• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Curs de Protecció de Dades per a personal d'ens locals
 

Curs de Protecció de Dades per a personal d'ens locals

on

  • 230 views

 

Statistics

Views

Total Views
230
Views on SlideShare
230
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
2

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

12 of 2 previous next

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Curs de Protecció de Dades per a personal d'ens locals Curs de Protecció de Dades per a personal d'ens locals Presentation Transcript

    • Protecció de dades per a personal que tractidades de caràcter personalCurs de la Diputació de BarcelonaProfessora:Mercè RosellóMercè RosellóMàster Oficial en Societat de la Informaciói el Coneixement per la UOC,especialitat en E-law i E-government
    • A.DRETS:LA PROTECCIÓ DE DADESCOMA DRET FONAMENTALCurs de la Diputació de BarcelonaCOMA DRET FONAMENTAL
    • Conjunt de tècniques normatives o jurídiques, que té perobjecte garantir el següent dret fonamental:Que lindividu tingui la capacitat dexercir un controlreal sobre els usos i les finalitats d’ús de les sevesdades personals.dades personals.A la legislació europea i espanyola és un dret fonamental.També es reconeix a lEstatut dAutonomia de Catalunya de2006.Curs de la Diputació de Barcelona
    • La Constitució espanyola de 1978 va ser-ne pionera en elreconeixement, en preveure la greu afectació en la intimitat deles persones que el tractament informàtic de dadescomporta, com recull en el seu article 18:“1. Es garanteix el dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge.“1. Es garanteix el dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge.2. El domicili és inviolable. No s’hi podrà entrar ni fer cap escorcoll sense consentimentdel titular o sense resolució judicial, llevat de cas de delicte flagrant.3. Es garanteix el secret de les comunicacions i, especialment, de les postals, telegràfiquesi telefòniques, excepte en cas de resolució judicial.4. La llei limitarà l’ús de la informàtica per tal de garantir l’honor i la intimitat personal ifamiliar dels ciutadans i el ple exercici dels seus drets.“Curs de la Diputació de Barcelona
    • Regulació bàsica en l’àmbit estatalLlei Orgànica 15/1999, de 13 de desembre, de protecció dedades de caràcter personal (LOPD), base de regulaciómodificada i desenvolupada posteriorment per altres reglamentacions,que defineixen les mesures a prendre:Reial Decret 1720/2007, de 21 de desembre, pel qualReial Decret 1720/2007, de 21 de desembre, pel qualsaprova el Reglament de desenvolupament de la LleiOrgànica 15/1999 , de 13 de desembre de Protecció deDades de caràcter personal -dara endavant RLOPD.Curs de la Diputació de Barcelona
    • Regulació bàsica en l’àmbit estatalPel que fa a l’ús de mitjans electrònics, caldrà preveure els efectes enmatèria de dades personals de la legislació corresponent:•LLEI 29/2010, del 3 dagost, de lús dels mitjans electrònics al sectorpúblic de Catalunya.públic de Catalunya.•LLEI 11/2007, de 22 de juny, daccés electrònic dels ciutadans alsserveis públics.•Llei 34/2002, d’11 de juliol, de serveis de la societat de lainformació i de comerç electrònicCurs de la Diputació de Barcelona
    • Principis i conceptes de protecció de dadesEls tres primers principis del Títol II de la LOPD (art. 4-12)són bàsics per a la legitimitat del tractament i es tornen arecollir als capítols I-II del Títol II sobre els principis delRLOPD:1. Qualitat de les dades.2. Dret d’informació en la recollida de dades.3. Consentiment de l’afectat.Curs de la Diputació de Barcelona
    • Principis i conceptes de protecció de dadesI a continuació a la LOPD segueixen els principisreferents a la seguretat:4. Dades especialment protegides.5. Dades relatives a la salut.5. Dades relatives a la salut.6. Seguretat de les dades.7. Deure de secret.8. Comunicació de dades.9. Accés a les dades per compte de tercers.Curs de la Diputació de Barcelona
    • Conceptes essencials de la LOPDÀmbit d’aplicació: tractaments automatitzats o no de dades personalsA qui concerneixen les dades: a persones físiques identificades oidentificables.Objecte de garantir i protegir:Objecte de garantir i protegir:- les llibertats públiques- els drets fonamentals- l’honor- i la intimitat personal i familiar.Curs de la Diputació de Barcelona
    • Conceptes essencialsPerò què entenem per dada de caràcter personal?ArticleArticle 55..f,f, RLOPDRLOPD::“qualsevol informació numèrica, alfabètica, gràfica, fotogràfica,acústica o de qualsevol altre tipus que concerneix personesfísiques identificades o identificables”.físiques identificades o identificables”.En quin suport?No només les registrades en suport informàtic, sinó en qualsevoltipus de suport, sempre que en permetin el seu tractament i úsposterior. (Article(Article 11..11,, RLOPD)RLOPD)Curs de la Diputació de Barcelona
    • Conceptes essencialsI per persona identificable?Article 5 (RLOPD):“de la qual es pugui determinar, directament o indirectament,qualsevol informació referida a la identitat física, fisiològica,psíquica, econòmica, cultural o social”.I entenem que: “una persona física no es considera identificablesi la dita identificació requereix terminis o activitatsdesproporcionats”.Curs de la Diputació de Barcelona
    • Conceptes essencialsAnalitza:En quins supòsits les següents dades permetenidentificar directa o indirectament la persona de laqual procedeixen?• Adreça de correu electrònic• Adreça IP d’un ordinador• Veu• Imatge d’una fotografiaCurs de la Diputació de Barcelona
    • Conceptes essencialsNO S’APLICA:A fitxers fets per a ús domèstic o personal, tret quesiguin usats per activitats professionals tant en els sectorssiguin usats per activitats professionals tant en els sectorspúblic com privat.Tanmateix de les activitats professionals en quedenEXCLOSES...Curs de la Diputació de Barcelona
    • Conceptes essencialsEXCLOSES les dades referides a (Art. 2 de RLOPD):a) persones jurídiques;b) en fitxers de persones físiques que hi prestin els seus serveisconsistents únicament en el nom i cognoms, les funcions o llocsexercits, l’adreça postal o electrònica, telèfon i fax professionalsc) dades relatives a empresaris individuals en qualitat decomerciants, industrials o naviliersd) persones mortes.Curs de la Diputació de Barcelona
    • Categories de dadesArt. 54.f del RLOPD :a)a) LesLes dadesdades identificativesidentificatives::Nom i cognoms, DNI o NIF, telèfon, adreça postal o electrònica, número S.S. omutualitat, signatura o empremtes, signatura electrònica, imatge o veu, número deregistre personal, marques físiques, altres.b)b) LesLes dadesdades especialmentespecialment protegidesprotegides, que segons art. 7 i 8 LOPD són:b)b) LesLes dadesdades especialmentespecialment protegidesprotegides, que segons art. 7 i 8 LOPD són:b.1.- Ideologia, religió, afiliació sindical, creences.b.2.- L’origen racial o ètnic, vida sexual i salut.b.3. – Relatives a la comissió d’infraccions penals o administrativesc)c) Les restants categories de dades:Les restants categories de dades:Característiques personals, circumstàncies socials, dades acadèmiques iprofessionals, d’ocupació laboral, d’informació comercial, econòmicofinanceres id’assegurances, de transaccions...Curs de la Diputació de Barcelona
    • SubjectesÀmbit subjectiu d’aplicació de la LOPD (Art. 5 RLOPD)•Titular de les dades:Afectat o interessat “la persona física titular de les dades quesiguin objecte del tractament”.•• Responsable del fitxer o tractament*:-Qui decideix, sola o juntament amb altres, “sobre la finalitat,contingut i ús del tractament, encara que no ho realitzimaterialment”.*No confondre amb el Responsable de seguretat que s’estableix per a determinats nivells de tractament defitxers.Curs de la Diputació de Barcelona
    • SubjectesEncarregat de tractament“Persona la persona física o jurídica, pública o privada, o òrganadministratiu que, sol o conjuntament amb altres, tracti dadespersonals per compte del responsable del tractament o delresponsable del fitxer....”responsable del fitxer....”I : “També poden ser encarregats del tractament els ens sensepersonalitat jurídica que actuïn en el tràfic com a subjectesdiferenciats”. (Art. 5.1.i RLOPD).Curs de la Diputació de Barcelona
    • LA PROTECCIÓ DE DADES:Visionat:Tot funciona...[DVD] Vídeo formatiu sobre la protecció de dadesProduït per ICO (Information Comissioner’s Office),Produït per ICO (Information Comissioner’s Office),Traduït i adaptat perl’APDCAT i l’AAPDTambé disponible en línia a:https://www.apda.ad/node/146Curs de la Diputació de Barcelona
    • Identificats els fitxers a tractar -- fase de legitimació:1. El deure d’informació previ al tractament2. Principis i requeriments de legitimitat per a la recollida dedades:Legitimació per al tractament de dadesa) Principis: Consentiment, qualitat i finalitat de les dadesb) Deure de guardar Secret3. Drets d’accés, rectificació, cancel·lació i oposició (ARCO),d’autodeterminació informativa per part dels titulars de lesdades.Curs de la Diputació de Barcelona
    • Manifestació de voluntat que ha de ser:- Inequívoca: la sol·licitud i l’atorgament s’han de produir deforma clara.- Lliure: la persona ha de poder rebutjar que es tractin les sevesdades.1. Deure d’informaciódades.- Específic: referit a tractaments concrets i finalitat determinada- Informat: amb antelació al tractament, les persones han depoder conèixer-ne l’existència i les finalitats (art. 5, LOPD).Curs de la Diputació de Barcelona
    • A incorporar als formularis o impresos de recollida de dadesEls titulars de les dades han de ser prèviament informats de:a. L’existència d’un fitxer o un tractament de dades personals, lafinalitat de la recollida i els destinataris de la informació.b. Quines respostes són obligatòries o facultatives, respecte a lespreguntes que els siguin plantejades1. Deure d’informaciópreguntes que els siguin plantejadesc. Les conseqüències de donar o no les dades.d. La possibilitat d’exercir els drets d’accés, rectificació,cancel·lació i oposició (ARCO).e. De la identitat i adreça del responsable del tractament o, siescau, del seu representant.Salvetats a: b), c) i d) quan es dedueix clarament de la naturalesa de les dades o de lescircumstàncies concurrents.Curs de la Diputació de Barcelona
    • 1.- No és obligatori quan afecti a:a. La defensa nacionalb. La seguretat públicac. La persecució d’infraccions penalsEXCEPCIONS AL DEURE D’INFORMACIÓc. La persecució d’infraccions penals(Art. 55, 130 i 131, RLODP)Curs de la Diputació de Barcelona
    • 2.- Si no es recullen directament del titular, quan:a. Una llei prevegi expressament la comunicaciób. El titular ja n’hagi estat informat amb anterioritatc. El tractament tingui finalitats històriques, científiques oestadístiques.d. Resulti impossible o exigeixi esforços desproporcionats, ambEXCEPCIONS AL DEURE D’INFORMACIÓd. Resulti impossible o exigeixi esforços desproporcionats, ambautorització de l’ACPDe. Les dades procedeixin de fonts accessibles al públic i es destinina activitats de publicitat o prospecció comercial.(Art. 55, 130 i 131, RLODP)Curs de la Diputació de Barcelona
    • Forma d’obtenció del consentiment:-Expressa: Sempre, en cas de dades especialmentprotegides.-Tàcita: En els supòsits en què no s’exigeixi exprés o2. a) Consentiment del titular, qualitat i finalitat la dada-Tàcita: En els supòsits en què no s’exigeixi exprés oexprés i per escrit.Art. 12 i 14 de RLOPD.Curs de la Diputació de Barcelona
    • -Tàcita:El responsable ha d’atorgar a les persones interessades:• El contingut en el dret d’informació de l’article 5 de la LOPD,• 30 dies per manifestar la seva oposició al tractament.• Un mitjà senzill i gratuït per cas que vulguin manifestar-ne lanegativa.2. a) Consentiment del titular, qualitat i finalitat la dadanegativa.• En cas de negativa: no es pot tornar a demanar consentiment pelmateix tractament i finalitat, fins passat un any de la sol·licitudanterior.•• Si l’interessat no es pronunciaSi l’interessat no es pronuncia: s’entén que consent el tractament.Art. 12 i 14 de RDLODP.Curs de la Diputació de Barcelona
    • Supòsits en què no és necessari el consentimentSupòsits en què no és necessari el consentiment (7, 10.3 i 12.1 RLOPD):-Per norma amb rang de llei.-Per a l’exercici de les funcions pròpies de les administracionspúbliques, en l’àmbit de les seves competències.- Les dades figurin en fonts accessibles al públic i el seu2. a) Consentiment del titular, qualitat i finalitat la dada- Les dades figurin en fonts accessibles al públic i el seutractament sigui necessari per a la satisfacció de l’interès legítimperseguit pel responsable del fitxer o pel del tercer.- Interès vital de la persona afectada com a finalitat.- Formin part d’un contracte o precontracte i siguin necessàries percomplir-lo o mantenir-lo.Curs de la Diputació de Barcelona
    • El consentiment en casos especials de dades:a) Dades especialment protegides (dideologia, religió,l’afiliació sindical o les creences; d’origen racial o ètnic, lasalut i la vida sexual) o relatives a la comissió2. a) Consentiment del titular, qualitat i finalitat la dadasalut i la vida sexual) o relatives a la comissiód’infraccions penals o administratives.Excepcionalment, sense consentiment, quan persona afectadaestigui incapacitada física i jurídicament per donar-lo (art. 7-8LOPD).Curs de la Diputació de Barcelona
    • El consentiment en casos especials de dades:b) Dades recollides per les policies locals (art. 22 LOPD)• No cal consentiment, quan siguin necessàries per prevenirun perill real per a la seguretat pública o per a la repressiód’infraccions penals.2. a) Consentiment del titular, qualitat i finalitat la dadad’infraccions penals.• I dades especialment protegides només aquellesabsolutament necessàries per investigació concreta.Curs de la Diputació de Barcelona
    • El consentiment en casos especials de dades:c) Dades relatives a menors d’edat (art. 13 RLOPD)• Majors de 14 anys – consentiment seu (tret de casos llei pàtriapotestat)• Menors de 14 anys – consentiment necessari de pares o tutors.2. a) Consentiment del titular, qualitat i finalitat la dada• Menors de 14 anys – consentiment necessari de pares o tutors.Comprovació edat i d’autenticitat del consentiment pares/tutors.A través d’un menor no es poden obtenir dades d’altres membres delgrup familiar, llevat del nom i l’adreça per recollir-ne el consentiment.Curs de la Diputació de Barcelona
    • D’ACORD AMB EL PRINCIPI DE QUALITAT, les dades han de reunirels següents principis o requeriments (Art. 8 RLOPD):a) Proporcionalitat: Només poden ser objecte de tractament lesdades que siguin adequades, pertinentsadequades, pertinents ii no excessivesno excessives en relacióamb les finalitats determinades, explícites i legítimes.2. a) Consentiment del titular, qualitat i finalitat la dadab) Finalitat: només poden ser recollides per al compliment definalitats determinades,determinades, explícitesexplícites i legítimeslegítimes del responsable deltractament. Les dades no podran ser utilitzades per finalitatsincompatibles (diferents) a aquella per la qual s’han recollit.Curs de la Diputació de Barcelona
    • PRINCIPI DE QUALITATc) Exactitud: han de ser exactesexactes i han d’estar actualitzadesactualitzades de formaque responguin amb veracitat a la situació actual de l’afectat.d) Conservació: només es poden conservar per un període superioral necessari quan s’anonimitzen o es dissassocia el valor quecontenen, o si es volen conservar, amb l’autorització de l’ACPD2. a) Consentiment del titular, qualitat i finalitat la dadacontenen, o si es volen conservar, amb l’autorització de l’ACPDpels seus valors històrics, científics o estadístics. Cal preveuretambé els casos de bloqueig per exigència de responsabilitats, aixícom el període de conservació establert per la normativa d’arxius.e) Lleialtat: han de ser tractades de manera lleiallleial ii lícitalícita. Es prohibeixla recollida de dades per mitjans fraudulents, deslleials o il·lícits.Curs de la Diputació de Barcelona
    • CAL CANCEL·LAR LES DADES PERSONALS QUAN.... (Art. 8 RLOPD):a) S’hagin obtingut per mitjans fraudulents, il·lícits o deslleials.b) Deixin de ser necessàries o pertinents d’acord amb la finalitatfinalitatper a la qual van ser recollides.2. a) Consentiment del titular, qualitat i finalitat la dadac) Si han estat conservades i bloquejades per tal d’exigir-neresponsabilitats derivades d’una relació jurídica, un cop vençutel període de bloqueig.Curs de la Diputació de Barcelona
    • SALVETATS DE CANCEL·LACIÓ:a) No es considera incompatible, el tractament de les dades decaràcter personal amb finalitatsfinalitats històriques,històriques, estadístiquesestadístiques oocientífiquescientífiques. (Art. 9 RLOPD)2. a) Consentiment del titular, qualitat i finalitat la dadab) Si les dades de caràcter personal resulten ser inexactesinexactes, del tot oen part, o incompletes, s’han de substituir d’ofici per lescorresponents dades rectificades o completades (Art. 8.5RLOPD)Curs de la Diputació de Barcelona
    • Article 10. Deure de secret. (LOPD):“El responsable del fitxer i els qui intervinguin en qualsevol fase del tractament deles dades de caràcter personal estan obligats al secret professional pel que faa les dades i al deure de guardar-les,obligacions que subsisteixen fins i totdesprés de finalitzar les seves relacions amb el titular del fitxer o,2.b) Secretdesprés de finalitzar les seves relacions amb el titular del fitxer o,si s’escau,amb el seu responsable.”Art.123 RLOPD:“Estan obligats a guardar secret sobre les informacions que coneguin en l’exercicide les funcions esmentades,fins i tot després d’haver cessat en aquestesfuncions.”Curs de la Diputació de Barcelona
    • 3. Drets ARCO: Definicions. RegulacióDrets d’Drets d’ habeas datahabeas data o drets ARCO:o drets ARCO:Drets personalíssims, independentsersonalíssims, independents i gratuïtsgratuïts (Títol III RLOPD)Exercici de drets TerminisACCÉS A sol·licitar:– Quines dades tenen sobre la seva persona– Quina és la finalitat del tractament– Informació sobre lorigen de les dades30 dies– Informació sobre lorigen de les dades– Comunicacions que shan fet o que es volen fer.RECTIFICACIÓ A demanar-ne modificació d’aquelles que són inexactes,inadequades, excessives o incompletes.10 diesCANCEL·LACIÓ Per inadequades o excessives, tret les d’administracions,jutges o tribunals quan estiguin bloquejades.10 diesOPOSICIÓ – Si no hi ha consentiment– Per publicitat o prospecció comercial– En base al tractament automatitzat10 diesCurs de la Diputació de Barcelona
    • TOT EL PERSONAL que accedeixi a les dades de caràcter personal estàobligat a:-Guardar secret i confidencialitat.-Conèixer i observar les mesures, normes, procediments,regles i estàndards que afecten les funcions que desenvolupa.Funcions i obligacions del personal-Notificar al responsable del fitxer (o de seguretat, quan escaigui)les incidències de seguretat de què tingui coneixementrespecte als recursos protegits -segons els procediments establertsen la Guia de seguretat de lAGPD.Curs de la Diputació de Barcelona
    • EL PERSONAL ALIÈ, tal com recollirà el contracte de prestació deserveis, tindrà la prohibició daccedir a les dades personals i lobligacióde secret respecte de les dades que hagués pogut conèixer durant laprestació del servei.Funcions i obligacions del personalEL PERSONAL que realitzi treballs que no impliquin el tractament dedades personals tindrà limitat laccés a aquestes dades, als suports que lescontinguin, o als recursos del sistema dinformació.Font: Guia de Protección de Datos para entidades locales (INTECO, 2009: 57)Curs de la Diputació de Barcelona
    • Article 89. Funcions i obligacions del personal. (RLOPD)“1. Les funcions i obligacions de cadascun dels usuaris o perfilsd’usuaris amb accés a les dades de caràcter personal i alssistemes d’informació han d’estar clarament definides idocumentades en el document de seguretat.Funcions i obligacions del personaldocumentades en el document de seguretat.També s’han de definir les funcions de control oautoritzacions delegades pel responsable del fitxer otractament.”És important que s’hi detalli la persona o càrrec de cada perfilCurs de la Diputació de Barcelona
    • RESPONSABILITAT CORPORATIVARESPONSABILITAT CORPORATIVADes de la creació dels fitxers, s’han d’haver previst:Responsable del fitxer:Únic responsable o les funcions que faran. En cas de diversosresponsables, cadascun d’ells ha de notificar el fitxer al RPDC.Unitat o servei adient habilitats a cada fitxer, per atendre elsOrganització corporativa de protecció de dadesUnitat o servei adient habilitats a cada fitxer, per atendre elsdretsARCO. (Recomanació 1/2011)Altres responsabilitats en protecció de dades, a càrrec de:•El Ple de la corporació, en l’aprovació de les disposicions.•L’encarregat de tractament, si escau.•El personal, en les obligacions en l’exercici de les seves funcions.Curs de la Diputació de Barcelona
    • PERFILSPERFILSALAL PLAPLA DEDE SEGURETATSEGURETAT::Responsable de seguretat: persona que té per funciócoordinar i controlar les mesures de seguretat definides aldocument de seguretat. La seva designació:és exigible en els fitxers amb nivell mig i alt;Organització corporativa de protecció de dadesés exigible en els fitxers amb nivell mig i alt;pot ser única per a tots els fitxers o tractaments de dades decaràcter personal o diferenciada segons els sistemes de tractamentutilitzats;no exonera el responsable del fitxer o tractament –que és qui eldesigna.(Art. 95 i 109 RLOPD, Guia de Seguridad (INTECO))Curs de la Diputació de Barcelona
    • PERFILSPERFILSALAL PLAPLA DEDE SEGURETATSEGURETAT::Administrador de sistema: persona designada perconcedir, alterar, o anul·lar laccés autoritzat a les dades, tal icom s’estableixi al document de seguretat.Responsable d’informàtica: qui pot configurarOrganització corporativa de protecció de dadesResponsable d’informàtica: qui pot configurartècnicament els accessos dels diferents perfils al sistemad’informació.Auditor: intern o extern, no queda regulat el seu perfil,però sí el seu paper.Curs de la Diputació de Barcelona
    • DOCUMENTS I RECURSOS CORPORATIUS DE L’ENS LOCALDOCUMENTS I RECURSOS CORPORATIUS DE L’ENS LOCALDisposició generalDisposició general (Art. 20.1 LOPD; Cap. I RLOPD)Obligada per a la creació, modificació i supressió de fitxers de titularitatpública. Contingut i estructura regulats per l’art. 54 del RLODP.Organització corporativa de protecció de dadesEn cas de modificació dels fitxers, l’articulat n’ha d’indicar lesvariacions produïdes en qualsevol dels apartats. I en cas de supressió, eldestí que s’ha de donar a les dades o, si s’escau, les previsions per tal dedestruir-lesCurs de la Diputació de Barcelona
    • DOCUMENTS I RECURSOS CORPORATIUS DE L’ENS LOCALDOCUMENTS I RECURSOS CORPORATIUS DE L’ENS LOCALDisposició generalDisposició general (Art. 20.1 LOPD; Cap. I RLOPD)L’aprovació de la disposició general o acord comporta l’elaboració del’expedient amb la seva corresponent Memòria i és la prevista a lanormativa aplicable dels ens locals; en l’Administració local l’aprovacióOrganització corporativa de protecció de dadesse sol fer per ordenançaordenança o reglamentreglament del pleple dede lala corporaciócorporació..Publicació obligatòria alal DiariDiari oo ButlletíButlletí OficialOficial ii han de referenciar lanotificació de fitxers.Vegeu-ne més pautes i model orientatiu en l’annex II de la Recomanació 1/2011:http://www.apd.cat/media/2561.pdfCurs de la Diputació de Barcelona
    • DOCUMENTS I RECURSOS CORPORATIUS DE L’ENS LOCALDOCUMENTS I RECURSOS CORPORATIUS DE L’ENS LOCALCodis tipusCodis tipus (Art. 32 LOPD, 71 i 145 RLOPD):“Acords sectorials, convenis administratius o decisions d’empresa,amb caràcter de codis deontològics o de bona pràctica professional, mitjançant elsquals els responsables dels tractaments delimiten les condicions d’organització,Organització corporativa de protecció de dadesquals els responsables dels tractaments delimiten les condicions d’organització,règim de funcionament, procediments aplicables, normes de seguretat del’entorn, programes o equips, obligacions dels implicats en el tractament i ús de lainformació personal, així com les garanties, en el seu àmbit, per a l’exercici delsdrets de les persones, en matèria de protecció de dades personals.“Curs de la Diputació de Barcelona
    • DOCUMENTS I RECURSOS CORPORATIUS DE L’ENS LOCALDOCUMENTS I RECURSOS CORPORATIUS DE L’ENS LOCALCodis tipusCodis tipus (Art. 32 LOPD, 71 i 145 RLOPD):Voluntaris però vinculants per als qui s’hi adhereixen.Finalitats: harmonitzar els tractaments de les entitats a través de regles oOrganització corporativa de protecció de dadesFinalitats: harmonitzar els tractaments de les entitats a través de regles oestàndards; facilitar l’exercici dels drets dels afectats i afavorir elcompliment de la normativa.Han d’establir procediments supervisors i un règim sancionador, i s’hande dipositar i inscriure al Registre de la Protecció de Dades deCatalunya (RPDC), amb determinades obligacions: fer accessible lainformació al públic, memòria annual i avaluació periòdica de l’eficàcia .Curs de la Diputació de Barcelona
    • B. RECOLLIDA I CONSERVACIÓDE DADESCurs de la Diputació de Barcelona
    • En els fitxers de titularitat pública, la descripció del fitxercontindrà els apartats inclosos en la disposició o acordprevistos a la legislació (art. 20.2 LOPD; 54.1 RLOPD):a) La denominació del fitxer o tractament.b) La finalitat i els usos previstos.Requisits dels formularisb) La finalitat i els usos previstos.c) Les persones o els col·lectius afectats.d) El procediment de recollida de les dades personals.e) La procedència de les dades personalsCurs de la Diputació de Barcelona
    • f) L’estructura del fitxer:-Tipologia de les dades.- El sistema de tractament utilitzat.g) Les cessions de dades personals previstes.h) Les transferències internacionals de dades personalsprevistes.Requisits dels formularisprevistes.i) L’òrgan o els òrgans responsables del fitxer.j) Els serveis o les unitats davant les quals es poden exercirels dretsARCO.k) El nivell de seguretat exigible.Curs de la Diputació de Barcelona
    • I per a la modificació de fitxers (Art. 54.2 RLODP):“La disposició o acord de modificació del fitxer had’indicar les modificacions produïdes en qualsevol delsaspectes a què es refereix l’apartat anterior.”Requisits dels formularisI per a la supressió (Art. 54.2 RLODP):“En les disposicions o acords que es dictin per a lasupressió dels fitxers, s’ha d’establir el destí que s’ha dedonar a les dades o, si s’escau, les previsions que s’adoptinper tal de destruir-les.”Curs de la Diputació de Barcelona
    • Fitxer:Qualsevol conjunt organitzat de dades de caràcter personalque permeti l’accés a les dades d’acord amb uns criterisdeterminats, sigui quina sigui la seva forma o modalitat deL’emmagatzematge de les dades: Fitxers.Concepte de fitxerdeterminats, sigui quina sigui la seva forma o modalitat decreació, emmagatzematge, organització i accés. (Art.5.1RLODP)Curs de la Diputació de Barcelona
    • I segons el tipus Sistema d’informació (RLOPD):-Automatitzat- No automatizat- Parcialment automatitzatSistema automatitzat:Tipologia –automatitzats, no automatitzatsSistema automatitzat:Tractament mitjançant operacions realitzades amb tecnologiesde la informació, que estructuren la informació de maneraque faciliti l’accés i l’ús de dades relatives a persones físiques.NOTA: Per evitar confusió, no utilitzar “fitxer automatitzat” al títol dela disposició.Curs de la Diputació de Barcelona
    • Fitxer de titularitat pública: fitxers els responsables delsquals siguin les institucions autonòmiques catalanes ambfuncions que tinguin rellevància constitucional, lesadministracions públiques territorials de Catalunya, lesTitularitat pública i privadaadministracions públiques territorials de Catalunya, lesentitats o organismes que hi estan vinculats o en depenen i lescorporacions de dret públic, sempre que la seva finalitat siguil’exercici de potestats de dret públic en l’àmbit territorial deCatalunya. (Art. 3 LOPD)Curs de la Diputació de Barcelona
    • Fitxer de titularitat privada: fitxers els responsables delsquals siguin les persones, empreses o entitats de dret privat,amb independència de qui tingui la titularitat del seu capital ode la procedència dels seus recursos econòmics, així com elsTitularitat pública i privadade la procedència dels seus recursos econòmics, així com elsfitxers els responsables dels quals siguin les corporacions dedret públic, si és que aquests fitxers no estan estrictamentvinculats a l’exercici de potestats de dret públic que elsatribueix la seva normativa específica. (Art. 3 LOPD)Curs de la Diputació de Barcelona
    • Notificar els fitxers davant el RGPD perquè es procedeixi a la sevainscripció.Assegurar-se que les dades siguin adequades i veraces, obtingudeslícita i legítimament i tractades de manera proporcional a la finalitatper a la qual van ser demanades.Obligacions dels responsables dels fitxers(de titularitat pública i privada):per a la qual van ser demanades.Garantir el compliment dels deures de secret i seguretat.Informar els titulars de les dades personals en la recollidadaquests.Curs de la Diputació de Barcelona
    • Obtenir el consentiment per al tractament de les dades.Facilitar i garantir lexercici dels dretsARCO.Assegurar que en les seves relacions amb tercers que li prestinserveis, que comportin laccés a dades personals, es compleixi elObligacions dels responsables dels fitxers(de titularitat pública i privada):serveis, que comportin laccés a dades personals, es compleixi elque disposa la LOPD.Complir, quan escaigui, amb el que disposa la legislació sectorialque li sigui daplicació.Font: Guia del responsable del fichero (AGPD).Curs de la Diputació de Barcelona
    • Obligacions entorn dels fitxerssegons titularitat1.Creació,modificació osupressió defitxers1.Creació,modificació osupressió defitxers• Elaboració de Disposició generalDisposició general per l’ens local• Sol·licitud d’informe potestatiu de l’Autoritat Catalana de Proteccióde Dades (es recomana adjuntar-hi còpia de memòria de l’expedient).• Aprovació de Disposició general (per ordenança o reglament del ple)• Publicació de la Disposició al BOP i referència al DOGC• Elaboració de Disposició generalDisposició general per l’ens local• Sol·licitud d’informe potestatiu de l’Autoritat Catalana de Proteccióde Dades (es recomana adjuntar-hi còpia de memòria de l’expedient).• Aprovació de Disposició general (per ordenança o reglament del ple)• Publicació de la Disposició al BOP i referència al DOGC• Notificació al RPDC en 30 dies, mitjançant formulari i, en el cas dels• Notificació al RPDC en 30 dies, mitjançant formulari i, en el cas delsPúblicaPública i privada2.Notificacióal RPDC2.Notificacióal RPDC• Notificació al RPDC en 30 dies, mitjançant formulari i, en el cas delsens locals, adjuntant còpia de la publicació de la disposició o lareferència al diari o butlletí corresponent.• El RPDC en dóna trasllat al RGDE de laAGPD.• Notificació al RPDC en 30 dies, mitjançant formulari i, en el cas delsens locals, adjuntant còpia de la publicació de la disposició o lareferència al diari o butlletí corresponent.• El RPDC en dóna trasllat al RGDE de laAGPD.3.A.Legitimacióper altractament3.A.Legitimacióper altractament• A) PRÈVIESA LA RECOLLIDA DE DADESPRÈVIESA LA RECOLLIDA DE DADES• Informació a la persona titular de les dades• Requeriments i principis de consentiment i qualitat de les dadesCurs de la Diputació de Barcelona
    • Obligacions entorn dels fitxerssegons titularitat3. B.Garantiesdurant eltractament3. B.Garantiesdurant eltractament • Mesures de seguretat: Document de seguretat i implementació•• B)A PARTIR DE LA RECOLLIDA I TRACTAMENTB)A PARTIR DE LA RECOLLIDA I TRACTAMENT• Deure de Secret• Comunicació de dades personals• Drets d’Habeas Data o dretsARCO• Mesures de seguretat: Document de seguretat i implementacióPúblicaPública i privada4.Recollida dedades4.Recollida dedadesque• Garantir l’aplicació del procediment de recollida lícit ques’haurà indicat en el contingut de la Disposició general (Art.54.1 RLODP). Per exemple, procediments com: formularis, enpaper o electrònics; enquestes; entrevistes, presencials otelefòniques; transmissió en format paper; transmissióelectrònica, o qualsevol altre que s’especifiqui.Curs de la Diputació de Barcelona
    • La persona afectada exerceix la tutela de drets ARCO davant l’ACPD,mitjançant reclamació.L’Autoritat trasllada la reclamació al responsable del fitxer i resol en sismesos.Responsabilitats dels titulars dels fitxersSi no resol, la reclamació de la tutela es considera desestimada.Si és estimada, el responsable del fitxer l’ha de fer efectiva en 10 dies.(Art. 117 RLOPD)Font: Guia bàsica de protecció de dades dels ens locals.Curs de la Diputació de Barcelona
    • D’altra banda, en cas d’incompliment de la normativa entorn de fitxersde diferent titularitat, el responsable i l’encarregat de tractament haurande fer front a responsabilitats del següent tipus (Art. 19 LOPD):1.1. Responsabilitat patrimonialResponsabilitat patrimonial2.2. Responsabilitat penalResponsabilitat penalResponsabilitats dels titulars dels fitxers2.2. Responsabilitat penalResponsabilitat penal3.3. Responsabilitat administrativaResponsabilitat administrativaFont: Guia bàsica de protecció de dades dels ens locals.Curs de la Diputació de Barcelona
    • La inscripció a lRPDC sha de formalitzar amb els suports normalitzatsque hi ha disponibles al web d’Autoritat Catalana de Protecció de Dades.Es pot fer en suport digital o paper.Procediments d’inscripció dels fitxersFont: Autoritat Catalana de Protecció de Dades:http://www.apd.cat/ca/contingut.php?cont_id=116&cat_id=164Curs de la Diputació de Barcelona
    • 1. En suport digital, pel qual cal instal·lar programari, i permetdues opcions:a. Amb signatura electrònica: es pot enviar, telemàticament, tantel document de sol·licitud dinscripció del fitxer, com elformulari de notificació.b. Sense signatura electrònica: una vegada enviat el formulari deProcediments d’inscripció dels fitxersb. Sense signatura electrònica: una vegada enviat el formulari denotificació, sha dimprimir la sol·licitud que el programagenera, i fer-la arribar a la seu del RPDC.2. En suport paper, per imprimir i presentar en els termes previstos ales instruccions del mateix web (també en annexos):i. Formulari de notificació de fitxersii. Sol·licitud d’inscripcióCurs de la Diputació de Barcelona
    • Sobre la gestió de suports i documents.“1. Els suports i documents que continguin dades de caràcterpersonal han de permetre identificar el tipus d’informació quecontenen, han de ser inventariats i només hi ha de poder accedir elpersonal autoritzat per fer-ho en el document de seguretat.L’inventari corporatiupersonal autoritzat per fer-ho en el document de seguretat.S’exceptuen aquestes obligacions quan les característiques físiquesdel suport impossibilitin el seu compliment, i n’ha de quedarconstància motivada en el document de seguretat. “ (Art. 92,RLODP, amb mesures de seguretat de nivell bàsic)Curs de la Diputació de Barcelona
    • Per a la identificació i inventari de fitxers, es seguiren lessegüents passes (INTECO, 2009):• Identificació dels col·lectius les dades a tractar.Exemple:ciutadans, tràmits específics de caràcter puntual.• Localitzar on es troben les dades, tenint en compte que laL’inventari corporatiu• Localitzar on es troben les dades, tenint en compte que lainformació pot ser emmagatzemada en fitxers automatitzats, noautomatitzats o manuals, i mixtos.• Definir cada fitxer de manera clara i ordenada, recollint totes lesdades que sobtenen de cada col ·lectiu (identificatius, fiscals, etc.).Curs de la Diputació de Barcelona
    • Nivells i mesures de seguretatMITJÀ- Infraccions administratives o penals.- SI sobre solvència patrimonial i crèdit.- D’entitats financeres per a prestació de serveisfinancers.- D’entitats gestores i serveis comuns de la SeguretatSupòsits especials:- Amb dades de trànsit i de localització contingudes enfitxers d’operadors que presten serveis decomunicacions electròniques disponibles al públic, o queexploten xarxes públiques de comunicacionsBÀSICTots els fitxers o tractaments de dades personals Supòsits especials:Art. 81.5 i 81.6 RLOPDALT• Ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual.• Obtingudes per a fins policials sense consentiment de les persones afectades.• Derivades d’actes de violència de gènere.- D’entitats gestores i serveis comuns de la SeguretatSocial, de les mútues d’accidents de treball i malaltiesprofessionals de la Seguretat Social …-Avaluació personalitat o comportament dels individus.exploten xarxes públiques de comunicacionselectròniques, a més d’implantar registre d’accessos.Supòsits d’Art. 81.5 i 81.6 RLOPDCurs de la Diputació de Barcelona
    • Nivells i mesures de seguretatFITXERS ITRACTAMENTSAUTOMATITZATS (Art. 89 - 104 RLOPD)Bàsic Mig AltDisposar dun document de seguretat X X XExplicar les funcions de seguretat al personal X X XPortar un registre dincidències (restauracions, etc..) X X XImplementar mecanismes didentificació i autentificació X X XGestió i control dels suports i documents X X XCurs de la Diputació de BarcelonaGestió i control dels suports i documents X X XFer i controlar les còpies de seguretat (1 fora del lloc) X X XSistemes de control daccés lògic X X XNomenar un responsable de seguretat X XSistemes de control daccés físic X XFer una auditoria cada dos anys X XTelecomunicacions (xifratge) XTenir un registre daccés X
    • Nivells i mesures de seguretatFITXERS ITRACTAMENTS NO AUTOMATITZATS (Art. 105-114 RLOPD)Bàsic Mig AltDisposar dun document de seguretat X X XExplicar les funcions de seguretat al personal X X XPortar un registre dincidències (restauracions, etc..) X X XGestió i control dels suports i documents X X XCriteris darxivament X X XCriteris darxivament X X XRestricció als dipositius demmagatzematge X X XCustòdia de suports X X XNomenar un responsable de seguretat X XFer una auditoria cada dos anys X XEmmmagatzematge de la informació XCòpia o reproducció XTenir un registre daccés XTrasllat de documentació XCurs de la Diputació de Barcelona
    • Nivells i mesures de seguretatQuin nivell i quines mesures establirem per a les següents dades?:a. Fitxer de Recursos Humans que contingui:• Amb motiu del compliment d’un deure públic, dades de salut referides a la simpledeclaració de condició de discapacitat de la persona afectada.• Informació sobre el tipus de deficiències físiques o psíquiques que podentenir els treballadors o aspirants a cobrir un lloc de treball• Informació sobre el tipus de deficiències físiques o psíquiques que podentenir els treballadors o aspirants a cobrir un lloc de treballb. Fitxer en matèria de Vigilància de la Salut i Riscos laborals que contingui:- Conjunt de dades dels serveis mèdics que inclou dades de salut dels treballadors- Gestió administrativa de la política de prevenció (gestió administrativa de lesrevisions i incorporació del resultat d’apte o no apte)Curs de la Diputació de Barcelona
    • Nivells i mesures de seguretatExemples d’assignació en fitxers característics d’ens localsExemples d’assignació en fitxers característics d’ens localsFont: Guia bàsica de protecció de dades per als ens localsNIVELLALT:- Registre entrada i sortida de documents- PolicialNIVELL MITJÀ:NIVELL MITJÀ:- Registre municipal d’interessos- Recursos humans- Infraccions administratives- Hisenda PúbliaNIVELL BÀSIC:- Padró municipalCurs de la Diputació de Barcelona
    • El Document de seguretat. Delimitació icontingutL’art. 88 del RLOPD, en descriu la delimitació i contingut:Elaborat pel responsable del fitxer o tractament, el document deseguretat és un document de caràcter intern de l’organització que hade recollir les mesures d’índole tècnica i organitzativa conformes ambla normativa de seguretat vigent.Aquestes mesures han de ser implementades pel responsable del fitxeri/o encarregat del tractament (vegeu termes de l’encarregat, art. 88.5i 88.6 RLOPD) a tots els fitxers i, la normativa, és d’obligatcompliment per al personal amb accés al sistema d’informació.Curs de la Diputació de Barcelona
    • El Document de seguretat. Delimitació icontingut.Pot ser únic amb tots els fitxers o tractaments, o bé individualitzat pera cada fitxer o tractament.Es poden elaborar diferents documents de seguretat agrupant fitxers otractaments segons el sistema de tractament utilitzat.S’ha de mantenir actualitzat en tot moment i s’ha de revisar sempreque es produeixin canvis rellevants que incideixin en el compliment demesures de seguretat.Curs de la Diputació de Barcelona
    • El Document de seguretat. Delimitació icontingutEl document ha de contenir, com a mínim, els aspectes (Art. 88.3 RLOPD):a) Àmbit d’aplicació del document amb especificació detallada delsrecursos protegits.b) Mesures, normes, procediments d’actuació, regles i estàndardsencaminats a garantir el nivell de seguretat exigit en aquestReglament.Reglament.c) Funcions i obligacions del personal en relació amb el tractamentde les dades de caràcter personal incloses en els fitxers.d) Estructura dels fitxers amb dades de caràcter personal idescripció dels sistemes d’informació que els tracten.e) Procediment de notificació, gestió i resposta davant lesincidències.Curs de la Diputació de Barcelona
    • El Document de seguretat. Delimitació icontingutf) Els procediments de realització de còpies de seguretat i derecuperació de les dades en els fitxers o tractaments automatitzats.g) Les mesures que cal adoptar per al transport de suports idocuments, així com per a la destrucció dels documents i suportso, si s’escau, la reutilització d’aquests últims.++++I en els fitxers amb mesures de seguretat de nivell mitjà o alt, a més(Art. 88.4 RLOPD):a) La identificació del responsable o responsables de seguretat.b) Els controls periòdics que s’han de realitzar per verificar elcompliment del que disposa el document.Curs de la Diputació de Barcelona
    • C. USOS I CESSIONS DE DADESCurs de la Diputació de Barcelona
    • Usos de les dadesLa determinació de la finalitat i els usos d’un fitxer correspon a l’òrgano ens que n’és responsable.La finalitat es refereix a l’objectiu per al qual recull la informació iforma part de l’objecte legítim de l’entitat que el crea, mentre que elsforma part de l’objecte legítim de l’entitat que el crea, mentre que elsusos descriuen els processos en els quals s’utilitzarà aquella informació.Curs de la Diputació de Barcelona
    • Usos de les dadesEn l’apartat de finalitats i usos, es recomana separar els usos de lesfinalitats, en dos subapartats diferents.Fitxer de recursos humans· Finalitat: “Gestió del personal”.· Usos: “Selecció de personal, gestió de situacions· Usos: “Selecció de personal, gestió de situacionsadministratives, elaboració de nòmines, gestió de permisos illicències”.Font: Recomanació 1/2011,APDCAT.Curs de la Diputació de Barcelona
    • Comunicació de dadesConceptes:Cessió o comunicació de dades: “tractament de dades quesuposa la seva revelació a una persona diferent de la interessada”.(Art. 5.1.c RLODP)“Destinatari o cessionari: la persona física o jurídica, pública oprivada o òrgan administratiu, a qui es revelin les dades. Tambéprivada o òrgan administratiu, a qui es revelin les dades. Tambépoden ser-ne destinataris els ens sense personalitat jurídica queactuïn en el tràfic com a subjectes diferenciats.” (Art. 5.1.hRLODP)Curs de la Diputació de Barcelona
    • Comunicació de dadesRequisits de la cessió o comunicació (Art. 10 RLODP):1. Compliment de finalitats directament relacionades amb funcionslegítimes del cedent i del cessionari.2. Per consentiment previ de la persona interessada o que concorrialguna de les següents circumstàncies:a. Autoritzada per llei.b. Es tracti de dades recollides de fonts accessibles al públic.c. Respongui a l’acceptació lliure i legítima d’una relació jurídica quel’impliqui.d. El destinatari en sigui el Defensor del Poble, el Ministeri Fiscal, els jutges otribunals o els tribunals de comptes i institucions autonòmiques anàloguesen l’exercici de les seves funcions.e. En dades relatives a la salut, en casos d’urgència o per estudisepidemiològics.Curs de la Diputació de Barcelona
    • Cessions de dadesentre administracions públiquesENTRE ADMINISTRACIONS PÚBLIQUES (Art. 10.4.c, RLOPD)Comunicació regulada per la LODP i prevista SENSESENSE DISPOSARDISPOSAR DEDECONSENTIMENTCONSENTIMENT de les persones afectades quan es comuniquin les dades:1. Per a l’exercici de les mateixes competències2. Per a l’exercici de competències sobre la mateixa matèria2. Per a l’exercici de competències sobre la mateixa matèria3. Si l’objecte de tractament és per a finalitats històriques,científiques o estadístiques4. Si una administració pública les obté o elabora amb destinació auna altra administracióCurs de la Diputació de Barcelona
    • Cessions de dadesentre administracions públiquesNO ÉS CESSIÓ, i no s’inclourà en l’apartat corresponent del fitxer:1. Les comunicacions efectuades prèvia dissociació de dadespersonals.2. Les comunicacions de dades del responsable del fitxer al’encarregat del tractament necessàries per a la prestació dell’encarregat del tractament necessàries per a la prestació delservei encarregat, quan s’hagi establert el contracte o acordd’encàrrec a què es refereix l’article 12.2 LOPD.3. Les comunicacions de dades entre diferents unitatsadministratives o òrgans administratius d’una mateixaadministració pública, sempre que formin part de la mateixapersona jurídica.Curs de la Diputació de Barcelona
    • L’encàrrec del tractamentQuan l’accés d’un tercer a dades personals sigui necessari per a laprestacióprestació d’und’un serveiservei alal responsableresponsable del tractament, no es consideraràcomunicació, sinó encàrrec de tractament. (Art. 20.1 RLOPD)L’encàrrec ha d’estar regulat per un contracte o acord -sempre perperL’encàrrec ha d’estar regulat per un contracte o acord -sempre perperescritescrit en contractes sotmesos a la legislació del sector públic -o per unaaltra forma que permeti acreditar-ne el contingut –en contractesd’altres sectors (Art. 12.2 LOPD).Curs de la Diputació de Barcelona
    • L’encàrrec del tractamentEXEMPLES D’ENCÀRRECS:EXEMPLES D’ENCÀRRECS:•• L’encàrrec d’una gestoria que du a terme les nòmines perL’encàrrec d’una gestoria que du a terme les nòmines per partpartd’unAjuntamentd’unAjuntament..•• Una diputació que gestioni el padró municipal per compte delUna diputació que gestioni el padró municipal per compte delmateixAjuntament.mateixAjuntament.mateixAjuntament.mateixAjuntament.L’encarregat del tractament no pot subcontractar amb un tercer larealització de cap tractament, llevat que n’ha obtingut autorització perfer-ho i que es faci per compte del responsable del tractament.Hi ha excepcions, però, en què és possible fer la subcontractació sensenecessitat d’autorització, regulades en l’art. 21.2 del RLODP.Curs de la Diputació de Barcelona
    • Obligacions dels encarregats del tractamentde les dadesObligacions regulades al contracte que s’han de basar en els següentscompromisos (Art. 12 LOPD):a) No tractar les dades per a una finalitat diferent a la delcontracte o acord d’encàrrec.b)Tractar les dades d’acord amb les instruccions del responsable.b)Tractar les dades d’acord amb les instruccions del responsable.c) No comunicar les dades, ni tan sols per a la seva conservació, aaltres persones.d) Implementar les mesures de seguretat.Curs de la Diputació de Barcelona
    • Obligacions dels encarregats del tractamentde les dadesEl contingut del contracte ha d’adaptar les previsions regulades, a larealitat de la prestació objecte d’encàrrec. I en els tractaments percompte de tercers o quan les dades es tractin al sistema d’informacióde l’encarregat, el document de seguretat ha de fer referènciareferència expressaexpressaalal contractecontracte (Art. 88.4 i 88.5 RLOPD).alal contractecontracte (Art. 88.4 i 88.5 RLOPD).EN CAS D’INCOMPLIMENT d’alguna d’aquestes obligacions, esconsiderarà com a responsable del tractament i li seran imputables, lesinfraccions que hagi comès. (Art. 20.3 RLOPD)Font: Recomanació 1/2010,APDCAT.Curs de la Diputació de Barcelona
    • Obligacions dels encarregats del tractamentde les dadesDESTRUCCIÓ O RETORN DE DADESDESTRUCCIÓ O RETORN DE DADES (Art. 22, RLOPD):“1. Una vegada complerta la prestació contractual, les dades decaràcter personal han de ser destruïdes o retornades al responsabledel tractament o a l’encarregat que aquest ha designat, com tambéqualsevol suport o documents en què consti alguna dada dequalsevol suport o documents en què consti alguna dada decaràcter personal objecte del tractament.”ES RECOMANA – CLÀUSULA QUE CONCRETI LA DECISIÓ DELCLÀUSULA QUE CONCRETI LA DECISIÓ DELRESPONSABLERESPONSABLECurs de la Diputació de Barcelona
    • Obligacions dels encarregats del tractamentde les dadesNO EN PERTOCA LA DESTRUCCIÓ:1. Quan hi hagi una previsió legal que n’exigeixi la conservació,cas en què s’ha de procedir a la devolució de les dades alresponsable, tot garantint-ne la conservació.2. Quan siguin necessàries per garantir la continuïtat d’un serveipúblicpúblicBLOQUEIG: L’encarregat del tractament pot conservar les dades –ouna còpia-, degudament bloquejades, per atendre possiblesresponsabilitats derivades del tractament, mentre aquestesresponsabilitats no hagin prescrit. Però, un cop transcorregut aquesttermini, ha de destruir les còpies.Font: Recomanació 1/2010,APDCATCurs de la Diputació de Barcelona
    • Les clàusules de contractacióEl contracte d’encàrrec sotmès a la legislació del sector públic, potadoptar forma de:a) Un contracte o acord específic.b) Clàusules específiques incloses en el contracte adjudicat, siescau mitjançant un annex.c) Clàusules específiques incloses al plec de clàusulesc) Clàusules específiques incloses al plec de clàusulesadministratives particulars.d) Clàusules específiques incloses al plec de prescripcionstècniques.Més informació i models de clàusules als annexosV iVI de l’APDCAT a laRecomanació 1/2010.Curs de la Diputació de Barcelona
    • Fonts accessibles al públic« fitxers que poden ser consultats per qualsevol persona, sense que hoimpedeixi una norma imitativa o sense altra exigència que, si s’escau,l’abonament d’una contraprestació.“(Art. 3.j. LOPD).Consideració de fonts accessibles al públic (3.j. LOPD;Art 7 RLOPD):a) El cens promocional, regulat conforme al que disposa la LOPD.b) Les guies de serveis de comunicacions electròniques.b) Les guies de serveis de comunicacions electròniques.c) Les llistes de persones pertanyents a grups de professionals que continguinúnicament: nom, títol, professió, activitat, grau acadèmic, adreça professional(domicili postal complet, número telefònic, número de fax i adreça electrònica)i indicació de la seva pertinença al grup (número de col·legiat, datad’incorporació i situació d’exercici professional).d) Els diaris i butlletins oficials.e) Els mitjans de comunicació social.Curs de la Diputació de Barcelona
    • Organismes de tutela de les dades decaràcter personalAgència Espanyola de Protecció de DadesAgència Espanyola de Protecció de DadesEns de dret públic, amb personalitat jurídica pròpia i plena capacitatpública i privada, que actua amb plena independència de lesadministracions públiques. Té capacitat d’inspecció i sanció.Àmbit d’aplicacióRegistre de fitxers de:• titularitat privada i dels organismes;• empreses públiques de les comunitats que no tenen agènciapròpia.Curs de la Diputació de Barcelona
    • Organismes de tutela de les dades decaràcter personalAgència Espanyola de Protecció de DadesAgència Espanyola de Protecció de DadesAlgunes de les seves funcions són entre altres:• Vetllar pel compliment de la legislació sobre protecció de dades icontrolar la seva aplicació, especialment pel que fa als dretsARCO.• Emetre les autoritzacions previstes per Llei o les sevesdisposicions reglamentàries.disposicions reglamentàries.•Atendre les peticions i reclamacions de les persones afectades.• Proporcionar informació a les persones sobre els seus drets enmatèria de tractament de les dades de caràcter personal.Agencia Española de Protección de Datos: http//:www.agpd.esCurs de la Diputació de Barcelona
    • Organismes de tutela de les dades decaràcter personalAutoritat Catalana de Protecció de DadesAutoritat Catalana de Protecció de DadesSuccessora de l’Agència Catalana de Protecció de Dades, organismeindependent per tal de garantir, en l’àmbit de competències de laGeneralitat: els drets a la protecció de dades i l’accés a la informacióque hi està vinculada.Té capacitat d’inspecció i sanció.Àmbit d’aplicacióRegistre de fitxers de titularitat pública (d’organismes i empresespúbliques):• Organismes públics Catalans• Empreses amb participació pública Catalana• Empreses privades que desenvolupen funcions públiquesCurs de la Diputació de Barcelona
    • Organismes de tutela de les dades decaràcter personalAutoritat Catalana de Protecció de DadesAutoritat Catalana de Protecció de DadesRegulada per la Llei 32/2010, de l’1 d’octubre, de l’Autoritat Catalana de Proteccióde Dades.Serveis:•Atenció al públic•Consultoria••El Registre de Protecció de Dades de Catalunya•Formació i divulgació del dret a la protecció de dades•Elaboració dinformes, dictàmens, instruccions i recomanacions•Inspecció•Auditoria i Seguretat de la Informació•Centre de DocumentacióAutoritat Catalana de Protecció de Dades: http://www.apd.cat/ca/Curs de la Diputació de Barcelona
    • LA PROTECCIÓ DE DADES:Algunes abreviaturesAlgunes abreviaturesAGPDAGPD:Agencia Espanyola de Protección de Datos.APDCATAPDCAT::Autoritat Catalana de Protecció de DadesEACEAC:: Estatut d’Autonomia de Catalunya.LOPDLOPD:: Llei orgànica 15/1999, de 13 de desembre, de protecció dedades de caràcter personal.dades de caràcter personal.RGDERGDE:: Registro General de Protección de Datos EspañolRGPDRGPD: Registre General de Protecció de DadesRLOPDRLOPD:: Reglament de desplegament de la Llei orgànica 15/1999, de13 de desembre, de protecció de dades de caràcter personal, aprovatpel Reial decret 1720/2007, de 21 de desembre.Curs de la Diputació de Barcelona
    • GUIES EN PROTECCIÓ DE DADES:•Agencia Española de Protección de Datos. Guía de Seguridad de Datos.http://bit.ly/azP0PX•Agencia Española de Protección de Datos. Guía del Responsable del Fichero. http://bit.ly/tVQtfE•EAPC: El dret a la protecció de dades de caràcter personal. http://bit.ly/11DjT1a•Guía para entidades locales: cómo adaptarse a la normativa sobre protección de datos. Observatorio de la Seguridad dela Información de INTECO, 2009.També en línia a: http://www.inteco.es/guias/GuiaManual_LOPD_EELLGUIES DE L’AUTORITAT CATALANA DE PROTECCIÓ DE DADES:• Guia bàsica de protecció de dades per als ens locals.Barcelona:Autoritat Catalana de Protecció de Dades, 2012. Enlínia a: http://www.apd.cat/media/2666.pdf• Instrucció 1/2009 de l’Agència Catalana de Protecció de Dades, sobre el tractament de dades de caràcter• Instrucció 1/2009 de l’Agència Catalana de Protecció de Dades, sobre el tractament de dades de caràcterpersonal mitjançant càmeres amb fins de videovigilància. http://www.apd.cat/media/615.pdf• Recomanació 1/2008 de lAgència Catalana de Protecció de Dades sobre la difusió dinformació quecontingui dades de caràcter personal a través dInternet. http://www.apd.cat/media/667.pdf• Recomanació 1/2010 de l’Agència Catalana de Protecció de Dades, sobre l’encarregat del tractament en laprestació de serveis per compte d’entitats del sector públic de Catalunya. http://www.apd.cat/media/2184.pdf• Recomanació 1/2011 de l’Agència Catalana de Protecció de Dades, sobre la creació, modificació i supressióde fitxers de titularitat pública. http://www.apd.cat/media/2561.pdf•AGENCIA ANDORRANA DE PROTECCIÓ DE DADES; INFORMATION COMISSIONERS OFFICE. Totfunciona...:DVD de formació interactiva,adaptat per lAgència Andorrana de Protecció de Dades amb llicència de lICO.Barcelona:Agencia Catalana de Protecció de Dades, 2009.També en línia a: https://www.apda.ad/ca/node/146Curs de la Diputació de Barcelona
    • Gràciesper la vostra atencióAquesta obra està subjecte a la llicència de Reconeixement-CompartirIgual 3.0Espanya Creative Commons. Per veure una còpia de la llicència, visiteuhttp://creativecommons.org/licenses/by-sa/3.0/es/.Curs de la Diputació de Barcelona