Que no se t escapin! Manual de bones pràctiques

(1)

Que no se

t’escapin!

Manual de bones pràctiques

FUNCIONARIS I COSSOS ESPECIALS

Manual de bones pràctiques

FUNCIONARIS I COSSOS ESPECIALS

La protecció de les dades de caràcter personal

i el seu tractament en l’àmbit de l’Administració pública

La protecció de les dades de caràcter personal

i el seu tractament en l’àmbit de l’Administració pública

M

an

ua

l d

e

bo

ne

s

pr

àc

ti

qu

es

·

F U N C IO N A R IS I C O S S O S E S P E C IA L S

Manual

de bones

pràctiques

La protecció de les dades de

caràcter personal i el seu tractament

en l’àmbit de l’Administració pública

L’Agència Andorrana de Protecció de Dades (APDA) és l’autoritat de control que vetlla per la protecció de les dades de caràcter perso-nal de les persones físiques. L’Agència actua amb plena independència i objectivitat.

L’any 2003, en el marc de la Llei 15/2003 qualificada de protecció de dades perso-nals (LQDP), es va crear l’APDA amb la funció principal de vetllar pel compliment del marc normatiu de la protecció de da-des de caràcter personal així com per ges-tionar el Registre Públic d’Inscripció de Fitxers de Dades Personals. Es tracta d’un òrgan de control que té el deure d’exercir la potestat inspectora i sancionadora per a les infraccions que vulnerin la normativa en la matèria.

Amb aquest Manual de bones pràctiques

dirigit als treballadors de l’Administració pública, l’APDA té l’objectiu de sensibilitzar aquest col·lectiu en el tractament de les da-des de caràcter personal i oferir-li una eina pràctica de consulta com a recordatori dels principis bàsics que regula la llei.

El contingut d’aquest manual està dirigit a tots els treballadors de les diferents ad-ministracions que mantenen contacte diari amb el ciutadà i que han de tenir coneixe-ments bàsics sobre la matèria per si poden esdevenir responsables de tractament de dades o simplement per poder informar el ciutadà amb garanties.

El format pràctic i uns continguts didàctics i entenedors fan que aquest manual el pugui usar tothom que en algun moment del de-senvolupament de la seva tasca hagi d’obte-nir o controlar dades de caràcter personal.

Objectius

És un manual d’aprenentatge de la Llei de protecció de dades personals i té una doble funció: fer la legislació més entenedora i, a la vegada, servir de recordatori dels principis bàsics de la regulació en aquesta matèria. · Conèixer els conceptes bàsics relacionats

amb la protecció de dades.

· Conèixer en què consisteix el dret fona-mental a la protecció de dades i el seu marc normatiu general.

<< El Manual de bones

pràctiques és la millor eina

per complir amb eficiència els

principis bàsics de la protecció de

dades de caràcter personal. >>

(2)

de bones pràctiques

Funcionaris i cossos especials

La protecció de les dades de caràcter personal

i el seu tractament en l’àmbit

(3)

Edita: Agència Andorrana de Protecció de Dades Redacció: Joan Lluís Ibern Disseny i maquetació: AON.ad Impressió: Gràfi ques A4 Dipòsit legal: AND.1174-2011 I.S.B.N.: 978-99920-1-879-8

Sumari

Presentació

I. mANUAL de l’APDA

1. Introducció

2. Conceptes bàsics

3. marc normatiu general

3.1. Marc internacional

3.2. Legislació específi ca de protecció de dades a Andorra

3.3. Legislació nacional connexa

3.4. Llei 15/2003, del 18 de desembre, qualifi cada de protecció de dades personals (LQPD) 3.5. Àmbit d’aplicació de la LQPD

7

10

11

14

14 15 15 16 16

(4)

7. L’Agència Andorrana de Protecció

de Dades (

APDA)

7.1. Què és?

7.2. Potestats de l’APDA

7.3. Registre públic d’inscripció de fitxers de dades personals

II. PREGUNTES I SUPÒSITS

1. FAQ: les preguntes més freqüents

2. Supòsits

pràctics

3. Supòsits

concrets

III. GUIA RÀPIDA

1. Localitza els teus dubtes [índex de referències]

IV. ANNExoS

A1. Annex 1. Models i

formularis

A2. Annex 2.

Glossari de termes clau

41

41 41 42

44

49

61

86

92

93

4. Principis de la protecció de dades en la

recollida i tractament de les dades personals

4.1. Qualitat de les dades 4.2. Consentiment de l’afectat 4.3. Dades sensibles

4.4. Confidencialitat i seguretat 4.5. Cessió de dades

4.6. Comunicació de dades entre administracions públiques 4.7. Prestadors de serveis

4.8. Comunicació internacional de dades

5. Drets dels ciutadans

5.1. Aspectes generals

5.2. Informació en la recollida de les dades 5.3. Decisions individuals automatitzades 5.4. Dret d’accés

5.5. Dret de rectificació 5.6. Dret d’oposició

5.7. Dret de cancel·lació o supressió 5.8. Dret d’indemnització

5.9. Dret de consulta al Registre públic d’inscripció de fitxers

5.10. Tutela dels drets

6. Subjectes obligats.

Fitxers

6.1. Legalització de fitxers

18

18 19 22 24 26 27 28 29

30

30 31 32 33 34 35 36 37 38 38

39

(5)

Presentació

L’Agència Andorrana de Protecció de Dades (APDA) té com a objectiu prioritari vetllar pel compliment del marc normatiu de la protecció de dades de caràc-ter personal. A més, entre d’altres funcions, també promou una cultura social de protecció del dret a la intimitat dels ciutadans. Amb aquesta darrera fi na-litat es posa en marxa la campanya DADES ni piu!

Que no se t’escapin!, dirigida al personal de l’Admi-nistració pública. L’objectiu és sensibilitzar-vos de la importància d’adquirir uns coneixements bàsics en protecció de dades personals. En defi nitiva, es tracta d’ajudar-vos a dur a terme la vostra tasca dià-ria i, d’aquesta manera, incrementar la seguretat i les garanties en aquesta matèria.

Els treballadors de l’Administració pública us relaci-oneu quotidianament amb els ciutadans i les ciuta-danes, per la qual cosa són moltes les ocasions en què us convertiu en usuaris de dades i per això heu de saber actuar en consonància amb la responsabi-litat que comporten les vostres funcions. És impor-tant que pugueu tractar i processar aquestes dades personals amb unes mesures de seguretat bàsi-ques, que informeu els ciutadans dels seus drets i que, en cas de qualsevol dubte, consulteu l’APDA.

Amb el Manual de bones pràctiques per a fun-cionaris i cossos especials que s’emmarca dins

d’aquesta campanya, l’Agència pretén posar al vos-tre abast totes les eines necessàries per capacitar-vos en la recollida i el tractament de dades de ca-ràcter personal, informar-vos de les actuacions que cal evitar i proporcionar-vos les bases per adaptar els vostres procediments a les previsions legals.

El contingut didàctic i pràctic del manual us propor-cionarà una visió més entenedora de la legislació, amb exemples il·lustratius dels punts més destaca-bles de la normativa. Aquest document esdevindrà un bon recurs de consulta ràpida a títol de recorda-tori dels principis bàsics de la regulació en la matè-ria. L’elaboració marca un abans i un després pel que fa a la divulgació de la legislació nacional sobre protecció de dades, perquè tracta de fer compren-siu tot el marc normatiu d’una manera àgil i planera, dotant les explicacions de supòsits pràctics que fan referència a l’Administració andorrana.

Amb l’eslògan de la campanya Ni piu! –expressió prou coneguda per tots (no dir ni piu, no dir res)–, hem tractat d’establir un paral·lelisme amb l’ocell, que simbolitza la fragilitat i la vulnerabilitat de les dades personals. Aquest concepte ens permet cloure l’eslògan amb el símil Que no se t’escapin! (Que no marxi –l’ocell– de les teves mans o de la gà-bia), és a dir, que posis les condicions necessàries perquè les dades que reculls o tractes no s’escapin de la confi dencialitat que exigeixen.

Desitgem que aquest esperit de protecció de les dades que us volem transmetre es manifesti dia rere dia en el desenvolupament de les vostres fun-cions. Els ciutadans posen la seva confi ança, al-guns cops fi ns i tot sense saber-ho, a les nostres mans, i per aquesta raó tenim l’obligació de no de-fraudar-los. Els hem de poder dir amb tota convic-ció que avui, però també demà, a l’Administraconvic-ció pública la seva imatge, la identitat, l’honor i la inti-mitat estan i estaran sempre segurs.

Joan Crespo Piedra Cap de l’Agència Andorrana de Protecció de Dades

(6)

Manual de

l’APDA

I

1. Introducció

2. Conceptes bàsics

3. Marc normatiu general

4. Principis de la protecció de dades en la recollida

i tractament de les dades personals

5. Drets dels ciutadans

6. Subjectes obligats. Fitxers

7. L’Agència Andorrana de Protecció de Dades (APDA)

(7)

1 Introducció

Tens a les mans una eina que et servirà per saber

com has de tractar les dades de caràcter personal en la teva tasca diària de relació amb la ciutadania. A més, et servirà de recordatori perquè davant de qualsevol dubte puguis resoldre la situació amb efi càcia i sense vulnerar els drets dels ciutadans. L’objectiu del manual és doble: fer conèixer els conceptes bàsics relacionats amb la protecció de dades i fer conèixer en què consisteix el dret fo-namental a la protecció de dades i quin és el seu marc normatiu general.

El nom, els cognoms, l’adreça, fotografi es, l’ADN, el número de passaport. Totes són dades que identifi quen una persona, i estan protegides per la legislació. Una persona facilita les seves dades, per exemple, quan obre un compte al banc, quan es matricula en un curs, quan reserva un vol, quan participa en un concurs, quan va al metge, quan busca feina o quan navega per Internet.

Queda clar, doncs, que pràcticament qualsevol activitat quotidiana exigeix una recollida de dades personals. En l’àmbit de l’Administració pública passa exactament el mateix. Per al compliment de les competències que tenen atribuïdes, les admi-nistracions públiques han de tractar dades perso-nals i gestionar-les. Els ciutadans han de facilitar les seves dades personals quan van a l’hospital Nostra Senyora de Meritxell, quan formulen una instància en dependències comunals o governa-mentals, quan inscriuen els fi lls a les activitats es-portives i/o culturals, etc. Cal tenir present que les

noves tecnologies permeten la recollida i el tracta-ment de dades personals, i aquestes es troben en constant evolució. Per tant, és necessari atendre el marc normatiu vigent.

L’Administració gestiona i administra informació (obté, organitza, processa, distribueix, protegeix i custodia informació), i per la seva funció constitu-cional de servei efi cient als ciutadans i a l’interès general, està obligada a adoptar i impulsar políti-ques de qualitat i modernització.

El dret fonamental a la protecció de dades perso-nals deriva directament de la Constitució, en atri-buir als ciutadans un poder de disposició sobre les seves dades, però aquest dret no té un caràcter abstracte o genèric, sinó que atorga al titular de les dades un seguit de facultats, amb poder jurí-dic, d’imposar a tercers la realització o l’omissió de determinats comportaments. Dins del contingut d’aquest dret fonamental es troben els principis de qualitat de les dades, d’informació en la recollida de dades i el consentiment de l’afectat per al seu tractament, així com els drets d’accés, oposició, rectifi cació i supressió de les dades personals sotmeses a tractament.

La Llei 15/2003, del 18 de desembre, qualifi cada de protecció de dades personals, estableix regles objectives sobre el tractament de dades personals perquè el ciutadà recuperi el poder de disposició i control sobre les seves dades personals. Així mateix, disposa que serà l’Agència Andorrana

de Protecció de Dades (APDA) l’encarregada de realitzar les accions pertinents i garantir-ne el dret.

No obstant això, cap norma jurídica no pot substituir l’empleat públic, que ha de

respec-tar els drets dels ciutadans en el desenvolu-pament de les seves tasques administratives, ni el ciutadà, que ha de ser conscient que és propietari de les seves dades personals i del valor que tenen.

1. Dades personals o de caràcter personal: tota informació numèrica, alfabètica, gràfi ca, fotogrà-fi ca, acústica o de qualsevol altre tipus relativa a una persona física identifi cada o identifi cable

(‘persona interessada’); s’entén per identificable tota persona amb una identitat que es pugui de-terminar, directament o indirectament, en parti-cular mitjançant un número d’identificació o un

2 Conceptes bàsics

Què és una dada personal?

Dada personal = qualsevol informació relativa a una persona identifi cada o identifi cable

1. Dades de caràcter identifi catiu Nom i cognoms

Passaport / DNI o NRT Adreça postal / Adreça electrònica Foto / Veu / Signatura / Empremtes 2. Dades de característiques personals

Estat civil / Edat Data de naixement Característiques físiques 3. Dades d’ocupació laboral

Lloc de treball / Categoria Grau / Cos / Escala

4. Dades economicofi nanceres i d’assegurances Ingressos

Rendes Hipoteques Núm. compte corrent Altres dades bancàries 5. Dades especialment protegides

Dades sobre: la salut l’origen ètnic organitzacions sindicals l’orientació sexual / opinions polítiques [exigeixen requeriments especials per a la recollida]

Tipus de dades personals

(8)

13. Registres públics: tots els fitxers de dades personals el responsable del tractament dels quals sigui una entitat pública, als quals les persones interessades estan obligades a facilitar les seves dades a efectes d’inscripció o a d’altres efectes.

14. Registres públics accessibles: registres pú-blics als quals qualsevol ciutadà o entitat, pública o privada, pot tenir accés.

15. Interès públic: concepte definit i determi-nat entès com a avantatge general i important i primordial, que justifica la finalitat de la interven-ció de l’Estat i en fonamenta la legitimitat, sem-pre dins del marc de l’objectivitat i dels principis constitucionals de legalitat, de jerarquia, de publi-citat de les normes jurídiques, de no-retroactivitat de les disposicions restrictives de drets individu-als o que comportarien un efecte o establirien una sanció desfavorables, de seguretat jurídica, de responsabilitat dels poders públics i d’interdicció de tota arbitrarietat.

16. Interès vital: interès essencial per a la vida de la persona interessada.

17. Destinatari: tercera persona física o jurídica, servei o qualsevol altre organisme que rebi una co-municació de dades.

18. Cessió o comunicació de dades: qualsevol cessió o comunicació de dades de caràcter perso-nal que el responsable del tractament dugui a ter-me en favor d’un tercer destinatari sempre que les dades siguin utilitzades pel destinatari per al com-pliment de finalitats directament relacionades amb les funcions legítimes del cedent i del cessionari.

19. Dades sensibles: dades referents a opinions polítiques, creences religioses, pertinença a orga-nitzacions polítiques o sindicals, salut, vida sexual o origen ètnic de les persones interessades.

20. Dades de caràcter personal relacionades amb la salut: tota la informació relativa a la sa-lut passada, present i futura, física o mental, d’una persona; es pot tractar d’una persona sana, malal-ta o difunmalal-ta. Es considera dades relacionades amb la salut de les persones, entre d’altres, les relatives al seu percentatge de discapacitat o a la seva in-formació genètica, i també les relacionades amb el consum d’alcohol, de drogues tòxiques i de subs-tàncies psicotròpiques.

21. Comunicació internacional de dades: tota comunicació de dades o tot accés a les dades per part d’un prestador de serveis de dades personals, quan els destinataris de la comunicació o els pres-tadors de serveis estiguin domiciliats a l’estranger, o emprin mitjans de tractament de dades perso-nals ubicats a l’estranger per a la comunicació de les dades o per a la prestació del servei.

22. Normes de creació, modificació o supressió de fitxers de naturalesa pública: decisions dels òrgans de l’Administració pública definits pel Codi de l’Administració sotmeses a les disposicions de la Llei qualificada de protecció de dades personals i als textos que la desenvolupen destinades a regular la creació, la modificació o la supressió de fitxers de naturalesa pública, d’acord amb els requisits esta-blerts en la Llei 15/2003, del 18 de desembre, quali-ficada de protecció de dades personals (LQPD). o diversos elements específics, característics de

la seva identitat física, fisiològica, psíquica, eco-nòmica, cultural o social.

2. Consentiment: tota manifestació de voluntat que sigui lliure, específica, clara, indubtable i in-formada, mitjançant la qual l’interessat consenti el tractament de dades personals que l’afectin.

3. Tractament de dades personals (‘tractament’): qualsevol operació o conjunt d’operacions efectu-ades mitjançant procediments automatitzats o no, i aplicades a dades de caràcter personal, com ara la recollida, el registre, l’organització, la conser-vació, l’elaboració o la modificació, l’extracció, la consulta, la utilització, la comunicació per trans-missió, la difusió o qualsevol altra forma que en faciliti l’accés, la comparació o la interconnexió, el bloqueig, la supressió o la destrucció.

4. Fitxer de dades personals (‘fitxer’): tot con-junt estructurat i organitzat, centralitzat o no, de dades personals, qualsevol que sigui la seva fma o modalitat de creació, emfmagatzefmatge, or-ganització i accés.

5. Processament automatitzat: les operacions efectuades totalment o parcialment amb l’ajut de procediments automatitzats, com ara l’emmagatze-matge de dades, l’aplicació d’operacions lògiques i/o aritmètiques a aquestes dades, i la modificació, la supressió, l’extracció o la difusió de les dades.

6. Fitxers de naturalesa privada: fitxers de da-des personals el responsable del tractament dels quals és una persona física o una persona jurídica

de naturalesa privada o una societat pública sot-mesa al dret privat.

7. Fitxers de naturalesa pública: fitxers de dades personals el responsable del tractament dels quals és l’Administració pública.

8. Dada anònima: dada que no es pot associar a una persona identificada o identificable, conside-rant el conjunt dels mitjans que pugui utilitzar rao-nablement el responsable del tractament o qualse-vol altra persona per identificar aquesta persona.

9. Responsable del tractament: la persona físi-ca o jurídifísi-ca, el servei o qualsevol altre organisme competent per decidir sobre el tractament de da-des personals i els mitjans que es da-destinaran per a tal tractament, i que vetlla perquè les finalitats que es pretenen aconseguir amb el tractament es corresponguin amb les concretades en la norma o en la decisió de creació del fitxer.

10. Prestador de serveis de dades personals: la persona física o jurídica, de naturalesa pública o privada, o l’autoritat pública, o el servei o qualsevol altre organisme que, sol o conjuntament amb altres, tracta les dades de caràcter personal per compte del responsable del tractament, o que accedeix a les da-des personals per a la prestació d’un servei a favor i sota el control del responsable del tractament, sem-pre que no utilitzi les dades a què tingui accés per a finalitats pròpies, o que no les faci servir més enllà de les instruccions rebudes o per a finalitats diferents del servei que ha de prestar a favor del responsable.

11. Persona interessada: la persona física a la qual corresponen les dades de caràcter personal objecte de tractament.

12. Tercer: la persona física o jurídica, autoritat pú-blica, servei o qualsevol altre organisme diferent de l’interessat, del responsable del tractament o del seu representant, i del prestador de serveis. RECOLLIR · GRAVAR · CONSERVAR

ELABORAR · MODIFICAR · BLOQUEJAR CANCEL·LAR · CEDIR

Tractament = operacions que permetin:

dades de caràcter personal resultants de qualsevol consulta o comunicació.

Grups professionals Dades accessibles al públic:

A Nom + títol + professió + activitat + grau acadèmic

B Adreça professional: domicili postal + telèfon + fax + adreça electrònica professional

C Indicació de la seva pertinença al grup. En el cas dels col·legis professionals,

les dades de pertinença són: Núm. col·legiat Data d’incorporació Situació d’exercici professional

(9)

3 Marc normatiu general

El dret fonamental a la protecció de dades

reco-neix al ciutadà la facultat de controlar les seves dades personals i la capacitat per disposar-ne i decidir-ne l’ús. Una llei qualificada regula la matèria, la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD), i una sèrie de lleis, decrets i edictes

complementen la legislació en l’àmbit nacional. En l’àmbit internacional, Andorra és un dels pa-ïsos signants del Conveni per a la protecció de les persones respecte del processament auto-matitzat de les dades de caràcter personal de 1981, que passa a formar part de l’ordenament jurídic andorrà.

• Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal, fet a Estrasburg el 28 de gener de 1981, i Protocol addicional del Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal relatiu a les auto-ritats de control i els fl uxos transfronterers de dades, fet a Estrasburg el 8 de novembre del 2001, del 18-10-2007.

• Edicte del 13-5-2008 pel qual es fa públic que l’1 de setembre del 2008 entraran en vigor el Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal, fet a Estras-burg el 28 de gener de 1981, i el Protocol addicional del Conveni per a la protecció de les persones respecte del processament au-tomatitzat de les dades de caràcter personal relatiu a les autoritats de control i els fluxos transfronterers de dades, fet a Estrasburg el 8 de novembre del 2001.

• Decisió de la Comissió Europea respecte al ni-vell adequat de protecció del Principat d’Andor-ra, en la Directiva 95/46.

• Constitució del Principat d’Andorra. (BOPA núm. 24, de 04-05-93)

• Llei 8/2007, del 17 de maig, de regulació del nú-mero d’identifi cació administrativa. (BOPA núm. 50, del 20-06-07)

• Llei 9/2007, del 17 de maig, del cens. (BOPA núm. 50, del 20/06/07)

• Decret del 20-12-2006 d’aprovació del Regla-ment pel qual es regulen les condicions sanitàri-es dels sanitàri-establiments que realitzen tècniqusanitàri-es de decoració corporal (tatuatge, micropigmentació o pírcing). (BOPA núm. 93, 27-12-06)

• Decret del 25-10-2006 de modifi cació del Decret regulador del Servei d’Immigració. (BOPA núm. 82, 02-11-06)

• Llei 15/2003, del 18 de desembre, qualifi cada de protecció de dades personals. (BOPA núm. 3, 21/01/2004)

• Decret del 9-06-2010 d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades. (BOPA núm. 33, 16/06/2010)

• Correcció d’errata del 23-06-2010 per la qual s’esmenen diversos errors constatats en el De-cret del 9-06-2010 d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades. (BOPA núm. 37, 30/06/2010)

• Decret de l’1-7-2004 d’aprovació del Reglament del registre públic d’inscripció de fi txers de da-des personals. (BOPA núm. 41, 7/07/2004) • Decret de l’1-10-2008 de modifi cació de

l’an-nex 1 del model de notifi cació per a la inscripció de fi txers de dades personals al Registre públic d’inscripció de fi txers de dades personals. • Decret de l’1-7-2004 de creació dels fi txers de

dades personals de l’Agència Andorrana de Pro-tecció de Dades. (BOPA núm. 41, 7/07/2004) • Edicte del 14-12-2004 pel qual es nomenen els

membres de l’Agència Andorrana de Protecció de Dades.

• Edicte del 18-12-2008 pel qual es nomenen els membres de l’Agència Andorrana de Protecció de Dades.

• Conveni per a la protecció de les persones res-pecte del processament automatitzat de les dades de caràcter personal, fet a Estrasburg el 28 de gener de 1981, i del Protocol addicional del Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal relatiu a les auto-ritats de control i els fl uxos transfronterers de dades, fet a Estrasburg el 8 de novembre del 2001, del 18-10-2007.

• Edicte del 13-5-2008 pel qual es fa públic que l’1 de setembre del 2008 entraran en vigor el Con-veni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal, fet a Estrasburg el 28 de ge-ner de 1981, i el Protocol addicional del Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de ca-ràcter personal relatiu a les autoritats de control i els fl uxos transfronterers de dades, fet a Estras-burg el 8 de novembre del 2001.

• Decisió de la Comissió, de 19 d’octubre de 2010, de conformitat amb la Directiva 95/46/ CE del Parlament Europeu i del Consell, relati-va a l’adequada protecció de les dades perso-nals a Andorra, publicada al Diari Ofi cial de la UE el 21 d’octubre de 2010.

3.1. mARC INTERNACIoNAL

3.2. LEGISLACIó ESPECíFICA DE PRoTECCIó DE DADES A ANDoRRA

3.3. LEGISLACIó NACIoNAL CoNNExA

RECoRDA!

Pots consultar tota la legislació relativa a la protecció de dades en el lloc web de l’Agència Andorrana de Protecció de Dades

www.apda.ad

RECoRDA!

(10)

Quan afrontes la recollida o el tractament de dades personals has de pensar en l’objectiu bàsic de la protecció de dades: garantir els drets fonamentals de les persones. El que has de tenir present quan interactues amb un ciutadà és que en tot moment has de vetllar per la seva intimitat.

La LQPD és aplicable a les dades de caràcter per-sonal que siguin susceptibles de tractament, ja sigui de forma manual, ja sigui de forma automatit-zada, i a qualsevol ús posterior d’aquestes dades de caràcter personal en els sectors públic i privat.

S’aplica també a tot allò que no s’ha previst o que no s’ha regulat en la normativa aplicable a registres públics i en la normativa aplicable al secret bancari, i a les normes reguladores del secret professional.

Exemple:

Quan he d’aplicar els principis bàsics recollits en la LQPD?

Sempre que recullis qualsevol dada de caràcter personal i, també, durant l’ús posterior d’aques-ta dada. Has d’aplicar la normativa de la LQPD sempre que el fi txer estigui constituït conforme a l’ordenament jurídic andorrà. Excepte uns supòsits concrets, el fi txer s’haurà de donar a conèixer per una disposició publicada prèviament en el BOPA.

Exclusions en l’àmbit d’aplicació

S’exclouen de l’àmbit d’aplicació de la LQPD: 1. Les dades personals relatives a la seguretat de

l’Estat i a la investigació i a la prevenció d’infrac-cions penals, regulades per una llei de caràcter penal i en el marc d’un procediment penal. 2. Les dades de les persones físiques vinculades a

la seva activitat empresarial, professional o co-mercial, en les circumstàncies següents:

a) dades de personal de persones jurídiques o d’establiments comercials o professionals, quan la informació vinculada a la persona física es refereixi únicament a la seva per-tinença a l’empresa o a l’establiment, o a la seva qualitat professional en el si de l’empre-sa o de l’establiment;

b) dades de persones físiques pertanyents a col·lectius professionals, sempre que les da-des es refereixin únicament a l’activitat profes-sional de la persona i a la seva pertinença a un col·lectiu professional determinat;

c) dades de professionals autònoms o d’esta-bliments professionals o comercials, quan les dades es refereixin únicament a la seva activi-tat professional o comercial.

3. El tractament de dades efectuat per part d’una persona física en l’exercici d’activitats exclusiva-ment personals o domèstiques, com la corres-pondència i la gestió d’un repertori d’adreces.

3.4. LLEI 15/2003, DEL 18 DE DESEmBRE,

QUALIFICADA DE PRoTECCIó DE DADES PERSoNALS (LQPD)

3.5 ÀmBIT D’APLICACIó DE LA LQPD

ART. 1 LQPD

Objectiu: Aquesta Llei té per objectiu protegir i ga-rantir, pel que fa al tractament i utilització de dades de caràcter personal, els drets fonamentals de les persones, i especialment els relatius a la intimitat.

QUÈ DIU LA LLEI?

• Si hi ha una llacuna legislativa

en la normativa específi ca Aplicació subsidiària de la LQPD Registres públics / Secret bancari

• Si hi ha contradicció normativa específi ca vs LQPD

Normativa específi ca Registre públic / Secret bancari > LQPD

=

RECoRDA!

• Una dada de caràcter personal és qualse-vol informació relativa a una persona identi-fi cada o identiidenti-fi cable.

• Les dades relatives a opinions polítiques, creences religioses, pertinença a organitza-cions polítiques o sindicals, salut, vida se-xual o origen ètnic de l’interessat estan ES-PECIALmENT protegides per la legislació en la matèria.

• Hi ha la possibilitat de tractar dades per-sonals sense que es pugui identifi car la persona (procediment de dissociació). Per exemple: ocultant el rostre en una foto usant les noves tecnologies.

• No cedeixis dades a altres administracions, entitats o particulars sense autorització. • En qüestions d’interès públic important

o per obligació legal No és necessari el consentiment de l’interessat per al trac-tament de dades.

• El responsable de tractament no cedeix da-des al prestador de serveis, sinó que aquest actua en nom del responsable del fi txer. • Comprova que hi ha un conveni o

contrac-te amb empreses o institucions quan esde-venen prestadors de serveis (en els convenis hi ha d’haver clàusules de confi dencialitat i de seguretat de la informació que garantei-xen el respecte a les dades personals). • Les dades dels col·legiats són registres

ac-cessibles al públic.

• Els registres públics no són necessàriament registres d’accés general i oberts a la con-sulta pública. La seva descripció fa referèn-cia a l’àmbit públic de l’Administració i no al caràcter d’accés obert al públic.

• No se cediran dades a un tercer llevat que tingui el consentiment de l’interessat. • Estigues al corrent de les novetats en la

matèria (a través del web de l’APDA). I. Àmbit d’aplicació

· Persones físiques · Elements subjectius: Afectat o interessat (art 3.e) Responsable del fi txer (art. 3.d)

Prestador de serveis · Elements objectius: Dades de caràcter personal (art. 3.a) Tractament de dades (art 3.c) Fitxer (art. 3.b) · Àmbit d’aplicació: Fitxers subjectes (art. 2) Fitxers no subjectes (art. 5,6 i 7)

· Fitxers amb disposicions específi ques: Fitxers de titularitat pública

II. Principis

· Principi de qualitat de les dades: adequació, pertinença i proporcionalitat (art. 10) · Principi de consentiment de l’afectat

· Principi de les dades especialment protegides · Principi de seguretat de les dades (art. 12) · Principi de deure de secret · Principi de limitació en la comunicació de dades III. Drets · Dret d’informació i consulta al Registre P. D. · Dret d’accés · Dret de rectifi cació, oposició i cancel·lació · Dret d’indemnització

IV. Òrgan de control

· Creació i règim jurídic: Personal Recursos Pressupost · El cap de l’Agència · Els inspectors · Funcions: Registre de Protecció de Dades Potestat d’inspecció (art. 41)

Requeriments als titulars dels fi txers Potestat d’inspecció V. Règim sancionador · Responsables · Tipus d’infraccions · Immobilització de fi txers

(11)

4 Principis obligatoris de la protecció

de dades en la recollida i el

tractament de les dades personals

El responsable del fi txer ha de fer un tractament de les dades sota els següents requisits: - Pertinença, adequació i fi nalitat.

- Compatibilitat. - Veracitat.

- Actualització. - Limitació temporal.

- Accés, rectifi cació, oposició i supressió. - Legitimitat.

4.1. QUALITAT DE LES DADES

4.2. CoNSENTImENT DE L’AFECTAT

Requisits per tractar les dades

PERTINENÇA, ADEQUACIó I FINALITAT

LImITACIó TEmPoRAL

La informació que es recull ha de ser adequada, pertinent i no excessiva en relació amb l’àmbit i la fi nalitat establerts. La fi nalitat ha de ser deter-minada, explícita i legitima.

Les dades hauran de ser cancel·lades quan no sigui necessari conservar-les per a la fi nalitat per a la qual foren creades.

La fi nalitat defi neix el nivell d’adequació en la recollida de dades que es pretén realitzar, és a dir, quines dades poden recollir-se i quines no. La fi nalitat s’ha de defi nir prèviament complint els requisits de la LQPD i s’ha de declarar en la norma de creació del fi txer publicada en el BOPA. La recollida d’una determinada dada ha de ser pertinent, és a dir, apropiada per a la fi nalitat. Una recollida transparent suposa el compliment dels requi-sits de fi nalitat, adequació i pertinença.

ComPATIBILITAT

No podran ser usades les dades per a una fi na-litat incompatible.

La fi nalitat per la qual es recullen les dades ha de ser determinada i explícita. Així, havent previst el respon-sable del tractament una fi nalitat, està prohibit utilitzar les dades amb una altra fi nalitat incompatible amb la que va justifi car la creació del fi txer.

ACTUALITzACIó

Les dades inexactes o incompletes hauran de ser rectifi cades.

La conducta més apropiada del responsable del trac-tament és de confi gurar un sistema per garantir que les dades tractades s’actualitzaran periòdicament o bé es bloquejaran perquè no siguin utilitzades fi ns a la seva actualització.

Les dades personals tenen un cicle de vida. La fi nalitat indica el temps que es podran conservar.

Les dades s’hauran de cancel·lar una vegada acom-plerta la fi nalitat del tractament. No obstant això, la supressió dóna lloc al bloqueig de les dades.

ACCÉS, RECTIFICACIó, oPoSICIó I SUPRESSIó Les dades han de ser emmagatzemades de tal forma que l’interessat pugui exercir els seus drets d’accés, rectifi cació, oposició i supressió.

Cada administració ha de preveure un procediment per al compliment dels drets d’accés, rectifi cació, oposició i supressió.

LEGITImITAT

Està prohibida la recollida de dades de manera fraudulenta, deslleial o il·lícita.

La fi nalitat ha de ser determinada, explícita i legíti-ma. La recollida deslleial o enganyosa és aquella en què la informació s’obté de manera que s’indueix a l’error l’interessat respecte a la fi nalitat per a la qual es recullen les dades.

VERACITAT

Les dades seran exactes i posades al dia, han de refl ectir la situació real de la persona.

La llei exigeix que les dades responguin a la situa-ció actual.

Només amb el consentiment previ i inequívoc de l’afectat es pot procedir al tractament de les seves dades personals, excepte que una llei dis-posi una altra cosa.

1. Característiques del consentiment:

• PREVI: L’interessat ha de donar el consentiment amb anterioritat que les seves dades siguin trac-tades, inclosa la simple recollida.

• INEQUÍVOC: El consentiment serà inequívoc sempre que s’hagi donat compliment al principi d’informació. Només quan el consentiment és informat és inequívoc.

• REVOCABLE: El consentiment atorgat podrà ser revocat per l’interessat en qualsevol moment.

2. Excepcions al consentiment :

a) quan el tractament de dades correspon a enti-tats de naturalesa pública, sempre que es faci amb les fi nalitats previstes en la norma o en la decisió de creació del fi txer de dades personals; b) quan el tractament de dades sigui necessari per

al compliment de les fi nalitats i les funcions dels registres públics expressament regulats per llei; [La fi nalitat de la recollida de les dades ha de ser l’exercici d’una de les funcions pròpies de l’Administració pública i, a més, ha d’estar inclosa en l’àmbit de competències de l’òrgan de l’Admi-nistració que fi gura com a responsable del fi txer.] c) quan el tractament de les dades es faci d’acord

amb una llei; [La norma que eximeix la necessitat del consentiment ha de tenir rang de llei, no es pot admetre cap disposició amb un rang inferior.] d) quan les dades objecte de tractament s’obtin-guin de registres públics accessibles regu-lats per llei;

e) quan sigui necessari per al compliment d’obli-gacions contractuals establertes entre la per-sona interessada i el responsable del tracta-ment, o bé sigui necessari per al complitracta-ment, el desenvolupament i el control d’altres relacions jurídiques que es puguin establir entre la perso-na interessada i el responsable del tractament; [Es considera que l’acceptació i l’establiment

(12)

d’una relació contractual implica el consenti-ment per al tractaconsenti-ment de les dades personals de l’interessat, sempre que siguin necessàries per al manteniment o el compliment de la relació establerta. El consentiment està implícit en l’es-tabliment de la relació.]

f) quan sigui necessari per a la salvaguarda de l’interès vital de la persona interessada; [La protecció d’un interès vital s’ha d’entendre quan el tractament de dades resulti necessari per a la prevenció o per al diagnòstic mèdic, la prestació d’assistència sanitària o tractaments mèdics, o la gestió de serveis sanitaris o d’assistència so-cial; sempre que aquest tractament de dades es faci per un professional sanitari subjecte al deure de secret professional o per una altra persona subjecta, així mateix, a una obligació equivalent. Ha de prevaldre el dret a la vida o a la integritat física per sobre del dret a la protecció de dades personals o el dret a la intimitat.]

g) es faci exclusivament amb fi nalitats històriques o científi ques, d’expressió artística o literària, sempre que no hi hagi risc d’atemptat contra la vida privada de les persones interessades.

Tant les excepcions al consentiment de l’interessat com les relatives a les condicions legitimadores del tractament de dades personals s’han d’entendre i s’han d’interpretar sempre de manera restrictiva.

Necessita l’Administració

pública el consentiment

per recollir i tractar

dades personals?

Sí, l’Administració pública se sotmet al principi general i, per tant, és necessari que demaneu el consentiment inequívoc per recollir i tractar dades, i l’exprés i per escrit en casos de dades sensibles. Però la LQPD determina uns supòsits en què no serà necessari aquest consentiment, entre els quals es troba: les dades que es recu-llen per a l’exercici de les funcions prò-pies de l’Administració pública en l’àmbit de les seves competències.

Quan el tractament de dades és dut a ter-me segons les fi nalitats previstes en una norma de creació de fi txers publicada al BOPA, no cal el consentiment previ del ciutadà. Perquè aquest fi txer publicat al BOPA sigui vàlid i aplicable, l’Administració responsable del fi txer ha de tenir compe-tència legalment atribuïda en la matèria es-pecifi cada en la disposició.

RECoRDA!

• Informa i demana el consentiment quan sol·licitis i tractis dades de caràc-ter personal. I cal obtenir el consenti-ment de l’interessat, excepte en uns supòsits concrets en què es pot proce-dir sense consentiment previ.

• No facis servir les dades per a fi nali-tats diferents respecte d’aquelles per a les quals es van recollir.

RECoRDA!

DADES DE SALUT

És necessari el consentiment

per tractar les dades de salut?

Les dades de salut es poden tractar sense consentiment de l’interessat per a la preven-ció o per al diagnòstic mèdic, per a la presta-ció d’assistència sanitària o de tractaments mèdics, o per a la gestió de serveis sanitaris, sempre que les tracti un professional sanitari. També es poden tractar sense consenti-ment per salvaguardar l’interès vital de la persona afectada o d’una altra persona (en cas que estigui incapacitada físicament o jurídica per donar-ne el consentiment).

Recorda els punts bàsics sobre la qualitat de les dades,

el dret d’informació i el consentiment de l’interessat

Les dades que es recullen han de ser:

ADEQUADES · PERTINENTS · No ExCESSIVES · ExACTES · ACTUALITzADES

Les dades no es poden utilitzar per a fi nalitats incompatibles amb aquelles per a les quals s’han demanat. Està prohibida la recollida de dades per mitjans fraudulents, deslleials o il·lícits.

Qualitat de les dades

Per a l’obtenció de dades has d’informar el ciutadà sobre: · LA IDENTITAT DEL RESPoNSABLE DEL FITxER ·

· LA FINALITAT DEL TRACTAmENT · · EL DESTINATARI DE LES DADES ·

· Com PoT ExERCIR ELS DRETS D’ACCÉS, RECTIFICACIó I SUPRESSIó · · EL DRET A No AToRGAR EL CoNSENTImENT I LES CoNSEQÜÈNCIES ·

Supòsits en què no caldrà informar el ciutadà:

- El fi txer està recollit en una norma publicada al BOPA.

- Es tracta de fi txers públics que fan referència a matèries excloses de la LQPD o que disposen de normativa específi ca pròpia.

Dret d’informació

Cal obtenir sempre el consentiment INEQUíVoC de la persona interessada

(excepte en supòsits concrets en què l’Administració pública pot procedir sense el consentiment). El consentiment té un caràcter REVoCABLE.

Supòsits en què no caldrà el consentiment de l’interessat:

- El tractament és necessari per preservar l’interès vital de la persona. - El tractament de dades es fa d’acord amb una norma vigent.

- És necessari per al compliment de les funcions i fi nalitats dels registres públics amb normativa específi ca. - És necessari per al compliment d’obligacions contractuals entre l’interessat i el responsable

del fi txer o per a d’altres relacions jurídiques entre ambdós.

- El tractament és exclusivament amb fi nalitats històriques o científi ques o d’expressió artística o literària. (Per ampliar informació vegeu el quadre de la pàg. 23)

En el cas de dades sensibles cal el consentiment ExPRÉS i PER ESCRIT.

(13)

4.3. DADES SENSIBLES

La Constitució d’Andorra recull el dret de la perso-na a no manifestar-se sobre la ideologia, la religió o les creences professades.

Les dades sensibles són aquelles dades relati-ves a opinions polítiques, creences religioses, pertinença a organitzacions polítiques o sin-dicals, salut, vida sexual o origen ètnic de les persones. Com a norma general, està prohibida la creació de fi txers amb la fi nalitat exclusiva de recollir o tractar dades sensibles.

Per tal de recollir dades sensibles necessites el consentiment exprés i per escrit de l’interessat. Els fi txers que contenen aquestes dades hauran d’aplicar un nivell més elevat de protecció; és a dir, els responsables del tractament hauran de tenir especial cura en la recollida i la manipulació de les dades sensibles.

El consentiment de la persona interessada per al tractament o la comunicació de dades sensibles no és necessari quan:

a) el tractament o la comunicació de dades sensi-bles es faci per o entre entitats de naturalesa pública, quan sigui estrictament necessari per al compliment de les seves funcions i fi nalitats legítimes, i quan es puguin incloure en les nor-mes de creació dels fi txers de naturalesa pública previstes en l’article 30 de la LQPD;

b) el tractament o la comunicació de dades sensibles sigui necessari per al compliment de les fi nalitats i les funcions dels registres públics, segons la llei que en determina i en regula el funcionament; c) es tracti de preservar l’interès vital de la

perso-na afectada;

d) les dades s’hagin obtingut de registres públics accessibles segons la seva regulació;

e) el tractament o la comunicació de dades sensi-bles relatives a la salut els facin professionals mèdics, sanitaris o de treball social obligats a respectar el secret professional i a assegurar la confi dencialitat de tota la informació nominativa i personal rebuda en el marc de l’exercici de la seva praxi professional, i sigui necessari per a la diagnosi i el tractament mèdic o l’assistència sanitària o social;

f) el tractament o la comunicació de dades sen-sibles relatives a la salut sigui necessari per a la realització d’estudis epidemiològics o per a la prevenció i tractament d’epidèmies, i que, prèviament a la comunicació, les dades perso-nals sensibles es converteixin en anònimes. En cas que no sigui possible l’anonimització, s’han d’aplicar els principis previstos en els articles 6 i 8.1 del Reglament de l’APDA, relatius a la quali-tat de les dades i a les condicions especials de tractament de dades sensibles, respectivament.

RECoRDA!

Dades sensibles:

• Dades especialment sensibles: dades re-latives a opinions polítiques, creences reli-gioses, pertinença a organitzacions políti-ques o sindicals, salut, vida sexual o origen ètnic de les persones.

• La LQPD imposa una protecció addicio-nal (formes de consentiment, legitimitat de la recollida) a determinades categories de dades especialment sensibles.

• Les dades sensibles només poden ser objecte de tractament o de comunicació amb el consentiment exprés de la per-sona interessada.

• No es poden crear fitxers amb la finalitat exclusiva de recollida o tractament de dades sensibles.

• També hi ha supòsits en què no és neces-sari el consentiment de l’interessat per a dades sensibles (vegeu el quadre següent).

Excepcions al consentiment de dades no sensibles / dades sensibles

DADES No SENSIBLES DADES SENSIBLES

Tractament per entitats públiques segons normes de creació de fi txers

Normativa vigent Salut: no cal consentiment quan el tractament sigui fet per professionals mèdics/sanitaris/ o de treball social per a diagnosi/tractament

mèdic/sanitari o social. Tampoc per a prevenció i tractament d’epidèmies.

[Sí que cal consentiment en cas de GESTIÓ de serveis mèdics] Obligacions contractuals

o altres relacions jurídiques

Tractament per entitats públiques segons normes de creació de fi txers + tractament sigui estrictament necessari

per a compliment fi nalitat/funcions

Interès vital de l’interessat

Finalitats històriques/científi ques

artístiques/literàries Interès vital de l’interessat

(14)

4.4. CoNFIDENCIALITAT I SEGURETAT

Com a responsable del tractament o, simplement, com a usuari de dades, has d’aplicar unes mesures de seguretat bàsiques per garantir la confi -dencialitat de les dades personals.

En cas que hagis d’encarregar la totalitat o una part del tractament de les dades a un prestador de serveis (a un proveïdor extern, per exemple), has d’exigir-li unes mínimes mesures tècniques i organitzatives, en coherència a les que t’exigiries tu mateix. De tota manera, has de tenir present que la confi dencialitat i seguretat de les dades s’exigeix de manera igual tant al responsable del fi txer com a qualsevol prestador de serveis parcial o total.

En la teva tasca diària a l’Administració pública, com a responsable o usuari de dades de caràc-ter personal, has d’adoptar mesures de seguretat apropiades per garantir la seguretat i la confi den-cialitat de les dades i la intimitat dels ciutadans.

Alguns exemples recomanables de mesures de seguretat bàsiques que cal emprar com a treba-llador de l’Administració pública són:

• Destrueix el material digital i en paper que con-tingui dades personals quan ja no cal preservar-lo ni hi hagi cap norma que disposi el contrari. Cal utilitzar els mitjans adequats per a una

des-trucció efectiva (màquines destructores de pa-per i de CD i DVD).

• En llocs d’atenció al públic, cal tenir cura d’es-borrar / destruir les anotacions de dades per-sonals en papers, post-it, etcètera que han estat fetes per agafar temporalment dades de caràc-ter personal. També has de llançar a les escom-braries aquests papers o post-it.

• No revelis dades de caràcter personal per via telefònica en presència d’una altra persona externa que no tingui coneixement del deure de secret i confi dencialitat de les dades de ca-ràcter personal.

• Cal tenir cura de les còpies de fi txers i de les còpies de seguretat quan contenen dades de caràcter personal. Cal portar un registre de les còpies de CD o DVD.

• Cal tenir cura de la informació desada en qualse-vol dispositiu digital mòbil, quan conté dades de caràcter personal, susceptible de pèrdua o robatori (memòries USB, PDA, mòbils, ordina-dors portàtils, etcètera).

• Cal fer especial atenció en el trasllat de docu-mentació que contingui dades personals fora del lloc de treball o, en qualsevol cas, no enviïs informació que contingui dades de caràcter per-sonal per dispositius informàtics ubicats fora de l’ofi cina (exemple: fax extern, correu electrònic que no sigui de la feina, etcètera).

• En l’enviament de correu electrònic, sobretot en l’enviament massiu d’e-mails, cal tenir cura que les adreces electròniques dels usuaris als quals enviïs la informació no puguin ser vistes pels destinataris (posa-les en còpia oculta). En general, cal garantir la confi dencialitat dels en-viaments de correus electrònics.

• Pel que fa l’ordinador com a eina de treball, cal evitar la visualització o l’accés a dades per part de persones externes. Convé disposar d’una contrasenya per a l’accés a l’ordinador i tenir cura de les dades que puguin aparèixer en el teu monitor en el moment en què deixis momentàniament el teu lloc de treball.

• Cal tenir cura de les dades de caràcter personal exposades a la taula de treball quan es pre-senten visites.

• Custodia sota clau armaris i espais amb docu-mentació relativa a dades de caràcter personal. • Segueix uns protocols bàsics de seguretat en la

navegació per Internet, perquè des de la xar-xa és possible la intrusió en el nostre sistema informàtic per accedir a bases de dades (empra tallafocs i sistemes de detecció d’intrusions, actualitza els sistemes i els programes informà-tics regularment, entre d’altres).

• Utilitza formats de documents electrònics que no es puguin modifi car fàcilment (per exemple: .pdf en lloc de .doc).

• En cas de recollida de dades per telèfon que requereixin consentiment de l’interessat, o en cas de cessió de dades personals a altres enti-tats, cal que informis l’interessat telefònicament d’aquest tractament o cessió, i que li llegeixis la clàusula informativa corresponent. No obs-tant això, es recomana que el treballador inten-ti sempre que el ciutadà deixi constància per escrit del seu consentiment, ja sigui per mitjà d’un formulari o per via telemàtica, perquè en cas de reclamació de l’interessat a l’APDA, la càrrega de la prova conforme s’ha actuat amb diligència en el tractament de dades personals la té sempre l’Administració.

EL DEURE DE SECRET

Tinc l’obligació de

guardar secret?

Sí, en la teva tasca quotidiana de recollida i tractament de dades personals dels ciuta-dans has de respectar el deure de secret i confi dencialitat de la informació, fi ns i tot quan deixes d’ocupar el teu lloc de treball. També has de vetllar perquè els prestadors de serveis (empreses subcontractades que tractin dades personals) apliquin les mesures de seguretat per garantir aquesta confi dencialitat.

La LQPD s’aplica amb caràcter addicional per a les activitats i professions sotmeses al secret professional.

Exemple: Professions amb secret

pro-fessional: cossos de seguretat, advocats, metges, periodistes, etc.

(15)

4.5. CESSIó DE DADES

4.6. ComUNICACIó DE DADES ENTRE ADmINISTRACIoNS PÚBLIQUES

És qualsevol cessió o comunicació de dades de caràcter personal que el responsable del tracta-ment dugui a terme en favor d’un tercer destina-tari, sempre que les dades siguin utilitzades pel destinatari per al compliment de fi nalitats direc-tament relacionades amb les funcions legítimes del cedent i del cessionari, amb el consentiment previ de l’interessat.

Serà nul el consentiment per a la comunicació de les dades de caràcter personal a un tercer quan la informació que es facilita a l’interessat no li permet conèixer la finalitat a la qual es des-tinaran les dades o el tipus d’activitat d’aquell a qui es comuniquen.

La comunicació de dades entre administracions pú-bliques està permesa en les circumstàncies següents: - Les dades de caràcter personal objecte de tractament només podran ser comunicades a un tercer per al compliment de fi nalitats relaci-onades amb les funcions legitimes del cedent i del cessionari, amb el consentiment previ i ine-quívoc de l’interessat.

- La comunicació de dades entre administraci-ons públiques és natural i necessària perquè els serveis al ciutadà es prestin amb efi càcia, com ordenen la Constitució Andorrana i les lleis. No obstant això, aquesta comunicació no-més està permesa quan concorren les situaci-ons següents:

1) quan la comunicació de dades es faci per o entre entitats de naturalesa pública, quan si-gui estrictament necessària per al compliment de les seves funcions i fi nalitats legítimes, i es puguin incloure en les normes de creació dels fi txers de naturalesa pública previstes en l’ar-ticle 30 de la LQPD;

2) quan la comunicació de dades sigui neces-sària per al compliment de les fi nalitats i les funcions dels registres públics, segons la llei que en determina i en regula el funcionament; 3) quan les dades s’hagin obtingut de registres

públics accessibles segons la seva regulació; 4) quan la comunicació de dades sensibles

re-latives a la salut la facin professionals mèdics, sanitaris o de treball social obligats a respec-tar el secret professional i a assegurar la con-fi dencialitat de tota la informació nominativa i personal rebuda en el marc de l’exercici de la seva praxi professional, i sigui necessària per a la diagnosi i el tractament mèdic o l’assis-tència sanitària o social;

5) quan la comunicació de dades sensibles relatives a la salut sigui necessària per a la realització d’estudis epidemiològics o per a la prevenció i tractament d’epidèmies, i que, prèviament a la comunicació, les dades per-sonals sensibles es converteixin en anònimes. En cas que no sigui possible l’anonimització, s’han d’aplicar els principis previstos en els articles 6 i 8.1 del Reglament de l’APDA, rela-tius a la qualitat de les dades i a les condicions especials de tractament de dades sensibles, respectivament.

La llei no permet les comunicacions de dades inter-administratives i amb altres administracions d’una forma indiscriminada. Aquesta limitació afecta to-tes les formes d’organització tecnicojurídiques que pugui adoptar l’Administració sense que importi si tenen personalitat jurídica o no.

Per tant estan sotmesos a la llei els intercanvis de dades entre les administracions següents:

- Govern d’Andorra - Comuns

- Entitats parapúbliques (FEDA, Andorra Telecom, CASS)

- RTVASA - Cedasa

- Societats participades pel Govern - Altres similars

I de totes aquestes entre si. Totes sense excep-ció han de complir els requisits de comunicaexcep-ció de dades.

La comunicació de dades d’un fi txer públic a un fi txer privat només es podrà efectuar amb el con-sentiment de la persona interessada.

Atenció!

• No és cessió quan la comunicació de dades a un tercer és necessària perquè aquest presti un servei al responsable de tractament. Aquest tercer s’anomena en aquest cas prestador de serveis. Exemple: quan facilites les dades a una

empresa subcontractada per fer un ser-vei a l’Administració no és una cessió. • La comunicació de dades recollides de

registres accessibles al públic no po-drà efectuar-se a fi txers privats si no és amb el consentiment de l’interessat (o per norma legal).

RECoRDA!

• En el cas de cessió de dades a un tercer, ha d’existir consentiment previ de l’inte-ressat, excepte en uns supòsits concrets regulats a la LQPD, o quan aquest tercer és un prestador de serveis.

RECoRDA!

(16)

1. Què és una comunicació internacional de dades?

Qualsevol tractament de dades que suposi una transmissió de dades fora del Principat d’Andorra.

2. Què he de fer per dur a terme una comunica-ció internacional de dades?

Com a norma general no pots realitzar cap transfe-rència internacional temporal o definitiva de dades de caràcter personal amb destinació a països que no proporcionin un nivell de protecció equivalent al de la LQPD. Cal que ho consultis a l’Agència Andorrana de Protecció de Dades (APDA), que és l’organisme que vetlla perquè el país de recepció de les dades tingui una legislació amb un nivell de protecció equivalent al de la legislació andorrana.

3. Quins països tenen una protecció equivalent? Els països amb un nivell de protecció equivalent a Andorra són els països membres de la Unió Euro-pea i els països declarats amb protecció equiva-lent per la Comissió de les Comunitats Europees, com per exemple Suïssa, Canadà, l’Argentina, Guernsey, Israel o l’illa de Man. En el cas dels EUA, cal que ho consultis a l’APDA. També pots consultar-hi altres països declarats amb protecció equivalent per l’Agència Andorrana de Protecció de Dades (APDA).

4. Com valora l’APDA el nivell de protecció del país en qüestió?

L’APDA avalua el caràcter adequat del nivell de protecció que ofereix el país de destinació atenent totes les circumstàncies que concorren en la trans-ferència. En concret, l’organisme té en compte la naturalesa de les dades, la finalitat i la durada del tractament, el país d’origen i el país de destinació final. També té en compte el contingut dels infor-mes de la Comissió de la Unió Europea, així com les normes de dret, generals o sectorials, i les me-sures de seguretat en vigor del país en qüestió.

5. Quines excepcions permeten la transferència internacional de dades a països tercers? Hi ha excepcions en què es poden efectuar comu-nicacions internacionals de dades encara que el país de destinació no garanteixi, en la seva norma-tiva vigent, un nivell de protecció equivalent al del Principat d’Andorra. Per exemple, quan la transfe-rència es faci amb el consentiment inequívoc de la persona interessada o d’acord amb un conveni internacional del qual el Principat d’Andorra formi part. Tampoc no cal una protecció equivalent quan la comunicació es realitzi a l’efecte d’auxili judi-cial internacional o per a l’exercici d’un dret en el marc d’un procediment judicial. Tampoc quan es faci per a l’interès vital de l’interessat o per pre-servar l’interès públic important.

Altres supòsits regulats en la LQPD són quan la co-municació sigui necessària en cas d’existència de re-lacions jurídiques o obligacions contractuals en-tre l’interessat i el responsable del fitxer o amb motiu de remeses bancàries o transferències de diners. I, per últim, quan les dades provinguin d’un registre públic, si la comunicació s’ha fet conforme a la finalitat del mateix registre i a petició d’una perso-na amb interès legítim, tampoc no caldrà observar l’equivalència en la matèria del país de destinació.

4.7. PRESTADoRS DE SERVEIS

4.8. ComUNICACIó INTERNACIoNAL DE DADES

No es considera comunicació de dades l’accés ne-cessari per a la prestació d’un servei per compte del responsable del tractament.

La prestació de serveis de dades personals ha d’estar regulada en un contracte que ha de cons-tar per escrit o en alguna altra forma que permeti acreditar-ne la concertació i el contingut, i s’hi ha d’establir de manera expressa que el prestador de serveis només ha de tractar les dades d’acord amb les instruccions del responsable del tracta-ment, i que no les pot aplicar ni utilitzar amb una finalitat diferent de la que figura en el contracte acordat ni comunicar-les a altres persones, ni tan sols per conservar-les.

El contracte també ha d’estipular que, una vegada acomplerta la prestació contractual, les dades de caràcter personal s’han de destruir o restituir al

res-ponsable del tractament, i també qualsevol suport o document en els quals consti alguna de les dades de caràcter personal objecte del tractament.

El prestador de serveis ha d’aplicar les mesures tècniques i organitzatives adequades per a la pro-tecció de les dades personals contra la destrucció accidental o il·lícita, la pèrdua accidental, i contra l’alteració, la difusió i l’accés no autoritzats, en par-ticular quan el tractament inclogui la transmissió de dades dins una xarxa i contra qualsevol altre tractament il·lícit de dades personals.

En cas que el prestador de serveis destini les da-des a una altra finalitat diferent de la pactada, les comuniqui o les utilitzi incomplint les estipulacions del contracte serà considerat responsable del trac-tament i haurà de respondre personalment de les infraccions en les quals hagi incorregut.

(17)

5 Drets dels ciutadans

El dret fonamental a la protecció de dades

garan-teix a les persones el poder de control de les seves dades personals, el seu ús i la seva destinació. Cal tenir present que tota persona física pot fer valer els seus drets davant la persona, entitat o organisme que té i tracta les seves dades. I, en cas que no sigui atesa, pot presentar denúncia davant l’Agèn-cia Andorrana de Protecció de Dades. Per garantir aquest control sobre les seves dades, l’interessat pot excercir els drets d’accés, rectifi cació, supres-sió i oposició. La persona afectada pot consultar les normes de creació publicades al BOPA per conèi-xer qui és el responsable del tractament i sol·licitar informació de les seves dades recollides als fi txers públics (accés). Quan té constància que les dades recollides són incompletes o són inexactes o inade-quades, pot sol·licitar-ne la modifi cació (rectifi cació) o, fi ns i tot, la cancel·lació (supressió).

1. Quines són les accions que pot exercir el titu-lar de dades personals?

L’interessat pot exercir els drets d’accés, rectifi ca-ció, cancel·lació o supressió, i oposició.

2. Com puc informar el ciutadà perquè sàpiga a qui s’ha de dirigir per fer valer els seus drets? La persona afectada pot consultar les normes de creació publicades al BOPA per conèixer qui és el responsable del tractament.

3. Quins són els drets que pot exercir?

L’interessat pot sol·licitar informació de les seves dades recollides en els fi txers públics (dret d’ac-cés). Quan té constància que les dades recollides són incompletes o són inadequades, pot demanar-ne la modifi cació (dret de rectifi cació) o, fi ns i tot, la supressió (dret de cancel·lació). També pot de-manar que cessi el tractament de les seves dades o, directament, evitar que es dugui a terme (dret d’oposició). Altres drets són el d’informació prèvia (té dret a ser informat en el moment de la recolli-da de recolli-dades) i el dret a indemnització per recolli-danys a conseqüència de l’incompliment de la legislació sobre protecció de dades. Però hi ha tota una sè-rie d’excepcions a aquests drets que possibiliten a l’Administració no haver d’informar l’interessat o a denegar sol·licituds de rectifi cació, supressió o oposició. Aquestes excepcions habilitades per la llei cal tenir-les presents, perquè, entre d’altres co-ses, agilitzen la tasca administrativa.

4. Quines són les propietats o característiques fonamentals dels drets dels ciutadans en ma-tèria de dades personals?

Els drets dels titulars de dades personals tenen tres característiques comunes: tenen caràcter persona-líssim, són independents l’un de l’altre, i són gratuïts. - Caràcter personalíssim: només els pot exercir la persona afectada i no hi ha possibilitat de delega-ció o representadelega-ció (excepte en casos de menors d’edat i de declaració d’incapacitat, en què els pot exercir el representant legal del menor/incapaç). - Independents: l’exercici de cada dret pels

inte-ressats és independent l’un de l’altre; és a dir, per sol·licitar-ne un no és necessari haver-ne de-manat un altre prèviament.

- Gratuït: no es pot sotmetre, per part del respon-sable de tractament, a cap formalitat ni al paga-ment de les despeses que puguin correspondre.

1. Què he de tenir en compte a l’hora de reco-llir dades?

En el moment de la recollida de les dades, la per-sona interessada ha de ser sempre informada per part del responsable o del seu representant de ma-nera clara, expressa, precisa i inequívoca:

a) de la identitat i de l’adreça del responsable del tractament i, si escau, del seu representant; i de la fi nalitat del tractament de què seran ob-jecte les dades sol·licitades;

b) dels destinataris o del tipus de destinataris de les dades;

c) del caràcter obligatori o facultatiu de la respos-ta a les preguntes que se li plantegin i del dret a no atorgar el consentiment per al tractament de les dades i de les conseqüències de no atorgar-lo; d) de l’existència dels drets d’accés, rectifi cació,

oposició i cancel·lació de les seves dades, i de com pot exercir-los.

2. Com ha de ser el consentiment de l’interessat? El consentiment de la persona interessada respecte a la recollida en general i, especialment, a la fi nalitat de la recollida i als usos de les seves dades perso-nals ha de ser previ i clarament informat, de tal manera que la persona interessada sàpiga i enten-gui inequívocament la fi nalitat i els usos als quals es destinaran les seves dades objecte de recollida. Si s’utilitzen qüestionaris o altres impresos per a la recollida de les dades personals, han de consignar clarament, detalladament i de manera llegible la in-formació ressenyada en els epígrafs anteriors, així com el consentiment de la persona interessada.

5.1. ASPECTES GENERALS

5.2. INFoRmACIó EN LA RECoLLIDA DE LES DADES

RECoRDA!

Els drets dels ciutadans en matèria de protecció de dades personals:

• Són de caràcter personalíssim. • Són gratuïts.

• Són independents l’un de l’altre.