Directiva de Protecció de Dades

La Directiva de protecció de dades (oficialment, Directiva 95/46/EC relativa a la protecció de persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades) és una directiva de la Unió Europea adoptada el 1995 que regula el processament de dades personals dins de la Unió Europea. És un component important de la legislació europea relativa a la privadesa i als drets humans. El gener del 2012, la Comissió Europea va proposar una gran reforma que hauria d'estar completada el 2015.^[1]

Context

La legislació relativa a la privadesa és una àrea altament desenvolupada a Europa. Tots els estats membres de la Unió Europea són també signataris del Conveni Europeu de Drets Humans. L'article 8 del conveni estableix el dret al respecte per tothom per "la vida privada i familiar, la seva casa i la seva correspondència", subjecte a certes restriccions. El Tribunal Europeu de Drets Humans ha donat a aquest article una interpretació molt àmplia en la seva jurisprudència.

El 1980, en un esforç per crear un sistema de protecció de dada comprensible pertot arreu Europa, l'Organització de Cooperació i Desenvolupament Econòmic (OCED) va emetre les seves "Recomanacions del Consell respecte a les directrius que governen la protecció de la privadesa i el flux transfronterer de dades personals".^[2] Els set principis que governen les recomanacions de l'OCED per la protecció de dades personals eren:

1. Notificació—l'interessat hauria de ser notificat que les seves dades s'estan registrant;
2. Propòsit—les dades només s'haurien d'utilitzar per al propòsit manifestat i no per cap altre propòsit;
3. Consentiment—les dades no haurien de ser revelades sense el consentiment de l'interessat;
4. Seguretat—el registre de dades s'hauria de mantenir segur de cap abús potencial;
5. Transparència—l'interessat hauria de ser informat de qui està registrant les seves dades;
6. Accés—l'interessat hauria de poder accedir a les seves dades i fer correccions de qualsevol dada inexacta; i
7. Responsabilitat—l'interessat hauria de tenir disponible un mètode de rendició de comptes per part registrador de dades per no seguir els principis anteriors.^[3]

Les directrius de l'OCDE, tanmateix, no són vinculants i la legislació al voltant de la privadesa de dades encara era variada per tot Europa.^[3]

La Comissió Europea es va adonar que una legislació divergent de protecció de dades entre els estats membres de la UE impedia el flux lliure de dades dins de la UE i en conseqüència va proposar la Directiva de protecció de dades. Els set principis de l'OCDE van ser incorporats a la directiva.

Contingut

La directiva regula el processament de dades personal independentment de si tal processament és automatitzat o no.

Abast

Les dades personals es defineixen com "tota informació relativa a una persona física identificada o identificable ("l'interessat"); es considera identificable tota persona que es pugui determinar la seva identitat, directament o indirecta, en particular mitjançant un número d'identificació o un o diversos elements específics, característics de la seva identitat física, fisiològica, psíquica, econòmica, cultural o social". (art. 2 a)

Aquesta definició és significada per ser molt àmplia. Les dades són "dades personals" quan algú és capaç de relacionar la informació a una persona, fins i tot si la mateixa persona interessada no pot establir aquesta relació. Alguns exemples de "dades personals" són: adreça, número de targeta de crèdit, comptabilitat bancària, antecedents penals, etc.

El concepte de “tractament” significa «qualsevol operació o conjunt d'operacions realitzades sobre dades personals, per mitjans automatitzats o no, com la recopilació, registre, organització, conservació, elaboració o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma que faciliti l'accés, comparació o combinació, així com el blocatge, supressió o destrucció.» (art. 2 b)

El «responsable del tractament» és la persona física o jurídica, autoritat pública, agència o qualsevol altre organisme que sol o conjuntament amb d'altres determina la finalitat i els mitjans del tractament de dades personals; (art. 2 d)

Les disposicions de protecció de dades són aplicables no només quan el responsable està establert en territori de la UE, sinó sempre que el responsable utilitzi mitjans pel tractament de dades situats en territori de la UE. (Art. 4) Els responsables del tractament establerts fora de la UE, tractant dades de la UE, hauran de seguir la regulació de protecció de dades. En principi, qualsevol empresa que comerciï en línia amb ciutadans de la UE estaria tractant alguna dada personal i estaria utilitzant mitjans en la UE per tractar les dades (per exemple, l'ordinador del client). En conseqüència, l'operador del lloc web hauria de complir amb les disposicions de protecció de dades europees. La directiva va ser escrita abans de la irrupció d'Internet, i fins ara hi ha poca jurisprudència en aquest tema.

La proposta de reforma, anunciada el 2012, estén l'abast de la llei de protecció de dades de la UE a totes les empreses estrangeres que processen dada de residents de la Unió Europea.^[1]

Principis

Les dades personals no hauria de ser tractades en absolut, excepte quan es compleixen certes condicions. Aquestes condicions s'agrupen en tres categories: transparència, legitimitat i proporcionalitat.

Transparència

L'interessat té el dret a ser informat quan les seves dades personals han de ser recollides. El responsable del tractament ha de proporcionar el seu nom i adreça, la finalitat del tractament, els destinataris de les dades i tota altra informació que sigui necessària per garantir un tractament lleial amb l'interessat. (Art. 10 i 11)

Les dades poden ser tractades només sota les circumstàncies següents. (Art. 7):

• Quan l'interessat ha donat el seu consentiment.
• Quan és necessari per a l'execució d'un contracte o per mesures precontractuals.
• Quan és necessari per al compliment d'una obligació jurídica.
• Quan és necessari per a protegir els interessos vitals de l'interessat.
• Quan és necessari per al compliment d'una missió d'interès públic o inherent a l'exercici del poder públic conferit al responsable del tractament.
• Quan és necessari per al propòsit de l'interès legítim perseguit pel responsable del tractament, sempre que no prevalgui l'interès o els drets i llibertats fonamentals de l'interessat.
• L'interessat té el dret d'accedir a totes les seves dades tractades. Fins i tot té el dret de demanar la rectificació, supressió o bloqueig de dades que siguin incompletes, inexactes o que no siguin tractades d'acord amb les disposicions de la directiva de protecció de dades. (Art. 12)

Legitimitat

Les dades personals només poden ser recollides per a finalitats determinades, explícites i legítimes, i no poden ser tractades posteriorment de manera incompatible amb aquestes finalitats. (Art. 6 b).

Proporcionalitat

Les dades personals tractades només poden ser les adequades, pertinents i no excessives amb relació a la finalitat per a la qual van ser recollides. Les dades han de ser exactes i, quan sigui necessari, actualitzades; s'hauran de prendre les mesures raonables per suprimir o rectificar les dades inexactes o incompletes, respecte a la finalitat amb la qual van ser recopilades. Les dades han de ser conservades d'una forma que permeti la identificació dels interessats durant un període no superior al necessari per a la finalitat per la qual van ser recopilades. (Art. 6).

S'apliquen uns tractaments especials quan les dades personals són sensibles: origen racial o ètnic, opinions polítiques, conviccions religioses o filosòfiques, afiliació a sindicats, salut o sexualitat. (Art. 8)

L'interessat pot oposar-se en qualsevol moment al tractament de dades personals amb la finalitat de prospecció de mercat. (Art. 14)

Implementació pels estats membres

Les directives de la UE són adreçades als estats membres i, en principi, no són legalment vinculants per als ciutadans. Els estats membres han de transposar la directiva a les lleis locals. La Directiva 95/46/EC relativa a la protecció de dades personals havia de ser transposada al final de 1998. Tanmateix, a Espanya la directiva no fou transposada fins al desembre del 1999 mitjançant la Llei orgànica de protecció de dades (LOPD) que entrà en vigor el gener del 2000.^[4] Tots els estats membres han establert la seva pròpia legislació de protecció de dades.

Referències

1. «New draft European data protection regime». m law group. Arxivat de l'original el 2015-07-16. [Consulta: 16 juliol 2015].
2. Consulteu l'Organització per a la Cooperació i el Desenvolupament Econòmic, Directrius sobre la protecció de la privadesa i els fluxos transfronterers de dades personals, disponibles a http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html (last modified January 5, 1999)
3. Shimanek, Anna E. «Do you Want Milk with those Cookies?: Complying with Safe Harbor Privacy Principles». Journal of Corporation Law, 26, 2, 2001, pàg. 455, 462–463.
4. 23750 LLEI ORGÀNICA 15/1999, de 13 de desembre, de protecció de dades de caràcter personal. (BOE 298, dijous 30 desembre 1999

Enllaços externs

• Protection of personal data, portal de protecció de dades de la UE.
• Directive 95/46/EC (Directiva relativa a la protecció de persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades)
• 2000/520/EC: decisió de la Comissió al voltant de l'adequació de la directiva 95/46/EC.
• Directiva 2002/58/EC (Directiva relativa a la privacitat i les comunicacions electròniques)