Que no se t’escapin!
Manual de bones pràctiquesFUNCIONARIS I COSSOS ESPECIALS
Manual de bones pràctiquesFUNCIONARIS I COSSOS ESPECIALS
La protecció de les dades de caràcter personal
i el seu tractament en l’àmbit de l’Administració pública
La protecció de les dades de caràcter personal
i el seu tractament en l’àmbit de l’Administració pública
Man
ual d
e bo
nes
pràc
tiqu
es ·
FU
NC
ION
AR
IS I
CO
SS
OS
ES
PE
CIA
LS
Manual de bones pràctiquesLa protecció de les dades de caràcter personal i el seu tractament en l’àmbit de l’Administració pública
L’Agència Andorrana de Protecció de Dades
(APDA) és l’autoritat de control que vetlla per
la protecció de les dades de caràcter perso-
nal de les persones físiques. L’Agència actua
amb plena independència i objectivitat.
L’any 2003, en el marc de la Llei 15/2003
qualificada de protecció de dades perso-
nals (LQDP), es va crear l’APDA amb la
funció principal de vetllar pel compliment
del marc normatiu de la protecció de da-
des de caràcter personal així com per ges-
tionar el Registre Públic d’Inscripció de
Fitxers de Dades Personals. Es tracta d’un
òrgan de control que té el deure d’exercir
la potestat inspectora i sancionadora per
a les infraccions que vulnerin la normativa
en la matèria.
Amb aquest Manual de bones pràctiques
dirigit als treballadors de l’Administració
pública, l’APDA té l’objectiu de sensibilitzar
aquest col·lectiu en el tractament de les da-
des de caràcter personal i oferir-li una eina
pràctica de consulta com a recordatori dels
principis bàsics que regula la llei.
El contingut d’aquest manual està dirigit
a tots els treballadors de les diferents ad-
ministracions que mantenen contacte diari
amb el ciutadà i que han de tenir coneixe-
ments bàsics sobre la matèria per si poden
esdevenir responsables de tractament de
dades o simplement per poder informar el
ciutadà amb garanties.
El format pràctic i uns continguts didàctics i
entenedors fan que aquest manual el pugui
usar tothom que en algun moment del de-
senvolupament de la seva tasca hagi d’obte-
nir o controlar dades de caràcter personal.
ObjectiusÉs un manual d’aprenentatge de la Llei de
protecció de dades personals i té una doble
funció: fer la legislació més entenedora i, a
la vegada, servir de recordatori dels principis
bàsics de la regulació en aquesta matèria.
· Conèixer els conceptes bàsics relacionats
amb la protecció de dades.
· Conèixer en què consisteix el dret fona-
mental a la protecció de dades i el seu marc
normatiu general.
<< El Manual de bones pràctiques és la millor eina per complir amb eficiència els principis bàsics de la protecció de dades de caràcter personal. >>
www.apda.ad
1APDA
Manual de bones pràctiquesFuncionaris i cossos especials
La protecció de les dades de caràcter personali el seu tractament en l’àmbit
de l’Administració pública
2 Manual de bones pràctiques. Funcionaris i cossos especials 3APDA
Edita: Agència Andorrana de Protecció de Dades
Redacció: Joan Lluís Ibern
Disseny i maquetació: AON.ad
Impressió: Gràfi ques A4
Dipòsit legal: AND.1174-2011
I.S.B.N.: 978-99920-1-879-8
Sumari
Presentació
I. mANUAL de l’APDA
1. Introducció
2. Conceptes bàsics
3. marc normatiu general
3.1. Marc internacional
3.2. Legislació específi ca de protecció de dades a Andorra
3.3. Legislació nacional connexa
3.4. Llei 15/2003, del 18 de desembre, qualifi cada de protecció de dades personals (LQPD)
3.5. Àmbit d’aplicació de la LQPD
7
10
11
14
14
15
15
16
16
4 Manual de bones pràctiques. Funcionaris i cossos especials 5APDA
7. L’Agència Andorrana de Protecció de Dades (APDA)
7.1. Què és?
7.2. Potestats de l’APDA
7.3. Registre públic d’inscripció de fitxers de dades personals
II. PREGUNTES I SUPÒSITS
1. FAQ: les preguntes més freqüents
2. Supòsits pràctics
3. Supòsits concrets
III. GUIA RÀPIDA
1. Localitza els teus dubtes [índex de referències]
IV. ANNExoS
A1. Annex 1. Models i formularis
A2. Annex 2. Glossari de termes clau
41
41
41
42
44
49
61
86
92
93
4. Principis de la protecció de dades en la recollida i tractament de les dades personals
4.1. Qualitat de les dades
4.2. Consentiment de l’afectat
4.3. Dades sensibles
4.4. Confidencialitat i seguretat
4.5. Cessió de dades
4.6. Comunicació de dades entre administracions públiques
4.7. Prestadors de serveis
4.8. Comunicació internacional de dades
5. Drets dels ciutadans
5.1. Aspectes generals
5.2. Informació en la recollida de les dades
5.3. Decisions individuals automatitzades
5.4. Dret d’accés
5.5. Dret de rectificació
5.6. Dret d’oposició
5.7. Dret de cancel·lació o supressió
5.8. Dret d’indemnització
5.9. Dret de consulta al Registre públic d’inscripció de fitxers
5.10. Tutela dels drets
6. Subjectes obligats. Fitxers
6.1. Legalització de fitxers
18
18
19
22
24
26
27
28
29
30
30
31
32
33
34
35
36
37
38
38
39
39
Sumari
6 Manual de bones pràctiques. Funcionaris i cossos especials 7APDA
Presentació
L’Agència Andorrana de Protecció de Dades (APDA) té com a objectiu prioritari vetllar pel compliment del marc normatiu de la protecció de dades de caràc-ter personal. A més, entre d’altres funcions, també promou una cultura social de protecció del dret a la intimitat dels ciutadans. Amb aquesta darrera fi na-litat es posa en marxa la campanya DADES ni piu! Que no se t’escapin!, dirigida al personal de l’Admi-nistració pública. L’objectiu és sensibilitzar-vos de la importància d’adquirir uns coneixements bàsics en protecció de dades personals. En defi nitiva, es tracta d’ajudar-vos a dur a terme la vostra tasca dià-ria i, d’aquesta manera, incrementar la seguretat i les garanties en aquesta matèria.
Els treballadors de l’Administració pública us relaci-oneu quotidianament amb els ciutadans i les ciuta-danes, per la qual cosa són moltes les ocasions en què us convertiu en usuaris de dades i per això heu de saber actuar en consonància amb la responsabi-litat que comporten les vostres funcions. És impor-tant que pugueu tractar i processar aquestes dades personals amb unes mesures de seguretat bàsi-ques, que informeu els ciutadans dels seus drets i que, en cas de qualsevol dubte, consulteu l’APDA.
Amb el Manual de bones pràctiques per a fun-cionaris i cossos especials que s’emmarca dins d’aquesta campanya, l’Agència pretén posar al vos-tre abast totes les eines necessàries per capacitar-vos en la recollida i el tractament de dades de ca-ràcter personal, informar-vos de les actuacions que cal evitar i proporcionar-vos les bases per adaptar els vostres procediments a les previsions legals.
El contingut didàctic i pràctic del manual us propor-cionarà una visió més entenedora de la legislació, amb exemples il·lustratius dels punts més destaca-bles de la normativa. Aquest document esdevindrà un bon recurs de consulta ràpida a títol de recorda-tori dels principis bàsics de la regulació en la matè-ria. L’elaboració marca un abans i un després pel que fa a la divulgació de la legislació nacional sobre protecció de dades, perquè tracta de fer compren-siu tot el marc normatiu d’una manera àgil i planera, dotant les explicacions de supòsits pràctics que fan referència a l’Administració andorrana.
Amb l’eslògan de la campanya Ni piu! –expressió prou coneguda per tots (no dir ni piu, no dir res)–, hem tractat d’establir un paral·lelisme amb l’ocell, que simbolitza la fragilitat i la vulnerabilitat de les dades personals. Aquest concepte ens permet cloure l’eslògan amb el símil Que no se t’escapin! (Que no marxi –l’ocell– de les teves mans o de la gà-bia), és a dir, que posis les condicions necessàries perquè les dades que reculls o tractes no s’escapin de la confi dencialitat que exigeixen.
Desitgem que aquest esperit de protecció de les dades que us volem transmetre es manifesti dia rere dia en el desenvolupament de les vostres fun-cions. Els ciutadans posen la seva confi ança, al-guns cops fi ns i tot sense saber-ho, a les nostres mans, i per aquesta raó tenim l’obligació de no de-fraudar-los. Els hem de poder dir amb tota convic-ció que avui, però també demà, a l’Administració pública la seva imatge, la identitat, l’honor i la inti-mitat estan i estaran sempre segurs.
Joan Crespo Piedra Cap de l’Agència Andorrana de Protecció de Dades
8 Manual de bones pràctiques. Funcionaris i cossos especials 9APDA
Manual de l’APDA
I
1. Introducció
2. Conceptes bàsics
3. Marc normatiu general
4. Principis de la protecció de dades en la recollida i tractament de les dades personals
5. Drets dels ciutadans
6. Subjectes obligats. Fitxers
7. L’Agència Andorrana de Protecció de Dades (APDA)
10 Manual de bones pràctiques. Funcionaris i cossos especials 11APDA
1 Introducció
Tens a les mans una eina que et servirà per saber
com has de tractar les dades de caràcter personal
en la teva tasca diària de relació amb la ciutadania.
A més, et servirà de recordatori perquè davant de
qualsevol dubte puguis resoldre la situació amb
efi càcia i sense vulnerar els drets dels ciutadans.
L’objectiu del manual és doble: fer conèixer els
conceptes bàsics relacionats amb la protecció de
dades i fer conèixer en què consisteix el dret fo-
namental a la protecció de dades i quin és el seu
marc normatiu general.
El nom, els cognoms, l’adreça, fotografi es, l’ADN,
el número de passaport. Totes són dades que
identifi quen una persona, i estan protegides per
la legislació. Una persona facilita les seves dades,
per exemple, quan obre un compte al banc, quan
es matricula en un curs, quan reserva un vol, quan
participa en un concurs, quan va al metge, quan
busca feina o quan navega per Internet.
Queda clar, doncs, que pràcticament qualsevol
activitat quotidiana exigeix una recollida de dades
personals. En l’àmbit de l’Administració pública
passa exactament el mateix. Per al compliment de
les competències que tenen atribuïdes, les admi-
nistracions públiques han de tractar dades perso-
nals i gestionar-les. Els ciutadans han de facilitar
les seves dades personals quan van a l’hospital
Nostra Senyora de Meritxell, quan formulen una
instància en dependències comunals o governa-
mentals, quan inscriuen els fi lls a les activitats es-
portives i/o culturals, etc. Cal tenir present que les
noves tecnologies permeten la recollida i el tracta-
ment de dades personals, i aquestes es troben en
constant evolució. Per tant, és necessari atendre el
marc normatiu vigent.
L’Administració gestiona i administra informació
(obté, organitza, processa, distribueix, protegeix i
custodia informació), i per la seva funció constitu-
cional de servei efi cient als ciutadans i a l’interès
general, està obligada a adoptar i impulsar políti-
ques de qualitat i modernització.
El dret fonamental a la protecció de dades perso-
nals deriva directament de la Constitució, en atri-
buir als ciutadans un poder de disposició sobre les
seves dades, però aquest dret no té un caràcter
abstracte o genèric, sinó que atorga al titular de
les dades un seguit de facultats, amb poder jurí-
dic, d’imposar a tercers la realització o l’omissió
de determinats comportaments. Dins del contingut
d’aquest dret fonamental es troben els principis de
qualitat de les dades, d’informació en la recollida
de dades i el consentiment de l’afectat per al seu
tractament, així com els drets d’accés, oposició,
rectifi cació i supressió de les dades personals
sotmeses a tractament.
La Llei 15/2003, del 18 de desembre, qualifi cada
de protecció de dades personals, estableix regles
objectives sobre el tractament de dades personals
perquè el ciutadà recuperi el poder de disposició
i control sobre les seves dades personals. Així
mateix, disposa que serà l’Agència Andorrana
de Protecció de Dades (APDA) l’encarregada de
realitzar les accions pertinents i garantir-ne el dret.
No obstant això, cap norma jurídica no pot
substituir l’empleat públic, que ha de respec-
tar els drets dels ciutadans en el desenvolu-
pament de les seves tasques administratives,
ni el ciutadà, que ha de ser conscient que és
propietari de les seves dades personals i del
valor que tenen.
1. Dades personals o de caràcter personal: tota
informació numèrica, alfabètica, gràfi ca, fotogrà-
fi ca, acústica o de qualsevol altre tipus relativa
a una persona física identifi cada o identifi cable
(‘persona interessada’); s’entén per identificable
tota persona amb una identitat que es pugui de-
terminar, directament o indirectament, en parti-
cular mitjançant un número d’identificació o un
2 Conceptes bàsics
Què és una dada personal?Dada personal = qualsevol informació relativa a una persona identifi cada o identifi cable
1. Dades de caràcter identifi catiu
Nom i cognomsPassaport / DNI o NRT
Adreça postal / Adreça electrònicaFoto / Veu / Signatura / Empremtes
2. Dades de característiques personals
Estat civil / EdatData de naixement
Característiques físiques
3. Dades d’ocupació laboral
Lloc de treball / CategoriaGrau / Cos / Escala
4. Dades economicofi nanceres i d’assegurances
IngressosRendes
HipotequesNúm. compte corrent
Altres dades bancàries
5. Dades especialment protegides
Dades sobre:la salut
l’origen ètnicorganitzacions sindicals
l’orientació sexual / opinions polítiques[exigeixen requeriments especials per a la recollida]
Tipus de dades personals
I. MANUAL de l’APDA 2. Conceptes bàsics
12 Manual de bones pràctiques. Funcionaris i cossos especials 13APDA
13. Registres públics: tots els fitxers de dades
personals el responsable del tractament dels quals
sigui una entitat pública, als quals les persones
interessades estan obligades a facilitar les seves
dades a efectes d’inscripció o a d’altres efectes.
14. Registres públics accessibles: registres pú-
blics als quals qualsevol ciutadà o entitat, pública
o privada, pot tenir accés.
15. Interès públic: concepte definit i determi-
nat entès com a avantatge general i important i
primordial, que justifica la finalitat de la interven-
ció de l’Estat i en fonamenta la legitimitat, sem-
pre dins del marc de l’objectivitat i dels principis
constitucionals de legalitat, de jerarquia, de publi-
citat de les normes jurídiques, de no-retroactivitat
de les disposicions restrictives de drets individu-
als o que comportarien un efecte o establirien una
sanció desfavorables, de seguretat jurídica, de
responsabilitat dels poders públics i d’interdicció
de tota arbitrarietat.
16. Interès vital: interès essencial per a la vida de
la persona interessada.
17. Destinatari: tercera persona física o jurídica,
servei o qualsevol altre organisme que rebi una co-
municació de dades.
18. Cessió o comunicació de dades: qualsevol
cessió o comunicació de dades de caràcter perso-
nal que el responsable del tractament dugui a ter-
me en favor d’un tercer destinatari sempre que les
dades siguin utilitzades pel destinatari per al com-
pliment de finalitats directament relacionades amb
les funcions legítimes del cedent i del cessionari.
19. Dades sensibles: dades referents a opinions
polítiques, creences religioses, pertinença a orga-
nitzacions polítiques o sindicals, salut, vida sexual
o origen ètnic de les persones interessades.
20. Dades de caràcter personal relacionades
amb la salut: tota la informació relativa a la sa-
lut passada, present i futura, física o mental, d’una
persona; es pot tractar d’una persona sana, malal-
ta o difunta. Es considera dades relacionades amb
la salut de les persones, entre d’altres, les relatives
al seu percentatge de discapacitat o a la seva in-
formació genètica, i també les relacionades amb el
consum d’alcohol, de drogues tòxiques i de subs-
tàncies psicotròpiques.
21. Comunicació internacional de dades: tota
comunicació de dades o tot accés a les dades per
part d’un prestador de serveis de dades personals,
quan els destinataris de la comunicació o els pres-
tadors de serveis estiguin domiciliats a l’estranger,
o emprin mitjans de tractament de dades perso-
nals ubicats a l’estranger per a la comunicació de
les dades o per a la prestació del servei.
22. Normes de creació, modificació o supressió
de fitxers de naturalesa pública: decisions dels
òrgans de l’Administració pública definits pel Codi
de l’Administració sotmeses a les disposicions de
la Llei qualificada de protecció de dades personals i
als textos que la desenvolupen destinades a regular
la creació, la modificació o la supressió de fitxers de
naturalesa pública, d’acord amb els requisits esta-
blerts en la Llei 15/2003, del 18 de desembre, quali-
ficada de protecció de dades personals (LQPD).
o diversos elements específics, característics de
la seva identitat física, fisiològica, psíquica, eco-
nòmica, cultural o social.
2. Consentiment: tota manifestació de voluntat
que sigui lliure, específica, clara, indubtable i in-
formada, mitjançant la qual l’interessat consenti el
tractament de dades personals que l’afectin.
3. Tractament de dades personals (‘tractament’):
qualsevol operació o conjunt d’operacions efectu-
ades mitjançant procediments automatitzats o no,
i aplicades a dades de caràcter personal, com ara
la recollida, el registre, l’organització, la conser-
vació, l’elaboració o la modificació, l’extracció, la
consulta, la utilització, la comunicació per trans-
missió, la difusió o qualsevol altra forma que en
faciliti l’accés, la comparació o la interconnexió, el
bloqueig, la supressió o la destrucció.
4. Fitxer de dades personals (‘fitxer’): tot con-
junt estructurat i organitzat, centralitzat o no, de
dades personals, qualsevol que sigui la seva for-
ma o modalitat de creació, emmagatzematge, or-
ganització i accés.
5. Processament automatitzat: les operacions
efectuades totalment o parcialment amb l’ajut de
procediments automatitzats, com ara l’emmagatze-
matge de dades, l’aplicació d’operacions lògiques
i/o aritmètiques a aquestes dades, i la modificació,
la supressió, l’extracció o la difusió de les dades.
6. Fitxers de naturalesa privada: fitxers de da-
des personals el responsable del tractament dels
quals és una persona física o una persona jurídica
de naturalesa privada o una societat pública sot-
mesa al dret privat.
7. Fitxers de naturalesa pública: fitxers de dades
personals el responsable del tractament dels quals
és l’Administració pública.
8. Dada anònima: dada que no es pot associar a
una persona identificada o identificable, conside-
rant el conjunt dels mitjans que pugui utilitzar rao-
nablement el responsable del tractament o qualse-
vol altra persona per identificar aquesta persona.
9. Responsable del tractament: la persona físi-
ca o jurídica, el servei o qualsevol altre organisme
competent per decidir sobre el tractament de da-
des personals i els mitjans que es destinaran per
a tal tractament, i que vetlla perquè les finalitats
que es pretenen aconseguir amb el tractament es
corresponguin amb les concretades en la norma o
en la decisió de creació del fitxer.
10. Prestador de serveis de dades personals: la
persona física o jurídica, de naturalesa pública o
privada, o l’autoritat pública, o el servei o qualsevol
altre organisme que, sol o conjuntament amb altres,
tracta les dades de caràcter personal per compte del
responsable del tractament, o que accedeix a les da-
des personals per a la prestació d’un servei a favor i
sota el control del responsable del tractament, sem-
pre que no utilitzi les dades a què tingui accés per a
finalitats pròpies, o que no les faci servir més enllà
de les instruccions rebudes o per a finalitats diferents
del servei que ha de prestar a favor del responsable.
11. Persona interessada: la persona física a la
qual corresponen les dades de caràcter personal
objecte de tractament.
12. Tercer: la persona física o jurídica, autoritat pú-
blica, servei o qualsevol altre organisme diferent de
l’interessat, del responsable del tractament o del
seu representant, i del prestador de serveis.
RECOLLIR · GRAVAR · CONSERVARELABORAR · MODIFICAR · BLOQUEJAR
CANCEL·LAR · CEDIR
Tractament = operacions que permetin:
dades de caràcter personal resultants de qualsevol consulta o comunicació.
Grups professionalsDades accessibles al públic:
A Nom + títol + professió + activitat + grau acadèmic
B Adreça professional: domicili postal + telèfon + fax + adreça electrònica professional
C Indicació de la seva pertinença al grup. En el cas dels col·legis professionals,
les dades de pertinença són: Núm. col·legiat
Data d’incorporacióSituació d’exercici professional
I. MANUAL de l’APDA 2. Conceptes bàsics
14 Manual de bones pràctiques. Funcionaris i cossos especials 15APDA
3 Marc normatiu general
El dret fonamental a la protecció de dades reco-
neix al ciutadà la facultat de controlar les seves
dades personals i la capacitat per disposar-ne
i decidir-ne l’ús. Una llei qualificada regula la
matèria, la Llei 15/2003, del 18 de desembre,
qualificada de protecció de dades personals
(LQPD), i una sèrie de lleis, decrets i edictes
complementen la legislació en l’àmbit nacional.
En l’àmbit internacional, Andorra és un dels pa-
ïsos signants del Conveni per a la protecció de
les persones respecte del processament auto-
matitzat de les dades de caràcter personal de
1981, que passa a formar part de l’ordenament
jurídic andorrà.
• Conveni per a la protecció de les persones
respecte del processament automatitzat de les
dades de caràcter personal, fet a Estrasburg
el 28 de gener de 1981, i Protocol addicional
del Conveni per a la protecció de les persones
respecte del processament automatitzat de les
dades de caràcter personal relatiu a les auto-
ritats de control i els fl uxos transfronterers de
dades, fet a Estrasburg el 8 de novembre del
2001, del 18-10-2007.
• Edictedel13-5-2008pelqualesfapúblicque
l’1 de setembre del 2008 entraran en vigor el
Conveni per a la protecció de les persones
respecte del processament automatitzat de
les dades de caràcter personal, fet a Estras-
burg el 28 de gener de 1981, i el Protocol
addicional del Conveni per a la protecció de
les persones respecte del processament au-
tomatitzat de les dades de caràcter personal
relatiu a les autoritats de control i els fluxos
transfronterers de dades, fet a Estrasburg el 8
de novembre del 2001.
• Decisióde laComissióEuropearespectealni-
vell adequat de protecció del Principat d’Andor-
ra, en la Directiva 95/46.
• ConstituciódelPrincipatd’Andorra.(BOPAnúm.
24, de 04-05-93)
• Llei8/2007,del17demaig,deregulaciódelnú-
mero d’identifi cació administrativa. (BOPA núm.
50, del 20-06-07)
• Llei 9/2007, del 17 de maig, del cens. (BOPA
núm. 50, del 20/06/07)
• Decret del 20-12-2006 d’aprovació del Regla-
ment pel qual es regulen les condicions sanitàri-
es dels establiments que realitzen tècniques de
decoració corporal (tatuatge, micropigmentació
o pírcing). (BOPA núm. 93, 27-12-06)
• Decretdel25-10-2006demodificaciódelDecret
regulador del Servei d’Immigració. (BOPA núm.
82, 02-11-06)
• Llei15/2003,del18dedesembre,qualificadade
protecció de dades personals. (BOPA núm. 3,
21/01/2004)
• Decretdel9-06-2010d’aprovaciódelReglament
de l’Agència Andorrana de Protecció de Dades.
(BOPA núm. 33, 16/06/2010)
• Correcció d’errata del 23-06-2010 per la qual
s’esmenen diversos errors constatats en el De-
cret del 9-06-2010 d’aprovació del Reglament
de l’Agència Andorrana de Protecció de Dades.
(BOPA núm. 37, 30/06/2010)
• Decretdel’1-7-2004d’aprovaciódelReglament
del registre públic d’inscripció de fi txers de da-
des personals. (BOPA núm. 41, 7/07/2004)
• Decret de l’1-10-2008 de modificació de l’an-
nex 1 del model de notifi cació per a la inscripció
de fi txers de dades personals al Registre públic
d’inscripció de fi txers de dades personals.
• Decretde l’1-7-2004decreaciódelsfitxersde
dades personals de l’Agència Andorrana de Pro-
tecció de Dades. (BOPA núm. 41, 7/07/2004)
• Edictedel14-12-2004pelqualesnomenenels
membres de l’Agència Andorrana de Protecció
de Dades.
• Edictedel18-12-2008pelqualesnomenenels
membres de l’Agència Andorrana de Protecció
de Dades.
• Conveniperalaprotecciódelespersonesres-
pecte del processament automatitzat de les
dades de caràcter personal, fet a Estrasburg el
28 de gener de 1981, i del Protocol addicional
del Conveni per a la protecció de les persones
respecte del processament automatitzat de les
dades de caràcter personal relatiu a les auto-
ritats de control i els fl uxos transfronterers de
dades, fet a Estrasburg el 8 de novembre del
2001, del 18-10-2007.
• Edictedel13-5-2008pelqualesfapúblicquel’1
de setembre del 2008 entraran en vigor el Con-
veni per a la protecció de les persones respecte
del processament automatitzat de les dades de
caràcter personal, fet a Estrasburg el 28 de ge-
ner de 1981, i el Protocol addicional del Conveni
per a la protecció de les persones respecte del
processament automatitzat de les dades de ca-
ràcter personal relatiu a les autoritats de control i
els fl uxos transfronterers de dades, fet a Estras-
burg el 8 de novembre del 2001.
• Decisió de la Comissió, de 19 d’octubre de
2010, de conformitat amb la Directiva 95/46/
CE del Parlament Europeu i del Consell, relati-
va a l’adequada protecció de les dades perso-
nals a Andorra, publicada al Diari Ofi cial de la
UE el 21 d’octubre de 2010.
3.1. mARC INTERNACIoNAL
3.2. LEGISLACIó ESPECíFICA DE PRoTECCIó DE DADES A ANDoRRA
3.3. LEGISLACIó NACIoNAL CoNNExA
RECoRDA!
Pots consultar tota la legislació relativa a
la protecció de dades en el lloc web de
l’Agència Andorrana de Protecció de Dades
www.apda.ad
RECoRDA!
I. MANUAL de l’APDA 3. Marc normatiu general
16 Manual de bones pràctiques. Funcionaris i cossos especials 17APDA
Quan afrontes la recollida o el tractament de dades
personals has de pensar en l’objectiu bàsic de la
protecció de dades: garantir els drets fonamentals
de les persones. El que has de tenir present quan
interactues amb un ciutadà és que en tot moment
has de vetllar per la seva intimitat.
La LQPD és aplicable a les dades de caràcter per-
sonal que siguin susceptibles de tractament, ja
sigui de forma manual, ja sigui de forma automatit-
zada, i a qualsevol ús posterior d’aquestes dades
de caràcter personal en els sectors públic i privat.
S’aplica també a tot allò que no s’ha previst o
que no s’ha regulat en la normativa aplicable a
registres públics i en la normativa aplicable al
secret bancari, i a les normes reguladores del
secret professional.
Exemple:
Quan he d’aplicar els principis bàsics recollits
en la LQPD?
Sempre que recullis qualsevol dada de caràcter
personal i, també, durant l’ús posterior d’aques-
ta dada. Has d’aplicar la normativa de la LQPD
sempre que el fi txer estigui constituït conforme a
l’ordenament jurídic andorrà. Excepte uns supòsits
concrets, el fi txer s’haurà de donar a conèixer per
una disposició publicada prèviament en el BOPA.
Exclusions en l’àmbit d’aplicació
S’exclouen de l’àmbit d’aplicació de la LQPD:
1. Les dades personals relatives a la seguretat de
l’Estat i a la investigació i a la prevenció d’infrac-
cions penals, regulades per una llei de caràcter
penal i en el marc d’un procediment penal.
2. Les dades de les persones físiques vinculades a
la seva activitat empresarial, professional o co-
mercial, en les circumstàncies següents:
a) dades de personal de persones jurídiques
o d’establiments comercials o professionals,
quan la informació vinculada a la persona
física es refereixi únicament a la seva per-
tinença a l’empresa o a l’establiment, o a la
seva qualitat professional en el si de l’empre-
sa o de l’establiment;
b) dades de persones físiques pertanyents a
col·lectius professionals, sempre que les da-
des es refereixin únicament a l’activitat profes-
sional de la persona i a la seva pertinença a un
col·lectiu professional determinat;
c) dades de professionals autònoms o d’esta-
bliments professionals o comercials, quan les
dades es refereixin únicament a la seva activi-
tat professional o comercial.
3. El tractament de dades efectuat per part d’una
persona física en l’exercici d’activitats exclusiva-
ment personals o domèstiques, com la corres-
pondència i la gestió d’un repertori d’adreces.
3.4. LLEI 15/2003, DEL 18 DE DESEmBRE, QUALIFICADA DE PRoTECCIó DE DADES PERSoNALS (LQPD)
3.5 ÀmBIT D’APLICACIó DE LA LQPD
ART. 1 LQPD Objectiu: Aquesta Llei té per objectiu protegir i ga-rantir, pel que fa al tractament i utilització de dades de caràcter personal, els drets fonamentals de les persones, i especialment els relatius a la intimitat.
QUÈ DIU LA LLEI?
•Sihihaunallacunalegislativaen la normativa específi ca
Aplicació subsidiària de la LQPD
Registres públics / Secret bancari
•Sihihacontradicciónormativaespecífi ca vs LQPD
Normativa específi ca Registre públic / Secret bancari > LQPD
=
=
RECoRDA!
•Una dada de caràcter personal és qualse-vol informació relativa a una persona identi-fi cada o identifi cable.
• Les dades relatives a opinions polítiques,creences religioses, pertinença a organitza-cions polítiques o sindicals, salut, vida se-xual o origen ètnic de l’interessat estan ES-PECIALmENT protegides per la legislació en la matèria.
• Hi ha la possibilitat de tractar dades per-sonals sense que es pugui identifi car la persona (procediment de dissociació). Per exemple: ocultant el rostre en una foto usant les noves tecnologies.
• No cedeixis dades a altres administracions, entitats o particulars sense autorització.
• En qüestions d’interès públic importanto per obligació legal No és necessari el consentiment de l’interessat per al trac-tament de dades.
• Elresponsabledetractamentnocedeixda-des al prestador de serveis, sinó que aquest actua en nom del responsable del fi txer.
• Comprova que hi ha un conveni o contrac-te amb empreses o institucions quan esde-venen prestadors de serveis (en els convenis hi ha d’haver clàusules de confi dencialitat i de seguretat de la informació que garantei-xen el respecte a les dades personals).
• Lesdadesdelscol·legiats són registres ac-cessibles al públic.
• Elsregistrespúblicsno són necessàriament registres d’accés general i oberts a la con-sulta pública. La seva descripció fa referèn-cia a l’àmbit públic de l’Administració i no al caràcter d’accés obert al públic.
•No se cediran dades a un tercer llevat que tingui el consentiment de l’interessat.
• Estigues al corrent de les novetats en la matèria (a través del web de l’APDA).
I. Àmbit d’aplicació
· Persones físiques
· Elements subjectius: Afectat o interessat (art 3.e) Responsable del fi txer (art. 3.d) Prestador de serveis
· Elements objectius: Dades de caràcter personal (art. 3.a) Tractament de dades (art 3.c) Fitxer (art. 3.b)
· Àmbit d’aplicació: Fitxers subjectes (art. 2) Fitxers no subjectes (art. 5,6 i 7)
· Fitxers amb disposicions específi ques: Fitxers de titularitat pública
II. Principis
· Principi de qualitat de les dades: adequació, pertinença i proporcionalitat (art. 10)
· Principi de consentiment de l’afectat
· Principi de les dades especialment protegides
· Principi de seguretat de les dades (art. 12)
· Principi de deure de secret
· Principi de limitació en la comunicació de dades
III. Drets
· Dret d’informació i consulta al Registre P. D.
· Dret d’accés
· Dret de rectifi cació, oposició i cancel·lació
· Dret d’indemnització
IV. Òrgan de control
· Creació i règim jurídic: Personal Recursos Pressupost
· El cap de l’Agència
· Els inspectors
· Funcions: Registre de Protecció de Dades Potestat d’inspecció (art. 41) Requeriments als titulars dels fi txers Potestat d’inspecció
V. Règim sancionador
· Responsables
· Tipus d’infraccions
· Immobilització de fi txers
Esquema de la Llei 15/2003 de 18 de desembre
I. MANUAL de l’APDA 3. Marc normatiu general
18 Manual de bones pràctiques. Funcionaris i cossos especials 19APDA
4Principis obligatoris de la protecció de dades en la recollida i el tractament de les dades personals
El responsable del fi txer ha de fer un tractament de les dades sota els següents requisits:
- Pertinença, adequació i fi nalitat.
- Compatibilitat.
- Veracitat.
- Actualització.
- Limitació temporal.
- Accés, rectifi cació, oposició i supressió.
- Legitimitat.
4.1. QUALITAT DE LES DADES
4.2. CoNSENTImENT DE L’AFECTAT
Requisits per tractar les dades
PERTINENÇA, ADEQUACIó I FINALITAT
LImITACIó TEmPoRAL
La informació que es recull ha de ser adequada, pertinent i no excessiva en relació amb l’àmbit i la fi nalitat establerts. La fi nalitat ha de ser deter-minada, explícita i legitima.
Les dades hauran de ser cancel·lades quan no sigui necessari conservar-les per a la fi nalitat per a la qual foren creades.
La fi nalitat defi neix el nivell d’adequació en la recollida de dades que es pretén realitzar, és a dir, quines dades poden recollir-se i quines no. La fi nalitat s’ha de defi nir prèviament complint els requisits de la LQPD i s’ha de declarar en la norma de creació del fi txer publicada en el BOPA. La recollida d’una determinada dada ha de ser pertinent, és a dir, apropiada per a la fi nalitat. Una recollida transparent suposa el compliment dels requi-sits de fi nalitat, adequació i pertinença.
ComPATIBILITAT
No podran ser usades les dades per a una fi na-litat incompatible.
La fi nalitat per la qual es recullen les dades ha de ser determinada i explícita. Així, havent previst el respon-sable del tractament una fi nalitat, està prohibit utilitzar les dades amb una altra fi nalitat incompatible amb la que va justifi car la creació del fi txer.
ACTUALITzACIó
Les dades inexactes o incompletes hauran de ser rectifi cades.
La conducta més apropiada del responsable del trac-tament és de confi gurar un sistema per garantir que les dades tractades s’actualitzaran periòdicament o bé es bloquejaran perquè no siguin utilitzades fi ns a la seva actualització.
Les dades personals tenen un cicle de vida. La fi nalitat indica el temps que es podran conservar.Les dades s’hauran de cancel·lar una vegada acom-plerta la fi nalitat del tractament. No obstant això, la supressió dóna lloc al bloqueig de les dades.
ACCÉS, RECTIFICACIó, oPoSICIó I SUPRESSIó
Les dades han de ser emmagatzemades de tal forma que l’interessat pugui exercir els seus drets d’accés, rectifi cació, oposició i supressió.
Cada administració ha de preveure un procediment per al compliment dels drets d’accés, rectifi cació, oposició i supressió.
LEGITImITAT
Està prohibida la recollida de dades de manera fraudulenta, deslleial o il·lícita.
La fi nalitat ha de ser determinada, explícita i legíti-ma. La recollida deslleial o enganyosa és aquella en què la informació s’obté de manera que s’indueix a l’error l’interessat respecte a la fi nalitat per a la qual es recullen les dades.
VERACITAT
Les dades seran exactes i posades al dia, han de refl ectir la situació real de la persona.
La llei exigeix que les dades responguin a la situa-ció actual.
Només amb el consentiment previ i inequívoc
de l’afectat es pot procedir al tractament de les
seves dades personals, excepte que una llei dis-
posi una altra cosa.
1. Característiques del consentiment:
• PREVI: L’interessat ha de donar el consentiment
amb anterioritat que les seves dades siguin trac-
tades, inclosa la simple recollida.
• INEQUÍVOC: El consentiment serà inequívoc
sempre que s’hagi donat compliment al principi
d’informació. Només quan el consentiment és
informat és inequívoc.
• REVOCABLE: El consentiment atorgat podrà ser
revocat per l’interessat en qualsevol moment.
2. Excepcions al consentiment :
a) quan el tractament de dades correspon a enti-
tats de naturalesa pública, sempre que es faci
amb les fi nalitats previstes en la norma o en la
decisió de creació del fi txer de dades personals;
b) quan el tractament de dades sigui necessari per
al compliment de les fi nalitats i les funcions
dels registres públics expressament regulats
per llei; [La fi nalitat de la recollida de les dades ha
de ser l’exercici d’una de les funcions pròpies de
l’Administració pública i, a més, ha d’estar inclosa
en l’àmbit de competències de l’òrgan de l’Admi-
nistració que fi gura com a responsable del fi txer.]
c) quan el tractament de les dades es faci d’acord
amb una llei; [La norma que eximeix la necessitat
del consentiment ha de tenir rang de llei, no es
pot admetre cap disposició amb un rang inferior.]
d) quan les dades objecte de tractament s’obtin-
guin de registres públics accessibles regu-
lats per llei;
e) quan sigui necessari per al compliment d’obli-
gacions contractuals establertes entre la per-
sona interessada i el responsable del tracta-
ment, o bé sigui necessari per al compliment, el
desenvolupament i el control d’altres relacions
jurídiques que es puguin establir entre la perso-
na interessada i el responsable del tractament;
[Es considera que l’acceptació i l’establiment
I. MANUAL de l’APDA 4. Principis obligatoris de la protecció de dades en la recollida i el tractament de les dades personals
20 Manual de bones pràctiques. Funcionaris i cossos especials 21APDA
d’una relació contractual implica el consenti-
ment per al tractament de les dades personals
de l’interessat, sempre que siguin necessàries
per al manteniment o el compliment de la relació
establerta. El consentiment està implícit en l’es-
tabliment de la relació.]
f) quan sigui necessari per a la salvaguarda de
l’interès vital de la persona interessada; [La
protecció d’un interès vital s’ha d’entendre quan
el tractament de dades resulti necessari per a la
prevenció o per al diagnòstic mèdic, la prestació
d’assistència sanitària o tractaments mèdics, o
la gestió de serveis sanitaris o d’assistència so-
cial; sempre que aquest tractament de dades es
faci per un professional sanitari subjecte al deure
de secret professional o per una altra persona
subjecta, així mateix, a una obligació equivalent.
Ha de prevaldre el dret a la vida o a la integritat
física per sobre del dret a la protecció de dades
personals o el dret a la intimitat.]
g) es faci exclusivament amb fi nalitats històriques
o científi ques, d’expressió artística o literària,
sempre que no hi hagi risc d’atemptat contra la
vida privada de les persones interessades.
Tant les excepcions al consentiment de l’interessat
com les relatives a les condicions legitimadores del
tractament de dades personals s’han d’entendre i
s’han d’interpretar sempre de manera restrictiva.
Necessita l’Administració pública el consentiment
per recollir i tractar dades personals?
Sí, l’Administració pública se sotmet al principi general i, per tant, és necessari que demaneu el consentiment inequívoc per recollir i tractar dades, i l’exprés i per escrit en casos de dades sensibles. Però la LQPD determina uns supòsits en què no serà necessari aquest consentiment, entre els quals es troba: les dades que es recu-llen per a l’exercici de les funcions prò-pies de l’Administració pública en l’àmbit de les seves competències.
Quan el tractament de dades és dut a ter-me segons les fi nalitats previstes en una norma de creació de fi txers publicada al BOPA, no cal el consentiment previ del ciutadà. Perquè aquest fi txer publicat al BOPA sigui vàlid i aplicable, l’Administració responsable del fi txer ha de tenir compe-tència legalment atribuïda en la matèria es-pecifi cada en la disposició.
RECoRDA!• Informa i demana el consentiment
quan sol·licitis i tractis dades de caràc-ter personal. I cal obtenir el consenti-ment de l’interessat, excepte en uns supòsits concrets en què es pot proce-dir sense consentiment previ.
•No facis servir les dades per a fi nali-
tats diferents respecte d’aquelles per a les quals es van recollir.
RECoRDA!
DADES DE SALUT
És necessari el consentiment per tractar les dades de salut?
Les dades de salut es poden tractar sense consentiment de l’interessat per a la preven-ció o per al diagnòstic mèdic, per a la presta-ció d’assistència sanitària o de tractaments mèdics, o per a la gestió de serveis sanitaris, sempre que les tracti un professional sanitari.
També es poden tractar sense consenti-ment per salvaguardar l’interès vital de la persona afectada o d’una altra persona (en cas que estigui incapacitada físicament o jurídica per donar-ne el consentiment).
Recorda els punts bàsics sobre la qualitat de les dades,el dret d’informació i el consentiment de l’interessat
Les dades que es recullen han de ser:
ADEQUADES · PERTINENTS · No ExCESSIVES · ExACTES · ACTUALITzADES
Les dades no es poden utilitzar per a fi nalitats incompatibles amb aquelles per a les quals s’han demanat.Està prohibida la recollida de dades per mitjans fraudulents, deslleials o il·lícits.
Qualitat de les dades
Per a l’obtenció de dades has d’informar el ciutadà sobre:
· LA IDENTITAT DEL RESPoNSABLE DEL FITxER ·
· LA FINALITAT DEL TRACTAmENT ·
· EL DESTINATARI DE LES DADES ·
· Com PoT ExERCIR ELS DRETS D’ACCÉS, RECTIFICACIó I SUPRESSIó ·
· EL DRET A No AToRGAR EL CoNSENTImENT I LES CoNSEQÜÈNCIES ·
Supòsits en què no caldrà informar el ciutadà:- El fi txer està recollit en una norma publicada al BOPA.
- Es tracta de fi txers públics que fan referència a matèries excloses de la LQPDo que disposen de normativa específi ca pròpia.
Dret d’informació
Cal obtenir sempre el consentiment INEQUíVoC de la persona interessada(excepte en supòsits concrets en què l’Administració pública pot procedir sense el consentiment).
El consentiment té un caràcter REVoCABLE.
Supòsits en què no caldrà el consentiment de l’interessat:- El tractament és necessari per preservar l’interès vital de la persona.
- El tractament de dades es fa d’acord amb una norma vigent.- És necessari per al compliment de les funcions i fi nalitats dels registres públics amb normativa específi ca.
- És necessari per al compliment d’obligacions contractuals entre l’interessat i el responsabledel fi txer o per a d’altres relacions jurídiques entre ambdós.
- El tractament és exclusivament amb fi nalitats històriques o científi ques o d’expressió artística o literària.(Per ampliar informació vegeu el quadre de la pàg. 23)
En el cas de dades sensibles cal el consentiment ExPRÉS i PER ESCRIT.
Consentiment de l’interessat
I. MANUAL de l’APDA 4. Principis obligatoris de la protecció de dades en la recollida i el tractament de les dades personals
22 Manual de bones pràctiques. Funcionaris i cossos especials 23APDA
4.3. DADES SENSIBLES
La Constitució d’Andorra recull el dret de la perso-
na a no manifestar-se sobre la ideologia, la religió
o les creences professades.
Les dades sensibles són aquelles dades relati-
ves a opinions polítiques, creences religioses,
pertinença a organitzacions polítiques o sin-
dicals, salut, vida sexual o origen ètnic de les
persones. Com a norma general, està prohibida
la creació de fi txers amb la fi nalitat exclusiva de
recollir o tractar dades sensibles.
Per tal de recollir dades sensibles necessites el
consentiment exprés i per escrit de l’interessat.
Els fi txers que contenen aquestes dades hauran
d’aplicar un nivell més elevat de protecció; és a
dir, els responsables del tractament hauran de tenir
especial cura en la recollida i la manipulació de les
dades sensibles.
El consentiment de la persona interessada per al
tractament o la comunicació de dades sensibles
no és necessari quan:
a) el tractament o la comunicació de dades sensi-
bles es faci per o entre entitats de naturalesa
pública, quan sigui estrictament necessari per
al compliment de les seves funcions i fi nalitats
legítimes, i quan es puguin incloure en les nor-
mes de creació dels fi txers de naturalesa pública
previstes en l’article 30 de la LQPD;
b) el tractament o la comunicació de dades sensibles
sigui necessari per al compliment de les fi nalitats
i les funcions dels registres públics, segons la
llei que en determina i en regula el funcionament;
c) es tracti de preservar l’interès vital de la perso-
na afectada;
d) les dades s’hagin obtingut de registres públics
accessibles segons la seva regulació;
e) el tractament o la comunicació de dades sensi-
bles relatives a la salut els facin professionals
mèdics, sanitaris o de treball social obligats a
respectar el secret professional i a assegurar la
confi dencialitat de tota la informació nominativa
i personal rebuda en el marc de l’exercici de la
seva praxi professional, i sigui necessari per a
la diagnosi i el tractament mèdic o l’assistència
sanitària o social;
f) el tractament o la comunicació de dades sen-
sibles relatives a la salut sigui necessari per a
la realització d’estudis epidemiològics o per a
la prevenció i tractament d’epidèmies, i que,
prèviament a la comunicació, les dades perso-
nals sensibles es converteixin en anònimes. En
cas que no sigui possible l’anonimització, s’han
d’aplicar els principis previstos en els articles 6 i
8.1 del Reglament de l’APDA, relatius a la quali-
tat de les dades i a les condicions especials de
tractament de dades sensibles, respectivament.
RECoRDA!
Dades sensibles:
• Dadesespecialment sensibles: dades re-latives a opinions polítiques, creences reli-gioses, pertinença a organitzacions políti-ques o sindicals, salut, vida sexual o origen ètnic de les persones.
• LaLQPD imposaunaprotecció addicio-nal (formes de consentiment, legitimitat de la recollida) a determinades categories de dades especialment sensibles.
• Les dades sensibles només poden serobjecte de tractament o de comunicació amb el consentiment exprés de la per-sona interessada.
•No es poden crear fitxers amb la finalitat exclusiva de recollida o tractament de dades sensibles.
• Tambéhihasupòsitsenquèno és neces-sari el consentiment de l’interessat per a dades sensibles (vegeu el quadre següent).
Excepcions al consentiment de dades no sensibles / dades sensibles
DADES No SENSIBLES DADES SENSIBLES
Tractament per entitats públiques segons normes de creació de fi txers
Normativa vigent Salut: no cal consentiment quan el tractament sigui fet per professionals mèdics/sanitaris/o de treball social per a diagnosi/tractament
mèdic/sanitari o social. Tampoc per a prevenció i tractament d’epidèmies.[Sí que cal consentiment en cas de
GESTIÓ de serveis mèdics]
Obligacions contractuals o altres relacions jurídiques
Tractament per entitats públiques segons normes de creació de fi txers
+ tractament sigui estrictament necessari per a compliment fi nalitat/funcions
Interès vital de l’interessat
Finalitats històriques/científi quesartístiques/literàries
Interès vital de l’interessat
I. MANUAL de l’APDA 4. Principis obligatoris de la protecció de dades en la recollida i el tractament de les dades personals
24 Manual de bones pràctiques. Funcionaris i cossos especials 25APDA
4.4. CoNFIDENCIALITAT I SEGURETAT
Com a responsable del tractament o, simplement,
com a usuari de dades, has d’aplicar unes mesu-
res de seguretat bàsiques per garantir la confi -
dencialitat de les dades personals.
En cas que hagis d’encarregar la totalitat o una
part del tractament de les dades a un prestador
de serveis (a un proveïdor extern, per exemple),
has d’exigir-li unes mínimes mesures tècniques i
organitzatives, en coherència a les que t’exigiries
tu mateix. De tota manera, has de tenir present que
la confi dencialitat i seguretat de les dades s’exigeix
de manera igual tant al responsable del fi txer com
a qualsevol prestador de serveis parcial o total.
En la teva tasca diària a l’Administració pública,
com a responsable o usuari de dades de caràc-
ter personal, has d’adoptar mesures de seguretat
apropiades per garantir la seguretat i la confi den-
cialitat de les dades i la intimitat dels ciutadans.
Alguns exemples recomanables de mesures de
seguretat bàsiques que cal emprar com a treba-
llador de l’Administració pública són:
• Destrueixelmaterialdigitalienpaperquecon-
tingui dades personals quan ja no cal preservar-
lo ni hi hagi cap norma que disposi el contrari.
Cal utilitzar els mitjans adequats per a una des-
trucció efectiva (màquines destructores de pa-
per i de CD i DVD).
• Enllocsd’atencióalpúblic,caltenircurad’es-
borrar / destruir les anotacions de dades per-
sonals en papers, post-it, etcètera que han estat
fetes per agafar temporalment dades de caràc-
ter personal. També has de llançar a les escom-
braries aquests papers o post-it.
• Norevelisdadesdecaràcterpersonalpervia
telefònica en presència d’una altra persona
externa que no tingui coneixement del deure
de secret i confi dencialitat de les dades de ca-
ràcter personal.
• Cal tenircurade lescòpiesdefitxers ide les
còpies de seguretat quan contenen dades de
caràcter personal. Cal portar un registre de les
còpies de CD o DVD.
• Caltenircuradelainformaciódesadaenqualse-
vol dispositiu digital mòbil, quan conté dades
de caràcter personal, susceptible de pèrdua o
robatori (memòries USB, PDA, mòbils, ordina-
dors portàtils, etcètera).
• Calferespecialatencióenel trasllat de docu-
mentació que contingui dades personals fora
del lloc de treball o, en qualsevol cas, no enviïs
informació que contingui dades de caràcter per-
sonal per dispositius informàtics ubicats fora de
l’ofi cina (exemple: fax extern, correu electrònic
que no sigui de la feina, etcètera).
• Enl’enviamentdecorreu electrònic, sobretot
en l’enviament massiu d’e-mails, cal tenir cura
que les adreces electròniques dels usuaris als
quals enviïs la informació no puguin ser vistes
pels destinataris (posa-les en còpia oculta). En
general, cal garantir la confi dencialitat dels en-
viaments de correus electrònics.
• Pel que fa l’ordinador com a eina de treball,
cal evitar la visualització o l’accés a dades per
part de persones externes. Convé disposar
d’una contrasenya per a l’accés a l’ordinador
i tenir cura de les dades que puguin aparèixer
en el teu monitor en el moment en què deixis
momentàniament el teu lloc de treball.
• Caltenircuradelesdadesdecaràcterpersonal
exposades a la taula de treball quan es pre-
senten visites.
•Custodia sota clau armaris i espais amb docu-
mentació relativa a dades de caràcter personal.
• Segueixunsprotocolsbàsicsdeseguretatenla
navegació per Internet, perquè des de la xar-
xa és possible la intrusió en el nostre sistema
informàtic per accedir a bases de dades (empra
tallafocs i sistemes de detecció d’intrusions,
actualitza els sistemes i els programes informà-
tics regularment, entre d’altres).
• Utilitzaformats de documents electrònics que
no es puguin modifi car fàcilment (per exemple:
.pdf en lloc de .doc).
• En cas de recollida de dades per telèfon que
requereixin consentiment de l’interessat, o en
cas de cessió de dades personals a altres enti-
tats, cal que informis l’interessat telefònicament
d’aquest tractament o cessió, i que li llegeixis
la clàusula informativa corresponent. No obs-
tant això, es recomana que el treballador inten-
ti sempre que el ciutadà deixi constància per
escrit del seu consentiment, ja sigui per mitjà
d’un formulari o per via telemàtica, perquè en
cas de reclamació de l’interessat a l’APDA, la
càrrega de la prova conforme s’ha actuat amb
diligència en el tractament de dades personals
la té sempre l’Administració.
EL DEURE DE SECRET
Tinc l’obligació de guardar secret?
Sí, en la teva tasca quotidiana de recollida i tractament de dades personals dels ciuta-dans has de respectar el deure de secret i confi dencialitat de la informació, fi ns i tot quan deixes d’ocupar el teu lloc de treball. També has de vetllar perquè els prestadors de serveis (empreses subcontractades que tractin dades personals) apliquin les mesures de seguretat per garantir aquesta confi dencialitat.La LQPD s’aplica amb caràcter addicional per a les activitats i professions sotmeses al secret professional.
Exemple: Professions amb secret pro-fessional: cossos de seguretat, advocats, metges, periodistes, etc.
I. MANUAL de l’APDA 4. Principis obligatoris de la protecció de dades en la recollida i el tractament de les dades personals
26 Manual de bones pràctiques. Funcionaris i cossos especials 27APDA
4.5. CESSIó DE DADES 4.6. ComUNICACIó DE DADES ENTRE ADmINISTRACIoNS PÚBLIQUES
És qualsevol cessió o comunicació de dades de
caràcter personal que el responsable del tracta-
ment dugui a terme en favor d’un tercer destina-
tari, sempre que les dades siguin utilitzades pel
destinatari per al compliment de fi nalitats direc-
tament relacionades amb les funcions legítimes
del cedent i del cessionari, amb el consentiment
previ de l’interessat.
Serà nul el consentiment per a la comunicació
de les dades de caràcter personal a un tercer
quan la informació que es facilita a l’interessat
no li permet conèixer la finalitat a la qual es des-
tinaran les dades o el tipus d’activitat d’aquell a
qui es comuniquen.
La comunicació de dades entre administracions pú-
bliques està permesa en les circumstàncies següents:
- Les dades de caràcter personal objecte de
tractament només podran ser comunicades a
un tercer per al compliment de fi nalitats relaci-
onades amb les funcions legitimes del cedent i
del cessionari, amb el consentiment previ i ine-
quívoc de l’interessat.
- La comunicació de dades entre administraci-
ons públiques és natural i necessària perquè
els serveis al ciutadà es prestin amb efi càcia,
com ordenen la Constitució Andorrana i les
lleis. No obstant això, aquesta comunicació no-
més està permesa quan concorren les situaci-
ons següents:
1) quan la comunicació de dades es faci per o
entre entitats de naturalesa pública, quan si-
gui estrictament necessària per al compliment
de les seves funcions i fi nalitats legítimes, i es
puguin incloure en les normes de creació dels
fi txers de naturalesa pública previstes en l’ar-
ticle 30 de la LQPD;
2) quan la comunicació de dades sigui neces-
sària per al compliment de les fi nalitats i les
funcions dels registres públics, segons la llei
que en determina i en regula el funcionament;
3) quan les dades s’hagin obtingut de registres
públics accessibles segons la seva regulació;
4) quan la comunicació de dades sensibles re-
latives a la salut la facin professionals mèdics,
sanitaris o de treball social obligats a respec-
tar el secret professional i a assegurar la con-
fi dencialitat de tota la informació nominativa i
personal rebuda en el marc de l’exercici de la
seva praxi professional, i sigui necessària per
a la diagnosi i el tractament mèdic o l’assis-
tència sanitària o social;
5) quan la comunicació de dades sensibles
relatives a la salut sigui necessària per a la
realització d’estudis epidemiològics o per a
la prevenció i tractament d’epidèmies, i que,
prèviament a la comunicació, les dades per-
sonals sensibles es converteixin en anònimes.
En cas que no sigui possible l’anonimització,
s’han d’aplicar els principis previstos en els
articles 6 i 8.1 del Reglament de l’APDA, rela-
tius a la qualitat de les dades i a les condicions
especials de tractament de dades sensibles,
respectivament.
La llei no permet les comunicacions de dades inter-
administratives i amb altres administracions d’una
forma indiscriminada. Aquesta limitació afecta to-
tes les formes d’organització tecnicojurídiques que
pugui adoptar l’Administració sense que importi si
tenen personalitat jurídica o no.
Per tant estan sotmesos a la llei els intercanvis de
dades entre les administracions següents:
- Govern d’Andorra
- Comuns
- Entitats parapúbliques (FEDA, Andorra Telecom,
CASS)
- RTVASA
- Cedasa
- Societats participades pel Govern
- Altres similars
I de totes aquestes entre si. Totes sense excep-
ció han de complir els requisits de comunicació
de dades.
La comunicació de dades d’un fi txer públic a un
fi txer privat només es podrà efectuar amb el con-
sentiment de la persona interessada.
Atenció! • No és cessió quan la comunicació de
dades a un tercer és necessària perquè aquest presti un servei al responsable de tractament. Aquest tercer s’anomena en aquest cas prestador de serveis.
Exemple: quan facilites les dades a una empresa subcontractada per fer un ser-vei a l’Administració no és una cessió.
• Lacomunicaciódedadesrecollidesderegistres accessibles al públic no po-drà efectuar-se a fi txers privats si no és amb el consentiment de l’interessat (o per norma legal).
RECoRDA!
• Enelcasdecessiódedadesa un tercer, ha d’existir consentiment previ de l’inte-ressat, excepte en uns supòsits concrets regulats a la LQPD, o quan aquest tercer és un prestador de serveis.
RECoRDA!
I. MANUAL de l’APDA 4. Principis obligatoris de la protecció de dades en la recollida i el tractament de les dades personals
28 Manual de bones pràctiques. Funcionaris i cossos especials 29APDA
1. Què és una comunicació internacional de
dades?
Qualsevol tractament de dades que suposi una
transmissió de dades fora del Principat d’Andorra.
2. Què he de fer per dur a terme una comunica-
ció internacional de dades?
Com a norma general no pots realitzar cap transfe-
rència internacional temporal o definitiva de dades
de caràcter personal amb destinació a països que
no proporcionin un nivell de protecció equivalent
al de la LQPD. Cal que ho consultis a l’Agència
Andorrana de Protecció de Dades (APDA), que és
l’organisme que vetlla perquè el país de recepció
de les dades tingui una legislació amb un nivell de
protecció equivalent al de la legislació andorrana.
3. Quins països tenen una protecció equivalent?
Els països amb un nivell de protecció equivalent a
Andorra són els països membres de la Unió Euro-
pea i els països declarats amb protecció equiva-
lent per la Comissió de les Comunitats Europees,
com per exemple Suïssa, Canadà, l’Argentina,
Guernsey, Israel o l’illa de Man. En el cas dels
EUA, cal que ho consultis a l’APDA. També pots
consultar-hi altres països declarats amb protecció
equivalent per l’Agència Andorrana de Protecció
de Dades (APDA).
4. Com valora l’APDA el nivell de protecció del
país en qüestió?
L’APDA avalua el caràcter adequat del nivell de
protecció que ofereix el país de destinació atenent
totes les circumstàncies que concorren en la trans-
ferència. En concret, l’organisme té en compte la
naturalesa de les dades, la finalitat i la durada del
tractament, el país d’origen i el país de destinació
final. També té en compte el contingut dels infor-
mes de la Comissió de la Unió Europea, així com
les normes de dret, generals o sectorials, i les me-
sures de seguretat en vigor del país en qüestió.
5. Quines excepcions permeten la transferència
internacional de dades a països tercers?
Hi ha excepcions en què es poden efectuar comu-
nicacions internacionals de dades encara que el
país de destinació no garanteixi, en la seva norma-
tiva vigent, un nivell de protecció equivalent al del
Principat d’Andorra. Per exemple, quan la transfe-
rència es faci amb el consentiment inequívoc de
la persona interessada o d’acord amb un conveni
internacional del qual el Principat d’Andorra formi
part. Tampoc no cal una protecció equivalent quan
la comunicació es realitzi a l’efecte d’auxili judi-
cial internacional o per a l’exercici d’un dret en el
marc d’un procediment judicial. Tampoc quan es
faci per a l’interès vital de l’interessat o per pre-
servar l’interès públic important.
Altres supòsits regulats en la LQPD són quan la co-
municació sigui necessària en cas d’existència de re-
lacions jurídiques o obligacions contractuals en-
tre l’interessat i el responsable del fitxer o amb motiu
de remeses bancàries o transferències de diners.
I, per últim, quan les dades provinguin d’un registre
públic, si la comunicació s’ha fet conforme a la
finalitat del mateix registre i a petició d’una perso-
na amb interès legítim, tampoc no caldrà observar
l’equivalència en la matèria del país de destinació.
4.7. PRESTADoRS DE SERVEIS 4.8. ComUNICACIó INTERNACIoNAL DE DADES
No es considera comunicació de dades l’accés ne-
cessari per a la prestació d’un servei per compte
del responsable del tractament.
La prestació de serveis de dades personals ha
d’estar regulada en un contracte que ha de cons-
tar per escrit o en alguna altra forma que permeti
acreditar-ne la concertació i el contingut, i s’hi ha
d’establir de manera expressa que el prestador
de serveis només ha de tractar les dades d’acord
amb les instruccions del responsable del tracta-
ment, i que no les pot aplicar ni utilitzar amb una
finalitat diferent de la que figura en el contracte
acordat ni comunicar-les a altres persones, ni tan
sols per conservar-les.
El contracte també ha d’estipular que, una vegada
acomplerta la prestació contractual, les dades de
caràcter personal s’han de destruir o restituir al res-
ponsable del tractament, i també qualsevol suport o
document en els quals consti alguna de les dades
de caràcter personal objecte del tractament.
El prestador de serveis ha d’aplicar les mesures
tècniques i organitzatives adequades per a la pro-
tecció de les dades personals contra la destrucció
accidental o il·lícita, la pèrdua accidental, i contra
l’alteració, la difusió i l’accés no autoritzats, en par-
ticular quan el tractament inclogui la transmissió
de dades dins una xarxa i contra qualsevol altre
tractament il·lícit de dades personals.
En cas que el prestador de serveis destini les da-
des a una altra finalitat diferent de la pactada, les
comuniqui o les utilitzi incomplint les estipulacions
del contracte serà considerat responsable del trac-
tament i haurà de respondre personalment de les
infraccions en les quals hagi incorregut.
I. MANUAL de l’APDA 4. Principis obligatoris de la protecció de dades en la recollida i el tractament de les dades personals
30 Manual de bones pràctiques. Funcionaris i cossos especials 31APDA
5 Drets dels ciutadans
El dret fonamental a la protecció de dades garan-
teix a les persones el poder de control de les seves
dades personals, el seu ús i la seva destinació. Cal
tenir present que tota persona física pot fer valer els
seus drets davant la persona, entitat o organisme
que té i tracta les seves dades. I, en cas que no
sigui atesa, pot presentar denúncia davant l’Agèn-
cia Andorrana de Protecció de Dades. Per garantir
aquest control sobre les seves dades, l’interessat
pot excercir els drets d’accés, rectifi cació, supres-
sió i oposició. La persona afectada pot consultar les
normes de creació publicades al BOPA per conèi-
xer qui és el responsable del tractament i sol·licitar
informació de les seves dades recollides als fi txers
públics (accés). Quan té constància que les dades
recollides són incompletes o són inexactes o inade-
quades, pot sol·licitar-ne la modifi cació (rectifi cació)
o, fi ns i tot, la cancel·lació (supressió).
1. Quines són les accions que pot exercir el titu-
lar de dades personals?
L’interessat pot exercir els drets d’accés, rectifi ca-
ció, cancel·lació o supressió, i oposició.
2. Com puc informar el ciutadà perquè sàpiga a
qui s’ha de dirigir per fer valer els seus drets?
La persona afectada pot consultar les normes de
creació publicades al BOPA per conèixer qui és el
responsable del tractament.
3. Quins són els drets que pot exercir?
L’interessat pot sol·licitar informació de les seves
dades recollides en els fi txers públics (dret d’ac-
cés). Quan té constància que les dades recollides
són incompletes o són inadequades, pot demanar-
ne la modifi cació (dret de rectifi cació) o, fi ns i tot,
la supressió (dret de cancel·lació). També pot de-
manar que cessi el tractament de les seves dades
o, directament, evitar que es dugui a terme (dret
d’oposició). Altres drets són el d’informació prèvia
(té dret a ser informat en el moment de la recolli-
da de dades) i el dret a indemnització per danys
a conseqüència de l’incompliment de la legislació
sobre protecció de dades. Però hi ha tota una sè-
rie d’excepcions a aquests drets que possibiliten
a l’Administració no haver d’informar l’interessat o
a denegar sol·licituds de rectifi cació, supressió o
oposició. Aquestes excepcions habilitades per la
llei cal tenir-les presents, perquè, entre d’altres co-
ses, agilitzen la tasca administrativa.
4. Quines són les propietats o característiques
fonamentals dels drets dels ciutadans en ma-
tèria de dades personals?
Els drets dels titulars de dades personals tenen tres
característiques comunes: tenen caràcter persona-
líssim, són independents l’un de l’altre, i són gratuïts.
- Caràcter personalíssim: només els pot exercir la
persona afectada i no hi ha possibilitat de delega-
ció o representació (excepte en casos de menors
d’edat i de declaració d’incapacitat, en què els pot
exercir el representant legal del menor/incapaç).
- Independents: l’exercici de cada dret pels inte-
ressats és independent l’un de l’altre; és a dir,
per sol·licitar-ne un no és necessari haver-ne de-
manat un altre prèviament.
- Gratuït: no es pot sotmetre, per part del respon-
sable de tractament, a cap formalitat ni al paga-
ment de les despeses que puguin correspondre.
1. Què he de tenir en compte a l’hora de reco-
llir dades?
En el moment de la recollida de les dades, la per-
sona interessada ha de ser sempre informada per
part del responsable o del seu representant de ma-
nera clara, expressa, precisa i inequívoca:
a) de la identitat i de l’adreça del responsable
del tractament i, si escau, del seu representant;
i de la fi nalitat del tractament de què seran ob-
jecte les dades sol·licitades;
b) dels destinataris o del tipus de destinataris de
les dades;
c) del caràcter obligatori o facultatiu de la respos-
ta a les preguntes que se li plantegin i del dret a no
atorgar el consentiment per al tractament de les
dades i de les conseqüències de no atorgar-lo;
d) de l’existència dels drets d’accés, rectifi cació,
oposició i cancel·lació de les seves dades, i de
com pot exercir-los.
2. Com ha de ser el consentiment de l’interessat?
El consentiment de la persona interessada respecte
a la recollida en general i, especialment, a la fi nalitat
de la recollida i als usos de les seves dades perso-
nals ha de ser previ i clarament informat, de tal
manera que la persona interessada sàpiga i enten-
gui inequívocament la fi nalitat i els usos als quals
es destinaran les seves dades objecte de recollida.
Si s’utilitzen qüestionaris o altres impresos per a la
recollida de les dades personals, han de consignar
clarament, detalladament i de manera llegible la in-
formació ressenyada en els epígrafs anteriors, així
com el consentiment de la persona interessada.
5.1. ASPECTES GENERALS
5.2. INFoRmACIó EN LA RECoLLIDA DE LES DADES
RECoRDA!
Els drets dels ciutadans en matèria de protecció de dades personals:• Sóndecaràcterpersonalíssim.• Sóngratuïts.• Sónindependentsl’undel’altre.
RECoRDA!
I. MANUAL de l’APDA 5. Drets dels ciutadans
32 Manual de bones pràctiques. Funcionaris i cossos especials 33APDA
3. Quina obligació tinc després d’haver reco-
llit les dades?
És obligació del responsable del tractament con-
servar el suport que contingui i demostri el com-
pliment del deure d’informar. Per a la consecució
d’aquest objectiu, pot utilitzar, també, mitjans in-
formàtics o telemàtics. En particular, pot escanejar
la documentació en suport de paper, sempre que
pugui demostrar que en l’automatització no ha in-
tervingut cap alteració dels suports originals.
En cas de dubte de la prova de l’existència del con-
sentiment de la persona interessada, la responsa-
bilitat recau sobre el responsable del tractament.
4. Com he de facilitar la informació al ciutadà?
En el moment de l’obtenció de les dades perso-
nals s’ha de facilitar la informació a l’interessat,
ja sigui per mitjà d’una clàusula informativa en
l’imprès o l’escrit que conté les dades, o bé mit-
jançant rètols, avisos, etcètera. Si el fi txer està
recollit en una norma publicada en el BOPA, s’en-
tendrà que la persona interessada ja n’està infor-
mada, però és pertinent informar-la de la ubicació
de la disposició en el BoPA o facilitar-li al màxim
l’accés a la informació.
1. Què és una decisió automatitzada?
La dada personal és una informació. Una o diver-
ses dades personals ens permeten fer avaluacions
i prendre decisions respecte a una persona. Quan
les avaluacions o decisions respecte a una per-
sona les realitza automàticament un programa in-
formàtic, estem davant una decisió automatitzada.
2. Situacions de tractaments automatitzats
Tota persona té dret a no veure’s sotmesa a una de-
cisió que produeixi efectes jurídics sobre ella o que
l’afecti de manera signifi cativa, que es basi únicament
en un tractament automatitzat de dades destinat a
avaluar determinats aspectes de la seva personalitat.
Una persona es pot veure sotmesa a una d’aques-
tes decisions quan:
a) s’hagi adoptat en el marc de la celebració o de
l’execució d’un contracte, sempre que la peti-
ció de celebració o d’execució del contracte
presentada per l’interessat s’hagi satisfet o que
existeixin mesures adequades per salvaguardar
el seu interès legítim, com la possibilitat de de-
fensar el seu punt de vista; o
b) estigui autoritzada per una llei que estableixi mesu-
res que garanteixin l’interès legítim de l’interessat.
3. Pot oposar-se la persona afectada a un trac-
tament automatitzat?
Si quan les valoracions automatitzades afecten
la persona, té dret a oposar-se a aquestes actu-
acions, impugnant els actes administratius que
valorin el comportament amb l’únic fonament de
fer una valoració automatitzada. A més, en tots els
casos té dret a obtenir informació del responsable
del tractament que va servir per adoptar la decisió
en què va consistir l’acte.
1. Què és?
Qualsevol persona interessada té dret a ser infor-
mada de manera intel·ligible pel responsable del
tractament de l’existència o de la inexistència del
tractament de dades que l’afecti; i té dret a rebre
informació, com a mínim, sobre la fi nalitat del trac-
tament o dels tractaments, les categories de dades
a què es refereixen i els destinataris o tipus de des-
tinataris als quals es comuniquen aquestes dades.
2. I en casos de tractaments automatitzats?
El ciutadà també té dret a rebre la comunicació, igual-
ment de manera intel·ligible, de les dades objecte dels
tractaments, i a conèixer tota la informació disponible
sobre l’origen de les dades. També té dret a conèixer
la lògica utilitzada en els tractaments automatitzats
de les dades referides a la persona interessada, al-
menys en els casos de les decisions automatitzades
previstes en l’article 15 del Reglament de l’APDA, re-
latiu a les decisions individuals automatitzades.
3. Termini
El responsable del tractament ha d’informar la
persona interessada dins un termini màxim de
cinc dies hàbils a comptar del moment en què
rebi la sol·licitud escrita i signada de la persona
interessada.
5.3. DECISIoNS INDIVIDUALS AUTomATITzADES
5.4. DRET D’ACCÉS
REQUISITS DE LA SOL·LICITUD Nom, cognoms i document identifi catiu o qualsevol altre vàlid en dret.
Petició expressa.
Domicili a efectes de notifi cacions, data, sig-natura de l’interessat i forma en què desitja que es faci efectiu l’accés a les seves dades.
REQUISITS DE FoRmA CoNTINGUT DE L’INFoRmE
L’Administració ha de resoldre la petició en el ter-mini de 5 dies, admetent o denegant la sol·licitud.
Si la resolució és positiva, l’Administració ha d’informar en la forma escollida per l’interessat.
Dades llegibles i intel·ligibles sense utilitzar claus o codis.
L’entrega de les dades és gratuïta.
S’ha de respondre fi ns i tot si no es disposa de dades de l’interessat.
A opció de l’interessat l’accés pot ser mitjan-çant visualització, escrit, còpia, telecòpia o
fotocòpia, o qualsevol altre procediment tecno-lògicament possible escollit pel responsable.
Ha de contenir totes les dades emmagatzemades de l’interessat.
S’ha d’informar de l’origen de les dades.
Els usos i les fi nalitats per als quals s’emmagatzemen les dades.
----------
----------
Ha de contenir les cessions realitzades a tercers, amb o sense consentiment de
l’interessat i les que es prevegin realitzar.
I. MANUAL de l’APDA 5. Drets dels ciutadans
34 Manual de bones pràctiques. Funcionaris i cossos especials 35APDA
4. mitjans
El responsable ha de facilitar la informació a tra-
vés dels mitjans que consideri més oportuns, ja
sigui mitjançant la visualització directa de les da-
des, ja sigui per enviament en format imprès, ja
sigui per qualsevol altra via que consideri conve-
nient, de tal manera, però, que la informació sigui
llegible i intel·ligible.
5. Denegació
El responsable de tractament només pot denegar el
dret d’accés en els supòsits previstos per la LQPD.
Tota denegació a l’accés a les dades l’ha de co-
municar el responsable, de manera expressa, a la
persona interessada dins un termini màxim de cinc
dies hàbils a comptar del moment de la recepció de
la sol·licitud escrita i signada de la persona interes-
sada, per escrit, i ha d’estar motivada. La denegació
de l’accés a les dades o la comunicació defectuosa
es pot recórrer davant la jurisdicció competent.
1. Què és?
Qualsevol persona interessada té dret a sol·licitar al
responsable del tractament que les dades que són
objecte de tractament es corregeixin si són errònies.
2. Denegació
El responsable només pot denegar aquest dret
de rectificació en els supòsits previstos en la Llei
15/2003, del 18 de desembre, qualificada de pro-
tecció de dades personals.
La denegació de la sol·licitud s’ha de contestar
per escrit, i s’ha de motivar; i es pot recórrer da-
vant la jurisdicció competent.
3. Càrrega de la prova
Per a l’exercici del dret de rectificació, el respon-
sable pot sol·licitar a la persona interessada que
aporti els documents necessaris per acreditar la
correcció i la realitat de les noves dades, i pot re-
butjar la sol·licitud si aquests documents no els ha
aportat la persona interessada o el seu represen-
tant o no acrediten la realitat de les noves dades.
4. Termini
En qualsevol cas, el responsable del tractament
ha de comunicar a la persona interessada la de-
negació de la sol·licitud, o la correcció efectiva de
les dades, dintre d’un període màxim d’un mes, a
comptar del moment en què rebi la sol·licitud de la
persona interessada, si la sol·licitud ja va acompa-
nyada de tots els documents necessaris per com-
provar la realitat i la correcció de les noves dades,
o a comptar del moment en què el responsable
rebi la totalitat d’aquests documents.
5. obligació de comunicació
Si les dades que són objecte de rectificació s’han
comunicat prèviament, el responsable del tractament
té l’obligació de notificar la rectificació al destinatari
a qui s’han comunicat, i aquest darrer, si manté el
tractament, també n’ha de dur a terme la rectificació.
1. Què és?
Qualsevol persona interessada té dret a oposar-se
que les seves dades siguin objecte de tractament
per part d’un responsable, quan aquest responsa-
ble no hagi obtingut les dades directament de la
persona interessada, o quan, malgrat que les hagi
obtingut directament de la persona interessada,
les dades siguin tractades i/o utilitzades amb fi-
nalitats i/o de manera diferent a la consentida per
la persona interessada. Així mateix, també quan la
persona interessada estigui en condicions d’es-
grimir interessos primordials i legítims relacionats
amb la seva situació particular.
2. obligació d’informació per part del destinata-
ri que rep comunicació de dades
Quan un destinatari de dades de caràcter personal
sigui objecte d’una comunicació de dades per part
d’un responsable del tractament, i dintre d’un pe-
ríode màxim de quinze dies hàbils a comptar del
moment en què rebi les dades, ha d’informar la per-
sona interessada de les circumstàncies següents:
a) identitat del nou responsable del tractament o,
si escau, del seu representant;
b) identitat de la persona física o jurídica de la
qual el nou responsable ha rebut les dades;
c) finalitat del tractament de les dades obtingudes;
d) destinataris o tipus de destinataris de les dades;
e) drets d’accés, rectificació i supressió de les se-
ves dades i com pot exercir-los.
3. Termini per oposar-s’hi
Dintre d’un termini màxim d’un mes des del
moment en què la persona interessada hagi es-
tat informada de les circumstàncies anteriors,
aquesta persona pot exercir el seu dret d’opo-
sició, sol·licitant al nou responsable del tracta-
ment la supressió de les seves dades. Si al final
d’aquest termini no ha exercit el seu dret d’opo-
sició, s’entén que consent al tractament per part
del nou responsable.
4. Quan no es pot exercir el dret d’oposició?
No es pot exercir el dret d’oposició quan la comu-
nicació de dades:
a) es faci entre entitats de naturalesa pública, i
aquesta comunicació s’estableixi en les normes
de creació de fitxers de naturalesa pública, i de
conformitat amb els principis relatius a la qualitat
de les dades;
b) sigui necessària per al compliment de les finali-
tats i les funcions dels registres públics expres-
sament regulats per llei;
c) es faci en compliment d’una norma vigent, o per
al compliment d’una norma vigent;
d) sigui necessària per al compliment d’obligacions
contractuals establertes entre la persona inte-
ressada i el responsable del tractament, o sigui
necessària per al compliment, el desenvolupa-
ment i el control d’altres relacions jurídiques que
hi pugui haver entre la persona interessada i el
responsable del tractament;
e) sigui necessària per preservar l’interès vital de la
persona interessada;
f) sigui requerida per a una ordre judicial.
5. Excepcions
a) Tanmateix, quan la persona interessada té co-
neixement provat que les seves dades personals
són tractades i/o utilitzades pel responsable del
tractament o pel prestador de serveis amb finali-
tats i/o de manera diferent a les que ha consen-
5.5. DRET DE RECTIFICACIó
5.6. DRET D’oPoSICIó
I. MANUAL de l’APDA 5. Drets dels ciutadans
36 Manual de bones pràctiques. Funcionaris i cossos especials 37APDA
tit, pot exercir el seu dret d’oposició, de franc,
sol·licitant per escrit al responsable del tracta-
ment la supressió de les seves dades.
b) Així mateix, la persona interessada té dret a opo-
sar-se, amb la prèvia petició i sense despeses, al
tractament de les dades de caràcter personal que
l’afectin, respecte de les quals el responsable pre-
vegi un tractament per a finalitats de màrqueting
directe o qualsevol altra forma de prospecció; o
a ser informada abans que les dades es comuni-
quin per primera vegada a tercers per a finalitats
de màrqueting directe, o s’utilitzin en nom seu a
l’efecte de prospecció; i al fet que se li ofereixi,
de manera expressa, el dret d’oposar-se, sense
despeses, a aquesta comunicació o utilització.
6. Denegació
La denegació al dret d’oposició s’ha de contestar
per escrit, i s’ha de motivar; i es pot recórrer davant
la jurisdicció competent.
1. Què és?
Qualsevol persona interessada té dret a sol·licitar
al responsable del tractament que les dades que
són objecte de tractament se suprimeixin.
2. Causes de denegació del dret de cancel·lació
El responsable pot denegar aquest dret de cancel-
lació en els supòsits següents:
a) quan la conservació de les dades sigui neces-
sària per al responsable del tractament, d’acord
amb la llei vigent;
b) quan la conservació sigui necessària per al com-
pliment de les finalitats legítimes del responsable,
dintre dels terminis màxims que, d’acord amb la
normativa vigent, siguin aplicables i, en qualsevol
cas, durant el termini màxim que sigui necessari
per a la finalitat prevista per al seu tractament;
c) quan la conservació sigui necessària en virtut de
les relacions jurídiques o de les obligacions con-
tractuals existents entre la persona interessada i
el responsable, o per al cas de possibles recla-
macions judicials o extrajudicials o obligacions
administratives derivades d’aquestes relacions
jurídiques o obligacions contractuals.
3. Termini
El responsable del fitxer disposa d’un termini màxim
d’un mes, a comptar del moment en què rebi la sol-
licitud de la persona interessada, per comunicar-li la
supressió efectiva de les dades o la denegació de la
seva sol·licitud, si escau alguna de les circumstàn-
cies indicades en el paràgraf anterior.
4. Efectes de l’acceptació dret de cancel·lació
L’acceptació de la petició de cancel·lació té per
efecte el bloqueig de les dades personals, que
s’han de conservar únicament per a la disposició
de les administracions públiques i dels tribunals
amb l’objecte d’atendre les possibles responsa-
bilitats relatives al tractament, durant el termini
de prescripció de les dades. Esgotat el termini,
se suprimiran.
5. Denegació
En qualsevol cas, davant de la denegació de la sol-
licitud, que s’ha de fer per escrit, i s’ha de motivar,
l’interessat pot presentar recurs contra la dita de-
cisió davant la jurisdicció competent.
6. obligació de comunicació
Si les dades que són objecte de supressió s’han
comunicat prèviament, el responsable del tracta-
ment té l’obligació de notificar la cancel·lació al
destinatari a qui s’han comunicat, i aquest darrer,
si manté el tractament, també n’ha de dur a ter-
me la cancel·lació.
1. Què és el dret a indemnització?
Els ciutadans que a conseqüència de l’incompli-
ment de la LQPD per part del responsable o encar-
regat del fitxer pateixin danys o lesions en els seus
béns o drets, podran ser indemnitzats.
2. Les administracions, com a responsables de
tractament, poden rebre sancions?
Sí. L’APDA és l’òrgan amb potestat sancionadora
que vetlla pel compliment de la regulació en la
matèria de protecció de dades. La LQPD conté,
en el capítol cinquè, les infraccions i sancions per
als incompliments per part de les administracions
públiques i, pel que fa als fitxers privats, també
per als incompliments de les persones físiques o
entitats privades.
3. A part de les sancions administratives, hi pot
haver responsabilitat civil per part dels res-
ponsables o encarregats dels fitxers?
Sí. Les sancions previstes per als responsables
i encarregats dels fitxers recollides en la LQPD
s’entenen sense perjudici de la responsabilitat ci-
vil en què puguin incórrer.
4. Davant de qui ha d’exercir el ciutadà el dret a
indemnització pels danys que ha sofert?
La LQPD reconeix el dret de les persones inte-
ressades a ser indemnitzades dels danys que
hagin patit a conseqüència de l’incompliment
de les obligacions que estableix la llei per part
dels responsables dels fitxers o dels encarre-
gats del tractament.
Els interessats poden interposar les accions legals
que creguin oportunes contra el responsable del
fitxer davant la jurisdicció ordinària pertinent.
Si es tracta d’un fitxer de naturalesa pública, cal
exercir una acció de reclamació de responsabili-
tat, d’acord amb el Codi de l’Administració, davant
l’Administració que en sigui responsable i, si es-
cau, davant la jurisdicció ordinària pertinent.
I si es tracta de fitxers privats, aquest dret ha de
ser exercit davant dels òrgans de la jurisdicció or-
dinària, és a dir, davant els jutges i tribunals que
siguin competents.
5.7. DRET DE CANCEL·LACIó o SUPRESSIó
5.8. DRET D’INDEmNITzACIó
Terminis de temps per contestar les sol·licituds dels interessats
DRET TERmINI QUI A ComPTAR…
Accés
Rectificació
oposició
Cancel·lació
5 dies hàbils
1 mes
1 mes
1 mes
Responsable del tractament
Responsable
Interessat
Responsable
Des de la sol·licitud per escrit de l’interessat.
Des de la sol·licitud de l’interessat si conté la docu-mentació pertinent o des del moment en què el res-ponsable del tractament rep tota la documentació.
Des del moment en què l’interessat és informat pel nou responsable del tractament.
Des de la sol·licitud per part de l’interessat.
I. MANUAL de l’APDA 5. Drets dels ciutadans
38 Manual de bones pràctiques. Funcionaris i cossos especials 39APDA
La LQPD distingeix els fi txers de naturalesa públi-
ca i els fi txers de naturalesa privada.
Els fi txers de naturalesa privada inscrits al Registre
públic d’inscripció de fi txers es poden consultar a
través de la pàgina web de l’Agència (www.apda.ad).
Els fi txers de naturalesa pública es poden consultar
mitjançant el Butlletí Ofi cial del Principat d’Andorra.
En cap cas l’APDA no disposa de les dades per-
sonals que són objecte de tractament. Únicament
té accés a les dades que descriuen el tractament
que s’està efectuant i la identitat del representant
d’aquest tractament.
La consulta del Registre és pública i gratuïta.
Les actuacions contràries al que disposa la
LQPD poden ser objecte de reclamació pels in-
teressats davant de l’APDA.
L’interessat a qui es denegui, totalment o par-
cialment, l’exercici dels drets d’accés, rectifi ca-
ció, cancel·lació o oposició podrà posar-ho en
coneixement de l’APDA, que iniciarà un proce-
diment administratiu d’acord amb les previsions
del Codi de l’Administració.
L’Administració podrà negar l’accés, la rectifi ca-
ció, la cancel·lació i l’oposició quan estiguin en
perill la defensa de l’Estat, la seguretat pública o
els drets d’altres persones. També quan es posin
en perill les investigacions que estiguin en curs o
els interessos legítims de l’interessat.
5.9. DRET DE CoNSULTA AL REGISTRE PÚBLIC D’INSCRIPCIó DE FITxERS
5.10. TUTELA DELS DRETS
RECoRDA!Drets d’accés, rectifi cació, supressió i oposició: aquests drets s’han d’exercir davant l’administració responsable del fi txer, és a dir, davant del departament corresponent de l’Administració pública que correspongui, segons el cas (Govern d’Andorra, comuns, Universitat d’Andorra, consorcis, etc.)
Dret d’accés: el responsable del fi txer ha d’informar el ciutadà de forma concreta de quines dades seves té, a qui les ha cedit i com les ha obtingut. El dret no és a informar genèricament, ja que el ciutadà pot consul-tar de manera general el fi txer al Registre públic d’inscripció de fi txers, sinó que és necessària una informació concreta.
Dret de rectifi cació: perquè l’interessat corregeixi les dades personals inexactes o incompletes. El responsable o encarregat
ha de comunicar a l’interessat la correcció efectiva de les dades o la denegació de la sol·licitud en un termini màxim d’1 mes.
Dret de supressió: quan l’interessat vol donar de baixa les dades personals in-necessàries o simplement per revocar el consentiment. El responsable o encarre-gat disposa d’un termini màxim d’1 mes per comunicar la supressió efectiva de les dades o la denegació de la sol·licitud.
Dret d’oposició: quan el responsable o en-carregat del fi txer no hagi obtingut les dades directament de l’interessat. Quan un desti-natari rep una comunicació de dades per-sonals té un termini màxim de 15 dies per informar l’interessat, i l’interessat té 1 mes des del moment en què rep la informació per sol·licitar la supressió de les seves dades al nou responsable o encarregat del fi txer.
Què són els registres públics:Tots els fi txers de dades personals el respon-sable del tractament dels quals sigui una en-titat pública, als quals les persones interessa-des estan obligades a facilitar les seves dades a efectes d’inscripció o a altres efectes.
Quins són els fi txers exempts: Són els relatius a matèries exemptes, com la seguretat de l’Estat i la investigació i preven-ció d’infraccions penals. També aquells fi txers
que contenen les dades empresarials d’esta-bliments comercials o les dels autònoms i col·legiats, sempre que les dades facin refe-rència a la seva activitat professional. No entra tampoc en l’àmbit d’aplicació de la LQPD quan el responsable del tractament si-gui una persona física i destini les dades a fi -nalitats exclusivament particulars, com ara les agendes personals o els directoris personals d’adreces i dades de contacte de persones re-lacionades amb el responsable del tractament.
I. MANUAL de l’APDA 5. Drets dels ciutadans
6 Subjectes obligats Fitxers
Fitxers de naturalesa privada
Abans de crear el fi txer, els responsables de tracta-
ment de dades l’han d’inscriure al Registre públic
d’inscripció de fi txers de dades personals seguint
el que preveu el Decret d’aprovació del Reglament
del Registre públic d’inscripció de fi txers de dades
personals, de l’1 de juliol del 2004.
6.1. LEGALITzACIó DE FITxERS
40 Manual de bones pràctiques. Funcionaris i cossos especials 41APDA
Fitxers de naturalesa pública
La creació, la modifi cació o la supressió del fi txer
de naturalesa pública s’ha de fer mitjançant la nor-
ma publicada per l’Administració pública, d’acord
amb els requisits establerts en els articles 30 i 31
de la Llei 15/2003, del 18 de desembre, qualifi cada
de protecció de dades personals.
La creació, modifi cació o supressió de fi txers de
naturalesa pública s’ha de dur a terme mitjançant
una norma de creació, que ha de ser aprovada per
l’entitat pública responsable del tractament, i que
ha de ser publicada al Butlletí Ofi cial del Principat
d’Andorra abans de la creació, la modifi cació o la
supressió del fi txer.
No és necessària l’aprovació d’una norma de cre-
ació de fi txer de naturalesa pública per a fi txers de
dades personals sota el control d’entitats de natu-
ralesa pública relatius a registres públics que dis-
posin de normativa pròpia, ni tampoc els que fan
referència a matèries excloses de l’àmbit d’aques-
ta llei, d’acord amb l’article 5.
Les normes de creació o modifi cació de fi txers de
naturalesa pública han de contenir, com a mínim,
la informació següent:
a) Finalitat del tractament del fi txer.
b) Fonts de les quals s’obtindran les dades de ca-
ràcter personal.
c) Tipologia de dades que contindrà el fi txer.
d) Comunicacions internacionals de dades que es
preveuen efectuar.
e) Altres entitats de naturalesa pública amb les
quals es preveu intercanviar dades personals als
efectes de la gestió del fi txer.
f) Identifi cació dels òrgans responsables del fi txer i
dels òrgans davant els quals es podran exercir els
drets d’accés, rectifi cació, supressió i oposició.
g) Descripció genèrica de les mesures tècniques i
d’organització que s’apliquin al tractament del
fi txer, d’acord amb l’article 12.
No s’han de notifi car els fi txers de naturalesa pú-
blica al Registre públic d’inscripció de fi txers, però
sí que, prèviament, és recomanable sol·licitar un
informe de l’APDA.
7.1. QUÈ ÉS?
7.2. PoTESTATS DE L’APDA
L’autoritat de control i les seves potestats
L’Agència Andorrana de Protecció de Dades
(APDA) és un organisme públic amb personalitat
jurídica pròpia i amb plena capacitat d’obrar. Actua
amb independència de les administracions públi-
ques i té atorgades funcions de compliment de la
legislació sobre protecció de dades.
Els òrgans de l’Agència són el cap i dos inspec-
tors, que depenen del cap. Els tres són designats
pel Consell General. En primera votació cal la ma-
joria qualifi cada dels consellers (les 2/3 parts) i, en
segona votació, és sufi cient amb majoria absoluta.
Són designats per a un període de quatre anys, amb
possibilitat de renovació al fi nal de cada període.
L’APDA es fi nança exclusivament de les partides
pressupostàries que anualment determina el pres-
supost del Consell General.
1. Quines són les potestats de l’APDA?
Són potestats de l’APDA vetllar pel compliment
de la LQPD; gestionar el Registre públic d’ins-
cripció de fi txers de dades personals; exercir la
potestat inspectora i de sanció; publicar anual-
ment la llista de països amb protecció equivalent;
proposar millores en la normativa de protecció de
dades personals, i elaborar una memòria anual de
la seva activitat.
L’APDA també haurà d’habilitar els mitjans telemà-
tics adients per a l’exercici de les funcions i per
facilitar l’exercici dels seus drets als ciutadans.
2. Què és la inspecció?
És l’exercici de la facultat de control per part de
l’APDA.
3. Qui la pot iniciar?
La pot iniciar d’ofi ci la mateixa Agència o per
sol·licitud de qualsevol persona interessada que
consideri que els seus drets han estat vulnerats
o que un responsable de fi txers ha incomplert
la LQPD.
7 L’Agència Andorrana de Protecció de Dades
I. MANUAL de l’APDA 7. L’Agència Andorrana de Protecció de Dades
NoRmA DE CREACIó DEL FITxER PÚBLICContingut que ha d’incloure:
· DENOMINACIÓ · FINALITAT
· FONTS · TIPOLOGIA
· COMUNICACIONS INTERNACIONALS
· IDENTIFICACIÓ D’ALTRES ENTITATS PÚBLIQUES AMB QUI S’INTERCANVIARAN
DADES PER GESTIONAR EL FITXER
· IDENTIFICACIÓ RESPONSABLE DEL FITXER
· MESURES TÈCNIQUES I ORGANITZATIVES
· ÒRGAN RESPONSABLE DEL TRACTAMENT
42 Manual de bones pràctiques. Funcionaris i cossos especials 43APDA
RECoRDA!
Pots consultar tota la legislació relativa a
la protecció de dades en el lloc web de
l’Agència Andorrana de Protecció de Dades
www.apda.ad
RECoRDA!
4. Estàs obligat a facilitar informació a un
inspector?
Quan rebis una sol·licitud per part d’un dels ins-
pectors de l’APDA estaràs obligat a subministrar-li
la informació demanada i a facilitar-li l’accés a les
dependències del teu departament i als recursos
informàtics o d’altre tipus.
5. Pots denegar informació a un inspector?
L’Administració responsable de tractament pot
denegar la informació si no hi ha l’autorització del
cap de l’APDA.
6. Qui pot imposar sancions?
L’APDA. Els inspectors remeten al cap de l’APDA
les propostes de sancions i el cap resol si escau
iniciar el procediment sancionador.
1. Quina fi nalitat té el Registre públic?
El Registre públic d’inscripció de fi txers és l’òrgan
de l’APDA al qual correspon vetllar per la difusió
de l’existència dels fi txers i el tractament de dades
de caràcter personal de naturalesa privada, amb
l’objectiu de fer possible l’exercici dels drets d’in-
formació, accés, rectifi cació i supressió de dades
regulades en els articles 15 i 22 a 24 de la LQPD.
2. Com el pot consultar el ciutadà?
L’APDA possibilita l’accés per mitjans telemàtics a
qualsevol interessat a través d’un motor de recerca
al seu lloc web, www.apda.ad.
3. Com gestiona l’APDA el Registre públic?
Els inspectors revisen les sol·licituds d’inscripció i
d’actualització de fi txers que s’adrecen a l’APDA.
Verifi quen si contenen els requisits generals dels
tractaments de fi txers privats i proposen al cap de
l’Agència de forma motivada l’acceptació o no de
les sol·licituds rebudes. El cap resol les propostes
d’acceptació o de rebuig d’inscripció, i n’informa
de manera motivada els responsables de fi txers.
L’APDA adequa la seva actuació al Codi de l’Ad-
ministració, les resolucions de la qual poden ser
impugnades conforme a la legislació en la matèria.
7.3. REGISTRE PÚBLIC D’INSCRIPCIó DE FITxERS DE DADES PERSoNALS
Preguntes i supòsits
II
1. FAQ: les preguntes més freqüents
2. Supòsits pràctics
3. Supòsits concrets
I. MANUAL de l’APDA
44 Manual de bones pràctiques. Funcionaris i cossos especials 45APDA
1 FAQ: les preguntes més freqüents
II. PREGUNTES i SUPÒSITS 1. FAQ: les preguntes més freqüents
1 Què és una dada personal?
És tota informació relativa o vinculada a per-
sones físiques identifi cades o identifi cables.
2 Quan he d’aplicar la Llei de protecció de
dades personals?
Quan hagis de fer qualsevol procediment de
recollida, gestió o comunicació d’informació
que contingui dades de caràcter personal
quedarà subjecte al règim de protecció de
les dades personals previst en la llei.
3 Hi ha dades que no cal que siguin protegides?
Sí, hi ha dades respecte de les quals no cal-
drà que compleixis la normativa, perquè són
dades que estan excloses de la LQPD.
4 Quines són les dades excloses de l’àmbit
d’aplicació de la llei?
Les excepcions són:
• lesagendespersonals,
• dadesdepersonaldepersonesjurídiques
o d’establiments comercials, i les matèries
relatives a la seguretat de l’Estat i a la inves-
tigació i prevenció d’infraccions penals.
5 Què és l’Agència Andorrana de Protecció
de Dades (APDA)?
L’APDA és l’autoritat de control que vetlla
pel compliment de la LQPD. L’Agència actua
amb plena independència i objectivitat.
6 L’APDA disposa de dades personals?
L’Agència no disposa de les dades personals
dels ciutadans, però sí de la informació neces-
sària per identifi car els responsables dels fi txers
i les fi nalitats per a les quals utilitzen les dades
contingudes en aquests fi txers, a través del Re-
gistre públic d’inscripció de fi txers de dades.
7 Si un ciutadà em pregunta si pot consultar
el registre, què li responc?
Que sí. A més, la consulta del Registre pú-
blic d’inscripció de fi txers de dades és lliu-
re i gratuïta.
8 on puc consultar la inscripció d’un fi txer?
Si és de naturalesa pública, al BOPA.
Si és de naturalesa privada, personalment a
l’APDA o a través de la pàgina web de l’orga-
nisme, www.apda.ad.
9 Els requisits de protecció són els matei-
xos per a tot tipus de dades personals?
Hi ha uns requisits mínims que són els ma-
teixos per a totes les tipologies de dades,
però s’aplica una protecció addicional (for-
mes de consentiment, legitimitat de la reco-
llida) per a dades especialment sensibles,
com ara les dades relatives a la ideologia,
l’afi liació sindical, la religió o les creences, i
dades relatives a l’origen racial, la salut o la
vida sexual de les persones.
10 Si sóc responsable del tractament de da-
des personals, què he de tenir en compte
principalment?
La LQPD regula les obligacions que els res-
ponsables del tractament han de complir en el
tractament de dades personals. Cal diferenciar
si ets un responsable de tractament d’un fi txer
públic o privat. En el primer cas, és necessari
publicar la norma de creació del fi txer al BOPA.
En el cas dels fi txers privats, hi ha l’obligació
de notifi car i declarar els fi txers de dades per-
sonals davant el Registre públic d’inscripció de
fi txers. Hi ha altres responsabilitats que s’han
de tenir en compte, com ara respondre les de-
mandes de les persones interessades respecte
de l’exercici dels drets d’accés, rectifi cació i
supressió en els terminis previstos en la LQPD,
entre d’altres obligacions contingudes en el
marc normatiu i recollides en aquest manual.
11 Què ha de saber un ciutadà en el moment en
què li demano dades de caràcter personal?
En el moment de la recollida de les dades és
obligatori informar la persona interessada de:
• l’existènciad’unfitxer,
• lafinalitatdelarecollidadelesdades,
• quinssónelsdestinatarisdelainformació,
• la identitat i l’adreçadel responsabledel
tractament, i
• lapossibilitatquetéd’exercirelsdretsd’ac-
cés, rectifi cació, cancel·lació i oposició, així
com davant de qui i on els pot exercir.
12 Com informo un particular si em pregunta
a qui hem comunicat o cedit les seves da-
des personals?
Pots consultar la disposició general de creació
o regulació del fi txer. En l’apartat de cessions
i transferències ha de constar la previsió si les
dades personals se cedeixen a tercers. La dis-
posició de creació del fi txer es pot conèixer per
mitjà de la consulta al BOPA. Per als casos que
no facin referència al teu departament o, fi ns i
tot, que no facin referència a l’Administració,
sinó que la consulta sigui sobre un fi txer privat,
pots orientar la persona interessada informant-
la que pot exercir el dret d’accés davant del res-
ponsable del fi txer que conté les seves dades.
Per fer-ho més fàcilment pot utilitzar el model
d’exercici del dret d’accés que l’APDA habili-
ta al seu portal web.
En cas que no obtingui resposta en els ter-
minis previstos per la llei, pot presentar una
denúncia davant l’APDA, que pot defensar
els drets de la persona interessada.
13 El règim de protecció de dades que es
recull en la LQPD també serveix per a les
dades personals a Internet?
Sí, s’aplica a totes les dades personals ob-
jecte de recollida o de tractament, i l’àmbit
d’Internet no n’està exclòs.
14 Quan he de tenir el consentiment de la
persona interessada per tractar les seves
dades personals?
Sempre es requereix el consentiment inequívoc
de la persona afectada, excepte quan el trac-
tament es faci d’acord amb una llei. Tampoc
no caldrà el consentiment inequívoc quan les
dades es recullin per a l’exercici de les funci-
ons pròpies de les administracions públiques
en l’àmbit de les seves competències; ni quan
es refereixin a les parts d’un contracte, negoci,
siguin necessàries per al seu manteniment o
compliment; tinguin com a fi nalitat protegir un
interès vital de la persona interessada, o tampoc
quan fi gurin en registres públics accessibles.
15 Quan és necessari que la persona doni el
consentiment exprés?
Caldrà que el consentiment sigui exprés quan es
tracti de dades especialment sensibles, relatives
a opinions polítiques, creences religioses, per-
tinença a organitzacions polítiques o sindicals,
salut, vida sexual o origen ètnic de les persones.
46 Manual de bones pràctiques. Funcionaris i cossos especials 47APDA
II. PREGUNTES i SUPÒSITS 1. FAQ: les preguntes més freqüents
16 Es poden suprimir les dades personals?
Sí, quan les dades són inexactes o incomple-
tes, o deixen de ser pertinents i necessàries
per a la finalitat per a la qual foren recollides
o tractades. De totes maneres, l’exercici del
dret de supressió comporta la cancel·lació
automàtica de les dades en tots els supòsits.
17 Si es rep una sol·licitud d’un particular per
suprimir les seves dades, hauran de ser
esborrades immediatament?
No, la mera sol·licitud presentada pel particular
no comporta la supressió de les dades, sinó
que caldrà atendre allò que disposa la norma-
tiva aplicable en matèria de conservació i arxiu
de les dades. La Llei estableix que han de ser
conservades durant els terminis que preveuen
les disposicions aplicables o, si escau, les re-
lacions contractuals entre la persona o l’entitat
responsable del tractament i l’afectat.
18 És possible recollir i tractar dades de
menors?
Sí, sempre que es realitzin d’acord amb el
que disposa la LQPD. En aquest sentit, entre
d’altres, sempre s’ha d’obtenir el consenti-
ment dels pares o tutors.
19 Qui pot dur a terme el tractament de da-
des personals?
Qualsevol persona física o jurídica que ne-
cessiti fer un tractament de dades ho pot
fer, respectant el marc normatiu de protec-
ció de dades de caràcter personal.
En el cas dels fitxers públics, poden tractar
dades personals els responsables de trac-
tament, usuaris de dades personals i pres-
tadors de serveis (persona física o jurídica,
pública o privada, o òrgan administratiu
que, sol o conjuntament amb altres, tracti
dades personals per compte del responsa-
ble del fitxer, com a conseqüència de l’exis-
tència d’una relació jurídica que l’hi vincula i
delimita l’àmbit de la seva actuació per a la
prestació d’un servei).
Els òrgans o les persones que tractin dades
personals de fitxers públics han de complir
uns requisits, marcats per la LQPD. El fitxer
públic ha d’estar publicat prèviament en
una disposició o norma al BOPA i l’Admi-
nistració que crea el fitxer ha de ser com-
petent en la matèria.
A més, la norma de creació que es publi-
qui al BOPA, o qualsevol disposició poste-
rior que la modifiqui, haurà d’incloure uns
punts bàsics, com ara la identificació i la
finalitat del fitxer; les fonts de les quals es
pretengui obtenir les dades, i la descrip-
ció dels tipus de dades personals. També
cal que en la norma de creació s’especifi-
quin les cessions de dades a tercers i les
transferències internacionals de dades (si
es preveuen), les mesures de seguretat,
el responsable del fitxer, i on es poden
exercitar els drets d’accés, rectificació,
cancel·lació i oposició.
20 Quan es poden tractar dades personals?
Es poden recollir dades personals i utilitzar-
les posteriorment si:
• lapersonainteressadahihadonatelseu
consentiment de manera inequívoca;
• eltractamentdedadesésnecessariperal
compliment de les finalitats i les funcions
dels registres públics, conforme a la seva
normativa;
• eltractamentesfad’acordambunanor-
ma vigent;
• el tractament de dades és necessari per
al compliment, el desenvolupament o el
control d’obligacions contractuals o ju-
rídiques entre la persona interessada i el
responsable del tractament (per exemple:
un préstec bancari);
• el tractament és necessari per preservar
l’interès vital de la persona interessada
(exemple: anàlisis de sang de la víctima
d’un accident de trànsit);
• el tractament es realitza exclusivament
amb finalitats històriques o científiques o
d’expressió artística o literària.
21 Quan es poden tractar les dades sensibles?
Només poden ser objecte de tractament o
de comunicació amb el consentiment exprés
de la persona interessada. No es poden crear
fitxers amb la finalitat exclusiva de recollida o
tractament de dades sensibles.
22 Com s’han de crear els fitxers?
En primer lloc i abans de la creació, modifica-
ció o supressió de fitxers, s’ha de publicar al
BOPA la norma de creació, que ha de conte-
nir, com a mínim, la informació següent:
• finalitatdeltractamentdelfitxer;
• fontsdelesqualss’obtindranlesdadesde
caràcter personal;
• tipologiadelesdadesquecontindràelfitxer;
• comunicacions internacionals de dades
que es preveuen efectuar;
• altres entitats de naturalesapública amb
les quals es preveu intercanviar dades
personals a l’efecte de la gestió del fitxer;
• identificaciódelsòrgansresponsablesdel
fitxer i dels òrgans davant els quals es po-
dran exercir els drets d’accés, rectificació,
supressió i oposició;
• descripció genèrica de les mesures tèc-
niques i d’organització que s’apliquin al
tractament del fitxer;
• un cop publicada la norma de creació
al BOPA es pot procedir a la creació del
fitxer.
23 Quins són els drets de les persones inte-
ressades?
Les persones interessades tenen dret a:
• serinformadesenelmomentdelarecolli-
da de les dades (dret d’informació);
• accediralesdadesquetél’Administració
o una empresa sobre elles (dret d’accés);
• sol·licitar lacorreccióde les sevesda-
des personals si són inexactes (dret de
rectificació);
• sol·licitarquelessevesdadessiguinsupri-
mides (dret de supressió);
• oposar-sealtractamentsilessevesdades
personals no les han facilitades elles ma-
teixes directament (dret d’oposició);
• responsabilitatcivilperincomplimentdela
llei per part del responsable de tractament
(dret d’indemnització).
48 Manual de bones pràctiques. Funcionaris i cossos especials 49APDA
2 Supòsits pràctics
II. PREGUNTES i SUPÒSITS 2. Supòsits pràctics
RECOLLIDA DE DADES
Supòsit 1. Recollida de dadesSupòsit 2. Recollida de dades sensiblesSupòsit 3. Recollida de dades personals de menors
CONSENTIMENT I CESSIÓ DE DADES
Supòsit 4. ConsentimentSupòsit 5. Deure de secretSupòsit 6. Cessió de dades entre administracionsSupòsit 7. Cessió de dades a tercersSupòsit 8. Cessió de dades sense consentiment
FITXERS PÚBLICS
Supòsit 9. Norma de creació de fi txers
DRETS DELS INTERESSATS
Supòsit 10. Dret d’accésSupòsit 11. Dret d’informació Supòsit 12. Dades personals als mitjans de comunicació
COMUNICACIÓ INTERNACIONAL
Supòsit 13. Comunicació internacional de dades
505152
5354555656
57
5858 58
60
24 Com a responsable del fi txer puc imposar
condicions als interessats en l’exercici
dels seus drets?
De cap manera. L’exercici dels drets d’accés,
rectifi cació, supressió i oposició no es pot
sotmetre per part del responsable del fi txer
a cap formalitat ni al pagament per part de
la persona interessada de les despeses que
poguessin correspondre.
25 Pot un tercer exercir els drets de l’interes-
sat encara que siguin parella o matrimoni?
No. L’exercici dels drets és personal i només
el pot exercir la persona interessada. Com
a norma general, recorda que sempre cal el
consentiment de l’interessat.
26 Quins requisits s’han de complir per a una
comunicació internacional de dades?
No es poden efectuar comunicacions inter-
nacionals de dades quan el país de desti-
nació de les dades no estableixi, en la seva
normativa vigent, un nivell de protecció per a
dades de caràcter personal equivalent, com
a mínim, al que està establert en la LQPD.
27 Quins països tenen una protecció equi-
valent?
• ElspaïsosmembresdelaUnióEuropea.
• ElspaïsosdeclaratsperlaComissiódeles
Comunitats Europees com a països amb
protecció equivalent:
- Suïssa, Canadà, Argentina,
- els territoris de Guernsey i l’illa de Man,
- en el cas dels EUA, cal consultar l’APDA.
28 I en els casos en què es vulgui efectuar
una comunicació amb un país sense pro-
tecció equivalent?
Aleshores correspondrà a l’APDA, a iniciativa
i consulta prèvia del responsable de tracta-
ment, confi rmar la validesa o no de les comu-
nicacions internacionals.
50 Manual de bones pràctiques. Funcionaris i cossos especials 51APDA
Supòsit pràctic 1. Recollida de dadesInscripció als cursos i tallers de la Llar de Lòria del Comú de Sant Julià de Lòria
Supòsit pràctic 2. Recollida de dades sensiblesInscripcions al Centre Esportiu Els Serradells del Comú d’Andorra la Vella
1.1. El mateix treballador pot omplir directament un formulari a instància de l’interessat de manera presen-cial; també pot facilitar un formulari en paper o que la persona ompli un qüestionari en línia, a través del web del Comú de Sant Julià de Lòria. Per dur a terme el for-mulari, el treballador ha de tenir en compte els principis de qualitat de les dades. Només podrà recollir aquelles dades que siguin adequades, pertinents i no excessi-ves en relació amb l’àmbit i la finalitat per a la qual es recullen (participar en un taller/curs cultural). Cal aclarir que abans de qualsevol acció el Comú de Sant Julià de Lòria, per poder demanar aquestes dades, ha d’haver publicat la norma de creació del fitxer al BOPA.
1.2. Les dades que es poden sol·licitar són:- Identificatives: Sí
En principi, és possible recollir totes les dades de caràcter identificatiu, excepte aquelles que són desproporcionades per a la finalitat del fitxer, com ara les empremtes o l’ADN.Nom i cognomsTelèfon de contacte (És lícit recollir el telèfon de contacte personal per a finalitats pròpies del curs, per si es necessita contactar amb l’interessat per fer algun canvi d’horari o anul·lar alguna classe.)Número de passaport / DNIAdreça postalFotoAdreça electrònica (Per enviar informació relativa al taller, com ara material de suport, o per contactar amb l’interessat.)
- Personals: Sí/NoEdatData de naixementEn aquest cas, per a l’àmbit en qüestió, serien in-necessàries altres dades personals, com ara l’es-tat civil o les característiques físiques de la perso-na interessada.
- Laborals: No/SíDades com el lloc de treball serien innecessàries, ex-cepte si fossin cursos/tallers exclusius en funció de la situació laboral (exemple: cursos subvencionats per a aturats, o altres de similars, per a funcionaris, etc.).
- Dades econòmiques: No/SíNomés seria pertinent recollir dades bancàries com el número de compte en cas que fossin cursos/ta-llers de pagament i si l’interessat escollís expres-sament fer l’abonament per mitjà de rebut bancari emès per l’administració comunal. Totes les altres dades (ingressos, rendes, hipoteques, etc.) no són adequades ni pertinents en aquest àmbit i finalitat.
- Dades especialment protegides: NoDades sobre salut, ideologia, religió o orientació sexual necessiten requeriments especials i no es poden reco-llir ni tractar en aquest àmbit ni per a aquesta finalitat. (Exigeixen requeriments especials per a la recollida.)
1.3. En la recollida de dades, haurem d’informar l’interes-sat que les dades sol·licitades es demanen per incloure-les en un fitxer de dades que té com a finalitat la parti-cipació en el curs/taller en qüestió, que el destinatari de les dades és la mateixa Llar de Lòria i la identitat del res-ponsable de tractament. A més, se l’haurà d’informar de com pot exercir els seus drets (accés, rectificació i cancel-lació). Tota aquesta informació s’ha de donar a l’interessat en el moment de l’obtenció de les dades, ja sigui per una llegenda (clàusula de privadesa) en el mateix imprès o bé per altres mitjans (avís, rètol; en cas d’obtenció de dades per telèfon, s’ha de llegir la clàusula informativa per telèfon al ciutadà) que informin clarament la persona interessada.
1.4. En el moment de la inscripció del formulari cal el consentiment inequívoc del participant en el curs/taller (no cal exprés), que queda implícit en el moment d’omplir el formulari. El consentiment de l’interessat és revocable en qualsevol moment.
2.1. És una dada que fa referència a l’orientació se-xual, per tant és una dada especialment protegida, de les anomenades dades sensibles, aquelles relatives a opinions polítiques, creences religioses, pertinença a organitzacions polítiques o sindicals, salut, vida sexu-al o origen ètnic de les persones.
2.2. En afrontar aquesta decisió has de saber que les dades sensibles només es poden tractar quan, per raons d’interès públic important, ho disposi una llei o l’interessat hi doni el consentiment exprés i per escrit. A més, els fitxers que contenen aquestes da-des hauran d’aplicar un nivell més elevat de mesures de seguretat. Demanar aquesta dada no és per-tinent i és excessiva en l’àmbit en concret (usu-aris d’un centre esportiu) i amb la finalitat amb què s’obtenen les dades d’aquest fitxer. Per tant no és possible incloure aquesta qüestió en el formulari d’inscripció. Una via per solucionar-ho seria realitzar una enquesta anònima entre tots els usuaris del cen-
tre esportiu perquè valoressin la viabilitat d’aquesta iniciativa. Un cop feta l’enquesta, es podria valorar continuar o no amb la iniciativa.
2.3. Exemple de clàusula informativa“De conformitat amb la Llei 15/2003, del 18 de de-sembre, qualificada de protecció de dades personals, s’informa la persona interessada que les seves dades personals passaran a formar part del fitxer Usuaris del Centre Esportiu Els Serradells, gestionat per la conselleria d’Esports del Comú d’Andorra la Vella, la finalitat del qual és dur el control dels usuaris del centre esportiu comunal i que té com a destinatari d’aquesta informació el Comú d’Andorra la Vella. Així mateix s’informa la persona interessada que l’adreça on es poden exercir els drets d’accés, rectificació, supressió i oposició és davant el Comú d’Andorra la Vella, plaça Príncep Benlloch, número 1. És obligació de l’usuari mantenir actualitzades les dades de forma que corresponguin a la realitat en cada moment.”
1.1. Com hem de demanar les dades de caràcter personal?1.2. Tipologia de dades que cal incloure-hi.1.3. Cal informar-ne l’interessat?1.4. Cal el consentiment de l’interessat?
2.1. A quina tipologia fa referència la nova dada?2.2. Com soluciones aquesta situació?2.3. Exemple de clàusula que posaries en el formulari per informar l’usuari dels seus drets.
La Llar de Lòria formalitza la inscripció dels participants en un dels seus tallers culturals. Necessita recollir dades personals dels participants, amb la qual cosa procedeix a l’elaboració d’un formulari d’inscripció.
El teu cap t’informa que d’ara endavant en la sol·licitud d’inscripció l’usuari del centre haurà d’omplir una casella en la qual indiqui la seva orientació sexual, perquè en funció de les persones homosexuals que hi hagi registrades es mirarà d’habilitar nous vestidors, com s’està fent en centres esportius de països nòrdics, segons manifesta el teu superior.
II. PREGUNTES i SUPÒSITS 2. Supòsits pràctics
52 Manual de bones pràctiques. Funcionaris i cossos especials 53APDA
Supòsit pràctic 3. Recollida de dades personals de menorsActivitats Espai Jove d’Encamp
Supòsit pràctic 4. ConsentimentResponsable fitxer - prestador de serveis. Diplomes dels graduats de la Universitat d’Andorra
3.1. Sí, sempre cal el consentiment patern o dels tutors legals per tractar dades de caràcter personal de menors d’edat. Si són majors d’edat, poden consentir per ells mateixos.
3.2. Com totes les persones, els menors d’edat també poden exercir els drets de rectificació, supressió i oposi-ció davant el responsable del fitxer, o el d’indemnització davant la jurisdicció pertinent. No obstant això, malgrat que els drets personalíssims només els pot exercir la persona interessada, en el cas dels menors d’edat se-ran els pares o tutors legals els que hauran d’interposar les diferents sol·licituds en representació seva. Caldrà representació per als menors fins que aquests arribin a la majoria d’edat marcada per la legislació andorrana, és a dir, fins que no compleixin els 18 anys. Igualment, en el cas dels incapacitats, seran les persones que osten-ten la seva representació legal les que hauran de cursar qualsevol sol·licitud en nom dels incapacitats.
3.3. En dirigir-nos a aquest col·lectiu per a la recolli-da i el tractament de dades per a les activitats de l’Es-pai Jove hem d’utilitzar un llenguatge senzill i no se’ls pot demanar dades de caràcter personal de l’entorn familiar. També hem de tenir encara més cura amb els principis de qualitat de dades, com per exemple que siguin dades actualitzades (la variabilitat és més alta en aquestes edats, com per exemple en les fotogra-fies), perquè responguin amb veracitat a la situació actual del menor. També que les dades siguin supri-mides quan deixi d’acudir a l’Espai Jove per canvi de residència a una altra parròquia o per la causa que sigui (quan deixin de ser necessàries per a la finalitat per a la qual haguessin estat obtingudes).
4.1. No, la Universitat no haurà de demanar de nou el consentiment als seus alumnes perquè no existeix cessió de dades entre la Universitat i l’em-presa privada. En aquest cas la impremta és el prestador de serveis.Universitat d’Andorra = responsable de tractament.Impremta = prestador de serveis (sempre que hi hagi un conveni o un contracte).Alumnes = interessats.
4.2. No, la impremta no pot usar les dades dels graduats per enviar-los informació comercial perquè les dades facilitades només poden respondre a la fi-nalitat per a la qual es van obtenir, és a dir, el tracta-ment en l’àmbit de la docència i, en aquest cas con-cret, la finalitat és inscriure els noms dels graduats
en els diplomes. Un cop finalitzada la prestació dels serveis, la impremta haurà de retornar el material o procedir-ne a la destrucció efectiva.
4.3. Sí, aleshores no només la impremta sinó qualse-vol altra empresa podria enviar-los informació comer-cial perquè aleshores serien dades públiques obtingu-des a través d’un registre públic accessible (col·legis professionals). De tota manera, sempre estarien limi-tats a usar exclusivament les dades que són públiques a través dels col·legis professionals. No obstant això, tant la impremta com qualsevol altra empresa ha de tenir en compte que el col·legiat quan s’inscriu en el col·legi professional i fa públiques les seves dades professionals té la potestat de demanar expressament que no se li remeti informació comercial.
3.1. Cal el consentiment dels pares per tractar les dades dels menors?3.2. Pot el menor fer ús de l’exercici dels seus drets personals?3.3. En l’àmbit del menor, què hem de tenir en compte?
4.1. Ha de demanar la Universitat d’Andorra consentiment als seus alumnes per facilitar el seu nom i cognom a la impremta?4.2. Pot la impremta usar els noms i cognoms dels graduats per enviar informació comercial dels serveis que ofereix?4.3. I si després alguns dels graduats s’inscriuen en un col·legi professional? Podria la impremta enviar-los informació comercial?
L’Espai Jove d’Encamp recull i tracta dades de caràcter personal dels adolescents que aprofiten les instal·lacions del centre i participen en les seves activitats. Tots són menors d’edat (participació limitada a adolescents de 12 a 17 anys).
La Universitat d’Andorra ha de guardonar els llicenciats i diplomats dels seus títols oficials, amb la qual cosa facilita la seva base de dades dels alumnes graduats en aquest any acadèmic a la impremta que, per mitjà de convocatòria pública, elabora els diplomes.
II. PREGUNTES i SUPÒSITS 2. Supòsits pràctics
54 Manual de bones pràctiques. Funcionaris i cossos especials 55APDA
Supòsit pràctic 5. Deure de secretRegistre en línia dels ciutadans al lloc web del Comú d’Escaldes-Engordany
5.1. Cal aclarir que el Comú d’Escaldes-Engordany, per poder demanar aquestes dades a través del seu web, en primer lloc haurà hagut de publicar la norma de creació del fitxer al BOPA. Com en el supòsit pràctic 4, no hi ha cessió de dades de l’Administració a una empresa privada, sinó que aquesta és la prestadora de serveis, però el responsable de tractament segueix sent el Comú. En cas que hi hagués cessió de dades, caldria el consentiment del ciutadà excepte en els ca-sos previstos en la LQPD. Però com que l’empresa informàtica és prestadora de serveis no cal el consenti-ment perquè els informàtics puguin recollir i tractar les dades sempre que ho facin segons les especificacions rebudes del responsable, en aquest cas el Comú.Responsable del fitxer = Comú d’Escaldes-EngordanyPrestador de serveis = empresa informàticaInteressat = usuari en línia del web del comú
5.2. Resposta c. Totes les entitats/empreses que par-ticipen en el procés tenen el deure de secret i de garan-tir la confidencialitat de les dades de caràcter personal recollides i tractades, tant el responsable com tots els prestadors que hi hagi (si són prestacions parcials per
part de diverses empreses). El responsable del tracta-ment ha d’establir les mesures tècniques i organitzatives necessàries per garantir la confidencialitat i la segure-tat de les dades personals. En el cas que ens ocupa, com que s’ha encarregat la totalitat del tractament a un prestador de serveis (l’empresa informàtica), el Comú ha d’exigir-li unes mínimes mesures tècniques i organitza-tives (en coherència a les que s’exigeix la mateixa cor-poració en tractaments propis o de naturalesa anàloga).
5.3. SÍ: podem sense problemes posar-ho com a camp obligatori en el formulari en línia. Nom i cognoms SíEmpresa on treballa FoRA DE L’ÀMBITAdreça postal oPCIoNALEstat civil NoTelèfon oPCIoNALMalalties conegudes No (és una dada sensible!)Foto NoPartit polític al qual va votar el ciutadà les passades comunals. No (és una dada sensible!)Preferències (cine, música, etc.) No o oPCIoNAL (segons la finalitat).
Sí: Dada idònia, correcta per demanar-laNo: és una dada innecessària o excessiva per a l’àmbit i la finalitat per a la qual es fa la recollida de dades.oPCIoNAL: és una dada que es pot demanar, però per a la finalitat que té aquesta obtenció de dades (simplement registrar-se com a usuari d’un lloc web) no cal. Per tant, es pot posar com un camp facultatiu que podrà omplir l’usuari, però no obligatori.FoRA DE L’ÀMBIT: no són dades de caràcter personal (un altre tipus de dades, fins i tot comercials, etc.) i per tant estan fora de l’àmbit de regulació de la LQPD, amb la qual cosa s’haurà d’atendre la seva regulació específica.
5.1. Cal el consentiment del ciutadà que s’inscriu en línia perquè el comú faciliti les dades a l’empresa informàtica?5.2. En aquest cas, qui té el deure de secret? a) el comú? b) l’empresa informàtica? c) totes dues?5.3. L’empresa informàtica ja té enllestit el “software” d’aplicació i ha posat els següents camps en el formulari d’obtenció de dades, que has de revisar. Digues quines d’aquestes dades són pertinents i quines excessives: Nom i cognoms - Càrrec / empresa on treballa - Adreça postal Estat civil - Telèfon - Malalties conegudes - Preferències / gustos (cine, música, etc.) - Foto - Partit polític al qual va votar el ciutadà les passades comunals.
El Comú d’Escaldes-Engordany vol crear al seu lloc web www.e-e.ad un apartat per a usuaris destinat als ciutadans perquè puguin tenir una àrea exclusiva on puguin fer diferents tràmits en línia, puguin rebre informació del comú, incentivar la participació ciutadana, etc. Una empresa informàtica, després d’un procés de convocatòria pública, s’encarregarà de recollir les dades per mitjà d’un formulari en línia i gestionar el fitxer de comptes d’usuaris registrats.
Supòsit pràctic 6. Cessió de dades entre administracionsSol·licitud per llogar un pis de la Borsa d’Habitatge. Cessió de dades a d’altres departaments i ministeris del Govern d’Andorra i a la CASS
6.1. A part de les dades identificatives, calen al-tres tipus de dades més protegides, com ara l’estat civil o les dades economicofinanceres (ingressos econòmics anuals, béns patrimonials…), necessà-ries per avaluar les candidatures per optar als pi-sos de lloguer subvencionats pel Govern. En cap cas, però, no es requeriran les anomenades dades sensibles (relatives a la salut, la religió professada, l’orientació sexual, etc.).
6.2. Les dades economicofinanceres aportades per la Maria han de ser verificades pel ministeri per tal de poder atorgar l’ajut, amb la qual cosa es reque-reix remetre aquestes dades de caràcter personal a d’altres departaments diferents del d’Habitatge, res-ponsable del fitxer (cessió de dades). La legislació en la matèria obliga a demanar el consentiment de la persona interessada en cas de cessió de dades, tot i que s’indiquen una sèrie d’excepcions, recollides en la LQPD. Per tant, en aquest cas sí que cal el consentiment de l’interessat.
6.3. En el formulari ja s’ha de preveure el consen-timent de l’interessat per al cas de comunicació de dades entre administracions. No obstant això, en el cas que ens ocupa, la Maria omple la sol·licitud per llogar un habitatge de la Borsa d’Habitatge, el model T-047, i aporta la documentació necessària. El model de sol·licitud, com molts altres models de les mateixes característiques de l’Administració central, inclou una clàusula de consentiment de comunicacions de dades:
Es disposa a omplir una sol·licitud per llogar un habitatge.6.1. Quines dades personals és necessari que constin al formulari?6.2. Hi ha dades personals de la sol·licitud que el departament d’Habitatge ha de remetre a altres departaments i administracions perquè siguin contrastades. Cal el consentiment de l’interessat?6.3. Com cal preveure el consentiment inequívoc de l’interessat a la cessió de dades a d’altres departaments i administracions?
La maria vol emancipar-se de casa dels pares i s’interessa per accedir als ajuts del lloguer que dóna el ministeri de Salut, Benestar i Treball, amb la qual cosa es dirigeix al departament d’Habitatge. La informen que té diverses opcions, com ara optar a rebre una subvenció periòdica a l’habitatge, demanar el crèdit Emancipació o un crèdit Fiança, o bé entrar a la Borsa d’Habitatge per veure si pot ser beneficiària d’un pis de lloguer. De moment decideix provar sort a la borsa.
“T-047 Sol·licitud per llogar un habitatge de la Borsa d’Habitatge. Consentiment de verificació de dades. D’acord amb la Llei 15/2003, del 18 de desembre, qua-lificada de protecció de dades personals, autoritzo el departament d’Habitatge, els altres departaments del Govern d’Andorra i la Caixa Andorrana de Seguretat So-cial a intercanviar recíprocament les meves dades amb la finalitat exclusiva que s’avaluï la meva sol·licitud.Signatura de la persona que sol·licita i de tots els mem-bres de la llar a excepció dels fills a càrrec.Font: Ministeri de Salut, Benestar i Treball. Departament d’Habitatge. www.habitatgegovern.ad
II. PREGUNTES i SUPÒSITS 2. Supòsits pràctics
56 Manual de bones pràctiques. Funcionaris i cossos especials 57APDA
Decret del 16-12-2009 que regula el fitxer de dades perso-nals per a la comunicació de l’Administració general amb el ciutadà.Exposició de motiusL’article 30 de la Llei qualificada 15/2003, del 18 de desembre, de protecció de dades personals estableix, entre d’altres, que la creació, la modificació o la supressió de fitxers de naturalesa pública s’ha de dur a terme mitjançant una norma de creació aprovada per l’entitat pública responsable de tractar-los, i que ha de ser publicada al Butlletí Oficial del Principat d’Andorra abans que el fitxer es creï, es modifiqui o se suprimeixi.En conseqüència, a fi de fer efectiu el mandat legal esmentat anteriorment, per garantir la màxima transparència en el tracta-ment de dades de caràcter personal i per assegurar als ciuta-dans l’exercici dels seus drets legítims, el Govern, en la sessió del 16 de desembre del 2009, a proposta del secretari d’Estat per a la Reforma de l’Administració i la Promoció de la Societat del Coneixement, aprova aquest Decret amb el contingut següent:Article 1Es crea el fitxer de dades personals denominat Base de dades per a la comunicació de l’Administració general amb el ciutadà, amb les característiques que es descriuen a l’annex d’aquest Decret, que estan subjectes a tots els efectes de la Llei qua-lificada 15/2003, del 18 de desembre, de protecció de dades personals.Article 2Del fitxer que es crea, se’n regula el tractament i s’estableixen a l’annex la denominació, la finalitat del tractament, les fonts de les quals s’obtindran les dades de caràcter personal, la tipologia de dades que contindrà, les comunicacions internacionals de dades que es preveu efectuar, la identificació d’altres entitats de naturalesa pública amb les quals es preveu intercanviar dades personals a l’efecte de gestionar el fitxer, la identificació dels òrgans responsables del fitxer i dels òrgans davant els quals es podran exercir els drets d’accés, rectificació, supressió i oposi-ció, i una descripció genèrica de les mesures tècniques i d’or-ganització que s’apliquin al tractament del fitxer, d’acord amb l’article 12 de la Llei qualificada 15/2003, del 18 de desembre, de protecció de dades personals.Disposició finalAquest Decret entra en vigor l’endemà de ser publicat al Butlletí Oficial del Principat d’Andorra.
Cosa que es fa pública per a coneixement general.Andorra la Vella, 16 de desembre del 2009Jaume Bartumeu Cassany. Cap de GovernAnnexDenominació: Fitxer de dades personals per a la comunicació de l’Administració general amb el ciutadà.Finalitat del tractament del fitxer: disposar de les dades ne-cessàries per a l’enviament de minimissatges a telèfons mòbils (SMS) i correus electrònics a fi d’informar els ciutadans sobre diverses notificacions de l’Administració d’interès per al ciuta-dà: avisos, saludes, consultes, notícies.Fonts d’obtenció de les dades: el mateix ciutadà.Tipologia de dades: número de cens, nom i cognoms, núme-ros de telèfons fixos i mòbils, adreces de correus electrònics, serveis de subscripció, adreces postals, fax.Comunicacions internacionals de dades: no se’n preveuen.Altres entitats de naturalesa pública amb les quals es pre-veu intercanviar dades personals: no se’n preveuen.Identificació dels òrgans responsables del fitxer i dels òrgans davant els quals es podran exercir els drets d’accés, rectificació, supressió i oposició: Servei de Tràmits del Govern d’Andorra.Descripció genèrica de les mesures de seguretat tècni-ques i d’organització que s’apliquen al tractament del fitxer:Tractament automatitzat.Mesures de control d’accés lògic als fitxers de dades (identifi-cadors i contrasenyes).Mesures de control d’accés lògic als sistemes en què estiguin emmagatzemats els fitxers de dades.Procediments d’assignació d’identificadors i contrasenyes, i d’autoritzacions per a l’accés físic als sistemes.Procediments de gestió de la seguretat dels suports que con-tinguin els fitxers de dades personals.Procediments de còpia de seguretat dels fitxers.Procediments de recuperació de les dades en cas de pèrdua dels fitxers.Procediment de gestió i registre d’incidències.Procediments per garantir la confidencialitat de les dades en cas de transmissió per xarxes de telecomunicacions.Tractament en paper.Custòdia en armaris amb clau.Sales d’accés restringit.
Supòsit pràctic 7. Cessió de dades a tercersRecepció i tractament de currículums
Supòsit pràctic 9. Norma de creació de fitxersFitxer de dades personals per a la comunicació de l’Administració general amb el ciutadà
Supòsit pràctic 8. Cessió de dades sense consentimentComunicació de dades personals a la Batllia
7.1. No, com a responsable del tractament dels currículums només podràs dur a terme el tractament de dades per a la finalitat prevista, cobrir en aquests moments una plaça d’auxiliar administratiu.
7.2. Per cedir el currículum a tercers, és a dir, fer una comunicació de dades a tercers, és necessari el consentiment inequívoc o exprés de la persona inte-ressada. En rebre un currículum, s’entén que l’emissor l’envia per voluntat pròpia i que està donant el con-sentiment perquè el receptor (tu) utilitzi la informació. Però només pots cedir-lo a d’altres departaments
per complir la finalitat per a la qual es va sol·licitar el currículum, és a dir, cobrir la vacant de la plaça d’au-xiliar administratiu en concret. Tot i així, pot ser que la persona interessada hagi inclòs en algun lloc del currículum les condicions d’utilització, per limitar el tractament que pugui fer-ne el receptor.
7.3. Els currículums contenen moltes dades de caràcter personal. Quan el fitxer obert per acollir aquests currículums ja no tingui cap funció, serà in-necessari l’emmagatzematge i es podrà procedir a la destrucció de manera efectiva.
El responsable d’aquest fitxer públic és l’Adminis-tració central (Govern). L’òrgan davant del qual l’in-teressat pot exercir els seus drets és el Servei de Tràmits del Govern d’Andorra. La disposició conté els requisits mínims exigits per la LQPD: finalitat del tractament, fonts de les quals s’obtindran les dades
(el mateix ciutadà), tipologia de dades, si es preve-uen o no comunicacions internacionals o cessió de dades a d’altres administracions (no se n’hi preve-uen), i la identificació del responsable de tractament. Per últim, preveu les mesures tècniques i organitzati-ves que s’aplicaran al fitxer.
8.1. Un dels supòsits en què pot haver-hi co-municació de dades sense la necessitat del con-sentiment de l’interessat és per requeriment dels tribunals. No obstant això, les peticions han de respectar igualment els principis de qualitat de les dades i, per tant, hauran de ser precises i no ex-cessives. Com a responsable del tractament has de valorar l’equilibri entre la informació sol·licitada per la Batllia i la destinació o ús que se’n farà. Pots en aquests casos demanar consell a l’Agència Andor-rana de Protecció de Dades.
7.1. Pots utilitzar aquests currículums indefinidament?7.2. Pots cedir els currículums a tercers?7.3. Quan s’hagi cobert la plaça, què n’has de fer dels currículums?
La creació, modificació i supressió de fitxers públics s’ha de dur a terme per una disposició aprovada pel responsable de tractament i publicada prèviament en el BOPA.
8.1. Has de facilitar les dades al jutge sense el consentiment de l’interessat?
El Comú de Canillo necessita urgentment cobrir una plaça d’auxiliar administratiu, amb la qual cosa inicia un procediment d’incorporació d’un treballador temporal, fins que es pugui tornar a la situació inicial o fins que es realitzi la convocatòria pública per crear la nova plaça. Ets la persona encarregada de rebre els currículums dels candidats.
Exemple de norma de creació de fitxers públics.
Treballes a l’Administració pública, i com a responsable de tractament reps un requeriment judicial perquè facilitis unes dades de caràcter personal del teu fitxer.
II. PREGUNTES i SUPÒSITS 2. Supòsits pràctics
58 Manual de bones pràctiques. Funcionaris i cossos especials 59APDA
Supòsit pràctic 10. Dret d’accésRepresentació de l’interessat
Supòsit pràctic 12. Dades personals als mitjans de comunicacióFotografia d’un ciutadà publicada a l’Informatiu Comunal d’Andorra la Vella
Supòsit pràctic 11. Dret d’informacióEnregistrament per càmeres de videovigilància
10.1. No, no pot exercir el dret d’accés en nom de la seva dona. Els drets de les persones en l’àm-bit de la protecció de dades són personalíssims, i no es pot exercir cap dret en representació d’una altra persona sense el seu consentiment. En aquest cas, la fotocòpia del passaport i la còpia de les pro-clames de matrimoni civil no comporten el consen-timent de la dona perquè el marit exerceixi els seus drets en nom seu. Per tant, únicament es pot adme-tre la sol·licitud de dret d’accés si la dona hagués
facilitat el seu consentiment a l’Administració.A falta d’aquest consentiment, si la Rosa Maria vol exercir qualsevol dels seus drets ha de sol·licitar-los ella mateixa.Només en certs casos sí que es pot fer sense el con-sentiment de l’interessat. Per exemple, els pares o tutors legals poden sol·licitar el dret d’accés, de rec-tificació, de supressió o d’oposició en nom del fill/tu-telat. I els representants legals també ho poden fer en nom dels incapacitats.
12.1. En les informacions dels mitjans de comunica-ció, tant públics com privats, el consentiment de l’inte-ressat no és una conditio sine qua non perquè puguin aparèixer dades personals. El dret fonamental a la pro-tecció de dades personals no és un dret absolut i en determinades situacions pot entrar en conflicte amb altres drets també fonamentals i reconeguts constitu-cionalment, com ara el dret a la llibertat d’expressió i el dret d’informació. Per tant, en cada cas caldrà obser-var quines són les dades personals que apareixen i quin tipus de mitjà de comunicació les recull. En el supòsit en concret que ens ocupa, els ciutadans envi-en al Comú queixes o suggeriments per tal que es pu-bliquin al butlletí comunal. En aquest cas és inneces-sari que hi apareguin dades personals perquè la raó d’ésser d’aquesta participació ciutadana incentivada des del canal de comunicació comunal és la denúncia de fets o suggeriments de millores, i no pas qui co-met el fet. Per tant, hagués calgut el consentiment del ciutadà per publicar la foto. En aquests casos el mitjà pot optar per pixelar el rostre del ciutadà quan no té un consentiment previ, ja que el dret a la protecció de dades personals preval sobre el dret a la informació. Cal recordar que per dret d’informació s’entén el dret que té qualsevol persona a donar i a rebre informa-ció. Aquesta informació ha de ser veraç, s’ha de con-trastar i cal haver actuat amb diligència informativa. Per tant, si es donés un supòsit diferent en què el dret a la informació sí que prevalgués sobre el dret a la protecció de dades, però no obstant la dada apa-reguda no fos veraç o resultés ofensiva o susceptible d’atemptar contra el dret a l’honor o la intimitat, l’in-teressat podria igualment sol·licitar amb garanties el dret de rectificació, o fins i tot iniciar accions legals davant la jurisdicció pertinent.
12.2. Si en Ferran creu que la publicació de la seva fotografia no és veraç (no es correspon amb el text o peu de la foto), resulta ofensiva o vulnera el seu honor o intimitat, o simplement no està d’acord amb la publi-cació de la seva imatge al butlletí comunal per no haver donat consentiment previ, s’haurà de dirigir al respon-sable del tractament del fitxer que està especificat en la norma de creació publicada al BOPA. En cas de dubte, podrà adreçar-se a l’APDA per consultar-ho.
12.3. Tot i que se li deneguin les sol·licituds dels drets personals, això no treu que l’interessat pugui anar a la jurisdicció ordinària pertinent per reclamar danys i per-judicis (dret a indemnització). Cal saber informar-lo per-què conegui bé tots els seus drets. En cas que el res-ponsable del fitxer no contesti en els terminis previstos en cada exercici de drets, ni per atorgar ni per denegar el dret, en Ferran pot formalitzar una denúncia davant l’Agència Andorrana de Protecció de Dades.
12.4. Malgrat que el responsable del fitxer eviti respon-sabilitats en la recollida de dades perquè la informació la va enviar un altre ciutadà, el responsable ha de tenir cura en el procés de tractament de dades i aplicar mesures de seguretat per protegir les dades de caràcter personal. Cal tenir molt clar que no es poden publicar dades de ca-ràcter personal com és la fotografia en qüestió en aquest supòsit en concret sense el consentiment de l’interessat. En el cas del Comú d’Andorra la Vella, en el procés de recollida de dades realitzat al seu web, ja preveu aquesta hipòtesi i indica expressament per mitjà d’una clàusula:
12.5. Si en Ferran fos menor d’edat, no podria sol-licitar el rescabalament de la presumpta vulneració del dret fonamental a la protecció de dades, sinó els seus pares o tutors. I segon, en cas que es tractés d’un menor d’edat, el dret a la protecció de dades personals sempre preval sobre el dret a la informació. Si s’hagués publicat la foto, el rostre del menor hauria d’haver estat pixelat. Per tant, el mitjà sí que hauria d’acceptar les sol·licituds d’en Ferran i la família, ja que les dades personals dels menors tenen un nivell més alt de protecció.
11.1. Sí, els ciutadans tenen dret a ser informats de la recollida de dades de caràcter personal, i la imatge d’una persona és una dada personal. L’enre-gistrament amb càmeres de videovigilància per a un
tractament posterior entra en l’àmbit d’aplicació de la Llei qualificada de protecció de dades personals i s’ha d’adequar als requisits de la LQPD.
10.1. Has de facilitar que trameti la sol·licitud en representació de la seva dona?
12.1. És necessari el consentiment del Ferran perquè surti la seva foto al mitjà?12.2. A qui pot dirigir-se en Ferran per queixar-se?12.3. Quines accions pot seguir si se li deneguen les sol·licituds?12.4. Quin grau de responsabilitat té en Paulo?12.5. I si en Ferran fos menor d’edat, canviaria alguna cosa?
11.1. Cal informar els ciutadans de l’enregistrament per mitjà de càmeres de seguretat en els edificis de l’Administració pública?
L’Antoni, cònjuge de la Rosa maria, vol exercir el dret d’accés de la seva dona per conèixer quines dades sobre ella es troben registrades en una administració. Es presenta al teu departament i et demana sol·licitar el dret d’accés i omplir el formulari corresponent, i et porta la fotocòpia del passaport de la seva dona i la còpia de l’edicte publicat al BoPA del 9/10/2002 de les proclames del matrimoni civil que van celebrar ambdós.
El Comú d’Andorra la Vella incentiva la participació ciutadana en un dels seus canals de comunicació, Informatiu Comunal, a través d’una adreça electrònica a la qual el ciutadà pot dirigir les seves col·laboracions ([email protected]). Els ciutadans poden participar-hi proposant un tema o redactant un article d’opinió, però també enviant una foto per il·lustrar una queixa o un suggeriment. En Ferran veu una fotografia seva per a la qual no ha donat el consentiment perquè aparegui al mitjà, i es molesta. La fotografia, en què apareixen diverses persones, l’havia enviada un altre ciutadà, en Paulo.
“L’usuari es compromet a enviar únicament textos o imat-ges dels quals sigui propietari o dels quals tingui els drets de propietat. El comú no es fa responsable de les respon-sabilitats que puguin derivar-se de l’incompliment d’aquest apartat. Els textos es publicaran literalment d’acord amb el contingut rebut a Participació Ciutadana. El comú es reser-va el dret a no publicar aquells textos o fotografies que vul-nerin el respecte a la dignitat de la persona, que siguin dis-criminatoris, xenòfobs, racistes, pornogràfics, que atemptin contra la infància, l’ordre o la seguretat pública, o que a ju-dici seu no resultin adequats per publicar-se. Tots els litigis que se’n derivin seran sotmesos a la jurisdicció dels tribu-nals andorrans. Les dades dels participants i els continguts dels textos i imatges seran tractats d’acord amb l’establert en la Llei 15/2003, del 18 de desembre, qualificada de pro-tecció de dades personals.” Font: Comú d’Andorra la Vella.
II. PREGUNTES i SUPÒSITS 2. Supòsits pràctics
60 Manual de bones pràctiques. Funcionaris i cossos especials 61APDA
Supòsit pràctic 13. Comunicació internacional de dadesComunicació de dades de salut amb Espanya
13.1. Tot i que les dades relatives a la salut són dades especialment protegides i requereixen el consentiment exprés i per escrit de l’interessat (dades sensibles), en un cas com aquest no cal ni el consentiment de l’acci-dentat ni el de la família per facilitar dades de caràcter personal com ara l’historial mèdic o l’anàlisi de sang, perquè preval l’interès vital de la persona. Però en el cas que ens pertoca, com que s’ha de traslladar el pacient a l’estranger –i, per tant, també dades perso-nals com ara l’historial mèdic–, es plantegen dubtes en l’àmbit de la comunicació internacional de dades.
La normativa especifi ca que la comunicació inter-nacional només es pot efectuar entre països que disposin d’un nivell equivalent en l’àmbit de la pro-tecció de dades. La LQPD estableix que els mem-bres de la Unió Europea sí que compleixen aquest
requisit, amb la qual cosa es pot efectuar una co-municació internacional amb Espanya.
Per fer efectiva una comunicació internacional de dades cal el consentiment de l’interessat. Però, en aquest cas, igual com es preveu amb les cessions a tercers dins l’àmbit nacional, la LQPD especifi ca que “no cal el consentiment quan es faci a l’efecte d’auxili judicial internacional, o per al reconeixement, l’exercici o la defensa d’un dret en el marc d’un pro-cediment judicial, prevenció, diagnosi social o per l’interès vital de la persona interessada”.
Per tant, el responsable del fi txer (en aquest cas el SAAS) pot enviar lliurement a l’Institut Català de la Salut i a l’hospital pertinent totes les dades neces-sàries per ajudar a salvaguardar la vida del pacient.
13.1. Quins consentiments calen per facilitar les dades relatives a la salut tenint en compte que es tracta d’una comunicació internacional de dades?
En Jofre té un accident de moto i l’han dut a l’hospital Nostra Senyora de meritxell. Està molt greu i cal traslladar-lo a un hospital de Barcelona per ser operat amb urgència. 3 Supòsits concrets
3.1. DRET A LA PRoTECCIó DE DADES PERSoNALS. mARC GENERAL
1. Què és el dret a la protecció de dades perso-
nals i a què s’aplica?
És un dret fonamental que sorgeix amb el desen-
volupament de les noves tecnologies de la infor-
mació i la comunicació.
El dret a la protecció de dades personals s’ha de
considerar com a part d’una qüestió més àmplia:
la de la protecció de la vida privada i la dignitat
humana. Així, algunes persones ho inclouen en
l’àmbit dels drets humans de tercera generació,
és a dir, el dret a la identitat de l’individu, a la pro-
pietat sobre la pròpia informació i el dret a la inti-
mitat, a la privadesa i a la pròpia imatge.
En aquest sentit, alguns autors denominen
aquest dret com d’autodeterminació informa-
tiva. Es tracta de poder conèixer i controlar la
gestió de la informació personal, és a dir, qui-
na informació existeix, qui hi té accés, qui té
capacitat per crear i difondre informació sobre
terceres persones, per a què s’usen aquestes
dades personals i quines decisions es prenen
amb elles, entre d’altres.
2. A qui pertanyen les dades personals?
Les dades personals pertanyen a les persones a
les quals es refereixen, i només elles poden deci-
dir sobre aquestes dades. Per tant, els diferents
serveis o departaments ofi cials no són els titulars
de les dades, sinó que ho són les persones a les
quals es refereixen.
Existeixen lleis que permeten que els serveis o
departaments d’una entitat administrativa puguin
tenir accés a dades personals fi ns i tot sense el
consentiment de la persona. No obstant això,
només es poden utilitzar respectant la normativa
sobre protecció de dades de caràcter personal.
3. És aplicable la normativa de protecció de dades
personals a les dades de les persones difuntes?
Les persones difuntes no són titulars del dret a la
protecció de dades personals. No obstant això,
la data de la defunció d’una persona o les dades
de caràcter personal referents a persones mor-
tes quan siguin dades relatives a altres persones
(els seus fi lls/es, els seus hereus/ves, etc.), poden
ser considerades dades de caràcter personal. Per
tant, sí que són objecte de protecció i els és apli-
cable la normativa sobre protecció de dades.
4. Els tràmits administratius i les comunicaci-
ons per via electrònica estan subjectes al rè-
gim de protecció de dades personals?
La llei no estableix distincions segons el tipus de
suport en què les dades són tractades. Per això,
també els tràmits administratius que es realitzin
mitjançant l’administració electrònica queden
subjectes als requeriments que la normativa so-
bre protecció de dades estableix.
Les dades personals que es duguin a terme en les
tramitacions administratives telemàtiques integra-
II. PREGUNTES i SUPÒSITS 3. Supòsits concrets
62 Manual de bones pràctiques. Funcionaris i cossos especials 63APDA
RECoRDA!
Pots consultar tota la legislació relativa a
la protecció de dades en el lloc web de
l’Agència Andorrana de Protecció de Dades
www.apda.ad
RECoRDA!
ran els corresponents fi txers, que hauran de ser
creats i publicats al BOPA. Per generar els fi txers
haurà de sol·licitar-ne el consentiment del titular de
les dades, excepte que una llei n’exclogui l’obliga-
ció. En qualsevol cas la persona afectada n’haurà
de ser informada.
5. Revelar dades personals a través d’un web
constitueix un tractament de dades personals?
Fer referència en una plana web a una persona i
identifi car-la pel seu nom o per altres mitjans com,
per exemple, el seu número de telèfon, i facilitar in-
formació relativa a les seves condicions de treball
o a les seves afi cions, constitueix un tractament de
dades de caràcter personal. Per tant, és necessari
complir les previsions establertes en la legislació
en matèria de protecció de dades personals.
Hem de ser conscients de la facilitat amb què es
poden trobar referències personals en planes web
mitjançant l’ús de cercadors, especialitzats a ras-
trejar documents que contenen dades personals
a través de la xarxa.
1. Què són les dades personals?
S’entén per dada personal qualsevol informació
(numèrica, alfabètica, gràfi ca, fotogràfi ca, acústi-
ca, etc.) relativa a una persona física identifi cada
o identifi cable.
El terme identifi cable no s’aplica quan es requereix
una gran quantitat de temps i d’esforç per identifi -
car una persona a partir de les dades utilitzades en
diversos fi txers o documents. Tampoc no s’aplica la
normativa sobre protecció de dades personals si la
informació és anònima o si es presenta com a da-
des agregades. Per exemple: el perfi l de l’estructura
d’edat dels treballadors d’una organització.
Els fi txers públics normalment inclouen la següent
tipologia de dades personals: nom i cognoms,
passaport / DNI, telèfon, domicili, titulacions aca-
dèmiques i dades formatives, data de naixement,
nacionalitat, sexe, activitats professionals, deman-
da d’activitats culturals i esportives, dades bancà-
ries, impostos, vehicles en propietat, immobles en
propietat, diverses prestacions socials, demanda
d’activitats formatives, ajudes i subvencions, cir-
cumstàncies socials, ingressos i rendes.
2. Què són les dades personals especialment
protegides?
Algunes dades tenen la consideració de parti-
cularment delicades perquè pertanyen a l’esfera
més íntima de la persona o perquè la divulgació
d’aquestes dades pot fer vulnerable el titular. Per
aquest motiu són reconegudes com a dades sen-
sibles, de tal manera que el seu tractament com-
porta un afegit de mesures per garantir-ne el cor-
recte tractament.
Aquestes dades són les que revelen opinions
polítiques, creences religioses i pertinença a or-
ganitzacions polítiques o sindicals d’una perso-
na. També les dades que fan referència a la salut,
la vida sexual o l’origen ètnic. Cal tenir present
que respecte a les dades d’ideologia, religió o
creences, ningú no pot ser obligat a declarar.
Per al tractament d’aquesta categoria de dades
defi nides per la llei com dades sensibles, serà
necessari el consentiment exprés i per escrit de
la persona afectada, excepte que la llei sectorial
aplicable prevegui altres disposicions.
3. Quins fi txers solen publicar al BoPA les admi-
nistracions?
Les administracions públiques estan obligades a
publicar al BOPA les normes de creació de tots
els fi txers que generen per a l’exercici de les se-
ves competències legals, sempre que incloguin
dades personals.
4. Què signifi ca ‘tractament de dades’, sigui
manual o automàtic?
L’expressió tractament de dades inclou la recolli-
da, conservació, combinació, comunicació o qual-
sevol altra forma d’utilització de dades personals,
sigui de forma manual o informatitzada. En ocasi-
ons, un tractament de dades és tant manual com
automatitzat, ja que és habitual combinar els ar-
xius tradicionals amb sistemes informàtics, de tal
manera que aquests últims conserven només una
part de les dades disponibles i remeten als arxius
físics per a la resta de la informació.
5. Quina és la diferència entre ‘fi txers automa-
titzats’ i ‘fi txers manuals’?
Un fi txer és un conjunt organitzat de dades de ca-
ràcter personal. Permet qualsevol manera o forma
de creació, emmagatzematge, organització o ac-
cés. De forma progressiva, els fi txers utilitzats per
les diferents administracions s’han anat automa-
titzant, és a dir, s’han generat grups d’informació
estructurada en bases de dades i necessiten de la
informàtica per al seu processament, emmagatze-
matge i explotació. Per això, se’ls anomena també
fi txers informàtics.
No obstant això, les administracions conserven
fi txers o conjunts organitzats d’expedients també
en format paper. La normativa de protecció de da-
des personals s’aplica tant a fi txers automatitzats
com a fi txers manuals. Les mesures que busquen
garantir la seguretat de la informació s’adeqüen al
format, informàtic o manual, del fi txer.
6. Quina norma o disposició han d’emprar les
administracions per crear els fi txers de dades
personals?
La Llei 15/2003, del 18 de desembre, qualifi cada
de protecció de dades personals estableix que els
fi txers han de crear-se, modifi car-se o suprimir-se
per una norma de creació publicada al BOPA.
Les normes de creació són decisions dels òrgans de
l’Administració pública, sotmeses a la LQPD, i que
han de contenir, com a mínim, la fi nalitat del tracta-
ment del fi txer i les fonts de les quals s’obtindran les
dades personals; la tipologia de dades que contindrà
el fi txer; la identifi cació dels òrgans responsables del
fi txer i dels òrgans davant els quals es podran exercir
els drets d’accés, rectifi cació, supressió i oposició;
així com la descripció de les mesures tècniques i d’or-
ganització que s’apliquin en el tractament del fi txer.
A més, si s’escau, hauran d’indicar també les co-
municacions internacionals que es preveuen efec-
tuar; i les entitats de naturalesa pública amb les
quals es preveu intercanviar dades personals als
efectes de la gestió del fi txer.
7. Qui pot ser responsable de fi txers en les enti-
tats públiques?
La fi gura del responsable del tractament és una
persona, física o jurídica, de naturalesa pública o
privada, o un òrgan administratiu, que decideix so-
bre la fi nalitat, el contingut i l’ús del tractament de
les dades personals.
Hem de diferenciar el responsable del tractament
del responsable del fi txer. Aquest últim és la perso-
na o persones que s’encarreguen de la utilització
del fi txer en les seves tasques quotidianes.
3.2. DADES PERSoNALS I FITxERS EmPRATS PER LES ADmINISTRACIoNS PÚBLIQUES
II. PREGUNTES i SUPÒSITS 3. Supòsits concrets
64 Manual de bones pràctiques. Funcionaris i cossos especials 65APDA
1.1 Què s’entén per ‘consentiment’?
S’entén per consentiment tota manifestació de volun-
tat mitjançant la qual la persona interessada consent
el tractament de les seves dades personals. Aquest
consentiment o manifestació de voluntat ha de ser:
- Lliure. Consentiment no prestat per error, violèn-
cia, intimidació o dol.
- Inequívoc. Consentiment específic, referit a una
determinada operació de tractament i per a una
finalitat explícita.
- Informat. La persona coneix, de forma prèvia al trac-
tament, l’existència del consentiment i la finalitat.
1.2 Quan i en quina forma se sol·licita el con-
sentiment?
Quan s’han de recollir dades de caràcter personal que
després es tractaran en fitxers, s’ha de sol·licitar el
consentiment del titular de les dades. El consentiment
sempre ha de ser inequívoc, és a dir, no presump-
te. Vol dir que ha d’existir expressament una acció o
omissió que impliqui l’existència del consentiment.
El consentiment pot ser:
- Tàcit: s’informa, se sol·licita el consentiment i es
comunica que s’entendrà atorgat si no hi ha una
manifestació en contra.
- Exprés: s’informa, se sol·licita i ha d’atorgar-se
expressament de manera verbal.
- Exprés i per escrit: s’informa, se sol·licita i ha
d’atorgar-se expressament de manera escrita
(aquest procediment és obligatori amb les dades
personals relatives a ideologia, religió, creences i
afiliació sindical).
1.3 Quan no és necessari sol·licitar el con-
sentiment?
Hi ha diverses situacions en què no serà neces-
sari sol·licitar el consentiment com, per exem-
ple, quan existeix una llei que autoritza el trac-
tament de les dades. Tampoc no serà necessari
el consentiment quan les dades es necessiten
per a l’exercici de competències de les entitats
comunals; ni quan en un contracte o precon-
tracte entre l’Administració i una persona (titular
de dades personals) existeix una relació labo-
ral, negocial o administrativa i les dades són
necessàries per al manteniment o compliment
de la relació. Per últim, tampoc no serà neces-
sari quan estigui en joc la vida d’una persona
com, per exemple, en casos d’accidents i trac-
taments sanitaris.
2.1 Què és el dret d’informació en la recollida
de dades? De què s’ha d’informar?
Les persones a les quals se sol·licitin dades per-
sonals han de ser prèviament informades de ma-
nera expressa si existeix un fitxer o tractament
de dades personals; la finalitat i els destinataris
de la informació; si és obligatori o no respondre
a les preguntes, així com les conseqüències de
l’obtenció de les dades o de la negativa a sub-
ministrar-les. També haurà d’informar-se el ciu-
tadà de la possibilitat que té d’exercir els drets
d’accés, rectificació, cancel·lació i oposició, a
més de la identitat i l’adreça del responsable del
tractament de dades.
La qüestió essencial és la següent: saben els ti-
tulars de dades personals les implicacions de la
informació que donen a l’Administració? Els ciu-
tadans han de disposar d’informació suficient per
prendre decisions i poder donar el seu consenti-
ment (consentiment informat).
2.2 Si a una persona se li sol·liciten dades de
forma verbal, de quina manera s’ha d’infor-
mar o n’he d’informar?
La informació s’ha de proporcionar a través d’un
mitjà que sigui coherent amb el sistema de recolli-
da de les dades. La informació que s’ha de facilitar
és la mateixa encara que es comuniqui verbalment,
per escrit o per via electrònica. És a dir, el mitjà pel
qual s’informa el titular de dades pot variar, però
sempre ha de contenir la mateixa informació per-
què el ciutadà pugui atorgar el consentiment.
Quan es recullen dades de forma verbal també
serà necessari informar de manera expressa, pre-
cisa i inequívoca:
- Expressament: bé verbalment, bé per escrit
mitjançant el lliurament d’una nota informativa.
- Precisament: donant la informació necessària
sobre tots els aspectes descrits (fitxer, finalitat,
destinataris, adreça del responsable, caràcter de
la seva resposta, drets accés, etc.).
- Inequívocament: evitant dades o detalls que
facin la informació inadequada, inexacta o que
indueixi a l’error.
Si es recullen dades personals mitjançant qües-
tionaris o impresos escrits hi ha de figurar cla-
rament la informació següent: l’existència d’un
fitxer, la finalitat de la recollida del fitxer i els des-
tinataris de la informació; la identitat i adreça de
la persona responsable del tractament; el caràc-
ter obligatori o facultatiu de la seva resposta; les
conseqüències de l’obtenció de les dades o de
la negativa a subministrar-los, així com la possi-
bilitat d’exercitar els drets d’accés, rectificació,
cancel·lació i oposició.
2.3 Si a una persona se li sol·liciten dades per-
sonals mitjançant el web, de quina manera
se l’ha d’informar?
Normalment s’utilitzaran qüestionaris o impresos
adaptats a la pàgina web. Hi han de figurar amb
claredat les clàusules informatives, que són les
mateixes que les dels impresos no electrònics o
que les verbals:
- Existència d’un fitxer, de la finalitat de la recollida
del fitxer i dels destinataris de la informació.
- La identitat i adreça de la persona responsable
del tractament.
- El caràcter obligatori o facultatiu de la seva
resposta.
- Les conseqüències de l’obtenció de les dades o
de la negativa a subministrar-los.
- La possibilitat d’exercitar els drets d’accés, rec-
tificació, cancel·lació i oposició.
Si, excepcionalment, el disseny del document im-
pedeix o desaconsella la inclusió de les clàusules
informatives, es complementarà la informació que
cal subministrar a través d’un enllaç dins del ma-
teix web, on s’oferirà aquesta informació.
2.4 S’ha de donar una informació diferent en la
recollida de dades especialment protegides?
Sí, és convenient donar la informació per escrit.
Serà necessari informar-ne de manera:
- expressa: per escrit mitjançant el lliurament
d’una nota informativa.
Quan se sol·liciten dades sensibles s’ha d’obte-
nir el consentiment exprés de l’interessat, però
el dret d’informació del ciutadà és el mateix que
per a qualsevol dada de caràcter personal, és a
dir, es pot informar dels drets també per qual-
sevol mitjà (verbal, electrònic, etc.) sempre que
contingui tota la informació descrita en l’apartat
anterior. En cas que no s’informi de tot adequa-
dament, el consentiment del titular de les dades
no serà vàlid tot i que sigui exprés.
- precisa: donar la informació necessària:
- L’existència d’un fitxer, de la finalitat de la re-
collida i dels destinataris de la informació.
- La identitat i adreça de la persona responsa-
ble del tractament.
- El caràcter obligatori o facultatiu de la seva
resposta.
- Les conseqüències de l’obtenció de les dades
o de la negativa a subministrar-les.
- La possibilitat d’exercitar els drets d’accés,
rectificació, cancel·lació i oposició.
1. Consentiment
2. Dret d’informació
3.3. RECoLLIDA DE DADES
II. PREGUNTES i SUPÒSITS 3. Supòsits concrets
66 Manual de bones pràctiques. Funcionaris i cossos especials 67APDA
- inequívoca: evitar dades o detalls que facin la
informació inadequada, inexacta o que indueixi
a error. Addicionalment, és necessari advertir:
a. Què s’entén per qualitat de dades?
És un dels principis bàsics de la protecció de
dades i garanteix a les persones que les seves
dades seran:
- Recollides per mitjans lícits, lleials i no frau-
dulents.
- Tractades per a propòsits explícits i limitats, i
no per a d’altres finalitats distintes.
- Adequades, pertinents i no excessives.
- Exactes i posades al dia.
- No emmagatzemades més temps que el que
sigui estrictament necessari.
b. Què són ‘dades adequades, pertinents i no
excessives’?
Les dades són adequades quan són les més
apropiades per respondre a les circumstàn-
cies i condicions de la finalitat que es pretén
amb la recollida d’informació.
Les dades són pertinents si tenen relació i
condueixen a la finalitat que es pretén amb la
recollida d’informació.
Les dades seran no excessives si no van més
enllà del lícit i raonable per aconseguir la finali-
tat que es pretén amb la recollida d’informació.
c. Què s’entén per ‘finalitats determinades,
explícites i legítimes’?
Són finalitats determinades aquelles que es-
tan clarament concretades, que són preci-
ses, que no són vagues.
Són finalitats explícites les que expressen cla-
rament i de manera determinada una cosa.
Són finalitats legítimes aquelles conformes
a les lleis.
1. Què és un prestador de serveis de dades
personals?
És una persona, empresa, autoritat pública, ser-
vei o qualsevol altre organisme que tracta dades
personals per compte de l’Administració o de la
persona responsable del fitxer.
Exemple: pel que fa a alguns tractaments de les
administracions, ho pot ser una empresa informà-
tica externa que tingui accés a les dades. En la
mesura en què tracten dades personals han d’es-
tablir i complir totes les mesures de seguretat que
resultin d’aplicació.
2. Quins són els supòsits més freqüents d’en-
càrrecs de tractament amb accés a dades
personals per part dels comuns?
Contractes amb empreses per a:
- Realització i manteniment d’aplicacions infor-
màtiques amb tractament de dades personals.
Exemple: desenvolupament d’aplicació de ges-
tió de tributs, de gestió d’impostos, etc.
- Gestió de lectura de comptadors d’aigua; gestió
del cobrament de determinades taxes o impos-
tos; gestió de la seguretat i salut laboral; gestió
d’enviament de documentació (amb empreses
de mailing); gestió del pagament de la nòmina
o de la coordinació del pagament d’impostos
(entitats financeres), i gestió de la destrucció de
papers i llistes.
- Seguretat física d’instal·lacions; neteja.
- Entitats financeres, per coordinar el pagament
de nòmines; elaboració de les nòmines per as-
sessories externes.
3. Quines clàusules relacionades amb la protec-
ció de dades ha d’incloure un contracte amb
una entitat si aquesta ha d’accedir a fitxers
comunals amb dades personals?
L’Administració ha de regular la realització del trac-
tament de dades personals per part de l’entitat
contractada, a qui es reconeixerà com a prestador
de serveis. Aquesta regulació s’ha de realitzar pre-
ferentment per mitjà d’un contracte escrit, sempre
que permeti acreditar-ne la celebració i el contingut.
El contingut del contracte per signar ha d’incloure:
quines dades es faciliten, en quin fitxer està regulat
el seu tractament, per a quin tipus d’activitat es
concreta la tasca que s’ha de realitzar i com s’han
de tractar les dades.
Les obligacions del prestador de serveis són:
complir les disposicions de la Llei qualificada de
protecció de dades de caràcter personal 15/2003;
utilitzar la informació exclusivament per a la fina-
litat definida; tractar la informació conforme a les
instruccions; guardar el secret professional, tant
l’empresa com el personal al seu càrrec; complir
les mesures de seguretat; informar el respon-
sable del tractament sobre eventuals fallides del
sistema de seguretat; no reproduir, comunicar ni
cedir a tercers la informació; no subcontractar
l’activitat, excepte autorització, i finalment, esbor-
rar les dades o retornar el suport informàtic una
vegada finalitzat el servei contractat.
4. Quina documentació específica és exigible
en els contractes menors que incloguin en el
seu objecte el tractament de dades de caràc-
ter personal?
La formalització d’un contracte menor es pot rea-
litzar simplement a través d’una factura, compro-
vant o rebut. No obstant això, quan s’utilitzi per
tramitar la contractació de béns o serveis que im-
pliquin el tractament de dades personals per part
del contractista, ha d’existir un document contrac-
tual, elaborat amb anterioritat a la realització del
servei contractat, que desenvolupi les obligacions
establertes en l’article 12 de la Llei qualificada de
protecció de dades de caràcter personal i la sub-
missió a elles per part del contractista.
El contingut del contracte inclourà: quines dades
es faciliten, en quin fitxer està regulat el seu trac-
tament, per a quin tipus d’activitat es concreta el
treball i com s’han de tractar les dades.
Les obligacions del prestador de serveis són:
complir les disposicions de la Llei qualificada
15/2003; utilitzar la informació exclusivament per
a la finalitat definida; tractar la informació confor-
me a les instruccions; guardar el secret professi-
onal, tant l’empresa com el personal al seu càr-
rec; complir les mesures de seguretat; informar
l’entitat local contractant sobre eventuals fallides
del sistema de seguretat; no reproduir, comunicar
ni cedir a tercers la informació; no subcontrac-
tar l’activitat, excepte autorització, i esborrar les
dades o retornar el suport informàtic una vegada
finalitzat el servei contractat.
5. Què és una finalitat incompatible respecte
d’aquella per a la qual van ser sol·licitades les
dades?
Les dades de caràcter personal no es poden utilit-
zar per a finalitats incompatibles amb aquelles per
a les quals van ser recollides. No es considerarà
incompatible el tractament posterior d’aquestes
dades amb fins històrics o científics. Són finalitats
incompatibles aquelles que no es poden unir o
concórrer amb la inicialment prevista.
Exemple: no es poden emprar les dades personals
del fitxer sobre l’impost de circulació, la finalitat del
qual és el cobrament del tribut, per assignar tar-
getes personalitzades d’aparcaments de residents
sense demanar abans el consentiment.
L’única manera per poder aprofitar les dades d’un
fitxer seria utilitzant tècniques de dissociació, és a
dir, transformant la informació en dades no asso-
ciades a cap persona. En aquest exemple concret,
això no obstant, no servirien per assignar targetes
personalitzades als residents, perquè ja no se sa-
bria a quina persona pertany cada dada. Per tant,
cal tenir clar que les dades dissociades no poden
contenir cap dada de caràcter personal, perquè
fan referència a fets i no a persones.
6. En la gestió d’informació personal, què s’entén
per ‘dades personals exactes i posades al dia’?
Les dades de caràcter personal han de ser exactes
i posades al dia, de manera que responguin amb
veracitat a la situació actual de l’afectat. Són dades
3.4. TRACTAmENT DE DADES I PRESTADoRS DE SERVEIS
II. PREGUNTES i SUPÒSITS 3. Supòsits concrets
68 Manual de bones pràctiques. Funcionaris i cossos especials 69APDA
exactes aquelles que responen amb fidelitat i ajusta-
dament a la situació de l’afectat. Són dades posades
al dia les que estan actualitzades, és a dir, que res-
ponen a la situació real de l’afectat en cada moment.
Les diferents administracions han de realitzar ope-
racions periòdiques per actualitzar i revisar l’exac-
titud de la informació que gestionen. Per tant, pe-
riòdicament han de preguntar als ciutadans si les
dades personals que posseeixen d’ells són exactes
o bé s’han d’actualitzar. En cas que el personal ad-
ministratiu detecti dades que no són correctes, cal
bloquejar-les per evitar que s’usin en posterioritat.
1. Com s’ha d’actuar quan és necessari sol-
licitar el consentiment de l’interessat per als
casos de cessions de dades?
Les dades de caràcter personal només podran ser
comunicades a una tercera persona o entitat quan
es compleixin les condicions següents:
- La cessió es realitza per complir fins directament
relacionats amb les funcions legítimes de l’enti-
tat responsable i de la part a la qual se cedeixen.
- La cessió es realitza amb el previ consentiment
de les persones titulars de les dades, amb les
excepcions establertes en la llei.
El procediment per cedir dades és el següent:
a. Sol·licitud de cessió de dades.
b. Sol·licitud del consentiment previ de les persones ti-
tulars de les dades, excepte quan no sigui necessari.
c. Cessió de les dades.
2. Quan i en quines condicions es poden sol·licitar
cessions de dades a d’altres administracions?
Si una entitat local necessita dades de caràcter
personal podrà sol·licitar-les a d’altres adminis-
tracions (entitats locals, departaments del Govern
andorrà, etc.) quan tingui constància que aquella
administració posseeix les dades que necessita; i
quan tingui la competència per realitzar l’activitat
per a la qual es requereix el fitxer amb les dades
personals sol·licitats. En aquest cas ha d’acredi-
tar aquesta competència.
Una vegada realitzada la sol·licitud, l’administració
a la qual s’ha sol·licitat la cessió determinarà si és
un supòsit en què es requereix consentiment ex-
prés de les persones titulars de les dades o si la
cessió està emparada en alguna de les situacions
previstes en la Llei qualificada 15/2003.
3. Quan i en quines condicions es poden cedir
dades a d’altres administracions?
Si una entitat local és requerida per altres adminis-
tracions (entitats locals, departaments del Govern,
etc.) per a la cessió de dades, ha de seguir el pro-
tocol oportú, en funció si és necessari o no el con-
sentiment de les persones titulars de les dades:
a. Quan és necessari el consentiment:
Cal la sol·licitud de cessió de dades personals,
i també la sol·licitud del consentiment a les per-
sones titulars de dades.
b. Quan no és necessari el consentiment:
És suficient la sol·licitud de cessió de dades personals.
4. És adequat que els centres educatius de les
parròquies, públics o privats, demanin dades
del domicili dels infants nascuts en un deter-
minat any per fer una campanya promocional
de matriculació?
La cessió de dades del cens a un centre educatiu
privat sense consentiment previ dels titulars de
les dades, o dels seus representants si són me-
nors, no s’ajusta a la normativa en matèria de pro-
tecció de dades.
La cessió de dades del cens a un centre educatiu
públic hauria de complir el requisit següent: les da-
des han de ser necessàries per a l’exercici de les
respectives competències d’ambdues administra-
cions i exclusivament per a assumptes en què el
domicili constitueixi una dada rellevant.
És dubtós que un centre públic tingui la competèn-
cia relativa a la promoció de la matriculació edu-
cativa, perquè es troba en mans del departament
d’Educació del Govern, a través dels seus serveis
centrals o territorials.
5. És adequat que els diferents departaments
del Govern demanin dades personals als co-
muns per realitzar campanyes de comunica-
ció específiques? Hi ha alternatives per com-
plir el mateix objectiu?
Freqüentment els departaments del Govern plan-
tegen peticions d’informació als comuns ja que
les dades del cens parroquial són les més actu-
alitzades. Per exemple, el departament de Sanitat
sol·licita periòdicament dades per realitzar la cam-
1. Regla general
Els responsables de tractament han d’establir les
mesures tècniques i d’organització necessàries
per garantir la confidencialitat i la seguretat de les
dades personals que siguin objecte de tractament.
Si la totalitat o una part del tractament s’encarre-
ga a prestadors de serveis de dades personals,
correspon al responsable del tractament la res-
ponsabilitat que els prestadors tinguin establertes
mesures tècniques i d’organització suficients per
garantir la confidencialitat i la seguretat de les da-
des objecte del servei.
A aquest efecte, els responsables del tracta-
ment han d’exigir als prestadors de serveis de
dades personals l’establiment de les mesures
tècniques i d’organització que el responsable de
tractament consideri mínimes, sempre que es
corresponguin amb les que el mateix responsa-
ble tingui establertes per a tractaments de dades
pròpies i de naturalesa anàloga als que siguin
objecte del servei.
2. Quines són les recomanacions estàndards
respecte a l’ús de contrasenyes?
- Longitud mínima de 8 caràcters.
- Utilitzar tant majúscules com minúscules, inclo-
ent-hi alguns números i signes de puntuació.
- Canviar la contrasenya periòdicament (per exem-
ple, cada tres mesos), sense seguir cap cicle.
Exemple gràfic:
Una contrasenya ha de ser com el raspall de dents:
Usa’l cada dia, canvia’l regularment i NO el com-
parteixis amb els teus amics.
3. Quines operacions s’han de realitzar per elimi-
nar definitivament les dades personals contin-
gudes en un suport quan es deixa d’utilitzar?
Quan es vol inutilitzar un suport hem de prendre les
mesures adequades perquè no se’n puguin recuperar
les dades, tenint en compte el tipus de suport. Potser
haurem d’emprar una destructora de paper o sobre-
escriure un disc amb zeros (0) i uns (1) aleatòriament.
Exemple: què fem amb l’ordinador antic quan proce-
dim a l’actualització d’un lloc de treball? En aquests
casos, ens hem d’assegurar que una vegada que
està passada tota la informació de l’ordinador vell al
nou, eliminem del tot el contingut amb utilitats especí-
fiques o adequades d’esborrat segur. Tota la informa-
ció de l’ordinador antic ha de ser irrecuperable.
Actualment un dels suports més utilitzats per al
trasllat d’informació són les memòries USB. Hem
de ser cauts amb la informació que traslladem a
aquests dispositius. A més d’eliminar la informació,
hem d’assegurar-nos que no es pugui recuperar (el
simple esborrat no és suficient, ja que existeixen
programes de recuperació). Pot ser necessari el
suport o l’assessorament de tècnics especialitzats.
4. Quines són les mesures ordinàries de protec-
ció de fitxers de dades manuals?
Els fitxers manuals es classifiquen, igual que els fit-
xers automatitzats, en virtut del caràcter de la infor-
mació personal de la qual són objecte. Exemples:
utilització d’armaris en zones amb control d’acces-
sos, tancaments amb clau, elements de seguretat
que evitin que es puguin destruir (detectors), inven-
taris, accés limitat a persones autoritzades, etc.
3.5. TRACTAmENT DE DADES I mESURES DE SEGURETAT
3.6. CESSIó DE DADES
II. PREGUNTES i SUPÒSITS 3. Supòsits concrets
70 Manual de bones pràctiques. Funcionaris i cossos especials 71APDA
panya de prevenció del càncer de mama. Com a
norma general, la cessió de dades del cens a una
altra administració haurà de complir el requisit in-
dispensable que les dades siguin necessàries per
a l’exercici de les competències d’ambdues ad-
ministracions i que s’utilitzin exclusivament per a
assumptes en què la residència o el domicili cons-
titueixin dades rellevants.
Les administracions sol·licitants han d’acreditar
que tenen la competència per realitzar l’activitat
que pretenen i que el domicili és una dada rellevant
per a aquesta activitat. A més, els comuns han de
notificar a l’APDA les comunicacions que es facin,
com recull la Llei del cens.
6. Es poden cedir dades del cens comunal a
persones físiques o empreses privades?
És freqüent que empreses de nova instal·lació en
una parròquia sol·licitin al comú corresponent el
cens d’habitants amb la finalitat d’enviar publicitat
sobre els seus productes als residents. No obstant
això, aquesta cessió no és possible perquè l’ús de
les dades del cens comunal està restringit a la fina-
litat que la llei li confereix.
sable del fitxer. Aquest exercici del dret d’accés és
gratuït. El termini per respondre afirmativament o
negativament a la petició d’accés és de 5 dies des
de la recepció de la sol·licitud. En cas de resposta
afirmativa, s’ha de facilitar l’accés en els pròxims
5 dies des de l’estimació positiva del dret.
- Procediment de tutela del dret:
Si la persona sol·licitant entén que no se li ha facili-
tat correctament el dret d’accés a les seves dades
(per exemple, no se l’ha contestada en 5 dies, la
contestació ha estat negativa, etc.) pot reclamar da-
vant l’Agència Andorrana de Protecció de Dades.
3. És possible denegar l’exercici del dret d’ac-
cés per la dificultat o l’elevat cost que pot su-
posar aquest exercici?
No. En aquest sentit, la LQPD preveu que les da-
des de caràcter personal han de ser emmagatze-
mades de manera que permetin l’exercici del dret
d’accés. A més, l’accés a les dades és gratuït.
4. Què és el dret de rectificació i com se sol·licita?
És el dret que té qualsevol persona a sol·licitar
d’una administració que rectifiqui, corregeixi o
completi dades seves si són inexactes, inadequa-
des, incompletes o excessives.
- Com sol·licitar la rectificació de les dades
personals pròpies?
Cal que ho sol·liciti la persona interessada o el seu
representant legal, i que dirigeixi la sol·licitud a la
persona designada com a responsable del fitxer.
L’interessat ha d’indicar a quines dades es refe-
reix i la correcció que s’hagi de realitzar, que ha
d’acompanyar de la documentació justificativa.
El responsable del fitxer resoldrà i, si escau, rec-
tificarà les dades, en el termini màxim d’1 mes
des de la recepció de la sol·licitud. L’exercici del
dret de rectificació també és gratuït.
- Procediment de tutela dels drets
Si el sol·licitant entén que no se li ha facilitat cor-
rectament el dret de rectificació de les seves da-
des, no se l’ha contestat en 1 mes o la contestació
ha estat negativa, pot reclamar davant l’APDA.
5. Què és el dret de supressió i com se sol·licita?
És el dret de qualsevol persona a sol·licitar d’una
administració que elimini dades seves quan hagin
deixat de ser necessàries o pertinents per a la fina-
litat per a la qual es van obtenir, o bé s’hagi superat
el període necessari per al compliment de les finali-
tats per a les quals van ser recollides.
- Com sol·licitar la cancel·lació de les dades
personals pròpies?
Cal que ho sol·liciti directament la persona interes-
sada o el seu representant legal, que haurà de dirigir
la sol·licitud a la persona designada com a respon-
sable del fitxer. El responsable del fitxer resoldrà, i si
escau suprimirà les dades, en el termini màxim d’1
mes des de la recepció de la sol·licitud. L’exercici del
dret de cancel·lació és gratuït. La cancel·lació impli-
ca l’esborrat físic de les dades personals, excepte
quan la supressió no sigui materialment possible. En
aquest cas, el responsable del fitxer bloquejarà les
dades amb la finalitat d’impedir-ne el tractament.
- Procediment de tutela del dret.
Si el sol·licitant entén que no se li ha facilitat cor-
rectament el dret de cancel·lació de les seves da-
des, no se l’ha contestat en 1 mes o la contestació
ha estat negativa, pot reclamar davant l’APDA.
6. En quines circumstàncies no es poden can-
cel·lar les dades personals?
Quan les dades personals hagin de ser conservades
durant determinats terminis temporals. Aquests perí-
odes de temps s’estableixen segons les disposicions
legals que siguin d’aplicació, o es deriven, si escau,
dels contractes o de les relacions contractuals exis-
tents entre el responsable del tractament i la perso-
na interessada, contractes que han estat l’origen del
tractament de les dades personals en qüestió.
En aquests supòsits, transcorregut el termini de
conservació, les dades personals s’han de blo-
quejar, i estaran a disposició exclusivament de les
administracions públiques, jutges i tribunals per
atendre les possibles responsabilitats sorgides del
tractament. Quan finalitza el termini de prescripció
les dades personals s’han de suprimir.
1. Com es pot facilitar als ciutadans l’exercici
dels seus drets d’accés, rectificació, supres-
sió i oposició pel que fa al tractament de les
seves dades personals?
Les administracions han de facilitar a les persones l’exer-
cici dels drets d’accés, rectificació, supressió i oposició.
Per aquest motiu, han de realitzar les accions següents:
- Redissenyar els procediments administratius, si
és necessari, perquè l’exercici dels drets (accedir
a dades, rectificar-les, etc.) no resulti una tasca
complicada per a l’Administració ni per al ciutadà.
- Dissenyar models de documents, en format paper,
electrònic, etc., perquè, mitjançant el seu com-
pliment, es faciliti l’exercici de drets. Es podran
utilitzar els models que s’acompanyen en aquest
Manual o els disponibles en el lloc web de l’APDA.
- Donar una formació adequada als empleats pú-
blics amb funcions d’atenció als ciutadans per-
què els informin dels drets que tenen i els orien-
tin perquè puguin exercir-los.
2. Què és el dret d’accés i com se sol·licita?
És el dret que té qualsevol persona a preguntar i obte-
nir de l’Administració informació de quines dades de
caràcter personal té sobre ella, del detall d’aquestes
dades, les finalitats per a les quals es van emmagatze-
mar, la procedència i les comunicacions o cessions de
dades realitzades o que es preveuen efectuar.
- Com es pot sol·licitar l’accés a les dades per-
sonals pròpies? L’ha de sol·licitar la persona in-
teressada o el seu representant legal. Cal dirigir la
sol·licitud a la persona designada com a respon-
3.7. ExERCICI DELS DRETS DELS CIUTADANS EN RELACIó AmB LA PRoTECCIó DE DADES PERSoNALS
II. PREGUNTES i SUPÒSITS 3. Supòsits concrets
72 Manual de bones pràctiques. Funcionaris i cossos especials 73APDA
7. Què és el dret d’oposició i com se sol·licita?
És el dret de qualsevol persona a sol·licitar d’una
administració que no realitzi el tractament de les
seves dades personals o que cessi en aquest trac-
tament en els supòsits següents:
a) Quan el responsable del tractament no les hagi ob-
tingudes directament de la persona interessada.
b) Quan no sigui necessari el seu consentiment per
al tractament, com a conseqüència de la con-
currència d’un motiu legítim i fonamentat que ho
justifiqui, referit a la seva concreta situació per-
sonal, sempre que una llei no disposi el contrari.
c) Quan el tractament tingui per finalitat l’adopció
d’una decisió referida a la persona afectada i ba-
sada únicament en un tractament automatitzat
de les seves dades de caràcter personal.
- Com se sol·licita l’oposició de les dades per-
sonals pròpies?
Cal que ho sol·liciti directament la persona in-
teressada o el seu representant legal, i que diri-
geixi la sol·licitud a la persona designada com a
responsable del fitxer. El responsable del fitxer
resoldrà i, si escau, exclourà del tractament les
dades relatives a la persona sol·licitant, en el ter-
mini màxim d’1 mes des de la recepció de la sol-
licitud. L’exercici del dret d’oposició és gratuït.
Si denega la sol·licitud d’oposició, haurà de fer-
ho motivadament, també en el termini d’1 mes.
En cas que no disposi de dades de caràcter per-
sonal del sol·licitant, haurà igualment de comu-
nicar-li-ho en el mateix termini.
- Procediment de tutela dels drets
Si el sol·licitant entén que no se li ha facilitat cor-
rectament el dret d’oposició, no se l’ha contestat
en 1 mes o la contestació ha estat negativa, pot
reclamar davant l’APDA.
8. Què s’entén per decisions que afecten significati-
vament els ciutadans i que estan basades única-
ment en un tractament automatitzat de dades?
Les persones tenen dret a no veure’s sotmeses a
una decisió amb efectes jurídics sobre elles, o que
els afecti de manera significativa, quan es basa úni-
cament en un tractament automatitzat de dades
destinat a avaluar determinats aspectes de la seva
personalitat, com ara el seu rendiment laboral, crè-
dit, fiabilitat o conducta. Els ciutadans podran exer-
cir el dret d’oposició respecte d’aquestes decisions.
No obstant això, els afectats podran veure’s sot-
mesos a una d’aquestes decisions quan s’hagin
adoptat en el marc d’un contracte celebrat a petició
de l’interessat, sempre que se li doni la possibili-
tat d’al·legar el que estimi pertinent. En tot cas, el
responsable del fitxer haurà d’informar prèviament
l’afectat, de forma clara i precisa, que s’adoptaran
decisions d’aquestes característiques i cancel·larà
les dades en cas que no arribi a dur-se a terme final-
ment el contracte. També podran veure’s sotmesos
quan una d’aquestes decisions estigui autoritzada
per una llei que estableixi mesures que garanteixin
l’interès legítim de la persona interessada.
9. Si els drets d’una persona en relació amb les
seves dades personals no són atesos, com es
pot sol·licitar la tutela per part de l’APDA?
El ciutadà té dret a reclamar davant l’APDA perquè
iniciï un procediment administratiu quan li hagi
estat denegat, totalment o parcialment, l’exer-
cici dels drets d’accés, rectificació, supressió o
oposició, o quan cregui que no se li ha facilitat o
atès l’exercici d’aquests drets. A la pàgina web
de l’APDA (www.apda.ad), en l’apartat Ciutadans,
es troben disponibles uns models de formularis
per sol·licitar l’inici del procediment de tutela i la
relació de documents que és necessari aportar.
- Com pot una persona evitar que li arribi publi-
citat no desitjada?
Els ciutadans tenen dret a conèixer on s’han obtin-
gut les dades personals pròpies que s’han utilitzat
per a fins de publicitat i prospecció comercials. En
moltes ocasions, l’origen de les seves dades pro-
vé d’un consentiment que es va prestar en realitzar
una altra activitat (per exemple, quan es va signar
el contracte d’ús d’una targeta de fidelització). Es
pot revocar en qualsevol moment el consentiment
en virtut de com es rep la publicitat. En tot mo-
ment és factible oposar-se a aquest tractament de
dades personals, sense necessitat de justificar-ho,
mitjançant petició expressa i sense cap cost, i sol-
licitar la cancel·lació de les dades personals, que
seran donades de baixa de manera immediata. Es
pot exercir el dret a oposar-se davant el comerci-
ant (responsable del tractament). El procediment
ha de ser senzill: un telèfon gratuït, un missatge de
correu electrònic o a través d’un servei de queixes
o d’atenció al client.
1. Qui té dret a l’accés a la informació d’expedi-
ents comunals en tramitació? En quines con-
dicions s’ha de facilitar aquest accés?
L’accés als documents que obren els expedients en
tràmit es limitarà a les persones interessades o parti-
cipants en els procediments afectats durant el temps
que duri la tramitació, a fi de preservar l’eficàcia de
l’actuació administrativa. En els casos en què s’apli-
qui la tècnica del silenci administratiu s’haurà d’en-
tendre que, a l’efecte de l’exercici del dret d’accés a la
informació, el procediment ha conclòs des de la data
de venciment del termini de resolució i notificació.
Cal deixar ben clar que l’accés a un expedient adminis-
tratiu no és el mateix que el dret d’accés a dades perso-
nals. Hi ha casos en què el dret d’accés a dades perso-
nals es pot denegar si l’expedient està obert. Per accedir
a un expedient administratiu cal tenir un interès legítim.
2. Es pot facilitar informació sobre les persones
empadronades en un habitatge al propietari?
No és possible facilitar la informació de les persones
empadronades en un habitatge ni al propietari de l’ha-
bitatge. No obstant això, per poder empadronar en un
habitatge una altra persona que no en sigui la propi-
etària és necessari que la persona interessada aporti
una còpia del títol o contracte d’arrendament del pis
o una autorització escrita de la persona propietària (o
persona inscrita com a principal ocupant de l’habitat-
ge que legitimi l’ocupació). Si bé no és possible faci-
litar dades personals al propietari d’un habitatge que
sol·licita informació sobre les persones que l’ocupen,
sí que es pot facilitar informació sobre el nombre de
persones ocupants, però sense identificar-les.
3. Es pot facilitar un certificat del cens comunal
d’habitants a una persona distinta de la titular
de les dades personals però amb qui té una
relació de parentiu?
Les dades personals són propietat de les perso-
nes a les quals es refereixen i només elles o, en
el cas de menors o incapacitats, els seus repre-
sentants legals, poden decidir sobre les seves
dades personals. En conseqüència, la sol·licitud
d’un certificat d’empadronament l’ha de realitzar
la mateixa persona interessada.
Ara bé, es pot arbitrar la possibilitat que, en el
moment de formular aquesta sol·licitud, la perso-
na titular de les dades manifesti la seva voluntat o
desig que una altra persona, en el seu nom, pu-
gui recollir el certificat d’empadronament Això es
pot realitzar per mitjà del seu esment exprés en la
sol·licitud a través d’un espai específic o un espai
reservat a observacions. Sense aquesta habilitació
expressa no es poden facilitar certificats amb da-
des personals a persones diferents de la titular de
les dades, siguin familiars de la persona o no.
4. Es pot facilitar un certificat del cens comunal d’ha-
bitants a una persona que és família d’una altra
que ha mort, si resulta necessari per a les gestions
relacionades amb l’herència i assegurances?
Sí, es pot facilitar un certificat del cens d’habi-
tants que conté dades personals d’una persona
morta a una altra persona que és familiar de la
primera. Aquest fet no és contrari a la LQPD.
En principi, les persones mortes no són titulars
del dret a la protecció de dades personals. No
3.8. ACCÉS A LA INFoRmACIó. oFICINES D’ATENCIó CIUTADANA. LLIURAmENT DE CERTIFICATS
II. PREGUNTES i SUPÒSITS 3. Supòsits concrets
74 Manual de bones pràctiques. Funcionaris i cossos especials 75APDA
obstant això, les dades de caràcter personal re-
ferents a persones mortes, o la dada de la de-
funció d’una persona, quan són dades personals
relatives a altres persones (els seus fills o filles,
els hereus, etc.), poden ser considerades dades
de caràcter personal a l’efecte d’aplicació de la
normativa sobre protecció de dades, amb la qual
cosa sí que són objecte de protecció.
5. És adequat que una persona ens demani un
certificat per via telefònica i que l’enviem a
l’adreça postal de la persona titular?
La realització de consultes i tràmits senzills per telè-
fon, com l’emissió de certificats d’empadronament,
és una funcionalitat concebuda com a servei d’ajuda
a la ciutadania, en el sentit que s’ofereix a les perso-
nes la possibilitat d’estalviar-se desplaçaments físics
que no són imprescindibles. La condició necessària
és l’adequada identificació de la persona que truca
per telèfon, a fi de preservar la confidencialitat de la
informació que s’ha de subministrar.
Per solucionar aquesta qüestió una opció pot ser
identificar la persona que demana el servei sol-
licitant-li que ens faciliti les dades que nosaltres es-
tem veient en pantalla. Per exemple, si ens sol·licita
un volant d’empadronament, li podem demanar el
nom i número de passaport, el del cònjuge, la data
de naixement d’algun fill o filla, és a dir, dades que
normalment només pot saber la persona sol·licitant.
Finalment, remetrem la documentació sempre a
l’adreça postal que figura en el cens comunal.
6. Una persona sol·licita un certificat per correu
postal, n’acredita adequadament la identitat
(mitjançant un escrit signat i amb còpia del
document identificatiu, DNI o passaport) però
demana l’enviament del certificat a un domi-
cili diferent del que consta en la inscripció
censal. Com hem d’actuar?
En general, la sol·licitud de qualsevol tipus de certifi-
cat s’ha de formular per la persona interessada mit-
jançant un escrit dirigit al comú. Podrà realitzar-se
en l’imprès normalitzat que disposi l’administració
comunal en les seves oficines o al servei d’atenció
ciutadana, en un format electrònic o en qualsevol
altre format que lliurement triï la persona sol·licitant.
En el supòsit plantejat, la mateixa persona interes-
sada, en formalitzar la sol·licitud, ha donat l’autorit-
zació per a aquest tractament concret de les seves
dades personals, és a dir, per enviar-li el certificat
censal a un determinat domicili. Per tant, sí que és
procedent realitzar el tràmit sol·licitat.
7. Justificant de pagament. Procediment de sol-
licitud i lliurament.
La legislació tributària determina que les persones
que estan obligades a un pagament poden actuar
per mitjà d’un representant. D’altra banda, qual-
sevol persona pot efectuar el pagament i rebre el
corresponent justificant, amb independència que
tingui, o no, interès en el compliment de l’obliga-
ció, i que la persona obligada al pagament sàpiga
d’aquest pagament i ho aprovi o no.
Aquest pagament realitzat per una persona dis-
tinta de l’obligada no comporta legitimació per
exercitar davant l’Administració els drets que no-
més corresponguin a la persona obligada al pa-
gament. En la pràctica, sol ser la mateixa persona
interessada, o una altra en nom seu, qui realitza el
pagament material del deute tributari i, tot seguit,
se li facilita el document justificant de la liquidació
del deute o pagament.
1. Publicació de dades personals en butlletins
oficials i taulers d’edictes virtuals. Quines
cauteles s’han de seguir?
Si l’activitat informativa obeeix a una decisió discre-
cional de l’entitat local, la comunicació que inclo-
gui dades de caràcter personal només pot tenir lloc
quan s’hagi obtingut el consentiment de les perso-
nes interessades. Per contra, si la notificació o pu-
blicació a través d’un butlletí oficial o tauler d’anun-
cis respon al compliment d’un deure legal fixat amb
suficient precisió, res no impedeix la publicació de
dades personals de les persones afectades.
Un supòsit d’aquest tipus és quan la publicació
obeeix a propòsits de transparència.
Exemple: en ocasió de la publicació de la composi-
ció d’una comisió de selecció, a fi que la ciutadania
pugui identificar les persones sota la responsabilitat
de les quals s’ha portat a terme un procés selectiu.
Encara que la publicació respongui a un deure le-
gal, és necessari complir els següents criteris: com
a bona pràctica, en la publicació de dades perso-
nals en qualsevol mitjà s’ha d’acudir al principi de
proporcionalitat. Per tant, només es publicaran
aquelles dades personals que siguin imprescindi-
bles per aconseguir l’efecte legal pretès i que no
resultin excessives. Els butlletins oficials i els tau-
lers d’edictes virtuals són fàcilment accessibles al
públic. En virtut d’aquest caràcter, la publicació de
dades personals suposa facilitar el coneixement
o l’accés a terceres persones de dades personals
sense el consentiment de la persona afectada. Per
això, en la publicació oficial s’ha d’especificar que
només s’autoritza l’accés amb l’objectiu de donar
a conèixer el seu contingut, i que de cap manera
no es permet promoure un ús abusiu de les dades
personals publicades per a d’altres finalitats.
2. Processos de concurrència competitiva i pu-
blicació de dades personals
En un procediment de concurrència competitiva
l’actuació administrativa favorable beneficia només
una o algunes de les persones aspirants, perquè el
procediment és de naturalesa selectiva i l’Adminis-
tració fixa els límits. Així, poden ser procediments
de concurrència competitiva la concessió d’ajudes
econòmiques o subvencions, la contractació ad-
ministrativa d’obres, subministraments o serveis, i
els processos selectius de personal, entre d’altres.
En aquests casos, la pràctica habitual és publicar
la resolució inicial i la final en els butlletins oficials,
i les comunicacions d’actes de tràmit en taulers
d’anuncis i, fins i tot, en una pàgina web. Encara
que la publicació respongui a un deure legal, és
necessari complir el principi de proporcionalitat.
Només es publicaran aquelles dades personals
que siguin imprescindibles per aconseguir l’efecte
legal pretès i no resultin excessives.
Quan es publiquin a través de butlletins oficials o pà-
gines web, que són fàcilment accessibles al públic,
es facilita el coneixement o accés a terceres perso-
nes de dades personals en compliment d’un deure
legal. Per això, en la publicació oficial s’ha d’espe-
cificar que només s’autoritza l’accés amb l’objectiu
de donar a conèixer el seu contingut, i que de cap
manera no es permet promoure un ús abusiu de les
dades personals publicades per a d’altres finalitats.
3. No és necessari el consentiment de les perso-
nes per a una publicació preceptiva que inclou
dades personals, l’objectiu de la qual és algun
dels següents: assegurar una crida, la presèn-
cia de persones interessades en un procedi-
ment o el compliment d’un deure legal.
La tècnica per assegurar la crida o la presència
de les persones interessades en un procediment
és la publicació oficial de l’acte administratiu que
els afecta. Aquesta publicació es pot fer en tau-
lers d’anuncis, butlletins oficials, pàgines web i en
els mitjans de comunicació. Es pot plantejar si és
exigible el consentiment de les persones interes-
sades per a la publicació preceptiva de les seves
dades en diferents supòsits, com ara la concessió
3.9. PUBLICITAT, DIFUSIó I NoTIFICACIoNS
II. PREGUNTES i SUPÒSITS 3. Supòsits concrets
76 Manual de bones pràctiques. Funcionaris i cossos especials 77APDA
de llicències d’obertura d’establiments, notificació
de deutes tributaris o de sancions de trànsit per
impagaments, o per no haver-se pogut practicar la
notificació de manera personal.
En aquests casos, la publicitat està imposada nor-
mativament per raons de transparència (supòsits de
concessió de llicències d’obertura d’establiments),
per respondre a la necessitat d’assegurar l’efecte
útil del procediment (notificació de deutes tributaris)
o perquè es pretén obtenir un efecte exemplificatiu
(publicació de sancions de trànsit). Per tant, no cal-
drà el consentiment de la persona afectada perquè
la publicació respon al compliment d’un deure legal.
4. Es poden publicar a Internet les actes dels
plens comunals i de les reunions de la Junta
de Govern Comunal quan contenen dades de
caràcter personal?
Les actes dels plens comunals es poden publicar a
Internet sense consentiment de les persones les da-
des de les quals apareixen en les actes si es donen
dues condicions: que ho determini expressament el
reglament orgànic de l’entitat local i que la informa-
ció amb dades de caràcter personal que continguin
no afecti l’honor, la intimitat personal o familiar ni la
pròpia imatge de les persones afectades.
Les sessions dels plens de les corporacions locals
generalment són públiques, excepte en aquells
assumptes que puguin afectar el dret fonamental
dels ciutadans, si així s’acorda per majoria abso-
luta. No obstant això, les sessions de la Junta de
Govern Comunal no són públiques i per això les
seves actes no es poden publicar a Internet.
L’exposició pública i resumida de les actes dels
plens comunals, qualsevol que sigui el mitjà a través
del qual es realitzi, té com a finalitat oferir una infor-
mació genèrica als veïns i a les veïnes, i no ha de ser
necessàriament una pràctica informativa contrària
a la normativa sobre protecció de dades. Ara bé,
s’aconsella eliminar d’aquest resum aquelles dades
de caràcter personal que no siguin adequades, per-
tinents o que resultin excessives, a més de les da-
des personals especialment protegides.
En els supòsits en què s’autoritzi l’enregistrament,
per mitjà d’imatges i/o sons, de les sessions que
celebri el ple municipal de l’entitat comunal, se
suspendrà o limitarà aquest enregistrament i la
seva corresponent difusió durant el temps que duri
el debat d’assumptes que puguin afectar el dret a
la intimitat personal o familiar.
5. Procediments sancionadors i publicació de
dades personals
En procediments sancionadors, la publicació
dels acords adoptats està imposada en les nor-
mes reguladores del procediment i, per tant, no
és necessari el consentiment previ de la persona
afectada. No obstant això, en la publicació de les
dades personals s’han d’adoptar les mesures ne-
cessàries per identificar, de manera objectiva, la
persona afectada, però sense que aquesta publi-
cació suposi una invasió de la seva esfera privada
ni una activitat informativa de l’Administració que
es pugui descriure com a desproporcionadament
àmplia. Per exemple, mitjançant l’esment de la re-
ferència a un nombre d’expedient, de manera que
no sigui necessari fer constar el motiu concret de
la infracció ni de la sanció imposada.
1. Quines cauteles s’han de seguir quan els
consellers generals i comunals, en la seva
tasca de control, sol·liciten dades personals?
Els membres d’una corporació general o local tenen
dret a sol·licitar i obtenir de la presidència qualsevol
informació (qualitativa, quantitativa, antecedents,
dades personals, etc.), sempre que obri en poder
dels serveis de l’organisme i resulti necessària per al
desenvolupament de la seva funció de fiscalització i
control dels òrgans de govern de l’entitat.
Les institucions establiran un procediment per a
l’exercici d’aquest dret, que haurà d’incloure la for-
ma i models de sol·licitud i de resposta. Quan la
informació sol·licitada inclogui dades de caràcter
personal, s’haurà de valorar, en primer lloc, si és
possible conduir-la a la seva dissociació, sense
que això afecti el dret de rebre la informació ne-
cessària per a l’exercici de les funcions de control.
Si en la informació subministrada als consellers
es faciliten dades personals i no s’apliquen tèc-
niques de dissociació, en el model de lliurament
de documentació se’ls recordarà que han d’ob-
servar el deure de confidencialitat de la informa-
ció i, en particular, el deure de secret respecte a
les dades de caràcter personal a les quals acce-
deixen en l’exercici del seu càrrec representatiu.
Aquests deures subsisteixen després de finalit-
zat el mandat. Les dades facilitades no poden
ser utilitzades per a funcions diferents a les de
control dels òrgans de govern.
2. Quines cauteles s’han de seguir quan s’es-
menten dades de caràcter personal en els
plens comunals?
Les sessions del ple de les corporacions locals són
públiques. No obstant això, el debat i la votació
d’aquells assumptes que puguin afectar el dret fo-
namental dels ciutadans a l’honor, la intimitat per-
sonal i familiar i a la pròpia imatge (article 14 de
la Constitució) poden ser secrets, sempre que ho
acordi el ple per majoria absoluta.
3. Quines cauteles s’han de seguir respecte de
les dades de caràcter personal en l’exposició
pública i resumida de les actes?
Les sessions dels plens de les corporacions lo-
cals generalment són públiques, excepte en
aquells assumptes que puguin afectar el dret fo-
namental dels ciutadans, si així s’acorda per ma-
joria absoluta. L’exposició pública i resumida de
les actes del ple, qualsevol que sigui el mitjà a
través del qual es realitzi, té com a finalitat oferir
una informació genèrica als ciutadans, i no ha de
ser necessàriament una pràctica informativa con-
trària a la normativa sobre protecció de dades.
No obstant això, s’aconsella eliminar d’aquest
resum aquelles dades de caràcter personal que
no siguin adequades, pertinents o que resultin ex-
cessives i, per descomptat, les dades personals
especialment protegides.
4. Quines cauteles s’han de seguir quan es gra-
vin i difonguin els plens o treballs en comissió
a través de televisions locals o Internet?
En els supòsits en què s’autoritzi l’enregistra-
ment, per mitjà d’imatges i/o sons, de les ses-
sions que celebri el Comú, se suspendrà o es
limitarà aquest enregistrament i la corresponent
difusió per Internet o en televisions locals, durant
el temps que duri el debat d’assumptes que pu-
guin afectar el dret a la intimitat personal o famili-
ar i a la pròpia imatge.
3.10. PARTICIPACIó PoLíTICA
II. PREGUNTES i SUPÒSITS 3. Supòsits concrets
78 Manual de bones pràctiques. Funcionaris i cossos especials 79APDA
en particular mitjançant un número d’identificació
o un o diversos elements específics, caracterís-
tics de la seva identitat física, fisiològica, psíquica,
econòmica, cultural o social”.
En conseqüència, els fitxers que identifiquin els
enregistraments realitzats per càmeres de vídeo
s’han de crear i publicar al BOPA. Així mateix,
s’han de respectar els principis, les obligacions i
les mesures de seguretat previstos en la normativa
en matèria de protecció de dades.
5. Com s’ha d’avisar i informar de l’existència
de sistemes de videovigilància?
Fins ara no hi ha cap normativa específica que reguli
separadament els sistemes de vigilància per vídeo
utilitzats per cossos i forces de seguretat de l’Estat.
Per tant, qualsevol sistema de videovigilància esta-
rà sotmès al règim general de protecció de dades
personals, tant si és emprat per cossos i forces de
seguretat de l’Estat com si no. No obstant això, en
queden exclosos els supòsits que tracten les matèri-
es excloses de l’àmbit d’aplicació de la regulació de
la protecció de dades personals, com són els que fan
referència a la seguretat de l’Estat i a la investigació i
prevenció d’infraccions penals (art. 5 LQPD).
L’aplicació del règim general de protecció de da-
des indica que s’ha de complir amb el deure d’in-
formació previst en l’article 13 de la LQPD. Per
tant, aplicant-ho als sistemes de videovigilància,
cal tenir present, primer de tot, que s’ha d’informar
el públic, de manera clara i permanent, de l’exis-
tència de càmeres de vídeo fixes, sense la neces-
sitat, però, d’especificar-ne l’emplaçament. A més,
també se l’ha d’informar de l’autoritat competent
de la qual depèn el sistema de vigilància per vídeo.
Per a aquest fi s’han de col·locar en les zones vide-
ovigilades distintius informatius, situats en un lloc
suficientment visible, tant en espais oberts com
tancats. Aquests distintius informaran sobre quina
és la zona que està sotmesa a videovigilància, on
es pot demanar informació addicional i qui és el
responsable del tractament de les imatges.
Per aquest motiu, s’haurien de posar a disposició
dels interessats impresos en què es detalli la infor-
mació prevista en l’article 13 de la LQPD: informa-
ció sobre el fitxer i el tractament, la seva finalitat,
els destinataris de la informació, així com davant
de qui es poden exercir els drets d’accés, recti-
ficació, supressió i oposició al tractament de les
dades personals.
6. Quines pràctiques de sol·licitud de dades
personals són inadequades en els processos
de selecció?
L’entitat local ha de ser capaç d’avaluar si les
persones que vol contractar són treballadores
aptes per al compliment dels llocs de treball
oferts, i seleccionar entre elles les més idònies,
en funció del seu mèrit i capacitat.
Com a norma general, és necessari demanar el
consentiment previ de la persona abans de sol-
licitar les seves dades personals. Ara bé, el fet
d’omplir una instància de sol·licitud de partici-
pació en un procés selectiu suposa un consenti-
ment inequívoc de la persona a la recollida de les
seves dades personals, sempre que les dades
que es pretengui obtenir es puguin valorar com a
adequades, pertinents i no excessives en relació
amb la finalitat selectiva.
En aquest sentit, cal evitar algunes pràctiques se-
lectives de sol·licitud d’informació personal que
puguin suposar una intromissió en l’esfera privada
de la persona, per recollir dades irrellevants, és a
dir, no adequades, no pertinents i excessives.
A l’hora de determinar la recol·lecció mitjançant
qüestionaris o entrevistes selectives de dades
personals, fins i tot de dades delicades o espe-
cialment protegides, és necessari avaluar que la
informació personal que es va a sol·licitar té una
relació directa amb la decisió que s’ha de pren-
dre en matèria d’ocupació.
És difícil enumerar tots els tipus de dades que es
poden utilitzar amb una finalitat selectiva, per-
què la seva identificació dependrà de les carac-
terístiques de l’ocupació. És més lògic enunciar
regles destinades a garantir la claredat de l’ope-
1. Els cossos de seguretat poden cedir dades
personals relacionades amb accidents de cir-
culació a companyies asseguradores?
Sí. És una de les excepcions, recollida en la llei,
a la necessitat de sol·licitar el consentiment per
a la cessió de dades personals. El responsable
del fitxer on es recullen dades d’accidents de
circulació pot facilitar les dades personals re-
collides a les companyies d’assegurances que
actuïn en qualitat de part interessada. Amb ca-
ràcter previ a la cessió, és imprescindible que
les companyies asseguradores acreditin la re-
presentació dels seus assegurats i que aquests
tinguin un interès legítim i directe en l’accident
respecte al qual se sol·licita la informació que
disposa la policia.
2. Pot la policia accedir a les dades personals de
menors escolaritzats en un centre educatiu?
La policia pot efectuar diligències de prevenció i
actuacions per evitar la comissió d’actes delictius,
en el marc de les competències atribuïdes per la
Llei qualificada de la policia.
La recollida i el tractament de dades de caràc-
ter personal per a fins policials, per part de les
forces i cossos de seguretat, i sense consenti-
ment de les persones afectades, estan limitats a
aquells supòsits i categories de dades que resul-
tin necessaris per a la prevenció d’un perill real
per a la seguretat de l’Estat o per a la repressió
d’infraccions penals. Aquestes dades personals
han de ser emmagatzemades en fitxers especí-
fics establerts per a aquesta finalitat, que s’hau-
rien de classificar per categories en funció del
seu grau de fiabilitat.
El responsable del fitxer de dades personals dels
menors, en aquest cas el centre escolar, ha de
respondre a la sol·licitud d’informació de la policia
sempre que la petició es faci de forma concreta
i específica, ja que no és adequat fer sol·licituds
massives de dades.
Per ampliar la informació es poden consultar els
textos següents:
- Llei qualificada de la policia
- Llei qualificada 15/2003, de protecció de dades
de caràcter personal.
3. És adequat que un centre educatiu elabori un
informe, a petició de la policia, per valorar la
situació sociofamiliar d’un menor?
La policia no pot, a iniciativa pròpia, sol·licitar infor-
mes sobre menors als centres educatius per valorar
una potencial situació de desemparament. En tot cas,
si té constància de tal situació, haurà de comunicar-
ho prèviament a la Comissió de Tutela del Menor.
Les autoritats i els serveis públics tenen les obliga-
cions següents:
- Prestar, de forma immediata, l’atenció que ne-
cessiti qualsevol menor.
- Actuar si correspon al seu àmbit de competènci-
es o, si no, trasllar-ho a l’òrgan competent.
- Posar els fets en coneixement dels represen-
tants legals del menor o, quan sigui necessari,
de la Fiscalia.
4. S’han de declarar a l’APDA els sistemes de vi-
deovigilància instal·lats en edificis comunals?
Les imatges de persones captades o gravades per
càmeres o càmeres de vídeo han de ser conside-
rades dades de caràcter personal, d’acord amb la
definició de la LQPD, en l’article 3.1): “Qualsevol
informació concernent a persones físiques identifi-
cades o identificables.”
Més concretament, l’article 5.1 del Reglament de
l’Agència Andorrana de Protecció de Dades, que
desenvolupa la LQPD, considera dades de caràc-
ter personal “tota informació numèrica, alfabètica,
gràfica, fotogràfica, acústica o de qualsevol altre
tipus relativa a una persona física identificada o
identificable (persona interessada); s’entén per
identificable tota persona amb una identitat que
es pugui determinar, directament o indirectament,
3.11. PoLICIA I VIDEoVIGILÀNCIA
II. PREGUNTES i SUPÒSITS 3. Supòsits concrets
80 Manual de bones pràctiques. Funcionaris i cossos especials 81APDA
ració i el coneixement per la persona afectada.
No obstant això, en la majoria de les ocasions
no és necessari preguntar a les persones sobre
la seva vida fora de la feina.
Algunes pràctiques inadequades són:
- Demanar més dades del que és estrictament ne-
cessari per avaluar l’aptitud dels candidats.
- Sol·licitar les dades personals a terceres per-
sones sense el consentiment de l’aspirant. Per
exemple, recaptar informació sobre el rendiment
en una empresa anterior.
- Realitzar exàmens o preguntar per la salut als
candidats per a d’altres fins que no són determi-
nar l’aptitud per al lloc de treball ofert.
Per ampliar-ne informació:
OIT/96/29 7 octubre 1996. Repertori de recomana-
cions pràctiques sobre la protecció de dades per-
sonals dels treballadors.
7. És adequat publicar a Internet una guia de
comunicació de l’entitat local que inclogui,
a més de la identificació dels llocs de treball
que donen un servei públic, les dades d’iden-
tificació dels seus ocupants?
Les organitzacions volen facilitar la comunicació amb
els ciutadans. Per aquest motiu, les entitats públi-
ques identifiquen les seves unitats de servei, els llocs
de treball i les dades de contacte (correu electrònic,
telèfon i adreça postal), i les publiquen en guies de
comunicació, en format paper i en format electrònic.
Quant a la qüestió sobre la publicació, en particu-
lar a Internet, de les dades d’identificació personal
(enteneu, el nom i els cognoms) dels funcionaris,
aquesta pràctica comunicativa ha originat fre-
qüentment conflictes entre els treballadors i l’enti-
tat quan no ha estat precedida de la sol·licitud del
consentiment previ a les persones.
Des d’un punt de vista pràctic, per apropar l’Ad-
ministració al ciutadà i poder oferir-li la informació
que necessita amb la màxima celeritat possible (per
exemple, amb una simple crida), no sembla neces-
sària ni proporcional la publicació a Internet de les
dades personals d’un funcionari. I més quan, en
ocasions, la rotació de persones als llocs de treball
o l’absència en períodes de descans o baixes labo-
rals pot conduir a modificar, provisionalment o de-
finitiva, les dades personals publicades a la xarxa.
En qualsevol cas, si una entitat decidís publicar
una guia de comunicació que inclogués les dades
identificatives dels seus empleats, és recomanable
sol·licitar als treballadors el seu consentiment previ
i explicitar en la publicació que la informació no
constitueix una font d’accés públic.
8. Quines dades personals es poden publicar en
les llistes d’aspirants derivades de la gestió
dels processos selectius o de concursos de
trasllats? (llistes tant de candidats com des-
prés, amb els resultats).
En processos selectius o provisoris, les llistes amb
dades personals (llistes d’admesos, de puntuaci-
ons, etc.) poden tenir una capacitat de difusió major
(butlletins a Internet) o menor (intranet, Internet amb
claus d’accés, taulers d’anuncis en format paper)
en funció del que estableixi la convocatòria. Com a
norma general de respecte a la privadesa, les llistes
haurien de contenir les dades personals mínimes
per complir el principi de publicitat. A més, les llis-
tes haurien d’incorporar una clàusula que advertei-
xi que contenen dades de caràcter personal, que
s’ajusten a la legislació actual en matèria de protec-
ció de dades i que la seva única finalitat és donar
publicitat durant la fase del procés que es tracti i
notificar allò que calgui als participants.
Així mateix, haurien d’incorporar un paràgraf informa-
tiu en què es deixi constància que aquestes llistes no
constitueixen una font d’accés públic i que no podran
ser reproduïdes, ni en tot ni en part, ni transmeses ni
registrades per cap sistema de recuperació d’infor-
mació, sense el consentiment dels mateixos afectats.
9. És lícit examinar el contingut del correu elec-
trònic dels treballadors d’una entitat pública?
El correu electrònic és una eina de treball que per-
met una comunicació immediata, simplifica la feina
i pot ajudar a gestionar de forma més eficient el
temps. Existeixen tècniques per controlar i accedir
a tots els correus electrònics, tant a les dades de
l’enviament i recepció com al contingut dels mis-
satges. Però aquestes eines de control no es po-
den usar indiscriminadament en cap organització.
La Constitució garanteix el secret de les comuni-
cacions, especialment, de les postals, telegràfi-
ques i telefòniques. Per extensió s’interpreta que el
secret del correu electrònic està emparat constitu-
cionalment. La vigilància dels treballadors no està
prohibida, però ha d’adoptar límits molt clars. En
aquest sentit, només es pot efectuar si els treba-
lladors interessats han estat prèviament informats
sobre les intencions del contractant, és a dir, està
prohibit el control secret de l’ús del correu, excep-
te que hi hagi sospites raonablement justificades
d’activitats delictives o d’altres infraccions greus.
En conseqüència, abans que s’iniciïn les activitats
de vigilància, els treballadors han de conèixer les
finalitats d’aquesta vigilància i saber amb precisió
en quins períodes s’efectuarà. És convenient arri-
bar a acords, en el marc del conveni col·lectiu o de
l’acord de condicions laborals, en què s’estableixin
protocols d’actuació per a l’ús del correu electrò-
nic per part dels treballadors i, si escau, sobre els
sistemes de control per part de l’entitat local.
Per ampliar-ne informació:
Constitució Andorrana. Art. 15
OIT/96/29. Repertori de recomanacions pràctiques so-
bre la protecció de dades personals dels treballadors.
10. És lícit examinar les pàgines d’Internet visi-
tades per les persones que treballen en una
entitat pública?
L’accés a Internet, així com l’aplicació de mecanis-
mes per restringir els llocs electrònics que poden
ser visitats, és determinat per l’entitat pública. Hi
ha tècniques per conèixer i controlar els llocs elec-
trònics visitats pels treballadors, però aquestes
operacions de control no es poden usar indiscrimi-
nadament en cap organització.
La vigilància dels treballadors no està prohibida, però ha
d’adoptar límits molt clars. En aquest sentit, només es
pot efectuar si els treballadors interessats han estat prè-
viament informats sobre les intencions del contractant,
és a dir, està prohibit el control secret de l’ús d’internet,
excepte que hi hagi sospites raonablement justificades
d’activitats delictives o d’altres infraccions greus.
En conseqüència, abans que s’iniciïn les activitats de
vigilància, els treballadors han de conèixer les finalitats
d’aquesta vigilància i saber amb precisió en quins pe-
ríodes s’efectuarà. El responsable ha d’establir unes
condicions d’ús adequat i donar-les a conèixer als
treballadors per poder controlar un potencial mal ús.
És convenient arribar a acords, en el marc del conveni
col·lectiu o de l’acord de condicions laborals, en què
s’estableixin protocols d’actuació per a l’ús del correu
electrònic per part dels treballadors i, si escau, sobre
els sistemes de control per part de l’entitat pública. En
qualsevol cas, és millor establir la participació dels re-
presentants sindicals en els procediments de control
i, així mateix, impedir l’accés a determinades pàgines
electròniques (millor prevenir que sancionar).
Per ampliar-ne informació:
OIT/96/29. Repertori de recomanacions pràctiques so-
bre la protecció de dades personals dels treballadors.
II. PREGUNTES i SUPÒSITS 3. Supòsits concrets
82 Manual de bones pràctiques. Funcionaris i cossos especials 83APDA
1. En quines condicions un organisme públic
pot cedir dades d’expedients dels serveis so-
cials a un comú sense el consentiment previ
de la persona titular de les dades?
Segons estableix l’article 11 de la LQPD, només es
poden cedir les dades d’expedients dels serveis
socials entre les institucions públiques esmenta-
des quan es donin una sèrie de condicions:
- Que la cessió es produeixi per complir objec-
tius directament relacionats amb les funcions
legítimes de l’organisme cedent i del cessio-
nari, i amb el previ consentiment de la persona
interessada.
- Quan una llei reguli expressament la cessió.
Per tant, perquè hi pugui haver la cessió de dades
d’expedients dels serveis socials a un comú s’hau-
rà d’acreditar la sol·licitud de les dades, la compe-
tència de l’entitat sol·licitant i l’habilitació legal, en
cas que una llei reguli la cessió, o el consentiment
de l’interessat en altres casos.
2. Es pot proporcionar informació d’una perso-
na menor o incapacitada al seu pare o mare
quan la custòdia ha estat assumida per un
organisme públic tutelar? I a les persones
que es fan càrrec del menor a través d’un
programa d’acolliment?
L’exercici de la pàtria potestat és determinant per
gaudir de l’exercici de la representació legal de
menors o incapacitats. Com a norma general, són
els pares dels menors o incapacitats els que en
tenen la pàtria potestat atribuïda, i no la perden
tret que incompleixin els seus deures i els la retirin
per decisió judicial.
Per tant, en els dos supòsits plantejats, l’accés a
les dades relatives als menors o incapacitats cor-
respon als pares. És important diferenciar aquest
supòsit de guarda o custòdia del supòsit d’as-
sumpció de tutela per part d’una entitat pública
competent, ja que en aquest últim cas sí que es
produeix la suspensió de la pàtria potestat.
3. És possible facilitar a la persona interessada
una còpia dels informes o els dictàmens ela-
borats per diferents professionals i inclosos
en l’expedient?
Sí que és possible. Segons estableix la normativa
general de protecció de dades, quan els informes
continguin dades referides a la intimitat de la per-
sona, l’accés només es podrà portar a terme per
l’interessat. En conseqüència, la persona interes-
sada té dret a sol·licitar i obtenir còpia de tots els
documents que formin part del seu expedient.
4. Quines dades ha de sol·licitar una entitat públi-
ca a una persona per prestar-li un servei social?
El principi de qualitat de les dades de caràcter
personal establert en la LQPD determina que no-
més es podran recollir i sotmetre a tractament les
dades que siguin adequades, pertinents i no ex-
cessives en relació amb l’àmbit i les finalitats per
a les quals s’hagin obtingut. Aquestes finalitats
han de ser determinades, explícites i legítimes.
En l’àmbit d’actuació dels serveis socials gene-
ralment és necessari recollir una gran quantitat
de dades personals (econòmiques, formatives,
sociofamiliars, laborals, psicològiques, etc.) per
poder prestar l’atenció i l’ajuda adequades a les
necessitats de la persona.
Com a norma general, és necessari demanar el
consentiment previ de la persona abans de sol-
licitar les seves dades personals. No obstant això,
acudir als serveis socials per requerir la prestació
d’un servei suposa un consentiment inequívoc de
la persona a la recollida de les seves dades per-
sonals, sempre que les dades que es pretengui
obtenir puguin valorar-se com a adequades, per-
tinents i no excessives en relació amb la finalitat
d’assistència psicosocial. En aquest sentit, cal evi-
tar pràctiques de sol·licitud d’informació personal
que puguin suposar una intrusió en l’esfera privada
de la persona, per recollir dades irrellevants, és a
dir, no adequades, no pertinents i excessives.
A l’hora de determinar la recol·lecció de dades
personals mitjançant qüestionaris o entrevistes,
fins i tot de dades delicades o especialment pro-
tegides, és necessari avaluar que la informació
personal que se sol·licita té una relació directa
amb la decisió que s’ha de prendre en matèria
de prestació social.
És difícil enumerar tots els tipus de dades que
es poden utilitzar amb una finalitat de prestació
social, perquè la seva identificació dependrà de
les característiques de la situació carencial o
problemàtica que origini la petició o necessitat
d’ajuda. És més lògic enunciar regles destinades
a garantir la claredat i el coneixement de l’opera-
ció per la persona afectada. En tots els supòsits
de dades especialment protegides, el tractament
o ús s’ha de realitzar respectant tots els principis
que estableix la LQPD.
5. Les dades personals recollides amb la fina-
litat de prestar un servei social a la titular de
les dades, es poden utilitzar posteriorment
per a un altre objecte?
No, les dades personals recollides per al compli-
ment d’una finalitat determinada, explícita i legíti-
ma (en aquest cas amb la finalitat de prestar un
servei social) no es poden tractar o utilitzar per a
altres fins que siguin incompatibles amb la finalitat
de la recollida. A més, aquesta finalitat ha de ser
coneguda per la persona interessada amb caràcter
previ a la recollida de les seves dades.
No obstant això, no es considerarà incompati-
ble amb la finalitat inicial declarada de l’apila-
ment de dades personals, el tractament poste-
rior si es realitza amb fins històrics o científics.
El tractament de dades personals el propòsit de
les quals és l’anàlisi i la investigació de caràcter
històric o científic, amb freqüència es pot portar
a terme amb dades dissociades, és a dir, apli-
cant procediments de dissociació, de tal ma-
nera que s’elimina la possibilitat d’identificar la
persona titular de les dades.
En altres ocasions, tant per a fins d’anàlisi històrica
o científic com per conèixer la realitat social i poder
planificar les polítiques públiques adequades, és
més rellevant i útil emprar dades socials o agrega-
des (informació referida a un grup o col·lectiu soci-
al) en lloc de dades personals. En aquest sentit, la
protecció de les dades personals no és un obsta-
cle perquè les entitats o els grups socials disposin
de la informació necessària que necessiten per re-
alitzar les seves comeses i avaluar els resultats de
les polítiques i els programes públics.
6. Pot un empleat que treballa en els serveis so-
cials d’una entitat pública accedir a les dades
personals que hi ha en els fitxers?
Un empleat pot accedir exclusivament a les da-
des personals que necessita per desenvolupar
les tasques que té encomanades. És convenient
definir en un document les responsabilitats de
cada usuari i/o les tasques i els fitxers als quals
està autoritzat a accedir per fer la seva tasca.
Els fitxers de dades personals que es creen per
prestar un servei social solen incloure dades es-
pecialment protegides, com ara dades de salut,
d’origen racial o derivats d’actes de violència de
gènere. Per aquest motiu, requereixen l’establi-
ment d’un afegit de mesures per garantir-ne la
seguretat. Així, pel que fa als fitxers automatit-
zats, és recomanable l’existència de mesures de
seguretat especials relacionades amb la identifi-
cació i la distribució de suports que continguin
dades especialment protegides, còpies de se-
guretat i recuperació, i registre d’accessos i de
transmissió d’aquestes dades a través de siste-
mes de telecomunicacions.
És important que recordem les mesures que cal
adoptar respecte dels fitxers no automatitzats o
manuals, perquè encara existeixen molts fitxers
d’aquest tipus relacionats amb l’activitat de servei
social. En concret, cal establir mecanismes que
permetin identificar les persones que han accedit
al fitxer, quan hi ha més d’una persona amb accés
autoritzat. També cal dotar de claus, o d’altres sis-
temes de control de l’accés, els locals on es troben
3.12. SERVEIS SoCIALS
II. PREGUNTES i SUPÒSITS 3. Supòsits concrets
84 Manual de bones pràctiques. Funcionaris i cossos especials 85APDA
els expedients. És necessari prohibir la possibilitat
de fer còpies dels documents dels expedients a
les persones no autoritzades, així com destruir les
còpies dels documents que contenen dades per-
sonals mitjançant procediments que n’impedeixin
la recuperació posterior.
Altres mesures de seguretat pel que fa als fi txers
manuals són: establir la custòdia obligatòria per
part de la persona autoritzada de la documentació
que no es trobi en l’arxiu, i adoptar mesures que
impedeixin l’accés de terceres persones quan es
traslladen els expedients físicament.
Guia ràpida
III
Localitza els teus dubtes [índex de referències]
II. PREGUNTES i SUPÒSITS
86 Manual de bones pràctiques. Funcionaris i cossos especials 87APDA
III. GUIA RÀPIDA 1. Localitza els teus dubtes [índex de referències]
Una de les funcions principals d’aquest manual és
que sigui una eina útil de consulta en la teva tasca
diària. En aquest apartat disposes d’una guia de
referències perquè quan t’aparegui un dubte ob-
tinguis una resposta ràpida, amb la qual cosa gua-
nyaràs efi ciència. Així podràs localitzar de manera
transversal arreu del manual totes les explicacions
que facin referència als dubtes més bàsics.
1 Localitza els teus dubtes [índex de referències]
QUALITAT DE LES DADES
Com han de ser les dades personals que recullis?
Pàgines 18 i 19 punt 4.1
Destacat pàg. 21
Pàgina 62 punt 3.2 apartat 1
Pàgina 50 supòsit pràctic 1, punts 1.1 i 1.2
Pàgina 54 supòsit pràctic 5, punt 5.3
El prestador de serveis també té dret a guardar
secret? Qui està subjecte al deure de secret?
Pàgina 24 paràgraf segon
Destacat pàg. 25
Pàgina 28 punt 4.7
Pàgina 54 supòsit pràctic 5, punt 5.2
Pàgina 66 punt 3.4 apartat 1
Quines són les mesures de seguretat bàsiques
que has de seguir en la teva tasca diària en
l’àmbit de la protecció de dades personals?
Pàgina 24 paràgraf tercer i quart
Pàgina 25
Pàgina 68 punt 3.5
Pàgines 75, 76 i 77 punts 3.9 i 3.10
Com es tracten les dades de persones difuntes?
Pàgina 61 punt 3.1 apartat 3
Pàgines 73 i 74 punt 3.8 apartat 4
Com pot una persona evitar que li enviïn publi-
citat no desitjada?
Pàgines 72 i 73 punt 3.7 apartat 9
Drets i condicions per a accedir expedients
comunals.
Pàgines 73 i 74 punt 3.8
Publicació i difusió de dades personals en but-
lletins ofi cials.
Pàgines 75 i 76 punt 3.9
CoNSENTImENT DE L’INTERESSAT
Necessites el consentiment previ del ciutadà
per recollir i tractar dades personals?
Pàgines 19, 20 i 21
Quadre pàg. 21
Pàgina 45 FAQ 14
Pàgina 47 FAQ 20
Pàgina 50 supòsit pràctic 1, punt 1.4
Pàgina 53 supòsit pràctic 4, punt 4.1
Pàgina 54 supòsit pràctic 5, punt 5.1
Pàgina 58 supòsit pràctic 12, punt 12.1
Pàgina 64 punt 3.3 apartat 1.1
Pàgines 75 i 76 punt 3.9
I per tractar dades sensibles?
Pàgines 22 i 23
Quadre pàg. 21
Pàgina 44 FAQ 9
Pàgina 45 FAQ 15
Pàgina 47 FAQ 21
Pàgina 62 punt 3.2 apartat 2
Pàgina 51 supòsit pràctic 2, punts 2.1, 2.2 i 2.3
Pàgina 52 supòsit pràctic 3, punts 3.1, 3.2 i 3.3
Com ha de ser el consentiment de l’interessat?
Pàgina 31 punt 5.2 apartat 2
Pàgina 64 punt 3.3 apartat 1.2
Quan no cal el consentiment de l’interessat?
Quadre pàg. 23
Pàgina 19 i 20 punt 4.2 apartat 2
Pàgina 64 punt 3.2 apartat 1.3
Pàgines 75 i 76 punt 3.9
88 Manual de bones pràctiques. Funcionaris i cossos especials 89APDA
III. GUIA RÀPIDA 1. Localitza els teus dubtes [índex de referències]
CESSIó DE DADES
Necessites el consentiment previ del ciutadà
per cedir dades a un tercer?
Pàgina 26 apartat 4.5 paràgraf primer
Pàgina 53 supòsit pràctic 4, punt 4.1
Pàgina 53 supòsit pràctic 4, punt 4.1
Pàgina 55 supòsit pràctic 6, punt 6.2
Pàgina 56 supòsit pràctic 7, punt 7.2
Pàgina 69 punt 3.6 apartat 1
Necessites el consentiment previ del ciutadà si
es tracta d’una cessió de dades a una altra ad-
ministració pública?
Pàgina 27 apartat 4.6
Pàgina 69 punt 3.6 apartats 2 i 3
Pàgina 55 supòsit pràctic 6, punt 6.3
Quan serà nul el consentiment que obtinguis
del ciutadà en una cessió de dades?
Pàgina 26 punt 4.5 paràgraf segon
Si reps una comunicació o cessió de dades, de
quins aspectes n’has d’informar el ciutadà?
Pàgina 35 punt 5.6 apartat 2
Pàgina 69 punt 3.6
Quan informes un ciutadà d’una cessió de da-
des i no contesta, a partir de quin termini de
temps s’entendrà que el silenci és sinònim de
consentiment?
Pàgina 35 punt 5.6 apartat 3
En quins casos el ciutadà no es pot oposar a la
cessió de dades a tercers?
Pàgina 35 punt 5.6 apartat 4
Pàgina 69 punt 3.6
Pots denegar a la Batllia la cessió de dades
d’un fitxer públic que reclama?
Pàgina 56 supòsit pràctic 8, punt 8.3
El ciutadà et pregunta a qui s’han cedit les se-
ves dades personals, què has de fer?
Pàgina 45 FAQ núm. 12
Què has de tenir en compte a l’hora de fer una
transferència internacional de dades?
Pàgina 29 punts 2, 3 i 5
Pàgina 48 FAQ 26, 27 i 28
Pàgina 60 supòsit pràctic 13, punt 13.1
DRETS DELS CIUTADANS
Com has d’informar el ciutadà pel que fa al pro-
cés d’obtenció i tractament de dades?
Pàgines 30 i 31
Pàgina 45 FAQ 11
Pàgina 65 punt 3.3 apartats 2.1, 2.2, 2.3 i 2.4
Pàgina 50 supòsit pràctic 1, punt 1.3
Pàgina 58 supòsit pràctic 11, punt 11.1
Com has d’informar el ciutadà de la possibilitat
d’exercir els seus drets?
Pàgina 32 punt 5.2 apartat 4
Pàgina 51 supòsit pràctic 2, punt 2.3
Pàgina 58 supòsit pràctic 12, punt 12.2
Quin termini tens per contestar una sol·licitud
de dret d’accés?
Pàgina 33 punt 5.4 apartat 3
Pàgines 70 i 71 punt 3.7 apartat 2
Com has de subministrar la informació dema-
nada pel ciutadà?
Pàgina 70 punt 3.7 apartat 1
Pots denegar una sol·licitud de dret d’accés?
Pàgina 34 punt 5.4 apartat 5
Pàgina 58 supòsit pràctic 10, punt 10.1
Pàgina 71 punt 3.7 apartat 3
Un ciutadà vol exercir el seu dret de rectificació
sense acreditar les noves dades, què has de fer?
Pàgina 34 punt 5.5 apartat 3
Pàgina 71 punt 3.7 apartat 4
De quin termini disposes per contestar una
sol·licitud de rectificació?
Pàgina 34 punt 5.5 apartat 4
Quadre pàg. 37
Pàgina 71 punt 3.7 apartat 1
De quin termini disposes per contestar una
sol·licitud de supressió de dades?
Pàgina 36 punt 5.7 apartat 3
Quadre pàg. 37
Pàgina 71 punt 3.7 apartat 5
Si un ciutadà que prèviament havia donat el
seu consentiment exprés perquè aparegues-
sin les seves dades en un fitxer ara vol que se
suprimeixin, què has de fer?
Pàgina 36 punt 5.7
Pàgina 71 punt 3.7 apartat 5
Què has de fer amb les dades si s’accepta la
sol·licitud de supressió?
Pàgina 36 punt 5.7 punt 4
Pàgina 46 FAQ 17
Per quines causes pots denegar el dret de su-
pressió de l’interessat?
Pàgina 36 punt 5.7 punt 2
Pàgina 71 punt 3.7 apartat 6
Com informes el ciutadà que es queixa que les
seves dades surten a Internet sense el seu con-
sentiment?
Pàgina 35 punt 5.6
Pàgina 45 FAQ 13
Pàgina 62 punt 3.1 apartat 5
Pàgina 76 punt 3.9 apartat 4
Pàgina 80 punt 3.11 apartat 7
Com informes el ciutadà que vol exercir el seu
dret a indemnització perquè considera que
s’han vulnerat els seus drets en matèria de pro-
tecció de dades?
Pàgina 37 punt 5.8 apartat 4
Pàgina 58 supòsit pràctic 12, punt 12.3
Pàgina 72 punt 3.7 apartat 9
FITxERS
Com s’inscriu o es modifica un fitxer públic?
Pàgines 39 i 40 punt 6.1
Pàgina 63 punt 3.2 apartat 6
Quins fitxers públics estan exempts de la llei?
Destacat pàg. 38
Pàgines 16 i 17 punt 3.5
Pàgina 44 FAQ 3 i 4
Pàgina 57 supòsit pràctic 9
on pot consultar el ciutadà els fitxers públics i
els privats?
Pàgina 38 punt 5.9
Pàgina 42 punt 7.3
Pàgina 44 FAQ 7 i 8
Diferència entre ‘responsable de tractament’ i
‘responsable del fitxer’ en les entitats públiques.
Pàgina 63 punt 3.2 apartat 7
Per a quins fitxers no cal que es publiqui al
BoPA una norma de creació?
Pàgina 40 paràgraf tercer
Destacat pàg. 38
Quins requisits ha de contenir una norma de cre-
ació d’un fitxer públic per ser publicada al BoPA?
Pàgina 40 paràgraf quart
Destacat pàg. 40
Pàgina 47 FAQ 22
Pàgina 62 punt 3.2 apartat 6
Pàgina 57 supòsit pràctic 9
90 Manual de bones pràctiques. Funcionaris i cossos especials 91APDA
III. GUIA RÀPIDA
Annexos
IV
A1. Models i formularis
A2. Glossari de termes clau
Diferència entre ‘fi txers automatitzats’ i ‘fi txers
manuals’
Pàgina 63 punt 3.2 apartat 5
Pàgina 32 punt 5.3 apartat 1
Si un fi txer està publicat en el BoPA, ja el pots
aplicar o bé has de tenir en consideració algun
detall més?
Pàgines 16 i 17 punt 3.5
Has de facilitar la informació que et demana un
inspector de l’APDA o pots denegar-la-hi?
Pàgina 42 punt 7.2 apartats 4 i 5
ALTRES
Quines cauteles s’han de seguir en el tracta-
ment de dades personals en l’àmbit polític?
Pàgina 77 punt 3.10
Altres especifi citats en el tractament de dades
personals: els cossos de seguretat, els siste-
mes de videovigilància i els processos públics
de selecció de personal.
Pàgines 78, 79 i 80 punt 3.11
Pàgina 58 supòsit pràctic 11, punt 11.1
Pot una entitat pública controlar els correus
electrònics i les pàgines visitades a Internet
dels seus treballadors?
Pàgina 81 punt 3.11 apartats 9 i 10
Pots accedir a les dades personals d’un fit-
xer si treballes en els serveis socials d’una
entitat pública?
Pàgines 83 i 84 punt 3.12 apartat 6
92 Manual de bones pràctiques. Funcionaris i cossos especials 93APDA
Accés Un dels drets de tot interessat és d’ac-
cés, que permet saber si les seves dades perso-
nals han estat comunicades o cedides per una
empresa o administració a una altra. Ha d’exercir
el dret davant del responsable del fi txer que con-
té les seves dades.
Accessos autoritzats Autoritzacions concedides
a un usuari per a la utilització dels diversos recur-
sos. Poden incloure les autoritzacions o funcions
que tingui atribuïdes un usuari per delegació del
responsable del fi txer o tractament o del respon-
sable de seguretat.
APDA L’Agència Andorrana de Protecció de Da-
des és l’autoritat de control que vetlla per la pro-
tecció de les dades de caràcter personal de les
persones físiques. L’Agència actua amb plena
independència i objectivitat.
Autenticació Procediment de comprovació de la
identitat d’un usuari.
Cessió o comunicació de dades Qualsevol ces-
sió o comunicació de dades de caràcter personal
que el responsable del tractament dugui a terme
en favor d’un tercer destinatari sempre que les
dades siguin utilitzades pel destinatari per al com-
pliment de fi nalitats directament relacionades amb
les funcions legítimes del cedent i el cessionari.
Comunicació internacional de dades Tota co-
municació de dades o tot accés a les dades per
part d’un prestador de serveis de dades personals,
quan els destinataris de la comunicació o els pres-
tadors de serveis estiguin domiciliats a l’estranger,
o emprin mitjans de tractament de dades perso-
nals ubicats a l’estranger per a la comunicació de
les dades o per a la prestació del servei.
Consentiment de l’interessat Qualsevol manifes-
tació de voluntat, lliure, inequívoca, específi ca i in-
formada, mitjançant la qual l’interessat consent el
tractament de dades personals que el concerneixen.
Contrasenya Informació confi dencial, freqüentment
constituïda per una cadena de caràcters, usada en
l’autenticació d’un usuari o en l’accés a un recurs.
Control d’accés Mecanisme que en funció de la
identifi cació ja autenticada permet accedir a da-
des o a recursos.
Còpia de seguretat Còpia de les dades d’un
fi txer automatitzat en un suport que possibiliti
recuperar-les.
Dada dissociada Dada que no permet la identifi -
cació d’un afectat o interessat.
Dades de caràcter personal Qualsevol informa-
ció numèrica, alfabètica, gràfi ca, fotogràfi ca, acús-
tica o de qualsevol altre tipus que concerneix per-
sones físiques identifi cades o identifi cables.
A2A1 Models i formularis Glossari de termes clau
RECoRDA!
L’enllaç on la persona interessada pot
descarregar-se els models és:
https://www.apda.ad/node/108
RECoRDA!
moDELS D’ExERCICI DELS DRETS
A l’apartat de Documentació / Model d’exercici
dels drets del lloc web de l’Agència Andorrana
de Protecció de Dades (www.apda.ad) es poden
descarregar els models corresponents a cadas-
cun dels drets de les persones interessades.
• Modeld’exercici del dret d’accés.
• Modeld’exercici del dret d’oposició.
• Modeld’exercici del dret de rectifi cació.
• Modeld’exercici del dret de supressió.
• Modelde sol·licitud de denúncia.
• Modeldesol·licitud per a la denegació
del dret d’accés.
• Modeldesol·licitud per a la denegació
del dret de rectifi cació.
• Modeldesol·licitud per a la denegació
del dret de supressió.
IV. ANNEXOS A2. Glossari de termes clau
94 Manual de bones pràctiques. Funcionaris i cossos especials 95APDA
Dades sensibles Dades referents a opinions po-
lítiques, creences religioses, pertinença a organit-
zacions polítiques o sindicals, salut, vida sexual o
origen ètnic de les persones interessades.
Dades de caràcter personal relacionades amb
la salut Les informacions que concerneixen la
salut passada, present i futura, física o mental,
d’un individu. Es considera dades relacionades
amb la salut de les persones les referides al seu
percentatge de discapacitat i a la seva informació
genètica i també les relacionades amb el consum
d’alcohol, de drogues tòxiques i de substàncies
psicotròpiques.
Destinatari Tercera persona física o jurídica, ser-
vei o qualsevol altre organisme que rebi una co-
municació de dades.
Document Qualsevol escrit gràfic, sonor o d’imat-
ge, o qualsevol altra classe d’informació que pot
ser tractada en un sistema d’informació com una
unitat diferenciada.
Exportador de dades personals La persona física
o jurídica, pública o privada, o l’òrgan administratiu
situat en el territori andorrà que realitzi, conforme
al que disposa la normativa, una transferència de
dades de caràcter personal a un país tercer.
Fitxer de dades personals (“fitxer”) Tot conjunt es-
tructurat i organitzat, centralitzat o no, de dades per-
sonals, qualsevol que sigui la seva forma o modalitat
de creació, emmagatzematge, organització i accés.
Fitxers exempts Fitxers que queden fora de l’àmbit
d’aplicació de la LQPD, com els relatius a la segure-
tat de l’Estat i la investigació i prevenció d’infracci-
ons penals, o quan el responsable sigui una perso-
na física i destini les dades a finalitats exclusivament
particulars, com ara les agendes personals o els di-
rectoris personals d’adreces i dades de contacte,
etcètera (vegeu-ne els casos en la LQPD).
Gratuïtat de l’exercici dels drets L’exercici dels
drets d’accés, rectificació, supressió i oposició
és gratuït, no es pot sotmetre per part del res-
ponsable del fitxer a cap formalitat ni al paga-
ment per la persona interessada de les despeses
que puguin correspondre.
Identificació Procediment de reconeixement de
la identitat d’un usuari.
Importador de dades personals La persona fí-
sica o jurídica, pública o privada, o l’òrgan admi-
nistratiu receptor de les dades en cas de transfe-
rència internacional d’aquestes dades d’un tercer
país, tant si és responsable del tractament, encar-
regada del tractament o un tercer.
Incidència Qualsevol anomalia que afecti o pugui
afectar la seguretat de les dades.
Interessat Persona física titular de les dades que
siguin objecte del tractament.
Perfil d’usuari Accessos autoritzats a un grup
d’usuaris.
Persona identificable Qualsevol persona la
identitat de la qual es pugui determinar, directa-
ment o indirectament, mitjançant qualsevol infor-
mació referida a la seva identitat física, fisiològi-
ca, psíquica, econòmica, cultural o social. Una
persona física no es considera identificable si la
dita identificació requereix terminis o activitats
desproporcionats.
Prestador de serveis de dades personals La
persona física o jurídica, de naturalesa pública o
privada, o l’autoritat pública, o el servei o qualse-
vol altre organisme que, sol o conjuntament amb
d’altres, tracta les dades de caràcter personal per
compte del responsable del tractament, o que ac-
cedeix a les dades personals per a la prestació
d’un servei a favor i sota el control del responsa-
ble del tractament, sempre que no utilitzi les da-
des a què tingui accés per a finalitats pròpies, o
que no les faci servir més enllà de les instruccions
rebudes o per a finalitats diferents del servei que
ha de prestar a favor del responsable.
Procediment de dissociació Qualsevol tracta-
ment de dades personals que permeti l’obtenció
de dades dissociades.
Registre públic d’inscripció de fitxers de dades
personals És l’òrgan de l’Agència Andorrana de
Protecció de Dades a qui correspon vetllar per la
publicitat dels fitxers de dades de caràcter perso-
nal, amb la finalitat de fer possible l’exercici dels
drets d’informació, accés, rectificació i supressió
de dades personals. Es tracta d’un òrgan d’accés
públic, general i gratuït.
Recurs Qualsevol part component d’un sistema
d’informació.
Registre públic accessible Qualsevol registre al qual
les persones amb un interès legítim poden accedir.
Responsable del tractament La persona física o
jurídica, el servei o qualsevol altre organisme com-
petent per decidir sobre el tractament de dades
personals i els mitjans que es destinaran a tal trac-
tament, i que vetlla perquè les finalitats que es pre-
tenen assolir amb el tractament es corresponguin
amb les concretades en la norma o en la decisió de
creació del fitxer.
Sistema de tractament Manera en què s’orga-
nitza o s’utilitza un sistema d’informació. Poden
ser automatitzats, no automatitzats o parcial-
ment automatitzats.
Sistemes d’informació Conjunt de fitxers, trac-
taments, programes, suports i, si s’escau, equips
utilitzats per al tractament de dades de caràcter
personal.
Suport Objecte físic que emmagatzema o conté
dades o documents, o objecte susceptible de ser
tractat en un sistema d’informació i sobre el qual
es poden gravar i recuperar dades.
Supressió Procediment en virtut del qual el
responsable cessa en l’ús de les dades. La su-
pressió implica el bloqueig de les dades, que
consisteix en la identificació i la reserva de les
dades amb la finalitat d’impedir-ne el tracta-
ment, excepte per posar-les a disposició de les
administracions públiques, jutges i tribunals per
a l’atenció de les possibles responsabilitats sor-
gides del tractament i només durant el termini de
prescripció de les responsabilitats esmentades.
Transcorregut aquest termini s’ha de procedir a
la supressió de les dades.
Tercer La persona física o jurídica, autoritat públi-
ca, servei o qualsevol altre organisme diferent de
l’interessat, del responsable del tractament o del
seu representant i del prestador de serveis.
Tractament de dades personals (“tractament”)
Qualsevol operació o conjunt d’operacions efec-
tuades mitjançant procediments automatitzats
o no, i aplicades a dades de caràcter personal,
com ara la recollida, el registre, l’organització, la
conservació, l’elaboració o la modificació, l’extra-
cció, la consulta, la utilització, la comunicació per
transmissió, la difusió o qualsevol altra forma que
en faciliti l’accés, la comparació o la interconne-
xió, el bloqueig, la supressió o la destrucció.
Transmissió de documents Qualsevol trasllat,
comunicació, enviament, lliurament o divulgació
de la informació que conté.
IV. ANNEXOS A2. Glossari de termes clau
96 Manual de bones pràctiques. Funcionaris i cossos especials
Fonts i bibliografia
FoNTS. Aquest Manual ha estat possible gràcies a la documentació extreta de les següents fonts:
Agència Andorrana de Protecció de Dadeswww.apda.ad Agencia Española de Protección de Datoswww.agpd.es Agència Catalana de Protecció de Dadeswww.apd.cat
Agencia Vasca de Protección de Datoswww.avpd.euskadi.net
Agencia de Protección de Datos de la Comunidad de Madrid www.madrid.org/apdcm
BIBLIoGRAFIA. Per elaborar la informació continguda en el Manual s’ha consultat també la bibliografia següent:
Manual de Buenas Prácticas para entidades locales de la Comunidad Autónoma del País Vasco en materia de protección de datos personalesEUDEL. Asociación de Municipios Vascos. D.L.: BI-1237-08 Manual práctico de protección de datosAntonio Ruiz CARRillo
Editorial Bosch, S. A. 2005ISBN: 84-9790-113-4 La protección de datos personales. Un derecho autónomo con base en los conceptos de intimidad y privacidadConCepCión Conde oRtiz
Editorial Dykinson, S. L. 2005ISBN: 84-9772-597-2 La protección de los datos personales en las Administraciones PúblicasMAnuel FeRnández SAlMeRón
Civitas Ediciones, S. L. 2003ISBN: 84-470-2105-X
La cesión o comunicación de datos de carácter personalJeSúS AlbeRto MeSSíA de lA CeRdA bAlleSteRoS
Civitas Ediciones, S. L. 2003ISBN: 84-470-2104-1 Guía Práctica de Protección de Datos desde la óptica del titular del ficheroMiguel ángel dAvARA RodRíguez
ASNEF · Asociación Nacional de Establecimientos Financieros de Crédito. 1999ISBN: 84-923731-1-3 Los datos de carácter personalAntonio Ruiz CARRillo
Editorial Bosch, S. A. 1999ISBN: 84-7676-576-2
Que no se t’escapin!
Manual de bones pràctiquesFUNCIONARIS I COSSOS ESPECIALS
Manual de bones pràctiquesFUNCIONARIS I COSSOS ESPECIALS
La protecció de les dades de caràcter personal
i el seu tractament en l’àmbit de l’Administració pública
La protecció de les dades de caràcter personal
i el seu tractament en l’àmbit de l’Administració pública
Man
ual d
e bo
nes
pràc
tiqu
es ·
FU
NC
ION
AR
IS I
CO
SS
OS
ES
PE
CIA
LS
Manual de bones pràctiquesLa protecció de les dades de caràcter personal i el seu tractament en l’àmbit de l’Administració pública
L’Agència Andorrana de Protecció de Dades
(APDA) és l’autoritat de control que vetlla per
la protecció de les dades de caràcter perso-
nal de les persones físiques. L’Agència actua
amb plena independència i objectivitat.
L’any 2003, en el marc de la Llei 15/2003
qualificada de protecció de dades perso-
nals (LQDP), es va crear l’APDA amb la
funció principal de vetllar pel compliment
del marc normatiu de la protecció de da-
des de caràcter personal així com per ges-
tionar el Registre Públic d’Inscripció de
Fitxers de Dades Personals. Es tracta d’un
òrgan de control que té el deure d’exercir
la potestat inspectora i sancionadora per
a les infraccions que vulnerin la normativa
en la matèria.
Amb aquest Manual de bones pràctiques
dirigit als treballadors de l’Administració
pública, l’APDA té l’objectiu de sensibilitzar
aquest col·lectiu en el tractament de les da-
des de caràcter personal i oferir-li una eina
pràctica de consulta com a recordatori dels
principis bàsics que regula la llei.
El contingut d’aquest manual està dirigit
a tots els treballadors de les diferents ad-
ministracions que mantenen contacte diari
amb el ciutadà i que han de tenir coneixe-
ments bàsics sobre la matèria per si poden
esdevenir responsables de tractament de
dades o simplement per poder informar el
ciutadà amb garanties.
El format pràctic i uns continguts didàctics i
entenedors fan que aquest manual el pugui
usar tothom que en algun moment del de-
senvolupament de la seva tasca hagi d’obte-
nir o controlar dades de caràcter personal.
ObjectiusÉs un manual d’aprenentatge de la Llei de
protecció de dades personals i té una doble
funció: fer la legislació més entenedora i, a
la vegada, servir de recordatori dels principis
bàsics de la regulació en aquesta matèria.
· Conèixer els conceptes bàsics relacionats
amb la protecció de dades.
· Conèixer en què consisteix el dret fona-
mental a la protecció de dades i el seu marc
normatiu general.
<< El Manual de bones pràctiques és la millor eina per complir amb eficiència els principis bàsics de la protecció de dades de caràcter personal. >>
www.apda.ad
Top Related