Protecció de Dades

Tractament de Dades Personals: Tot el que Necessites Saber

Posted on by Oscar Lastera Sanchez

Has pensat alguna vegada en tot el que fan les empreses amb les teves dades? Cada cop que navegues per Internet, compres online, fitxes a la feina o simplement utilitzes el mòbil, estàs generant un rastre de dades que algú pot estar tractant. Però, què significa realment «tractar dades»? I més important encara: ho estan fent de manera legal i segura?

El tractament de dades personals és molt més que simplement guardar informació en un ordinador. És tot un univers de processos, operacions i obligacions que afecten directament els teus drets fonamentals. I en aquest article, desxifrarem aquest univers pas a pas, amb exemples pràctics i un llenguatge que qualsevol persona pugui entendre.

Què Són Realment les Dades Personals?

Abans d’endinsar-nos en com es tracten les dades, cal entendre què són exactament. Les dades personals són qualsevol informació relativa a una persona física viva identificada o identificable. És a dir, qualsevol informació que permeti saber qui ets, directament o indirectament.

Potser penses: «D’acord, el meu nom i DNI són dades personals». Però va molt més enllà. Les teves aficions, les teves compres online, fins i tot la teva adreça IP quan navegues: tot això són dades personals.

Les Quatre Categories de Dades segons el RGPD

El RGPD estableix quatre categories de dades personals, cadascuna amb un nivell de protecció diferent:

1. Dades de condemnes i delictes penals Les més restringides. Només poden tractar-se sota supervisió d’autoritats públiques o quan ho autoritzi el Dret de la UE. Inclou:

  • Condemnes
  • Delictes penals
  • Procediments i mesures cautelars

2. Categories especials de dades (dades sensibles) Són les dades més delicades perquè afecten directament els drets fonamentals. Inclou:

  • Origen ètnic o racial
  • Opinions polítiques
  • Conviccions religioses o filosòfiques
  • Afiliació sindical
  • Dades genètiques o biomètriques
  • Dades relatives a la salut
  • Dades sobre vida sexual o orientació sexual

El RGPD prohibeix el tractament d’aquestes dades, llevat que es compleixi alguna de les excepcions establertes (consentiment explícit, interès vital, interès públic, etc.).

3. Dades bàsiques La majoria de dades que utilitzem diàriament. Inclou:

  • Nom i cognoms
  • Adreça postal
  • Email i telèfon
  • Edat i sexe
  • Signatura
  • Imatge
  • Aficions
  • Dades bancàries
  • Informació acadèmica

4. Dades de persones en situació de vulnerabilitat

  • Persones amb discapacitat
  • Persones en situació de vulnerabilitat social
  • Menors de 14 anys (segons la LOPDGDD)

Una Classificació Pràctica: Del DNI a les Xarxes Socials

Una manera més pràctica d’entendre les dades personals és classificar-les segons el seu ús:

  • Dades d’identificació: DNI, passaport, número de la Seguretat Social
  • Dades de contacte: email, telèfon, adreça postal
  • Dades sensibles: salut, religió, orientació sexual
  • Dades financeres: comptes bancaris, targetes de crèdit
  • Dades d’ubicació: GPS, adreces IP
  • Dades d’ocupació: historial laboral, salari
  • Dades biomètriques: empremtes dactilars, reconeixement facial
  • Dades genètiques: ADN
  • Dades de salut: historial mèdic, receptes
  • Dades de preferències: historial de compres, clics online
  • Dades educatives: diplomes, qualificacions
  • Dades de xarxes socials: publicacions, fotos, vídeos

Tipus de Tractament de Dades: Més Enllà del Simple Arxiu

Quan parlem de tractament de dades, no ens referim només a guardar-les. El tractament inclou qualsevol operació realitzada amb dades personals: recopilar, registrar, organitzar, estructurar, emmagatzemar, modificar, consultar, usar, publicar, combinar, esborrar i destruir.

El RGPD ha canviat el paradigma. Abans de la Directiva 95/46/CE, calia notificar cada tractament a les autoritats de control. Ara, el RGPD elimina aquesta obligació i se centra en els tipus d’operacions que comporten un alt risc per als drets i llibertats de les persones.

Seudonimització: Ocultar per Protegir

La seudonimització consisteix en tractar dades de manera que ja no puguin atribuir-se a una persona concreta sense informació addicional. És com posar un àlies a les dades.

Pot ser de dues maneres:

Seudonimització rastreable: es pot seguir un rastre fins arribar a la identitat real, però només en condicions prèviament definides.

Seudonimització no rastreable: no hi ha manera de tornar a la identitat original.

El RGPD recomana la seudonimització per reduir riscos i ajudar els responsables a complir amb les seves obligacions.

Exemple pràctic: en un estudi mèdic, en lloc d’utilitzar noms reals, s’assignen codis com «Pacient 001», «Pacient 002». Les dades mèdiques es vinculen a aquests codis, no als noms.

Elaboració de Perfils: Quan les Dades Prediuen el Teu Comportament

L’elaboració de perfils (o profiling) és un tipus de tractament que implica prendre decisions individuals basades en:

  • Aspectes personals
  • Rendiment professional previst
  • Situació econòmica
  • Estat de salut
  • Preferències o interessos
  • Comportament
  • Ubicació o moviments

És el que fan Netflix quan et recomana sèries, Spotify quan crea les teves llistes, o Amazon quan et suggereix productes.

El problema és que, en navegar per Internet, deixes un rastre econòmicament rendible. Aquest rastre es genera mitjançant:

  • Pràctiques de funcionament d’Internet
  • Rastreig de les IP
  • Informació sobre aplicacions instal·lades
  • Cookies

Les Cookies: Les Petites Espies del Navegador

Les cookies són fitxers que es descarreguen al teu dispositiu quan accedeixes a determinades pàgines web. Permeten emmagatzemar i recuperar informació sobre els teus hàbits de navegació.

Hi ha diversos tipus de cookies:

TipusDescripció
TècniquesNecessàries per al funcionament de la web
De personalitzacióRecorden preferències d’idioma, zona, etc.
D’anàlisiMesuren l’activitat de la web
PublicitàriesGestionen espais publicitaris
De publicitat comportamentalEmmagatzemen hàbits per mostrar publicitat personalitzada

Aquestes empremtes electròniques s’aprofiten per:

  • Facilitar la navegació
  • Presentar publicitat personalitzada
  • Fer estudis de mercat
  • Oferir serveis adaptats

El RGPD posa especial èmfasi en l’elaboració de perfils automatitzada com un dels tractaments que poden comportar un risc per als drets i llibertats de les persones.

Tractament d’Alt Risc: Quan Cal una Avaluació d’Impacte

Un tractament d’alt risc és aquell que pot comportar un alt risc per a la protecció dels drets i llibertats de les persones. En aquests casos, és obligatori realitzar una Avaluació d’Impacte en Protecció de Dades (AIPD).

Exemples de tractaments d’alt risc:

  • Posar en funcionament una aplicació tecnològica que emmagatzemi dades personals
  • Comunicació de dades entre dues o més organitzacions
  • Tractaments que impliquin identificar un grup respecte a la resta de la societat
  • Sistemes de vigilància (incloent videovigilància)
  • Transferències internacionals de dades
  • Nous reglaments i polítiques públiques (abans d’aprovar-los)

Tractaments Específics: Estadística, Arxiu i Categories Especials

Tractament de dades per grups d’empreses Els grups empresarials poden tenir un interès legítim en transmetre dades dins del grup per a fins administratius interns. Poden:

  • Invocar Normes Corporatives Vinculants
  • Nomenar un únic Delegat de Protecció de Dades per a tot el grup

Tractament amb fins estadístics Els organismes amb competències en funció estadística pública poden tractar dades amb la seva legislació específica, el RGPD i la LOPDGDD. Hi ha limitacions:

  • Les dades sensibles només es poden recollir amb consentiment exprés
  • Poden denegar l’exercici de drets quan les dades estiguin protegides pel secret estadístic

Tractament de categories especials (dades sensibles) El RGPD prohibeix tractar dades que revelin origen ètnic, opinions polítiques, conviccions religioses, afiliació sindical, dades genètiques, biomètriques, de salut o vida sexual.

Excepcions a aquesta prohibició:

  • Consentiment explícit
  • Necessari per a obligacions laborals o de Seguretat Social
  • Protegir interessos vitals
  • Tractament per organitzacions sense ànim de lucre
  • Dades fetes públiques per l’interessat
  • Reclamacions judicials
  • Interès públic
  • Medicina preventiva o laboral
  • Salut pública
  • Arxiu, investigació científica o fins estadístics

Tractament de dades de condemnes i delictes Només es pot portar a cap sota supervisió d’autoritats públiques o quan ho autoritzi el Dret de la UE. Només les autoritats públiques poden portar un registre complet de condemnes penals.

Situacions Específiques de Tractament

Tractament i Llibertat d’Expressió: Un Equilibri Delicat

Els estats membres han de conciliar el dret a la protecció de dades amb el dret a la llibertat d’expressió i informació.

Per a tractaments amb fins periodístics o amb fins d’expressió acadèmica, artística o literària, els estats poden establir exencions o excepcions sobre:

  • Principis de protecció de dades
  • Drets dels interessats
  • Obligacions de responsables i encarregats
  • Transferències internacionals

Els tribunals espanyols han adoptat decisions dispares segons cada cas:

Exemple 1 – Sentència Audiència Nacional 2005: Es va considerar legítim publicar els «premis de cobrança» d’un recaptador municipal. Es va considerar que la informació era d’interès públic i provenia d’una font accessible.

Exemple 2 – Sentència Audiència Nacional 2006: Una empresa va incloure a la seva web el text complet d’una sentència amb el nom del administrador únic d’una empresa condemnada. Es va sancionar perquè va prevaler el dret a l’autodeterminació informativa sobre la llibertat d’informació.

El DNI: Un Cas Especial que Requereix Precaució

El DNI és un dada personal amb suficient valor per acreditar la identitat i nacionalitat. L’AEPD ho va establir clarament al seu Informe 0476/2008.

El tractament del DNI requereix precaucions especials:

Necessitat del tractament: ha d’haver-hi una justificació legal i legítima.

Consentiment informat: quan sigui possible, obtenir consentiment clar, específic i voluntari.

Seguretat i confidencialitat: encriptació, accés restringit, pràctiques de seguretat.

Retenció limitada: només durant el temps necessari.

Drets de les persones: accés, rectificació, supressió quan ja no sigui necessari.

Notificació de violacions: si hi ha una bretxa de seguretat que afecti DNI, cal notificar-ho.

Tractament en l’Àmbit Laboral: Novetats de la LOPDGDD

La Llei Orgànica 3/2018 (LOPDGDD) va introduir novetats importants en el sector privat:

1. Obligació d’informació Les organitzacions han d’informar de manera clara i transparent sobre com es tractaran les dades, els fins, la base legal, els destinataris i els drets.

2. Designació de Delegat de Protecció de Dades Obligatori per a certes organitzacions. Cal comunicar-ho a l’AEPD.

3. Intervenció del DPD en reclamacions El DPD pot intervenir en la resolució de reclamacions.

4. Bases jurídiques del tractament Consentiment, execució de contracte, obligació legal, interessos vitals, interessos legítims.

5. Tractament de dades de menors Menors de 14 anys o més poden donar consentiment per si mateixos (amb excepcions).

6. Limitació de publicitat: «llistes Robinson» Registres d’exclusió per evitar comunicacions publicitàries no desitjades.

7. Drets de les persones empleades Major intimitat. Dret a la desconnexió digital fora de l’horari laboral.

8. Dades de contacte professionals Els emails i telèfons corporatius estan exclosos de la normativa quan s’utilitzen amb fins professionals.

9. Sistemes de denúncies internes Exempció de responsabilitat penal si l’organització té un sistema de denúncies intern.

10. Fitxers de morosos Restriccions i garanties. Cal informar prèviament i hi ha límits temporals.

Registre de la Jornada Laboral: Implicacions en Protecció de Dades

Des del 12 de maig de 2019, és obligatori que les empreses realitzin un registre de jornada laboral de tot el personal (Reial Decret-Llei 8/2019).

Obligacions de l’empresa:

  • Organitzar i documentar el registre diari de jornada
  • Conservar els registres durant 4 anys
  • Posar-los a disposició del personal, representants legals i Inspecció de Treball

Implicacions en protecció de dades:

  • Garantir la privacitat i protecció de dades
  • Informar sobre la nova mesura
  • Afegir el tractament al Registre d’Activitats
  • Formalitzar contracte si és una empresa externa qui gestiona el registre

Base legal del tractament: No cal sol·licitar consentiment dels treballadors (el tractament està legitimat pel RGPD), però sí cal complir amb el deure d’informació.

Mesures de seguretat a aplicar:

  • Control d’accés (només personal autoritzat)
  • Sistemes de xifratge de dades
  • Còpies de seguretat amb control d’accés
  • Protocol d’actuació davant incidents
  • Formació del personal

Mecanismes de Control: Geolocalització, Fitxatge i Biometria

Hi ha diferents sistemes per controlar la jornada laboral:

1. Fitxatge per geolocalització Aplicació que controla el temps que el personal passa al lloc de treball.

  • Important: Dret a la desconnexió fora de la jornada laboral (art. 88 LOPDGDD)

2. Fitxatge ordinari Fitxes personals o targetes magnètiques.

  • Implicacions: Només el tractament d’horaris d’entrada i sortida.

3. Fitxatge per empremta dactilar o reconeixement facial Escaneja i reconeix l’empremta digital o el rostre.

  • Important: Són dades biomètriques (categories especials, art. 9 RGPD)

Sistemes Biom ètrics: La Guia de l’AEPD

El 23 de novembre de 2023, l’AEPD va publicar una Guia actualitzada sobre l’Ús de Sistemes Biom ètrics per al Control de Presència, seguint la Directriu 05/2022 del Comité Europeu de Protecció de Dades.

10 punts clau de la guia:

  1. Necessitat i restriccions: només quan altres mètodes menys intrusius no siguin adequats
  2. Avaluació de necessitat i proporcionalitat: evitar guiar-se només per tendències tecnològiques
  3. Principi de minimització: només si l’objectiu no es pot assolir per altres mitjans menys intrusius
  4. Excepció per a dades biomètriques: es pot aixecar la prohibició amb consentiment explícit i alternatives equivalents
  5. Obligacions legals i consentiment laboral: en l’àmbit laboral, el consentiment no és vàlid (desequilibri de poder)
  6. Gestió del risc i avaluació d’impacte: obligatori realitzar AIPD abans d’implementar
  7. Implementació i mesures de seguretat: selecció de tecnologies, emmagatzematge segur, capacitat de revocació
  8. Subcontractació i responsabilitats: complir amb disposicions del RGPD
  9. Condicions per a la licitud: justificar especialment en contextos laborals
  10. Mesures mínimes i bretxes de dades: implementar mesures de protecció i gestionar riscos

Transferències Internacionals de Dades

Les transferències internacionals tenen lloc quan dades personals tractades al Espai Econòmic Europeu (UE + Liechtenstein, Islàndia i Noruega) es remeten a un tercer país o organització internacional fora d’aquest territori.

L’objectiu és que, quan les dades surtin de l’EEE, es continuïn donant garanties per salvaguardar el dret fonamental a la protecció de dades.

Transferències Basades en Decisió d’Adequació

La Comissió Europea pot decidir que un tercer país garanteix un nivell de protecció adequat. En aquest cas, la transferència no requereix cap autorització específica.

Per avaluar l’adequació, la Comissió té en compte:

  • Estat de Dret i respecte dels drets humans
  • Legislació pertinent
  • Normes de protecció de dades
  • Normes professionals i mesures de seguretat
  • Jurisprudència
  • Existència d’autoritats de control independents
  • Compromisos internacionals

Països amb nivell adequat (entre d’altres):

  • Suïssa
  • Canadà (entitats subjectes a la llei canadenca)
  • Argentina
  • Israel
  • Japó
  • Nova Zelanda
  • Andorra
  • Estats Units (entitats certificades en l’Escut de Privacitat)

Transferències amb Garanties Adequades

Quan no hi ha decisió d’adequació, es poden transferir dades si s’ofereixen garanties adequades:

  • Instrument jurídic vinculant entre autoritats públiques
  • Normes Corporatives Vinculants (BCR)
  • Clàusules tipus de protecció adoptades per la Comissió Europea
  • Codi de Conducta aprovat
  • Mecanisme de Certificació aprovat
  • Clàusules contractuals (amb autorització de l’autoritat de control)

Normes Corporatives Vinculants (BCR)

Les BCR són «polítiques de protecció de dades assumides per un Responsable o Encarregat establert a la UE per a transferències dins d’un grup empresarial o unió d’empreses».

Han d’especificar com a mínim:

  • Estructura i dades de contacte del grup
  • Transferències i categories de dades
  • Caràcter jurídic vinculant
  • Aplicació dels principis generals (minimització, limitació de finalitat, etc.)
  • Drets dels interessats
  • Acceptació de responsabilitat
  • Informació als interessats
  • Funcions del DPD
  • Procediments de reclamació
  • Mecanismes de verificació (auditories)
  • Mecanismes de cooperació amb autoritats

Excepcions per a Situacions Específiques

En absència de decisió d’adequació o garanties, una transferència només es pot realitzar si:

  • L’interessat ha donat consentiment explícit (informat dels riscos)
  • És necessària per a l’execució d’un contracte
  • És necessària per raons d’interès públic
  • És necessària per a reclamacions judicials
  • És necessària per protegir interessos vitals
  • Es realitza des d’un registre públic

També es pot fer si:

  • No és repetitiva
  • Afecta un nombre limitat d’interessats
  • És necessària per a interessos legítims imperiosos
  • El responsable ha avaluat totes les circumstàncies i ofereix garanties apropiades

En aquests casos, cal informar l’autoritat de control i l’interessat.

Conclusions: El Tractament Responsable de Dades

Hem fet un viatge intens pel món del tractament de dades personals. Des d’entendre què són les dades i les seves categories, fins a conèixer els tipus de tractament més complexos com la seudonimització o l’elaboració de perfils.

El tractament de dades no és una qüestió menor. Afecta directament els nostres drets fonamentals, la nostra privacitat i la nostra dignitat com a persones. Per això, el RGPD i la LOPDGDD estableixen un marc normatiu tan estricte.

Hem vist com situacions quotidianes com el registre de jornada laboral o l’ús de sistemes biom ètrics tenen implicacions profundes en protecció de dades. No es tracta només de complir amb un tràmit burocràtic: es tracta de respectar els drets de les persones treballadores.

Les transferències internacionals són un altre aspecte crític. Quan les teves dades surten de la Unió Europea, has de tenir la garantia que continuaran estant protegides amb el mateix nivell de seguretat. Les decisions d’adequació, les garanties adequades i les Normes Corporatives Vinculants són mecanismes per assegurar-ho.

La llibertat d’expressió i el dret a la informació han de ponderar-se amb el dret a la protecció de dades. No sempre és fàcil trobar l’equilibri, i els tribunals analitzen cada cas individualment.

L’ús de cookies i l’elaboració de perfils han transformat Internet en un espai on cada clic, cada cerca, cada compra es registra i s’utilitza per predir el teu comportament. Som conscients d’això? Exercim els nostres drets?

El tractament de categories especials de dades (dades sensibles) està prohibit per regla general, amb excepcions molt concretes. Aquestes dades mereixen una protecció reforçada perquè afecten la nostra intimitat més profunda.

La guia sobre sistemes biom ètrics de l’AEPD marca un abans i un després. No tot val en nom de la tecnologia. Cal justificar la necessitat, avaluar la proporcionalitat i oferir alternatives menys intrusives.

El tractament responsable de dades és responsabilitat de tothom: de les organitzacions que tracten dades, dels professionals que hi treballen, i dels ciutadans que hem d’exercir els nostres drets.

Preguntes Freqüents

1. Què és exactament el tractament de dades personals?

El tractament de dades personals és qualsevol operació realitzada amb dades personals, ja siguin operacions automatitzades o manuals. Inclou recopilar, registrar, organitzar, estructurar, emmagatzemar, modificar, consultar, usar, publicar, combinar, esborrar i destruir dades. No es tracta només de guardar informació: qualsevol acció que facis amb dades personals (fins i tot consultar-les) és un tractament i, per tant, està subjecte al RGPD i la LOPDGDD. Per exemple, quan una empresa emmagatzema el teu CV, el consulta per a un procés de selecció i finalment l’esborra, està realitzant diversos tractaments de les teves dades.

2. Què són les categories especials de dades i per què estan tan protegides?

Les categories especials de dades, també anomenades «dades sensibles», són aquelles que revelen informació molt íntima sobre una persona: origen ètnic o racial, opinions polítiques, conviccions religioses o filosòfiques, afiliació sindical, dades genètiques, biomètriques, de salut o vida sexual. Estan tan protegides perquè el seu ús inadequat pot comportar discriminació, estigmatització o atacs als drets fonamentals. El RGPD les prohibeix per regla general, només permetent el seu tractament en situacions molt específiques com el consentiment explícit, obligacions laborals, interès vital, interès públic o fins mèdics, sempre amb garanties reforçades.

3. Puc utilitzar sistemes biom ètrics (empremta dactilar, reconeixement facial) per controlar la jornada laboral del meu personal?

Sí, però amb moltes precaucions i requisits. Segons la Guia de l’AEPD de novembre 2023, només pots utilitzar sistemes biom ètrics quan altres mètodes menys intrusius no siguin adequats o possibles. Has de justificar la necessitat real, realitzar una Avaluació d’Impacte obligatòria, garantir que compleix amb el principi de minimització, implementar mesures de seguretat rigoroses i oferir alternatives equivalents. En l’àmbit laboral, no pots basar-te en el consentiment dels treballadors (hi ha desequilibri de poder), necessites una base legal específica. A la pràctica, l’ús de biometria és molt restrictiu i cal justificar-lo molt bé.

4. Què passa amb les meves dades si una empresa les transfereix fora de la Unió Europea?

Quan les teves dades surten de l’Espai Econòmic Europeu, han de continuar estant protegides amb garanties equivalents. Això es pot aconseguir de tres maneres: (1) Decisió d’adequació: la Comissió Europea ha decidit que el país de destí té un nivell de protecció adequat (com Suïssa, Canadà, Argentina, Japó); (2)Garanties adequades: com Normes Corporatives Vinculants, clàusules tipus de protecció o mecanismes de certificació; (3) Excepcions específiques: consentiment explícit informat dels riscos, necessitat contractual, interès públic, etc. Si no es compleix cap d’aquestes condicions, la transferència és il·legal.

5. Les cookies són dades personals? He de donar consentiment per a totes?

Sí, moltes cookies són o poden generar dades personals. Hi ha diferents tipus: les tècniques (necessàries per al funcionament de la web), de personalització, d’anàlisi, publicitàries i de publicitat comportamental. Les cookies tècniques no necessiten consentiment perquè són imprescindibles. La resta, especialment les de publicitat comportamental que generen perfils, sí que necessiten el teu consentiment previ. La fórmula de «seguir navegant implica acceptació» ja no és vàlida. Has de poder acceptar, rebutjar o configurar les cookies de manera granular, i rebutjar-les ha de ser tan fàcil com acceptar-les. Les empreses han d’informar clarament sobre quines cookies utilitzen i per a què.