Tema 4 i 5 Protecció de dades.pdf
Document Details
Uploaded by HumourousGeometry
Tags
Full Transcript
El dret a la protecció de dades de caràcter personal: definició. Categories de dades de caràcter personal. El consentiment. El dret d'informació. Els drets de les persones interessades. El delegat de protecció de dades. NORMATIVA: Reglament (UE) 2016/679, relatiu a la protecció de les persones f...
El dret a la protecció de dades de caràcter personal: definició. Categories de dades de caràcter personal. El consentiment. El dret d'informació. Els drets de les persones interessades. El delegat de protecció de dades. NORMATIVA: Reglament (UE) 2016/679, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades. Llei Orgànica 3/2018, de Protecció de Dades Personals i garantia dels drets digitals TERMINOLOGIA Dades de caràcter personal: qualsevol informació referent a persones físiques identificades o identificables. Les dades de caràcter personal inclouen: Dades personals públiques Dades personals privades Dades personals sensibles o especialment protegibles o dades especials Dades públiques: dades personals conegudes per un nombre important de persones sense que el titular necessàriament ho sàpiga. Normalment la persona no pot impedir la seva difusió dins uns límits de respecte. És freqüent la seva difusió com si no es tractés de dades personals. Ex: nom, cognoms, edat, sexe, professió... Malgrat que un es pot negar a donar-les, no pot impedir la difusió una vegada conegudes. Dades privades: aquelles dades personals que tenen regulades i taxades les situacions o circumstàncies en les quals les persones estan obligades a donar-les, o posar-les en coneixement de tercer. Exemples: adreça, Número de compte... Dades sensibles (dades especials): són aquelles dades personals referides a les característiques morals o físiques de les persones que, en principi, no són d'interès per a la resta i no afecten, en general a la societat. Exemples: l’origen racial, les opinions polítiques, les conviccions religioses, la salut, la vida sexual, afiliació sindical, dades genètiques i dades biomètriques Tractament de dades: les operacions i els procediments tècnics de caràcter automatitzat o no, que permetin recollir, gravar, conservar, elaborar, modificar, bloquejar i cancel·lar, així com les cessions de dades que derivin de comunicacions, consultes, interconnexions i transferències. Elaboració de perfils: Qualsevol forma de tractament automatitzat de dades personals consistent a utilitzar aquestes dades per avaluar determinats aspectes personals d'una persona física; en especial, per analitzar o predir aspectes relatius al rendiment professional, la situació econòmica, la salut, les preferències personals, els interessos, la fiabilitat, el comportament, la ubicació o els moviments d'aquesta persona. Responsable del tractament: Persona física o jurídica, autoritat pública, servei o altre organisme que, sol o juntament amb altres, determina les finalitats i els mitjans del tractament; si el dret de la Unió o dels estats membres determina les finalitats i els mitjans del tractament, el responsable del tractament o els criteris específics per al seu nomenament els pot establir el dret de la Unió o dels estats membres. Encarregat del tractament: Persona física o jurídica, autoritat pública, servei o altre organisme que, sol o conjuntament amb altres, tracti dades personals per compte del responsable del tractament. Afectat o interessat: persona física titular de les dades Pseudonimització: el tractament de dades personals de manera que ja no es puguin atribuir a un interessat sense utilitzar informació addicional, sempre que aquesta informació consti per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s'atribueixen a una persona física identificada o identificable. Dissociar: tot tractament de dades personals de manera que la informació que s'obtingui no es pugui associar a una persona identificada o identificable. Anonimitzar: el tractament de dades personals de manera que no pugui atribuir-se a un interessat, doncs ja no es pot seguir el rastre d’on han estat obtingudes Consentiment de l’interessat: qualsevol manifestació de la voluntat, lliure inequívoca, específica i informada, mitjançant la qual l’interessat consenti el tractament de dades personals que el concerneixin Cessió o comunicació de dades: qualsevol revelació de dades efectuada a una persona diferent de l'interessat. Fonts accessibles al públic: els fitxers que poden ser consultats per qualsevol persona, sense que ho impedeixi una norma limitativa o sense altra exigència que, i s’escau, l’abonament d’una contraprestació. Només es consideren fons d’accés públic: El cens promocional Els repertoris telefònics Llistes de persones que pertanyen a grups professionals. Aquestes llistes només han de portar, nom, professió, activitat, grau acadèmic, direcció i indicació de la seva pertinença al grup. Diaris, butlletins oficials i mitjans de comunicació. Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d’una persona física que proporcionen una informació única sobre la fisiologia o la salut d’aquella persona, obtingudes en particular de l’anàlisi d’una mostra biològica. Dades biomètriques: dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d’una persona física que permeten o confirmen la identificació única d’aquesta persona (imatges facials, dades dactiloscòpiques, etc.). ÀMBIT D’APLICACIÓ La llei orgànica s'aplica a qualsevol tractament total o parcialment automatitzat de dades personals, així com al tractament no automatitzat de dades personals continguts o destinats a ser incloses en un fitxer. Excepcions a l'àmbit d'aplicació: a) tractaments exclosos de l'àmbit d'aplicació del Reglament general de protecció de dades: Tractaments en exercici d'una activitat no compresa en l'àmbit d'aplicació del Dret de la Unió. Tractaments per part dels Estats membres quan duguin a terme activitats compreses en l'àmbit d'aplicació en política exterior i seguretat comuna. Tractaments efectuats per una persona física en l'exercici d'activitats exclusivament personals o domèstiques. Tractaments efectuats per part de les autoritats competents amb fins de prevenció, investigació, detecció o enjudiciament d'infraccions penals, o d'execució de sancions penals, inclosa la de protecció enfront d'amenaces a la seguretat pública i la seva prevenció. b) tractaments de dades de persones mortes. Les persones vinculades al difunt per raons familiars o de fet així com els seus hereus es poden dirigir al responsable o encarregat del tractament amb l’objecte de sol·licitar l’accés a les dades personals d’aquell i, si s’escau, la seva rectificació o supressió, si no ha estat prohibit expressament. c) Als tractaments sotmesos a la normativa sobre protecció de matèries classificades. El Reglament amplia l'àmbit d'aplicació territorial als responsables i als encarregats del tractament no establerts en la UE, quan les activitats de tractament estan relacionades amb l'oferta de béns o serveis o amb el control del comportament de les persones, si tenen lloc en la UE. PRINCIPIS DE LA PROTECCIÓ DE DADES Les dades personals seran: a) Tractades de manera lícita, lleial i transparent en relació amb l'interessat ( «licitud, lleialtat i transparència»): El tractament només serà lícit si es compleix almenys una de les següents condicions: L'interessat va donar el seu consentiment per al tractament de les seves dades personals per a un o diversos fins específics. El tractament és necessari per a l'execució d'un contracte on l'interessat és part o per a l'aplicació a petició d'aquest de mesures precontractuals. El tractament és necessari per al compliment d'una obligació legal aplicable al responsable del tractament. El tractament és necessari per protegir interessos vitals de l'interessat o d'una altra persona física. El tractament és necessari per al compliment d'una missió d’interès públic o en l'exercici de poders públics conferits al responsable del tractament. El tractament és necessari per a la satisfacció d'interessos legítims perseguits pel responsable del tractament o un tercer, sempre que no prevalguin els interessos o els drets i llibertats fonamentals de l'interessat que requereixin la protecció de dades personals, en particular quan l'interessat sigui un nen. El disposat anteriorment no és aplicable al tractament realitzat per les autoritats públiques en l'exercici de les seves funcions. b) Recollits amb fins determinats, explícits i legítims, i no seran tractats ulteriorment de manera incompatible amb aquests; el tractament ulterior de les dades personals amb fins d'arxiu en interès públic, d'investigació científica i històrica o estadístiques no es considera incompatible amb els fins inicials ( «limitació de la finalitat»). c) Adequats, pertinents i limitats al que és necessari en relació amb els fins per als quals són tractats ( «minimització de dades»). d) Exactes i, si cal, actualitzats; s'adoptaran totes les mesures raonables perquè es suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes respecte als fins per als quals es tracten («exactitud»). e) Mantinguts de manera que es permeti la identificació dels interessats durant no més temps del necessari per als fins del tractament de les dades personals; les dades personals podran conservar durant períodes més llargs sempre que es tractin exclusivament amb fins d'arxiu en interès públic, fins d'investigació científica o històrica o fins estadístiques, sense perjudici de l'aplicació de les mesures tècniques i organitzatives apropiades que imposa el Reglament a fi de protegir els drets i llibertats de la persona interessada («limitació del termini de conservació»). f) Tractats de tal manera que es garanteixi una seguretat adequada de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l'aplicació de mesures tècniques o organitzatives apropiades («integritat i confidencialitat »). g) El responsable del tractament serà responsable del compliment del que disposen els anteriors drets i capaç de demostrar-ho ( «responsabilitat proactiva»). El principi de “responsabilitat proactiva” És la necessitat que el responsable del tractament apliqui mesures tècniques i organitzatives apropiades, a fi de garantir i poder demostrar que el tractament és conforme al Reglament h) “L’enfocament de risc” L’RGPD assenyala que les mesures adreçades a garantir-ne el compliment han de tenir en compte la naturalesa, l'àmbit, el context i les finalitats del tractament, així com el risc per als drets i les llibertats de les persones. - Tant el responsable com l'encarregat han d'implantar les mesures tècniques i organitzatives necessàries per garantir el compliment del Reglament. - Al responsable se li trasllada la càrrega de la prova d'acreditar que ha estat diligent en l'elecció de l'encarregat i que aquest ofereix garanties suficients de compliment del Reglament en coneixements especialitzats, fiabilitat i recursos - El responsable haurà de sol·licitar a l'encarregat que li demostri el compliment de les mesures de seguretat necessàries en l'accés i tractament de les dades personals per compte del responsable. - La forma més ràpida que estableix el Reglament és que aquell s'hagi adherit a codis de conducta o que tingui un certificat de compliment de protecció de dades emès per l'autoritat de control competent i / o per organisme de certificació acreditat. INFORMACIÓ QUE ES FACILITA AL TITULAR DE LES DADES Quan es recullen dades de caràcter personal, el responsable del tractament ha de complir amb el dret d'informació. Per a complir aquest dret, l'AEPD recomana que aquesta informació es faciliti per capes o nivells de manera que: - Es faciliti una informació bàsica en un primer nivell, de manera resumida, en el mateix moment i en el mateix mitjà en què es recullin les teves dades personals. - Que es remeti la resta de la informació en un mitjà més adequat per a la seva presentació, compressió i, si es desitja, arxiu. La finalitat i el destí del fitxer que emmagatzema les dades Si la resposta al qüestionari o formulari és obligatòria o voluntària Les conseqüències de la captura de les dades Els drets d’accés, rectificació, supressió i oposició que pot exercir l’afectat La identitat i la direcció del responsable del fitxer Les dades de contacte del delegat de protecció de dades La base jurídica del tractament Els interessos legítims perseguits en què es fonamenta el tractament La intenció de transferir les dades a un tercer país o a una organització internacional i la base per fer-ho El termini durant el qual es conservaran les dades El dret a sol·licitar la portabilitat. el dret a la portabilitat permet als individus sol·licitar a una empresa les seves dades personals en un format digital estandarditzat i facilita la transmissió d'aquestes dades a altres empreses El dret a retirar en qualsevol moment el consentiment que s'hagi prestat Si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte El dret a presentar una reclamació davant una autoritat de control L'existència de decisions automatitzades, inclosa la lògica aplicada i les seves conseqüències. DRETS DELS CIUTADANS EN MATERIA DE PROTECCIÓ DE DADES La normativa de protecció de dades permet poder exercir davant el responsable del tractament els drets d'accés, rectificació, oposició, supressió ("dret a l'oblit"), limitació del tractament, portabilitat i no ser objecte de decisions individualitzades Aquests drets es caracteritzen per: El seu exercici és gratuït Si les sol·licituds són manifestament infundades o excessives (ex., Caràcter repetitiu) el responsable podrà cobrar un cànon proporcional als costos administratius suportats o negar-se a actuar Les sol·licituds s’han de respondre en termini d'un mes, tot i que si es té en compte la complexitat i nombre de sol·licituds, pot prorrogar el termini dos mesos més El responsable està obligat a informar-te sobre els mitjans per exercir aquests drets. Aquests mitjans han de ser accessibles i no es pot denegar aquest dret pel fet d’optar per un altre mitjà Si la sol·licitud es presenta per mitjans electrònics, la informació es facilitarà per aquests mitjans quan sigui possible, llevat que l'interessat sol·liciti que sigui d'una altra manera Es pot exercir els drets directament o per mitjà de representant Hi ha la possibilitat que l'encarregat sigui qui atengui la sol·licitud per compte del responsable si tots dos ho han establert en el contracte o acte jurídic que els vinculi Dret d'accés És el dret a dirigir-se al responsable del tractament per conèixer si està tractant o no les dades de caràcter personal i, en el cas que s'estigui realitzant aquest tractament, obtenir la següent informació: Còpia de les dades personals que són objecte del tractament La finalitat del tractament Les categories de dades personals que es tractin Els destinataris o categories de destinataris als quals es van comunicar o s'han de comunicar dades personals, en particular, destinataris en països tercers o organitzacions internacionals El termini previst de conservació de les dades personals, o si no és possible, els criteris utilitzats per determinar aquest termini L'existència del dret de l'interessat a sol·licitar al responsable: la rectificació o supressió de les seves dades personals, la limitació del tractament de les seves dades personals o oposar-se a aquest tractament El dret a presentar una reclamació davant una autoritat de Control Quan les dades personals no s'hagin obtingut directament, qualsevol informació disponible sobre el seu origen L'existència de decisions automatitzades, inclosa l'elaboració de perfils, i almenys en aquests casos, informació significativa sobre la lògica aplicada, la importància i les conseqüències previstes d'aquest tractament per a l'interessat Quan es transfereixin dades personals a un tercer país o una organització internacional, dret a ser informat de les garanties adequades en les que es realitzen les transferències Dret de rectificació L'exercici d'aquest dret suposa que es pot obtenir la rectificació de les dades personals que siguin inexactes sense dilació indeguda del responsable del tractament. Tenint en compte les finalitats del tractament, dret a que es completin les dades personals que siguin incompletes, mitjançant declaració addicional. A la sol·licitud s’ha d'indicar quines dades rectificar i perquè. A més, quan sigui necessari, s’ha d’acompanyar a la sol·licitud la documentació que justifiqui la inexactitud o el caràcter incomplet de les dades. Dret de supressió ( "l'oblit") Es podrà exercir aquest dret davant el responsable sol·licitant la supressió de les seves dades de caràcter personal quan es doni alguna de les següents: Si les dades personals no són necessaris en relació amb les finalitats per als quals van ser recollits Si el tractament de les dades personals s'ha basat en el consentiment que es va prestar al responsable, i es retira el mateix, sempre que l'esmentat tractament no es basi en una altra causa que ho legitimi Si t'has oposat al tractament de les teves dades personals a exercitar el dret d'oposició en les següents circumstàncies El tractament del responsable es fonamentava en l'interès legítim o en el compliment d'una missió d'interès públic, i no han prevalgut altres motius per a legitimar el tractament de les teves dades A que les teves dades personals siguin objecte de màrqueting directe, incloent l'elaboració perfils relacionada amb l'esmentada màrqueting Si les dades personals han estat tractats il·lícitament Si les dades personals s’han de suprimir per al compliment d'una obligació legal establerta en el Dret de la Unió o els estats membres que s'apliqui al responsable del tractament Si les dades personals s'han obtingut en relació amb l'oferta de serveis de la societat de la informació de l'article 8.1 (condicions aplicables al tractament de dades dels menors en relació amb els serveis de la societat de la informació). El RGPD aquest dret el connecta amb el "dret a l'oblit", de manera que aquest dret de supressió faci que el responsable del tractament que hagi fet públiques dades personals estigui obligat a indicar a els responsables del tractament que estiguin tractant aquestes dades personals que suprimeixin tot enllaç a ells, o les còpies o rèpliques d'aquestes dades. Tanmateix, aquest dret no és il·limitat, de tal manera que pot ser factible no procedir a la supressió quan el tractament sigui necessari per a l'exercici de la llibertat d'expressió i informació, per al compliment d'una obligació legal, per al compliment d'una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable, per raons d'interès públic, en l'àmbit de la salut pública, amb fins d'arxiu d'interès públic, fins d'investigació científica o històrica o fins estadístiques, o per la formulació, l'exercici o la defensa de reclamacions. Dret d'oposició Aquest dret suposa poder oposar-nos al fet que el responsable realitzi un tractament de les dades personals en els següents supòsits: Quan siguin objecte de tractament basat en una missió d'interès públic o en l'interès legítim, inclòs l'elaboració de perfils: El responsable deixarà de tractar les dades llevat que acrediti motius imperiosos que prevalguin sobre els interessos, drets i llibertats de la persona interessada, o per a la formulació, l'exercici o la defensa de reclamacions Quan el tractament tingui com a finalitat el màrqueting directe, inclosa també l'elaboració de perfils anteriorment citada: Exercitat aquest dret per a aquesta finalitat, les dades personals deixaran de ser tractats per aquests fins Dret a la portabilitat La finalitat d'aquest dret és reforçar el control de les dades personals, de manera que quan el tractament s'efectuï per mitjans automatitzats, es rebin les dades personals en un format estructurat, d'ús comú, de lectura mecànica i interoperable, i es puguin transmetre a un altre responsable del tractament, sempre que el tractament es legitimi sobre la base del consentiment o en el marc de l'execució d'un contracte. Aquest dret no es pot aplicar quan el tractament sigui necessari per al compliment d'una missió d'interès públic o en l'exercici de poders públics conferits al responsable. Dret a la limitació del tractament 1. L'interessat té dret a obtenir del responsable del tractament la limitació del tractament de les dades, si es compleix alguna de les condicions següents: a) L'interessat impugna l'exactitud de les dades personals, durant un termini que permet al responsable verificar-ne l'exactitud. b) El tractament és il·lícit i l'interessat s'oposa a la supressió de les dades personals i, en lloc de suprimir-les, sol·licita que se’n limiti l’ús. c) El responsable ja no necessita les dades personals per a les finalitats del tractament, però l'interessat les necessita per formular, exercir o defensar reclamacions. d) L'interessat s'ha oposat al tractament d’acord amb l'article 21.1 (execució de qualsevol operació de modificació estructural de societats o l’aportació o transmissió de negoci o de branca d’activitat empresarial) mentre es verifica si els motius legítims del responsable prevalen sobre els de l'interessat. 2. Quan el tractament de dades personals s'ha limitat d’acord amb l'apartat 1, amb excepció de la seva conservació, aquestes dades només es poden tractar amb el consentiment de l'interessat, o per formular, exercir o defensar reclamacions, o per tal de protegir els drets d'una altra persona física o jurídica, o per raons d'interès públic important de la Unió o d'un determinat estat membre. 3. Qualsevol interessat que ha obtingut la limitació del tractament d’acord amb l'apartat 1, ha de ser informat pel responsable abans que s’aixequi aquesta limitació. Dret a no ser objecte de decisions individualitzades Aquest dret pretén garantir no ser objecte d'una decisió basada únicament en el tractament de les dades, inclosa l'elaboració de perfils, que produeixi efectes jurídics sobre la persona o l’afecti significativament de forma similar. Sobre aquesta elaboració de perfils, es tracta de qualsevol forma de tractament de les dades personals que avaluï aspectes personals, en particular analitzar o predir aspectes relacionats amb el rendiment a la feina, situació econòmica, salut, preferències o interessos personals, fiabilitat o el comportament. Això no obstant, aquest dret no és aplicable quan: Sigui necessari per a la celebració o execució d'un contracte amb el responsable El tractament de les dades es fonamenti en el consentiment prestat prèviament Consentiment L’RGPD requereix que l'interessat presti el consentiment mitjançant una declaració inequívoca o una acció afirmativa clara. Als efectes del nou Reglament, les caselles ja marcades, el consentiment tàcit o la inacció no constitueixen un consentiment vàlid. L’RGPD preveu algunes situacions en què el consentiment ha de ser explícit. Aquesta garantia addicional afecta els casos següents: Tractament de categories especials de dades Adopció de decisions automatitzades Transferències internacionals Hi ha situacions en què el consentiment pot ser inequívoc i atorgar-se de forma implícita. (Ex. quan es dedueix d'una acció de la persona interessada que decideix continuar navegant per una pàgina web, i accepta així que s'utilitzin galetes (cookies) per monitoritzar la seva navegació) Consentiment dels menors En l'àmbit dels serveis de la societat de la informació, el consentiment dels menors només és vàlid si tenen més de 16 anys. No obstant això, els estats membres de la UE poden rebaixar l'edat fins als 13 anys. A més, el llenguatge utilitzat per informar- los els ha de ser comprensible. A l’Estat espanyol es situa en els 14 anys Delegat de protecció de dades El Reglament introdueix la figura del delegat de protecció de dades, que pot formar part de la plantilla del responsable o de l’encarregat o actuar en el marc d’un contracte de serveis. Designació del delegat de protecció de dades 1.El responsable i l'encarregat del tractament han de designar un delegat de protecció de dades, quan: a) El tractament l’efectua una autoritat o un organisme públic, tret dels tribunals que actuen en l’exercici de la seva funció judicial. b) Les activitats principals del responsable o de l'encarregat consisteixen en operacions de tractament que, per raó de la seva naturalesa, del seu abast o de les seves finalitats, requereixen una observació habitual i sistemàtica d'interessats a gran escala. c) Les activitats principals del responsable o de l'encarregat consisteixen en el tractament a gran escala de categories especials de dades personals, i de les dades relatives a condemnes i infraccions penals. 2. Un grup empresarial pot nomenar un únic delegat de protecció de dades, sempre que sigui fàcilment accessible des de cada establiment. 3. Quan el responsable o l'encarregat del tractament és una autoritat o un organisme públic, es pot designar un únic delegat de protecció de dades per a diverses d'aquestes autoritats o organismes, tenint en compte l’estructura organitzativa i la grandària que tenen. 4. En casos diferents dels que preveu l'apartat1, el responsable o l'encarregat del tractament o les associacions i altres organismes que representen a categories de responsables o d’encarregats poden designar un delegat de protecció de dades, o l’han de designar si així ho exigeix el dret de la Unió o dels estats membres. El delegat de protecció de dades pot actuar per compte d'aquestes associacions i d’altres organismes que representen responsables o encarregats. 5. El delegat de protecció de dades s’ha de designar atenent a les seves qualitats professionals i, especialment, als coneixements especialitzats del dret, a la pràctica en matèria de protecció de dades i a la capacitat per exercir les seves funcions. 6. El delegat de protecció de dades pot formar part de la plantilla del responsable o de l'encarregat del tractament o exercir les seves funcions en el marc d'un contracte de serveis. 7. El responsable o l'encarregat del tractament ha de publicar les dades de contacte del delegat de protecció de dades. Les ha de comunicar, també, a l'autoritat de control. Posició del delegat de protecció de dades 1.El responsable i l'encarregat del tractament han de garantir que el delegat de protecció de dades participa de manera adequada i en el moment oportú en totes les qüestions relatives a la protecció de dades personals. 2. El responsable i l'encarregat del tractament han de donar suport al delegat de protecció de dades en l'acompliment de les seves funcions. Han de facilitar els recursos necessaris per complir aquestes tasques i per accedir a les dades personals i a les operacions de tractament, així com per mantenir el seu coneixement expert. 3. El responsable i l'encarregat del tractament s’han d’assegurar que el delegat de protecció de dade sno accepta instruccions sobre l’exercici d'aquestes tasques. El responsable o l’encarregat no el pot destituir ni sancionar per exercir les seves funcions. El delegat de protecció de dades ha de rendir comptes directament al nivell jeràrquic més alt del responsable o de l’encarregat. 4. Els interessats es poden posar en contacte amb el delegat de protecció de dades en relació amb totes les qüestions relacionades amb el tractament de les seves dades personals i per exercir els seus drets, a l’empara d’aquest Reglament. 5. El delegat de protecció de dades està obligat a mantenir el secret a la confidencialitat en tot el que es refereix a l'acompliment de les seves funcions, d’acord amb el dret de la Unió o dels estats membres. 6. El delegat de protecció de dades pot exercir altres tasques i funcions. El responsable o l’encarregat del tractament ha de garantir que aquestes tasques i funcions no donen lloc a conflicte d'interessos. Funcions del delegat de protecció de dades 1.El delegat de protecció de dades té, coma mínim, les funcions següents: a) Informar i assessorar de les seves obligacions el responsable o l'encarregat del tractament i els empleats que s'ocupen del tractament. b) Supervisar el compliment del que disposa aquest Reglament, d'altres disposicions de protecció de dades de la Unió o dels estats membres i de les polítiques del responsable o de l'encarregat del tractament en matèria de protecció de dades personals, inclòs a l'assignació de responsabilitats, la conscienciació i la formació del personal que participa en les operacions de tractament i les auditories corresponents. c) Oferir l'assessorament que se li sol·licita sobre l'avaluació d'impacte relativa a la protecció de dades i supervisar-ne l’aplicació. d) Cooperar amb l'autoritat de control. e) Actuar coma punt de contacte de l'autoritat de control per a qüestions relatives al tractament, inclosa la consulta prèvia, i fer consultes, si escau, sobre altre assumpte. 2. El delegat de protecció de dades ha d’exercir les seves funcions prestant atenció als riscos associats a les operacions de tractament, tenint en compte la naturalesa, l'abast, el context i les finalitats del tractament. Mesures de seguretat El Reglament no estableix un llistat de mesures de seguretat d’aplicació d’acord amb la tipologia de dades objecte de tractament, sinó que estableix que el responsable i l’encarregat del tractament han d’aplicar mesures tècniques i organitzatives adequades al risc que comporta el tractament. Implica haver de fer una avaluació dels riscos que comporta cada tractament, per determinar les mesures de seguretat que cal implementar. El tipus d'anàlisi varia segons els tipus de tractament, la naturalesa de les dades que es tracten, el nombre d'interessats afectats o la quantitat i varietat de tractaments que una mateixa organització efectua. En les grans organitzacions, com a norma general aquesta anàlisi s’ha de dur a terme utilitzant alguna de les metodologies d'anàlisi de risc existents. En responsables de dimensions menors i amb tractaments de poca complexitat, aquesta anàlisi hauria de ser el resultat d'una reflexió, mínimament documentada, sobre les implicacions dels tractaments en els drets i les llibertats de les persones interessades. Aquesta reflexió ha de donar resposta a qüestions com les següents: Es tracten dades sensibles? Es tracten dades d'una gran quantitat de persones? El tractament inclou l'elaboració de perfils? Les dades obtingudes de les persones interessades es creuen amb altres de disponibles en altres fonts? Es pretén utilitzar dades obtingudes amb una finalitat per a altre tipus de finalitats? S'estan tractant grans quantitats de dades, incloses tècniques d'anàlisi massiva tipus big data? S'utilitzen tecnologies especialment invasives per a la privacitat, com les relatives a geolocalització, videovigilància a gran escala o aplicacions de la internet de les coses? Com més gran és el nombre de respostes afirmatives, més elevat és el risc que es pot derivar del tractament. D'aquesta manera, si la resposta a aquestes preguntes i a d’altres del mateix tipus és negativa, és raonable concloure que l'organització no efectua tractaments que generin un nivell de risc elevat i que, per tant, no ha de posar en marxa les mesures previstes per a aquests casos. Notificació de violacions de seguretat Si es produeix una violació de la seguretat, el responsable ha de notificar-ho a l’autoritat de control en un termini màxim de 72 hores, llevat que sigui improbable que constitueixi un risc per als drets i les llibertats de les persones A més, quan sigui probable que la violació comporti un alt risc per als drets de les persones interessades, el responsable els l’ha de comunicar sense dilacions indegudes i en llenguatge clar i senzill, tret que: - El responsable hagués adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles per a persones no autoritzades. - Hagi aplicat mesures posteriors que garanteixen que ja no hi ha la probabilitat que es concreti l’alt risc. - Suposi un esforç desproporcionat.
