1.1. El dret fonamental a la protecció de dades (Art. 18 CE)

La protecció de les dades personals constitueix un dret fonamental reconegut explícitament per la Constitució Espanyola (CE). Concretament, l'article 18.4 estableix que "la llei limitarà l'ús de la informàtica per garantir l'honor i la intimitat personal i familiar dels seus drets". Aquesta disposició, pionera en el seu moment, no només reconeix la importància de la privacitat en l'era digital incipient, sinó que eleva la protecció de dades a la categoria de dret fonamental, atorgant-li el màxim nivell de tutela jurídica dins l'ordenament espanyol.  

Aquest estatus constitucional té implicacions significatives.

En primer lloc, implica que qualsevol normativa o actuació que afecti el tractament de dades personals ha de respectar el contingut essencial d'aquest dret. Qualsevol limitació ha d'estar prevista per llei, ser necessària per assolir un objectiu legítim i ser proporcional a la finalitat perseguida. La vinculació explícita que fa l'article 18.4 CE amb l'honor i la intimitat reforça aquesta exigència de proporcionalitat, ja que afecta nuclis essencials de la personalitat.

En segon lloc, el reconeixement com a dret fonamental obliga els poders públics a garantir-ne l'efectivitat, no només mitjançant la legislació, sinó també a través de les seves actuacions administratives i judicials. La Llei Orgànica 3/2018 (LOPDGDD) recull aquest mandat constitucional com un dels seus objectius principals, buscant garantir els drets digitals de la ciutadania.  

L'evolució legislativa a Espanya reflecteix la creixent importància d'aquest dret i la necessitat d'adaptar-se als canvis tecnològics i a l'harmonització europea. Des de la Llei Orgànica 5/1992 (LORTAD), passant per la Llei Orgànica 15/1999 (LOPD), que va transposar la Directiva 95/46/CE, fins a l'actual Llei Orgànica 3/2018 (LOPDGDD), que adapta l'ordenament espanyol al Reglament General de Protecció de Dades (RGPD), s'observa un esforç continu per oferir una protecció adequada davant els reptes que plantegen les tecnologies de la informació i la comunicació. Aquesta dinàmica legislativa subratlla que la protecció de dades no és un concepte estàtic, sinó un dret en constant evolució que requereix una atenció i actualització permanents.  

1.2. Marc normatiu essencial: RGPD i LOPDGDD

L'entramat normatiu actual en matèria de protecció de dades a Espanya i a la Unió Europea es basa fonamentalment en dues normes clau:

• El Reglament General de Protecció de Dades (RGPD): Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016. Com a Reglament europeu, té aplicabilitat directa i primacia sobre el dret nacional en allò que regula. Estableix un marc jurídic harmonitzat per a la protecció de dades a tota la UE, amb l'objectiu de garantir un nivell elevat i coherent de protecció per a les persones físiques i facilitar la lliure circulació de dades personals dins del mercat únic europeu.  

• La Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD):. Aquesta llei orgànica adapta l'ordenament jurídic espanyol al RGPD, desenvolupant i especificant aquells aspectes que el propi RGPD remet a la legislació dels Estats membres (com ara l'edat mínima per al consentiment dels menors). A més, introdueix una novetat significativa: un Títol X dedicat exclusivament a la garantia dels drets digitals de la ciutadania, donant compliment al mandat de l'article 18.4 CE.  

La relació entre ambdues normes és de primacia i complementarietat. El RGPD estableix el marc general i els principis fonamentals, sent directament aplicable. La LOPDGDD actua dins del marge que li permet el RGPD, concretant aspectes nacionals, establint especificitats (com el règim sancionador per al sector públic) i afegint la dimensió dels drets digitals. Per tant, per a una correcta aplicació de la normativa de protecció de dades a Espanya, és imprescindible conèixer i aplicar conjuntament ambdues disposicions.

1.3. Objecte i finalitats de la normativa

L'objectiu principal de la normativa de protecció de dades, tant del RGPD com de la LOPDGDD, és doble:

• Protegir els drets i llibertats fonamentals de les persones físiques: En particular, el seu dret a la protecció de les seves dades personals (RGPD Art. 1(2) ; LOPDGDD Art. 1 ). Això implica atorgar a les persones control sobre la seva informació personal, establint principis clars per al seu tractament, drets exercibles i mecanismes de supervisió i garantia.  

• Garantir la lliure circulació de dades personals dins de la Unió Europea: El RGPD busca eliminar els obstacles a la circulació de dades derivats de les diferències entre les legislacions nacionals, creant un espai comú de seguretat jurídica que faciliti el funcionament del mercat interior (RGPD Art. 1(3) ).  

La LOPDGDD afegeix a aquests objectius la garantia dels drets digitals de la ciutadania, tal com mana l'article 18.4 de la Constitució.  

Aquesta dualitat d'objectius reflecteix una tensió inherent entre la necessitat de protegir la privacitat individual i la de permetre el flux de dades necessari per al desenvolupament econòmic i social en l'era digital. La solució adoptada pel legislador europeu i espanyol és establir un estàndard elevat de protecció.

Un cop complert aquest estàndard, mitjançant l'aplicació rigorosa dels principis i obligacions que estableixen el RGPD i la LOPDGDD, les dades poden circular amb més llibertat dins de l'Espai Econòmic Europeu (EEE), beneficiant tant els ciutadans com les empreses, que veuen reduïda la càrrega administrativa derivada de la fragmentació normativa anterior.  

2.1. Àmbit material: Tractaments automatitzats i no automatitzats, fitxers

La normativa de protecció de dades (RGPD i LOPDGDD) té un àmbit d'aplicació material ampli, dissenyat per abastar la majoria de les formes de tractament de la informació personal en la societat actual. Segons l'article 2.1 del RGPD i l'article 2 de la LOPDGDD , la regulació s'aplica a:  

• El tractament totalment o parcialment automatitzat de dades personals: Això inclou qualsevol operació realitzada amb mitjans informàtics o electrònics, com ara bases de dades digitals, sistemes de gestió de correu electrònic, aplicacions mòbils, sistemes de videovigilància digital, etc.

• El tractament no automatitzat de dades personals contingudes o destinades a ser incloses en un fitxer: Això significa que la normativa també protegeix les dades personals que es troben en format físic (paper), sempre que estiguin organitzades de manera estructurada, formant part d'un "fitxer" o amb la intenció d'incorporar-les-hi. Un "fitxer" es defineix com tot conjunt estructurat de dades personals, accessibles d'acord amb criteris determinats (RGPD Art. 4.6). Per tant, no es tracta de qualsevol acumulació de documents en paper, sinó d'aquells sistemes d'arxiu (arxivadors, carpetes classificades, etc.) que permeten una cerca i accés a la informació personal basant-se en criteris específics (nom, número d'identificació, etc.).

Aquesta definició àmplia assegura que la protecció de les dades personals no depengui del suport tecnològic utilitzat, cobrint tant els entorns digitals com els sistemes d'arxiu tradicionals estructurats. Les organitzacions no poden, per tant, obviar la gestió i seguretat dels seus arxius físics si aquests contenen dades personals organitzades de manera que permetin la seva recuperació per criteris personals.

2.2. Àmbit territorial: Aplicació dins i fora de la UE

El RGPD té un abast territorial significatiu, estenent les seves obligacions més enllà de les fronteres de la Unió Europea en determinats supòsits, tal com estableix l'article 3 :  

• Establiment a la UE: El Reglament s'aplica al tractament de dades personals en el context de les activitats d'un establiment d'un responsable o encarregat del tractament a la Unió Europea, independentment de si el tractament té lloc dins o fora de la UE (Art. 3.1 ). Un "establiment" implica l'exercici efectiu i real d'una activitat mitjançant una estructura estable (com una sucursal o filial), sense que la forma jurídica sigui determinant.  

• No establiment a la UE (Extraterritorialitat): El Reglament també s'aplica al tractament de dades personals d'interessats que es trobin a la UE, realitzat per un responsable o encarregat no establert a la UE, quan les activitats de tractament estiguin relacionades amb (Art. 3.2 ):

  • L'oferta de béns o serveis a aquests interessats a la UE, independentment de si es requereix un pagament o no. Això inclou, per exemple, llocs web de comerç electrònic o aplicacions de serveis accessibles des de la UE i dirigits a residents a la UE.

  • El control del comportament d'aquests interessats, en la mesura que aquest comportament tingui lloc dins de la UE. Això abasta activitats com el seguiment en línia (tracking) amb finalitats de publicitat comportamental, l'ús de cookies o altres tecnologies per analitzar o predir preferències o comportaments.  

Aquest abast extraterritorial és una de les característiques més destacades del RGPD. Implica que empreses de fora de la UE que dirigeixin les seves activitats cap al mercat europeu o monitoritzin el comportament dels seus residents han de complir amb les exigents normes de protecció de dades europees. Això té un efecte global, ja que força moltes empreses internacionals a adoptar els estàndards del RGPD com a norma global per a les seves operacions. Aquestes empreses no establertes a la UE poden tenir l'obligació de designar un representant dins de la Unió (LOPDGDD Art. 30 ).  

2.3. Exclusions principals

L'article 2 del RGPD i l'article 2 de la LOPDGDD defineixen els límits de la seva aplicació, excloent certs tipus de tractaments:  

• Activitats personals o domèstiques: El tractament de dades efectuat per una persona física en l'exercici d'activitats exclusivament personals o domèstiques queda fora de l'àmbit d'aplicació (Art. 2.2.c RGPD ). Aquesta excepció és d'interpretació restrictiva i no cobreix, per exemple, la publicació de dades a gran escala a xarxes socials o activitats amb finalitats professionals o comercials, encara que es realitzin des de l'àmbit domèstic.  

• Matèria penal i seguretat pública: El tractament de dades per part de les autoritats competents amb finalitats de prevenció, investigació, detecció o enjudiciament d'infraccions penals, o d'execució de sancions penals, inclosa la protecció davant amenaces a la seguretat pública, es regeix per una normativa específica: la Directiva (UE) 2016/680 (transposada a Espanya per la Llei Orgànica 7/2021 ) i no pel RGPD (Art. 2.2.d RGPD ).  

• Seguretat nacional i activitats fora de l'àmbit del Dret de la UE: El RGPD no s'aplica a activitats no compreses en l'àmbit del Dret de la Unió, com les relatives a la seguretat nacional o la política exterior i de seguretat comuna (Art. 2.2.a, b RGPD ).  

• Dades de persones jurídiques: La normativa de protecció de dades protegeix exclusivament les persones físiques. Les dades referents a persones jurídiques (empreses, associacions, fundacions, etc.), com la seva raó social, domicili fiscal o número d'identificació fiscal, no són considerades dades personals i, per tant, queden fora de l'àmbit d'aplicació del RGPD i la LOPDGDD. No obstant això, les dades de contacte de persones físiques que treballen per a persones jurídiques (com el correu electrònic corporatiu o el telèfon de feina) sí que són dades personals.  

• Dades de persones difuntes: El RGPD, com a norma general, no s'aplica a les dades de persones mortes (Considerant 27 RGPD). Tanmateix, permet als Estats membres establir normes específiques. Espanya ha fet ús d'aquesta possibilitat a l'article 3 de la LOPDGDD , que atorga a les persones vinculades al difunt per raons familiars o de fet, així com als seus hereus, el dret a sol·licitar l'accés, rectificació o supressió de les dades del difunt. Aquest dret pot ser limitat si el difunt ho va prohibir expressament o si ho estableix una llei. També es preveu la possibilitat que el difunt hagi designat una persona o institució per exercir aquests drets. Aquesta regulació específica és una particularitat important de l'ordenament espanyol.  

• Dades anonimitzades: La informació que ha estat anonimitzada de manera irreversible, de forma que ja no permet identificar una persona física, no es considera dada personal i, per tant, queda fora de l'àmbit d'aplicació de la normativa. És crucial distingir l'anonimització (irreversible) de la pseudonimització (reversible amb informació addicional). Les dades pseudonimitzades sí que són considerades dades personals i estan subjectes al RGPD, tot i que la pseudonimització es considera una mesura de seguretat que pot reduir els riscos.  

2.4. Regulacions específiques

Tot i que el RGPD i la LOPDGDD estableixen el marc general, existeixen determinats àmbits o sectors que compten amb regulacions específiques que complementen, matisen o, en alguns casos, prevalen sobre la normativa general de protecció de dades. És fonamental tenir coneixement d'aquestes normatives sectorials per garantir un compliment complet. Alguns exemples inclouen :  

• Justícia en l'àmbit penitenciari: El tractament de dades en aquest àmbit té les seves pròpies especificitats legals, com la Llei Orgànica General Penitenciària (LOGP) (Llei Orgànica 1/1979, de 26 de setembre) que estableix els drets i deures fonamentals de les persones internes, incloent-hi la protecció de la seva intimitat i les seves dades.

• Règim electoral: La Llei Orgànica del Règim Electoral General (LOREG) conté disposicions sobre el tractament de dades del cens electoral i l'enviament de propaganda electoral, aspectes que han estat objecte d'interpretació i, en ocasions, de controvèrsia en relació amb la LOPDGDD (p. ex., l'art. 58 bis LOREG, modificat per la LOPDGDD ).  

• Registres Públics: El Registre Civil, el Registre de la Propietat i el Registre Mercantil tenen la seva pròpia normativa sobre publicitat registral i accés a la informació, que ha de conciliar-se amb els principis de protecció de dades.

• Funció estadística pública: El tractament de dades amb finalitats exclusivament estadístiques es regeix per la Llei de la Funció Estadística Pública i per les disposicions de l'article 89 del RGPD, que preveu garanties específiques (com la minimització i la pseudonimització) i possibles limitacions a alguns drets dels interessats per no comprometre la finalitat estadística.  

• Matèries classificades i seguretat nacional: Com s'ha vist, queden excloses de l'àmbit del RGPD i es regeixen per la seva normativa específica.

• Salut: El tractament de dades de salut, considerades categoria especial de dades, està subjecte a requisits addicionals i a normatives específiques com la Llei 41/2002, d'autonomia del pacient , i la legislació sanitària sectorial.  

• Transparència i accés a la informació pública: La Llei 19/2013, de transparència, accés a la informació pública i bon govern, i la Llei 19/2014, de transparència, accés a la informació pública i bon govern de Catalunya, regulen el dret d'accés a la informació en poder de les administracions públiques. Aquest dret, tanmateix, ha de conciliar-se amb el dret fonamental a la protecció de dades personals quan la informació sol·licitada inclogui dades de tercers, d'acord amb el que estableix la disposició addicional segona de la LOPDGDD.

La complexitat rau en la interacció entre la normativa general de protecció de dades i aquestes regulacions sectorials. Cal analitzar cada cas concret per determinar quina normativa preval o com s'apliquen conjuntament, assegurant sempre el respecte als principis fonamentals de protecció de dades.

Per comprendre i aplicar correctament la normativa de protecció de dades, és essencial dominar una sèrie de conceptes fonamentals definits principalment a l'article 4 del RGPD.

3.1. Dades Personals: Definició (Art. 4.1 RGPD), Identificadors, Dades Identificables

El concepte central és el de dada personal. L'article 4.1 del RGPD la defineix com:  

Aquesta definició és deliberadament àmplia per adaptar-se a l'evolució tecnològica. Analitzem els seus components:

• "Tota informació": Inclou qualsevol tipus de dada, sigui objectiva (com una data de naixement, una adreça ) o subjectiva (com una opinió, una valoració). Pot ser informació numèrica, alfabètica, gràfica, fotogràfica, acústica, etc.  

• "Sobre una persona física": La protecció s'aplica exclusivament a les persones vives. Les dades de persones jurídiques queden excloses, tot i que les dades de contacte dels seus empleats sí són dades personals. Les dades de persones difuntes tenen un règim especial a la LOPDGDD (Art. 3 ).  

• "Identificada o identificable": Aquesta és la clau. Una persona està identificada quan la informació permet saber directament qui és (p. ex., nom i cognoms). Una persona és identificable quan, tot i no estar directament identificada, la seva identitat es pot determinar "directament o indirectament" mitjançant l'ús d'informació addicional o la combinació de diverses dades. S'han de considerar tots els mitjans que raonablement pugui utilitzar el responsable del tractament o una altra persona per identificar l'individu (Considerant 26 RGPD).

• "Mitjançant un identificador": L'article 4.1 enumera exemples d'identificadors: nom, número d'identificació (DNI, NIE, número de seguretat social, número de matrícula), dades de localització (GPS, adreça IP), identificadors en línia (adreces de correu electrònic, identificadors de cookies, noms d'usuari), o factors específics de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social.

La clau de la identificabilitat amplia enormement l'abast de la definició. Dades que aïlladament podrien semblar anònimes (com un historial de navegació associat a un ID de cookie, o una sèrie de punts de geolocalització) esdevenen dades personals si, combinades amb altra informació raonablement accessible (com dades de registre de l'usuari o informació de l'operador de telecomunicacions), permeten identificar la persona. Això té implicacions crucials per a tecnologies com el Big Data, l'Internet de les Coses (IoT) i el màrqueting en línia basat en el seguiment del comportament.  

3.2. Categories especials de dades (Art. 9 RGPD):

L'article 9 del RGPD estableix un règim de protecció reforçada per a determinades categories de dades personals considerades especialment sensibles pel seu potencial impacte en els drets i llibertats fonamentals, particularment el risc de discriminació. Aquestes són:  

• Dades que revelin l'origen ètnic o racial.

• Les opinions polítiques.

• Les conviccions religioses o filosòfiques.

• L'afiliació sindical.

• Les dades genètiques.

• Les dades biomètriques dirigides a identificar de manera unívoca una persona física (com l'empremta dactilar, el reconeixement facial, la signatura biomètrica).

• Les dades relatives a la salut.

• Les dades relatives a la vida sexual o l'orientació sexual d'una persona física.

Excepcions a la Prohibició (Art. 9.2 RGPD)

L'article 9.2 del RGPD enumera una llista tancada i d'interpretació estricta de circumstàncies en què la prohibició de tractament no s'aplica. Les més rellevants inclouen:  

• (a) Consentiment Explícit: L'interessat ha donat el seu consentiment explícit per al tractament d'aquestes dades per a una o diverses finalitats específiques. El consentiment ha de ser una manifestació de voluntat lliure, específica, informada i inequívoca, expressada mitjançant una declaració o una clara acció afirmativa, i en aquest cas, ha de ser "explícit" (p. ex., una declaració signada), un requisit més rigorós que el consentiment general.  

• (b) Obligacions Laborals i de Seguretat Social: El tractament és necessari per complir obligacions i exercir drets específics del responsable o de l'interessat en l'àmbit del Dret laboral i de la seguretat i protecció social, sempre que estigui autoritzat pel Dret de la UE, dels Estats membres o un conveni col·lectiu.  

• (c) Interessos Vitals: El tractament és necessari per protegir interessos vitals de l'interessat o d'una altra persona física, quan l'interessat no estigui física o jurídicament capacitat per donar el seu consentiment.

• (d) Activitats Legítimes d'Entitats Sense Ànim de Lucre: Realitzat per fundacions, associacions o altres organismes sense ànim de lucre amb finalitat política, filosòfica, religiosa o sindical, respecte de les dades dels seus membres, antics membres o persones amb contacte regular, sempre que les dades no es comuniquin fora de l'entitat sense consentiment .

• (e) Dades Manifestament Públiques: El tractament es refereix a dades personals que l'interessat ha fet manifestament públiques .

• (f) Reclamacions Legals: El tractament és necessari per a la formulació, l'exercici o la defensa de reclamacions legals.

• (g) Interès Públic Essencial: El tractament és necessari per raons d'un interès públic essencial, sobre la base del Dret de la UE o dels Estats membres. Aquesta base legal requereix que la norma habilitant tingui rang de llei, sigui proporcional a l'objectiu perseguit, respecti el contingut essencial del dret a la protecció de dades i estableixi mesures adequades i específiques per protegir els interessos i drets de l'interessat. Aquesta és una base jurídica clau per a les administracions públiques en àmbits com els serveis socials, la policia, tributs, etc. .  

• (h) Medicina Preventiva o Laboral, Diagnòstic Mèdic, etc.: El tractament és necessari per a finalitats de medicina preventiva o laboral, avaluació de la capacitat laboral del treballador, diagnòstic mèdic, prestació d'assistència o tractament sanitari o social, o gestió dels sistemes i serveis d'assistència sanitària i social. Aquest tractament ha de ser realitzat per un professional subjecte a secret professional.

• (i) Salut Pública: El tractament és necessari per raons d'interès públic en l'àmbit de la salut pública, com la protecció davant amenaces transfrontereres greus per a la salut, o per garantir nivells elevats de qualitat i seguretat de l'assistència sanitària i dels medicaments o productes sanitaris.  

• (j) Arxiu, Investigació, Estadística: El tractament és necessari amb finalitats d'arxiu en interès públic, finalitats d'investigació científica o històrica o finalitats estadístiques, d'acord amb l'article 89.1 del RGPD, sempre que es compleixin les garanties adequades.  

És fonamental entendre que per tractar categories especials de dades no només cal complir una d'aquestes excepcions de l'article 9.2, sinó que també cal comptar amb una base jurídica general de l'article 6.1. Aquesta doble legitimació reflecteix el nivell superior de protecció que mereixen aquestes dades.

3.3. Altres dades sensibles (Infraccions, Vulnerabilitat, Finances)

Més enllà de les categories especials de l'article 9, hi ha altres tipus de dades que, tot i no tenir aquesta qualificació formal (excepte si es poden subsumir en alguna categoria de l'Art. 9, com dades de salut relacionades amb la vulnerabilitat), mereixen una consideració especial per part dels responsables i encarregats a causa dels riscos elevats que el seu tractament pot comportar per als drets i llibertats dels interessats. Aquestes inclouen:

• Dades relatives a condemnes i infraccions penals (Art. 10 RGPD): El tractament d'aquestes dades només es pot dur a terme sota la supervisió de les autoritats públiques o quan ho autoritzi el Dret de la UE o dels Estats membres, que estableixi garanties adequades. La LOPDGDD (Art. 10 ) concreta que aquest tractament només és possible per a finalitats de prevenció, investigació, detecció o enjudiciament penal, o execució de sancions, o quan estigui emparat per una norma amb rang de llei.  

• Dades relatives a infraccions i sancions administratives: La LOPDGDD (Art. 27) regula específicament el tractament d'aquestes dades, permetent-lo als òrgans competents per a la instrucció i resolució dels procediments sancionadors. Es prohibeix a les entitats privades crear fitxers sobre aquestes infraccions. Advocats i procuradors poden tractar-les en l'exercici de les seves funcions .

• Dades de persones vulnerables: El tractament de dades de col·lectius considerats vulnerables (com menors d'edat, persones amb discapacitat, gent gran, víctimes de violència de gènere) requereix una especial diligència. La vulnerabilitat pot afectar la capacitat per donar un consentiment lliure i informat o per exercir els drets de manera efectiva. El RGPD i la LOPDGDD sovint exigeixen mesures addicionals o consideracions específiques (p. ex., consentiment de tutors per a menors de 14 anys , necessitat d'una Avaluació d'Impacte relativa a la Protecció de Dades (AIPD), si es tracten dades de vulnerables a gran escala).  

• Dades de localització: La informació sobre la ubicació d'una persona pot revelar aspectes molt íntims de la seva vida privada i comportar riscos per a la seva seguretat. El seu tractament requereix una base jurídica clara i el respecte estricte dels principis de finalitat i minimització (p. ex., geolocalització laboral, LOPDGDD Art. 90 ).  

• Dades financeres: La informació sobre la situació econòmica, comptes bancaris, deutes, etc., és altament sensible pel risc de frau, robatori d'identitat o discriminació (p. ex., en l'accés a crèdits). El seu tractament està sovint regulat per normativa sectorial (bancària, solvència patrimonial) i exigeix mesures de seguretat robustes.

El tractament d'aquestes "altres dades sensibles", encara que no estiguin formalment a l'article 9, activa l'aplicació del principi de responsabilitat proactiva i l'enfocament basat en el risc. Com que el potencial impacte negatiu sobre els drets i llibertats és més elevat, els responsables han de ser especialment curosos en l'aplicació dels principis (minimització, limitació de finalitat i conservació), en la implementació de mesures de seguretat adequades (Art. 32 RGPD ) i en la consideració de la necessitat de realitzar una Avaluació d'Impacte relativa a la Protecció de Dades (AIPD) (Art. 35 RGPD ).  

3.4. Tractament de Dades: Definició (Art. 4.2 RGPD) i Operacions

El concepte de tractament és fonamental, ja que delimita les accions que queden subjectes a la normativa. L'article 4.2 del RGPD el defineix de manera extremadament àmplia:  

"qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, acoblament o interconnexió, limitació, supressió o destrucció."

Aquesta definició abasta pràcticament qualsevol acció imaginable que es pugui realitzar amb dades personals, cobrint tot el cicle de vida de la dada, des de la seva creació o recollida fins a la seva eliminació definitiva . Alguns exemples clau d'operacions considerades tractament són:

• Recollida: Obtenir dades directament de l'interessat (p. ex., mitjançant un formulari) o de tercers.

• Registre/Conservació: Emmagatzemar dades en qualsevol suport (bases de dades, arxius físics, servidors cloud). El simple fet de guardar dades ja és tractament.

• Consulta/Utilització: Accedir a les dades o fer-ne ús per a qualsevol finalitat.

• Comunicació/Difusió: Transmetre dades a tercers, publicar-les o fer-les accessibles d'alguna manera.

• Modificació: Alterar o actualitzar les dades.

• Limitació: Restringir l'accés o l'ús de les dades.

• Supressió/Destrucció: Eliminar les dades de manera permanent.

La gran amplitud d'aquesta definició implica que gairebé qualsevol organització o professional que gestioni informació sobre persones físiques estarà realitzant un tractament de dades personals i, per tant, haurà de complir amb les obligacions establertes pel RGPD i la LOPDGDD. Això requereix una aplicació constant dels principis de protecció de dades en totes les fases de gestió de la informació.

3.5. Bases jurídiques per al tractament lícit (Art. 6 RGPD)

Un dels principis fonamentals del RGPD és el de licitud (Art. 5.1.a ). Això significa que tot tractament de dades personals ha de tenir una justificació legal, una base jurídica que el legitimi. L'article 6.1 del RGPD estableix una llista tancada de sis possibles bases jurídiques. El tractament només serà lícit si es compleix, com a mínim, una d'aquestes condicions:  

• (a) Consentiment: L'interessat ha donat el seu consentiment per al tractament de les seves dades per a una o diverses finalitats específiques.

• (b) Execució de Contracte: El tractament és necessari per a l'execució d'un contracte en què l'interessat és part, o per a l'aplicació de mesures precontractuals a petició de l'interessat.

• (c) Obligació Legal: El tractament és necessari per al compliment d'una obligació legal aplicable al responsable del tractament. Aquesta obligació ha d'estar establerta pel Dret de la UE o de l'Estat membre (a Espanya, normalment requerirà una norma amb rang de llei) .

• (d) Interessos Vitals: El tractament és necessari per protegir interessos vitals de l'interessat o d'una altra persona física (p. ex., en emergències mèdiques, catàstrofes, epidèmies) .

• (e) Interès Públic o Exercici de Poders Públics: El tractament és necessari per al compliment d'una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament. Aquesta és la base jurídica principal per a la majoria de tractaments realitzats per les Administracions Públiques en l'exercici de les seves competències legals (p. ex., gestió de tributs, procediments sancionadors, prestació de serveis socials bàsics). La competència ha d'estar atribuïda per una norma amb rang de llei .  

• (f) Interès Legítim: El tractament és necessari per a la satisfacció d'interessos legítims perseguits pel responsable del tractament o per un tercer, sempre que sobre aquests interessos no prevalguin els interessos o els drets i llibertats fonamentals de l'interessat, especialment si és un menor. Aquesta base requereix una ponderació prèvia i no és aplicable al tractament realitzat per les autoritats públiques en l'exercici de les seves funcions.  

És crucial que el responsable del tractament identifiqui i documenti la base jurídica adequada abans d'iniciar qualsevol tractament de dades. La base jurídica escollida té conseqüències importants, ja que determina, per exemple, si el consentiment és necessari i si es poden exercir certs drets (com el de portabilitat o el d'oposició).

Tot i que el RGPD no estableix una jerarquia formal entre les bases legals, el context específic del tractament, la naturalesa de la relació entre el responsable i l'interessat, i la finalitat perseguida determinen quina és la base més apropiada. Per exemple, una Administració Pública que tracta dades per exercir una competència legal (com la gestió del padró municipal) hauria de basar-se en l'article 6.1.e (interès públic/poders públics) o 6.1.c (obligació legal), i no en el consentiment, ja que aquest darrer podria no ser considerat lliurement atorgat donada la relació de poder existent i, a més, no reflectiria la veritable naturalesa del tractament. Si un tractament té diverses finalitats, cal identificar una base jurídica per a cadascuna d'elles, i si es vol tractar les dades per a una finalitat ulterior diferent de la inicial, cal verificar si aquesta nova finalitat és compatible amb la inicial (Art. 6.4 RGPD) o si es requereix una nova base jurídica . El tractament ulterior amb finalitats d'arxiu en interès públic, investigació científica o històrica, o finalitats estadístiques es considera generalment compatible, sempre que es compleixin les garanties de l'article 89.  

Taula 1: Bases Legals del Tractament (Art. 6 RGPD)

3.6. El Consentiment:

Quan el tractament es basa en el consentiment (Art. 6.1.a RGPD), aquest ha de complir uns requisits estrictes per ser considerat vàlid, tal com detallen l'article 4.11 i l'article 7 del RGPD, així com les directrius del Comitè Europeu de Protecció de Dades (CEPD) :  

• Lliure: El consentiment no és vàlid si l'interessat no té una opció real o se sent obligat a consentir, o si patirà conseqüències negatives si no ho fa. Cal prestar especial atenció a les situacions amb desequilibri de poder (p. ex., relació laboral, administració pública-ciutadà), on el consentiment pot no ser la base jurídica més adequada. Tampoc es pot supeditar l'execució d'un contracte al consentiment per a tractaments de dades no necessaris per a aquest contracte (prohibició del consentiment "lligat").  

• Específic: El consentiment s'ha de donar per a finalitats determinades. Si hi ha múltiples finalitats, cal obtenir consentiment per a cadascuna d'elles (consentiment granular). No són vàlids els consentiments genèrics o ambigus.  

• Informat: Abans de consentir, l'interessat ha de rebre informació clara i comprensible (complint els requisits dels Arts. 13 i 14 RGPD) sobre la identitat del responsable, les finalitats, els tipus de dades, el dret a retirar el consentiment, els destinataris, les transferències internacionals si n'hi ha, etc..  

• Inequívoc: El consentiment ha de manifestar-se mitjançant una declaració o una clara acció afirmativa. Això exclou el consentiment tàcit o per omissió. Les caselles premarcades en formularis web no són vàlides per obtenir consentiment. L'acció afirmativa pot ser marcar una casella no premarcada, escollir paràmetres tècnics, signar un document, una declaració verbal clara, etc..  

• Demostrable: El responsable del tractament ha de ser capaç de demostrar que l'interessat va donar el seu consentiment (Art. 7.1 RGPD). Això implica mantenir registres adequats de com i quan es va obtenir el consentiment.  

• Revocable: L'interessat té dret a retirar el seu consentiment en qualsevol moment, tan fàcilment com el va donar. La retirada del consentiment no afecta la licitud del tractament basat en el consentiment previ a la seva retirada (Art. 7.3 RGPD). El responsable ha d'informar d'aquest dret abans que es doni el consentiment.  

• Explícit: En determinats casos, el RGPD exigeix que el consentiment sigui "explícit". Això s'aplica al tractament de categories especials de dades (Art. 9.2.a ), a les decisions individuals automatitzades (Art. 22.2.c ) i a les transferències internacionals en absència de garanties adequades (Art. 49.1.a ). El consentiment explícit requereix una declaració expressa d'acceptació, com una signatura manuscrita o electrònica, o marcar una casella específica que indiqui clarament l'acceptació d'aquell tractament concret.  

Consentiment de menors:

L'article 8 del RGPD estableix que el tractament de dades de menors basat en el consentiment en relació amb serveis de la societat de la informació oferts directament a ells és lícit si el menor té, com a mínim, 16 anys. Per sota d'aquesta edat, el tractament només és lícit si el consentiment el dona o autoritza el titular de la pàtria potestat o tutela. No obstant això, el RGPD permet als Estats membres rebaixar aquesta edat fins a un mínim de 13 anys.

Espanya ha fet ús d'aquesta habilitació. L'article 7 de la LOPDGDD estableix que el tractament de dades personals d'un menor d'edat únicament podrà fonamentar-se en el seu consentiment quan sigui major de 14 anys. Per sota dels 14 anys, caldrà el consentiment del titular de la pàtria potestat o tutela. Aquesta edat de 14 anys és la que regeix a Espanya per a la validesa del consentiment del menor en la majoria de contextos, no només per als serveis de la societat de la informació. El responsable del tractament té l'obligació de verificar per mitjans raonables que el consentiment (del menor o del tutor) és vàlid .  

L'article 5 del RGPD és el nucli del Reglament, ja que estableix els principis fonamentals que han de regir tot tractament de dades personals. El compliment d'aquests principis és essencial i constitueix la base de la responsabilitat proactiva del responsable del tractament. Són els següents:  

4.1. Licitud, Lleialtat i Transparència (Art. 5.1.a)

Les dades personals han de ser tractades de manera lícita, lleial i transparent en relació amb l'interessat.  

• Licitud: El tractament ha de tenir una base jurídica vàlida de les enumerades a l'article 6 del RGPD (i, si s'escau, complir els requisits de l'article 9 per a categories especials).

• Lleialtat: El tractament ha de ser just i no s'ha de realitzar de manera enganyosa o inesperada per a l'interessat. Les persones han de poder esperar raonablement com s'utilitzaran les seves dades.

• Transparència: S'ha de proporcionar informació clara, concisa, accessible i fàcil d'entendre a les persones interessades sobre qui és el responsable, per a què es tractaran les seves dades, quins són els seus drets i com exercir-los (Arts. 12, 13 i 14 RGPD). La manca de transparència pot invalidar el tractament per ser deslleial o il·lícit, especialment si afecta la validesa del consentiment o la capacitat d'exercir altres drets . Aquests tres elements estan intrínsecament connectats: un tractament il·lícit mai no pot ser lleial ni transparent, i un tractament opac és inherentment deslleial.  

4.2. Limitació de la Finalitat (Art. 5.1.b)

Les dades personals han de ser recollides amb finalitats determinades, explícites i legítimes, i no seran tractades ulteriorment de manera incompatible amb aquestes finalitats.  

• Determinades i Explícites: Les finalitats s'han de definir clarament en el moment de la recollida de les dades i comunicar-se a l'interessat. No són vàlides les finalitats vagues o genèriques.

• Legítimes: Les finalitats han de ser conformes a la llei.

• Compatibilitat: El tractament posterior per a una finalitat diferent de la inicial només és permès si és compatible amb la finalitat original. L'article 6.4 del RGPD estableix criteris per avaluar aquesta compatibilitat (relació entre finalitats, context de recollida, naturalesa de les dades, conseqüències per a l'interessat, existència de garanties). Si la nova finalitat és incompatible, es requerirà una nova base jurídica (normalment, un nou consentiment). El tractament ulterior amb finalitats d'arxiu en interès públic, investigació científica o històrica, o finalitats estadístiques es considera, en principi, compatible, sempre que s'apliquin les garanties adequades de l'article 89 del RGPD.  

4.3. Minimització de Dades (Art. 5.1.c)

Les dades personals han de ser adequades, pertinents i limitades al que és necessari en relació amb les finalitats per a les quals són tractades.  

Aquest principi exigeix una reflexió proactiva per part del responsable: realment necessito aquesta dada per a aquesta finalitat concreta? S'ha d'evitar la recollida excessiva de dades "per si de cas". La limitació s'aplica tant a la quantitat de dades (volum) com a la seva naturalesa (categoria) . Està estretament lligat a la Protecció de Dades per Defecte (Art. 25 RGPD ). Exemples pràctics inclouen no incloure el DNI en certificats si no és estrictament necessari, o evitar publicar signatures manuscrites completes o DNI en contractes accessibles públicament. En videovigilància, implica ajustar l'angle de les càmeres per captar només l'espai imprescindible per a la finalitat de seguretat.  

4.4. Exactitud (Art. 5.1.d)

Les dades personals han de ser exactes i, si fos necessari, actualitzades. S'han d'adoptar totes les mesures raonables perquè se suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes respecte a les finalitats per a les quals es tracten.  

La inexactitud de les dades pot portar a decisions errònies i perjudicis per a l'interessat. Aquest principi connecta directament amb el dret de rectificació (Art. 16 RGPD ). La necessitat d'actualització depèn de la finalitat; per exemple, una adreça de contacte requereix actualització, mentre que un registre històric pot reflectir una situació passada. Tot i que l'interessat té el dret a sol·licitar la rectificació, el responsable té una obligació proactiva d'implementar mesures raonables per assegurar l'exactitud i corregir els errors detectats. Les administracions públiques tenen potestats específiques per verificar l'exactitud de les dades que obren en el seu poder (LOPDGDD DA 8ª ).  

4.5. Limitació del Termini de Conservació (Art. 5.1.e)

Les dades personals han de ser mantingudes de manera que permetin la identificació dels interessats durant no més temps del necessari per a les finalitats del tractament.  

Aquest principi prohibeix la conservació indefinida de dades personals com a norma general. Els responsables han d'establir terminis de conservació clars o, si no és possible, criteris objectius per determinar-los, i informar-ne els interessats (Arts. 13.2.a i 14.2.a RGPD). Un cop assolit el termini o la finalitat, les dades han de ser suprimides o anonimitzades de manera irreversible. Existeixen excepcions:  

• La conservació pot ser més llarga si és exclusivament amb finalitats d'arxiu en interès públic, investigació científica o històrica, o finalitats estadístiques, sempre que s'apliquin les garanties adequades de l'article 89 del RGPD (com minimització, pseudonimització).  

• Obligacions legals poden exigir la conservació durant terminis superiors (p. ex., normativa fiscal, laboral, d'arxius públics ). En videovigilància, el termini general és d'un mes, excepte si les imatges són requerides per acreditar infraccions o per autoritats (LOPDGDD Art. 22.3 ).  

4.6. Integritat i Confidencialitat (Seguretat) (Art. 5.1.f)

Les dades personals han de ser tractades de tal manera que es garanteixi una seguretat adequada, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l'aplicació de mesures tècniques o organitzatives apropiades.  

Aquest principi eleva la seguretat de les dades a la categoria de principi rector del tractament. Està directament vinculat a l'article 32 del RGPD , que exigeix al responsable i a l'encarregat implementar mesures tècniques i organitzatives apropiades al nivell de risc del tractament. Aquestes mesures han de garantir la confidencialitat (accés només per personal autoritzat), la integritat (evitar alteracions no autoritzades) i la disponibilitat (accés garantit quan sigui necessari) de les dades i els sistemes. Exemples de mesures inclouen la pseudonimització, el xifratge, controls d'accés, còpies de seguretat, plans de continuïtat, auditories regulars, etc. .  

Per al sector públic espanyol, la Disposició Addicional Primera de la LOPDGDD estableix una obligació clau: han d'aplicar les mesures de seguretat previstes a l'Esquema Nacional de Seguretat (ENS), regulat pel Reial Decret 311/2022. L'ENS proporciona un marc detallat de mesures organitzatives, operatives i de protecció basades en el risc. Aquesta disposició també insta les administracions a promoure un grau equivalent de mesures en les empreses o fundacions privades que els presten serveis. Això converteix l'ENS en el referent de seguretat obligatori per al sector públic a Espanya en matèria de protecció de dades.  

Finalment, el principi inclou el deure de confidencialitat o secret, que obliga a totes les persones que intervenen en el tractament a no revelar la informació (LOPDGDD Art. 5 ).  

La normativa de protecció de dades defineix clarament els rols i les responsabilitats dels diferents actors que intervenen en el tractament de dades personals.

5.1. Interessat (Afectat / Titular de les Dades)

És la persona física a qui pertanyen les dades personals que són objecte de tractament (Art. 4.1 RGPD ). És el subjecte central de la protecció, el titular dels drets que la normativa reconeix i garanteix. Té la facultat d'exercir un control sobre la seva informació personal mitjançant els drets d'accés, rectificació, supressió, oposició, limitació i portabilitat, així com el dret a no ser objecte de decisions automatitzades.  

5.2. Responsable del Tractament (ReT) (Art. 24 RGPD)

És la persona física o jurídica, autoritat pública, servei o altre organisme que, sol o juntament amb altres, determina les finalitats i els mitjans del tractament (Art. 4.7 RGPD ). És la figura clau, qui decideix "per què" i "com" es tracten les dades.  

El ReT té la responsabilitat principal de garantir i poder demostrar el compliment de la normativa (principi de responsabilitat proactiva o accountability, Arts. 5.2 i 24 RGPD ). Les seves obligacions són extenses i inclouen :  

• Aplicar els principis del tractament (Art. 5 RGPD).

• Assegurar la licitud del tractament identificant la base jurídica adequada (Art. 6 RGPD).

• Informar degudament els interessats (Arts. 12-14 RGPD).

• Facilitar i respondre a l'exercici dels drets dels interessats (Arts. 15-22 RGPD).

• Implementar mesures tècniques i organitzatives apropiades per garantir la seguretat (Art. 32 RGPD), incloent la protecció de dades des del disseny i per defecte (Art. 25 RGPD).

• Mantenir el Registre d'Activitats de Tractament (RAT) (Art. 30 RGPD).

• Notificar les violacions de seguretat a l'autoritat de control i, si escau, als interessats (Arts. 33-34 RGPD).

• Realitzar Avaluacions d'Impacte (AIPD) quan el tractament comporti un alt risc (Art. 35 RGPD).

• Consultar prèviament l'autoritat de control si l'AIPD indica un alt risc residual (Art. 36 RGPD).

• Escollir encarregats del tractament que ofereixin garanties suficients i formalitzar la relació mitjançant contracte (Art. 28 RGPD).

• Designar un Delegat de Protecció de Dades (DPD) quan sigui obligatori (Art. 37 RGPD).

• Cooperar amb les autoritats de control.

L'Ajuntament actua com a Responsable del Tractament. La seva posició central implica que la càrrega principal del compliment recau sobre ell, fins i tot quan externalitza part del tractament a un encarregat.

5.3. Corresponsables del Tractament (Art. 26 RGPD)

Es dona una situació de corresponsabilitat quan dues o més entitats determinen conjuntament les finalitats i els mitjans del tractament (Art. 26.1 RGPD ). No n'hi ha prou amb participar en el tractament; cal participar en la decisió sobre el "per què" i el "com".  

En aquests casos, els corresponsables han d'establir, mitjançant un acord transparent, les seves respectives responsabilitats en el compliment de les obligacions del RGPD, especialment pel que fa a l'exercici dels drets dels interessats i al deure d'informació (Arts. 13 i 14). Aquest acord ha de reflectir adequadament les funcions i relacions respectives de cada corresponsable davant els interessats, i els aspectes essencials de l'acord han d'estar a disposició d'aquests. La LOPDGDD també es refereix a la corresponsabilitat en el seu article 29.  

Un exemple podria ser un projecte de recerca finançat per la Unió Europea en què participen diverses administracions públiques, definint conjuntament els objectius i les metodologies de tractament de dades .

Tot i l'existència de l'acord, l'interessat pot exercir els seus drets davant i contra qualsevol dels corresponsables (Art. 26.3 RGPD ). Això subratlla la responsabilitat solidària de cara a l'interessat, fent crucial una clara delimitació interna de responsabilitats per evitar buits de compliment i conflictes entre els corresponsables. La determinació de la corresponsabilitat i la redacció de l'acord poden ser complexes en la pràctica, especialment en projectes amb múltiples participants o fluxos de dades complexos.  

5.4. Encarregat del Tractament (EnT) (Art. 28 RGPD, Contracte, Subcontractació)

L'encarregat del tractament és la persona física o jurídica, autoritat pública, servei o altre organisme que tracta dades personals per compte del responsable del tractament (Art. 4.8 RGPD ). La seva característica essencial és que actua seguint les instruccions documentades del responsable i no determina les finalitats ni els mitjans essencials del tractament.  

El responsable només pot recórrer a encarregats que ofereixin garanties suficients per aplicar mesures tècniques i organitzatives apropiades, de manera que el tractament sigui conforme al RGPD i es garanteixi la protecció dels drets de l'interessat (Art. 28.1 RGPD ). Aquesta obligació implica un deure de diligència per part del responsable a l'hora de seleccionar els seus proveïdors que tractaran dades per compte seu. L'adhesió de l'encarregat a codis de conducta o mecanismes de certificació aprovats pot servir com a element per demostrar aquestes garanties.  

La relació entre responsable i encarregat s'ha de formalitzar mitjançant un contracte o un altre acte jurídic vinculant per escrit (inclòs el format electrònic), que estableixi clarament les obligacions de l'encarregat (Art. 28.3 RGPD ). Aquest contracte (sovint anomenat Acord de Tractament de Dades o Encàrrec de tractament) ha d'especificar, com a mínim :  

• L'objecte, la durada, la naturalesa i la finalitat del tractament.

• El tipus de dades personals i les categories d'interessats.

• Les obligacions i drets del responsable.

• Les obligacions de l'encarregat, incloent:

  • Tractar les dades només seguint instruccions documentades del responsable.

  • Garantir la confidencialitat de les persones autoritzades a tractar les dades.

  • Adoptar totes les mesures de seguretat requerides per l'article 32 RGPD.

  • Respectar les condicions per recórrer a un altre encarregat (subencarregat).

  • Assistir el responsable, en la mesura del possible, per respondre a les sol·licituds d'exercici de drets dels interessats.

  • Ajudar el responsable a garantir el compliment de les obligacions de seguretat, notificació de violacions, AIPD i consulta prèvia.

  • A elecció del responsable, suprimir o retornar totes les dades personals un cop finalitzi la prestació del servei, i suprimir les còpies existents (tret d'obligació legal de conservació).

  • Posar a disposició del responsable tota la informació necessària per demostrar el compliment de les obligacions i permetre i contribuir a auditories i inspeccions.

És important destacar que l'accés a les dades per part de l'encarregat per prestar el servei al responsable no es considera una comunicació o cessió de dades a tercers , ja que l'encarregat actua sota el control del responsable.

Subcontractació (Subencarregats): L'encarregat del tractament no pot subcontractar part del tractament a un altre encarregat (subencarregat) sense l'autorització prèvia per escrit, específica o general, del responsable (Art. 28.2 RGPD ). Si l'autorització és general, l'encarregat ha d'informar el responsable de qualsevol canvi previst en la incorporació o substitució de subencarregats, donant al responsable l'oportunitat d'oposar-s'hi. Quan un encarregat recorre a un subencarregat, li ha d'imposar, mitjançant contracte, les mateixes obligacions de protecció de dades que les establertes en el contracte entre el responsable i l'encarregat principal. Crucialment, l'encarregat inicial continua sent plenament responsable davant el responsable pel compliment de les obligacions del subencarregat (Art. 28.4 RGPD ). Això crea una cadena de responsabilitat que obliga a una gestió diligent dels subcontractistes.  

Exemples comuns d'encarregats del tractament per a una administració local podrien ser:

• Una empresa externa que elabora les nòmines del personal.

• Una empresa contractada per a la destrucció certificada de documentació.

• El proveïdor del software de gestió de les càmeres de videovigilància.

• L'entitat que gestiona el cobrament d'impostos per delegació (com una Diputació Provincial).

• L'empresa que realitza el manteniment dels equips informàtics si té accés a dades.

• Una Diputació Provincial que presta serveis TIC per delegació de funcions o encàrrec de gestió.

La LOPDGDD (Art. 33.2 ) també preveu que, dins del sector públic, un òrgan administratiu pugui tenir la consideració d'encarregat respecte d'un altre òrgan (responsable) si així ho estableix una norma o acte jurídic, sempre que tracti les dades exclusivament per compte del responsable i sota les seves instruccions.  

5.5. Delegat de Protecció de Dades (DPD) (Arts. 37-39 RGPD; Arts. 34-37 LOPDGDD)

El Delegat de Protecció de Dades (DPD), o Data Protection Officer (DPO) en anglès, és una figura clau introduïda pel RGPD per facilitar el compliment de la normativa i actuar com a punt de contacte.

Designació Obligatòria:

La designació d'un DPD és obligatòria en els casos següents (Art. 37.1 RGPD ):  

• (a) Quan el tractament el duu a terme una autoritat o organisme públic, excepte els tribunals en l'exercici de la seva funció judicial.

• (b) Quan les activitats principals del responsable o de l'encarregat consisteixen en operacions de tractament que requereixen una observació habitual i sistemàtica d'interessats a gran escala.

• (c) Quan les activitats principals del responsable o de l'encarregat consisteixen en el tractament a gran escala de categories especials de dades (Art. 9 RGPD) o de dades relatives a condemnes i infraccions penals (Art. 10 RGPD).

La LOPDGDD (Art. 34 ) amplia aquesta llista per a l'àmbit espanyol, fent obligatòria la designació, entre d'altres, per a:  

• Col·legis professionals i els seus consells generals.

• Centres docents (tots els nivells educatius) i universitats públiques i privades.

• Entitats que explotin xarxes i prestin serveis de comunicacions electròniques.

• Prestadors de serveis de la societat de la informació que elaborin perfils a gran escala.

• Entitats incloses a la llei d'ordenació, supervisió i solvència d'entitats de crèdit.

• Establiments financers de crèdit.

• Entitats asseguradores i reasseguradores.

• Empreses de serveis d'inversió.

• Distribuïdors i comercialitzadors d'energia elèctrica i gas natural.

• Entitats responsables de fitxers comuns per a l'avaluació de la solvència patrimonial o crèdit.

• Entitats que desenvolupin activitats de publicitat i prospecció comercial, incloent investigació comercial i de mercats, quan elaborin perfils.

• Centres sanitaris legalment obligats al manteniment d'històries clíniques (amb excepcions).

• Entitats amb finalitat d'emissió d'informes comercials sobre persones i empreses.

• Operadors de joc electrònic o presencial.

• Empreses de seguretat privada.

• Federacions esportives (si tracten dades de menors).

Fora d'aquests casos, la designació és voluntària . Un grup empresarial pot designar un únic DPD si és fàcilment accessible des de cada establiment (Art. 37.2 RGPD ). Una autoritat pública pot designar un DPD per a diverses entitats, tenint en compte l'estructura (Art. 37.3 RGPD ).  

Qualificació i Posició:

• El DPD ha de ser designat atenent les seves qualitats professionals, en particular, els seus coneixements especialitzats del Dret i la pràctica en matèria de protecció de dades i la seva capacitat per exercir les funcions de l'article 39 RGPD (Art. 37.5 RGPD ; Art. 35 LOPDGDD ). La LOPDGDD afegeix que es pot acreditar aquesta qualificació mitjançant mecanismes voluntaris de certificació.  

• Pot ser personal de plantilla o un consultor extern amb un contracte de serveis (Art. 37.6 RGPD ). Si és extern, pot ser necessari formalitzar un encàrrec de tractament perquè pugui accedir a la informació necessària .  

• Ha de gaudir d'independència en l'exercici de les seves funcions (Art. 38.3 RGPD ). El responsable i l'encarregat han de garantir que el DPD:

  • Sigui implicat adequadament i de manera oportuna en totes les qüestions relatives a la protecció de dades (Art. 38.1 RGPD ).  

  • Rebi el suport i els recursos necessaris (temps, formació, accés a dades i operacions) per exercir les seves funcions i mantenir els seus coneixements (Art. 38.2 RGPD ).  

  • No rebi instruccions pel que fa a l'exercici de les seves funcions (Art. 38.3 RGPD ).  

  • No sigui destituït ni sancionat per exercir les seves funcions (Art. 38.3 RGPD ). La LOPDGDD (Art. 36.3 ) matisa que si és personal intern, només pot ser remogut o sancionat per dol o negligència greu en l'exercici de les seves funcions.  

  • Rendeixi comptes directament al més alt nivell jeràrquic del responsable o l'encarregat (Art. 38.3 RGPD ).   

• S'ha d'evitar qualsevol conflicte d'interessos si el DPD exerceix altres funcions dins de l'organització (Art. 38.6 RGPD ). Això pot ser un repte si el DPD és intern i ocupa altres càrrecs (p. ex., director de TI, director jurídic) les funcions dels quals podrien entrar en conflicte amb les de protecció de dades.  

• Està subjecte al secret professional o a la confidencialitat (Art. 38.5 RGPD ).  

Funcions (Art. 39 RGPD ):  

Les funcions mínimes del DPD són:

• (a) Informar i assessorar el responsable, l'encarregat i els empleats sobre les seves obligacions segons el RGPD i altra normativa de protecció de dades.

• (b) Supervisar el compliment de la normativa i de les polítiques internes de protecció de dades. Això inclou l'assignació de responsabilitats, la conscienciació i formació del personal, i la realització d'auditories internes.

• (c) Oferir l'assessorament que se li sol·liciti sobre l'Avaluació d'Impacte relativa a la Protecció de Dades (AIPD) i supervisar-ne l'aplicació (Art. 35 RGPD).

• (d) Cooperar amb l'autoritat de control.

• (e) Actuar com a punt de contacte per a l'autoritat de control en qüestions relatives al tractament, inclosa la consulta prèvia (Art. 36 RGPD), i consultar-la, si escau, sobre qualsevol altre assumpte.

A més, la LOPDGDD afegeix:

• Comunicar les violacions de seguretat rellevants .