, oposició i portabilitat. Informar del dret a retirar el consentiment i a reclamar davant l’autoritat de control.

Procedència: només quan les dades no provinguin de l’interessat. Indicar la font de les dades i les categories de dades tractades.

El Cas Especial dels Menors: Protegint els Més Vulnerables

La majoria d’edat s’assoleix als 18 anys, però en matèria de protecció de dades, les persones majors de 14 anys a Espanya poden prestar per si mateixes consentiment per al tractament de les seves dades personals.

El RGPD determina que l’edat mínima sigui 16 anys, però deixa llibertat als estats membres per rebaixar aquest número, sempre que no sigui inferior a 13 anys.

Excepció important: En relació amb l’oferta directa de serveis de la societat de la informació, el tractament de dades de menors es considera lícit quan tinguin com a mínim 16 anys.

Aspectes clau sobre el consentiment de menors:

  • El llenguatge ha de ser clar, senzill i adequat a l’edat
  • El responsable farà tots els esforços necessaris per verificar que el consentiment va ser donat o autoritzat pel pare, mare o tutor legal
  • Sempre prevaleix el principi de l’interès superior del menor
  • Els menors tenen dret que s’adoptin mesures que promoguin i protegeixin els seus drets

L’Agència Espanyola de Protecció de Dades ha posat en marxa diversos canals per protegir menors (correu electrònic, telèfon específic i servei de WhatsApp) i ha creat una pàgina web específica on menors, pares, mares i professorat poden accedir a informació detallada sobre com protegir les dades personals de menors a la xarxa.

Conclusions: Protecció de Dades per a Tothom

Hem fet un viatge intens pel món del RGPD i la LOPDGDD. Des dels antecedents històrics que van portar a la creació d’un reglament europeu únic, fins als detalls més específics sobre com ha de ser un consentiment informat vàlid.

Els principis de la protecció de dades (integritat, confidencialitat, licitud, lleialtat, transparència, limitació de la finalitat, exactitud, minimització i protecció des del disseny) són els fonaments sobre els quals es construeix tot l’edifici de la protecció de dades. No són simples recomanacions, són obligacions legals que totes les organitzacions han de complir.

La LOPDGDD ha aportat un valor afegit importantíssim: la garantia dels drets digitals. En un món cada vegada més connectat, on la frontera entre vida personal i professional s’ha difuminat, drets com la desconnexió digital són essencials per preservar la nostra salut mental i el nostre benestar.

El consentiment és la pedra angular de tot el sistema. Ha de ser lliure, específic, informat i afirmatiu. I el més important: sempre pots canviar d’opinió. La revocació del consentiment és un dret que ningú et pot negar.

Finalment, hem vist com la informació per capes facilita que els ciutadans comprenguin realment què passa amb les seves dades. La primera capa proporciona la informació essencial de manera ràpida i visual, mentre que la segona capa permet aprofundir en tots els detalls.

El cas dels menors mereix una atenció especial. Són els més vulnerables davant els perills d’Internet, i per això la normativa els proporciona una protecció reforçada.

Hem de recordar que la protecció de dades no és un obstacle, sinó una garantia. No està pensada per dificultar l’activitat econòmica, sinó per assegurar que aquesta activitat es desenvolupa respectant els drets fonamentals de les persones.

La protecció de dades és cosa de tothom: de les empreses que tracten dades, dels professionals que hi treballen, i dels ciutadans que exercim els nostres drets. Només amb la col·laboració de tots podrem construir un entorn digital segur, transparent i respectuós amb la dignitat de les persones.

El RGPD i la LOPDGDD no són textos perfectes ni definitius. La tecnologia segueix avançant, i la normativa haurà d’adaptar-se. Però són, sens dubte, un pas de gegant en la direcció correcta: cap a un món on les dades personals són tractades amb el respecte que es mereixen.

Preguntes Freqüents

1. El compliment de la normativa depèn de la mida de l’empresa?

No, el compliment del RGPD i la LOPDGDD és independent del nombre de persones treballadores o del volum de negoci de l’entitat. La normativa protegeix dades personals, i totes les entitats que tractin dades personals queden dins de l’àmbit d’aplicació, des d’un autònom fins a una gran corporació. De fet, les sancions són de més quantia quan és una empresa gran qui incompleix, ja que part de la sanció pot ser un percentatge de la seva facturació (fins al 4% del volum de negoci anual global).

2. Com s’estableixen les mesures de seguretat que ha d’aplicar una empresa?

A diferència de l’antiga LOPD 15/1999, que definia de manera molt clara les mesures segons el nivell de dades tractats, el RGPD estableix que sigui la pròpia organització qui, en funció de la tipologia de dades tractades, estableixi les mesures de seguretat més apropiades. Això s’anomena «responsabilitat proactiva» o «accountability». L’empresa ha de fer una anàlisi de riscos i implementar mesures tècniques i organitzatives proporcionals als riscos identificats. No hi ha una llista tancada de mesures, sinó que cada organització ha d’adaptar-se a les seves circumstàncies específiques.

3. Puc enviar publicitat a clients antics sense el seu consentiment exprés?

No, per utilitzar dades de clients amb fins publicitaris necessites tenir el consentiment explícit de l’interessat, tant per a clientela nova com antiga. L’antic sistema de «opt-out» (on es podia enviar publicitat llevat que el client digués que no) ja no és vàlid. Ara cal un «opt-in» actiu: el client ha de dir explícitament que SÍ vol rebre comunicacions comercials. Si no tens aquest consentiment exprés, no pots enviar publicitat, fins i tot a clients amb els quals has tingut una relació comercial prèvia.

4. A partir de quina edat un menor pot donar el seu consentiment per a l’ús de les seves dades?

A Espanya, segons la LOPDGDD, els menors de 14 anys o més poden prestar per si mateixos consentiment per al tractament de les seves dades personals, amb algunes excepcions. Per sota d’aquesta edat, cal el consentiment dels titulars de la pàtria potestat o tutors legals. Ara bé, hi ha una excepció important: per a l’oferta directa de serveis de la societat de la informació (com xarxes socials), l’edat mínima puja als 16 anys. És important destacar que el llenguatge utilitzat amb menors ha de ser clar, senzill i adequat a la seva edat, i sempre ha de prevaler el principi de l'»interès superior del menor».

5. Què és la informació per capes i per què és important?

La informació per capes és un sistema recomanat per les autoritats de control per facilitar la comprensió de la informació sobre protecció de dades. Consisteix en dividir la informació en dos nivells: una primera capa amb la informació bàsica i resumida (responsable, finalitat, legitimació, destinataris i drets), presentada de manera visual i concisa en el moment de recollida de dades; i una segona capa amb tota la informació detallada i addicional, accessible en qualsevol moment mitjançant un enllaç, document o altre mitjà. Aquest sistema és important perquè permet complir amb el principi de transparència sense sobrecarregar l’interessat amb massa informació d’un cop, facilitant que pugui prendre decisions informades sobre les seves dades.