ELS 10 ASPECTES BÀSICS DE PROTECCIÓ DE DADES

This entry is also available in:
  1. Tipus de dades personals: Dades bàsiques o ordinàries (Nom, Cognoms, Telèfon, Domicili, etc.) i dades especials o sensibles (salut, religió, orientació sexual, ideologia, afiliació a sindicats i similars).
  1. Consentiment inequívoc i bases de legitimació: La persona a qui pertanyin les dades a tractar, ha de donar el seu consentiment de forma prèvia, expressa i informada i s’ha de poder evidenciar (per escrit en un contracte o autorització, mitjançant enregistrament, mitjançant checkbox , etc.). Quan no sigui possible evidenciar mitjançant consentiment o contracte el tractament de dades, serà possible legitimar-lo en altres bases, però només si es tracta d’un tractament per interessos vitals (exemple, crida a emergències), en interès públic (exemple, registre civil), per obligació legal de lentitat que el tractarà (exemple, identificació de persones) o per interès legítim (exemple, càmeres de seguretat).
  1. Drets de les persones com a titulars de dades personals
    • Dret d’accés per conèixer quines dades disposen i el seu ús.
    • Dret de rectificació, si la informació és inexacta o incompleta.
    • Dret d’oposició a què es tractin les vostres dades.
    • Dret de supressió o dret a l’oblit: eliminació de les vostres dades.
    • Dret a la limitació del tractament de les dades.
    • Dret a la portabilitat: capacitat per sol·licitar que les vostres dades es traspassin directament d’una organització a una altra.
    • Dret a no ser objecte de decisions individuals automatitzades.
  1. Mantenir informat l’interessat: L’entitat com a Responsable del tractament i propietària de la base de dades (exemple un operador de telefonia) i els seus proveïdors, com a Encarregats del tractament, hauran de mantenir informat el titular de les dades d’una forma concisa, transparent, de fàcil accés i amb un llenguatge clar i senzill.
  1. Responsable del tractament i Delegat de Protecció de Dades: En tota activitat que es gestionin dades personals hi ha d’haver, com a mínim un responsable (persona física) de la protecció dels mateixos que garanteixi el compliment del que disposa el RGPD. Que pot ser el Responsable de Seguretat (CIS). Si lactivitat de lentitat depèn principalment del tractament de dades personals, caldrà el nomenament dun DPO que assumeixi aquestes funcions i es coordini a la part de seguretat amb el CISO.
  1. Principi de responsabilitat proactiva: Implica que tota persona o entitat que tracti dades d’un tercer hagi de ser conscient de quines dades tracta, per a què, com i durant quant de temps. Per això haurà de realitzar una anàlisi de riscos sobre els diferents tractaments que durà a terme i en funció dels resultats establir mesures de seguretat que permetin garantir la privadesa i complir amb la normativa.
  1. Registre d’activitats de tractament (RAT): Per evidenciar el control sobre aquesta responsabilitat proactiva, les entitats públiques i privades estan obligades a disposar d’un registre intern de les activitats del tractament de dades. Excepte a les empreses privades que tinguin menys de 250 treballadors i no tractin dades sensibles o que comportin un risc per als afectats, cas en què serà recomanable, però no obligatori.
  1. Protecció de dades concebuda des del disseny i per defecte: Cal prendre mesures des de l’inici del disseny del tractament de dades per complir la normativa i, per defecte, només cal gestionar la informació personal estrictament necessària. Això no s’ha de limitar únicament al desenvolupament segur a nivell tècnic, sinó que s’haurà d’aplicar a tot projecte que impliqui un tractament de dades nou (exemple, substituir el control d’accessos amb targeta, per empremta dactilar, proposar-se prestar un nou servei o producte , obrir seu a un altre país, etc.).
  1. Avaluació d’impacte: És una avaluació de riscos específica i complementària a això. En aquells tractaments de dades que comportin un alt risc, per exemple, la manipulació dinformació sensible a gran escala (exemple, dades de salut) o un canvi important de tecnologia en el tractament (exemple, automatització de serveis), shaurà de realitzar una avaluació dimpacte de forma prèvia a linici.
  1. Notificació d’una vulneració: S’haurà de denunciar a la Policia i notificar a l’Agència Espanyola de Protecció de Dades, oa les autoritats de control del país corresponent, en un termini de 72 hores, quan es produeixi una violació de seguretat (destrucció, pèrdua o alteració accidental o il·lícita) de dades personals. En cas que aquesta violació sigui d’alt risc, s’haurà d’informar també els titulars o els mitjans de comunicació quan de manera individual no sigui possible.