DEURE D'INFORMACIÓ

OBLIGACIONS DELS RESPONSABLESDE TRACTAMENT DE DADES.

G U I E S A P D A

CONTINGUTDEL DEURED'INFORMACIÓ

Sobre què cal informar?

En el moment de la recollida de les dades, la persona interessada té

dret a ser informada, per part del

responsable del tractament, de les circumstàncies següents:

Finalitat? La persona interessada ha de ser clarament informada de tal

manera que sàpiga i entengui inequívocament la finalitat i els usos

als quals es destinaran les seves dades objecte de recollida, i,

especialment, a la finalitat de la recollida i als usos de les seves dades

personals.

Identitat del responsable del tractament.

Finalitat del tractament de les dades sol·licitades.

Destinataris o tipus de destinataris de les dades.

Drets d'accés, rectificació i supressió de les seves dades i com pot

exercir-los.

Del seu dret a no atorgar el consentiment per al tractament de les

dades, i de les conseqüències de

no atorgar-lo (caràcter facultatiu o obligatori de les respostes).

Si s’utilitzen qüestionaris o altres impresos per a la recollida de les

dades personals, cal consignar de manera llegible, clara i

detalladament la informació ressenyada més amunt; així com el

consentiment de la persona interessada.

És obligació del responsable del tractament conservar el suport que

contingui i demostri l’acompliment del deure d’informar. Per a la

consecució d’aquest objectiu, pot utilitzar, també, mitjans informàtics o

telemàtics. En particular, pot escanejar la documentació en suport

paper, sempre que pugui demostrar que en l’automatització no hi ha

intervingut cap alteració dels suports originals.

En cas de dubte de la prova de l’existència del consentiment de la

persona interessada, la responsabilitat recau sobre el responsable

del tractament.

art. 13 Llei 15/2003, de 18 de desembre, qualificada de protecció de dades personals

art. 10, Decret 9-6-2010, d'aprovació del Reglament de l'Agència andorrana de

protecció de dades

NOVETATS RGPD

Si la meva empresa està afectada pel RGPD,tinc obligacions addicionals?

Les dades de contacte del delegat de protecció de dades, si escau.

La base jurídica o legitimació per al tractament.

L'interès legítim perseguit pel responsable o per un tercer, quan el tractament es basa en

aquest interès legítim.

La previsió de transferències a tercers països i l'existència d'una decisió d'adequació o de

garanties adequades i els mitjans per obtenir-ne una còpia.

El termini o els criteris de conservació de la informació.

El dret a sol·licitar la limitació del tractament i la portabilitat de les dades.

El dret a retirar el consentiment en qualsevol moment.

El dret a presentar una reclamació davant les autoritats de control.

L'existència de decisions automatitzades o l'elaboració de perfils, la lògica aplicada i les

seves conseqüències per la persona interessada.

Les categories de les dades i la font d'obtenció de les mateixes (quan les dades no

s'obtinguin del mateix interessat).

REQUISITS ADDICIONALS:

Quan el responsable de tractament prevegui un tractament de dades ulterior amb una finalitat

diferent a la estipulada en el moment de la recollida, caldrà que proporcioni a l'interessat, amb

anterioritat a aquest nou tractament, informació sobre aquesta nova finalitat i qualsevol altra

modificació d'allò informat prèviament.

En conseqüència, els procediments, models o formularis dissenyats de conformitat amb la

normativa andorrana s'han de revisar i adaptar per tal d'incorporar-hi els nous requisits en

els casos on sigui d'aplicació el Reglament Europeu de Protecció de Dades.

arts. 13 i 14, Reglament General 2016/679, del Parlament Europeu i del Consell de 27 d'abril de 2016,

relatiu a la protecció de les persones físiques en el que respecta a tractaments de dades i la lliure

circulació d'aquests i per el que es deroga la Directiva 95/46/CE (RGPD)

QUI I QUAN HA D'INFORMAR

En quin moment cal informar a l'interessat?

L'obligat a informar a les persones interessades sobre allò relatiu al tractament de dades és el

RESPONSABLE DEL TRACTAMENT.

Aquesta obligació persistirà encara que el responsable delegui la recollida de dades en un PRESTADOR

DE SERVEIS, que haurà de proporcionar la mateixa informació per compte del responsable.

QUI?

La persona interessada ha de conéixer la informació:

QUAN?

La informació provée del propi interessat? En el moment de la recollida.

- Si ja es disposa de les dades i no es té el consentiment, caldrà que cada interessat

consenteixi al tractament de dades, encara que sigui a posteriori.

La informació no provée del propi interessat? En un termini raonable mai superior a un mes,

excepte quan la informació es comuniqui a tercers (s'informarà abans de la comunicació) o quan

les dades s'utilitzin per establir un canal de comunicació interessat - responsable (s'informarà

amb anterioritat a la primera comunicació).

En ambdós casos, quan les dades vulguin emprar-se per a una finalitat diferent a la prevista

inicialment, convindrà informar a l'interessat amb anterioritat al nou tractament.

arts. 13 i 14 de la Llei 15/2003, de 18 de desembre, qualificada de protecció de dades personals i

art. 10 del Decret 9-6-2010, d'aprovació del Reglament de l'Agència andorrana de protecció de dades

En el cas d'administracions públiques, no hi haurà obligació d'informar si la informació

indicada s'ha descrit en la norma de creació de fitxers de naturalesa pública de l'art. 30

de la Llei 15/2003.

ON I COMCONVÉ INFORMAR?

L'obligació s'ha de complir sense necessitatde requeriment previ.

La normativa no estipula un tipus determinat de procediment de recollida d'informació ja que les

formes d'informar als interessats han d'adaptar-se a les circumstàncies de cadascun dels

mitjans emprats per recollir-les (formularis a paper, registres d'activitat personal o d'aplicatius

mòbils, entrevistes telefòniques, etc.).

ON?

La informació ha de presentar-se:

arts. 13 i 14, Reglament General 2016/679, del Parlament Europeu i del Consell de 27 d'abril de 2016,

relatiu a la protecció de les persones físiques en el que respecta a tractaments de dades i la lliure

circulació d'aquests i per el que es deroga la Directiva 95/46/CE (RGPD)

COM?

En un llenguatge clar, senzill i entenedor.

De forma expressa, precisa i inequívoca.

Evitar fórmules que dificultin la comprehensió general del text.

Cal adaptar el llenguatge al destinatari (com per exemple, si ens adrecem a menors

d'edat).

ULL! En el cas de menors d'edat només serà vàlid el consentiment donat quan el

menor sigui major de 16 anys i la fórmula emprada en el deure d'informació sigui

concisa, transparent, en llenguatge entenedor i comprehensible pel menor.

Informació per capes:

Novetat introduïda pel RGPD en la que es segueix un enfocament per nivells per tal de presentar

la informació bàsica exigida de forma resumida per tal que l'interessat pugui fer-se amb una

idea general de en què consistirà el tractament i oferir la resta d'informació, més detallada, en

un segon nivell.

DEURED'INFORMACIÓPER CAPES

Com cal informar?

Informació bàsica o resumida (primera capa):

redacció senzilla i sense massa informació (es desenvoluparà en la

segona capa). Incloure un epígraf que faci referència:

Responsable - indicar denominació.

Finalitat - enumera cadascuna de les previstes i si es faran o no

perfils o es prendran decisions automatitzades.

Destinataris o tipus de destinataris de les dades.

Drets - fer referència a la possibilitat d'exercir els drets d'accés,

oposició, rectificació i supressió

Categories de dades (en el cas de no haver obtingut les dades de

l'interessat) - ex. dades identificatives, acadèmiques, laborals i

economicofinanceres.

Procedència - ex. Com hem obtingut les vostres dades?

Informació detallada (segona capa):

Completar amb tot tipus de detalls la informació continguda als epígrafs de

la primera capa o afegir-ne de nous si així es desitja.

Responsable - identitat i dades de contacte (adreça postal i correu

electrònic) + dades de contacte del DPO, si escau.

Finalitat - determinar totes les finalitats. Cal evitar fórmules massa

genèriques que puguin conduir a tractaments posteriors que vagin

més enllà de les expectatives raonables dels interessats. En cas que

s'elaborin perfils o es prenguin decisions automatitzades, incloure

informació sobre la lògica aplicada i les conseqüències previstes

d'aquests tractaments.

Destinataris o tipus de destinataris de les dades- identitat,

comunicacions internacionals (país tercer? decisió d'adeqüació? etc).

Drets - forma i mecanismes detallats per exercir drets ARSO (models,

formularis, contacte) + possibilitat de reclamar davant l'autoritat de

control.

Legitimació - base legal del tractament de dades (consentiment

interessat, execució d'un contracte, obligació legal, etc).

EXEMPLE INFORMACIÓPER CAPES

Què en farem amb les vostresdades?

Tramitar la comanda, gestionar el vostrecompte, personalitzar la vostraexperiència a la plana web. La informació es compartirà amb elsmembres del nostre grup empresarial (siaixí ho consentiu) i en cap cas escomunicarà a tercers. Trobareu més informació aquí.

Per qualsevol dubte o qüestió, contacteuamb l'Agència andorrana de protecció de

dades: