Actualització urgent: protecció de dades i l'estat d'alarma

Autor: TIC Salut Social / 7 d'abril de 2020

7 d'abril de 2020

Incorpora els criteris interpretatius de:

L’Agència Espanyola de Protecció de Dades, en la comunicació del web Notificación de brechas de seguridad de los datos personales durante el estado de alarma de 2 d’abril de 2020.
El director del Gabinet Jurídic de la Generalitat, en la Nota sobre l’aplicació de les disposicions addicionals tercera i quarta del Reial decret 463/2020, de 14 de març, pel que es declara l’estat d’alarma per a la gestió de la situació de crisi sanitària ocasionada pel COVID-19 de 30 de març de 2020.

La crisi sanitària ocasionada per la COVID-19 i la ràpida evolució de la pandèmia a nivell nacional i internacional ha donat lloc a la declaració de l’estat d’alarma mitjançant el Reial Decret 463/2020, de 14 de març, pel qual es declara l’estat d’alarma per a la gestió de la situació de crisi sanitària ocasionada pel COVID-19.
L’estat d’alarma és un dels tres estats d’emergència previstos en l’article 116 de la Constitució, juntament amb l’estat d’excepció i l’estat de setge. La seva regulació es troba en la Llei orgànica 4/1981, d’1 de juny.
D’acord amb l’article 4.b) de la Llei orgànica 4/1981, d’1 de juny, el Govern pot declarar l’estat d’alarma, en tot o part del territori nacional, quan es produeixi una alteració greu de la normalitat degut a crisis sanitàries, tals com epidèmies.
El Reial Decret 463/2020, de 14 de març, estableix l’adopció de diverses mesures en diferents àmbits amb una durada inicial de 15 dies naturals, que ha estat prorrogada pel Govern fins a les 00:00 hores del dia 12 d’abril pel Reial Decret 476/2020, de 27 de març.
Un dels àmbits en el qual s’adopten mesures específiques és la tramitació administrativa. En aquest aspecte, la disposició addicional tercera del Reial Decret preveu la suspensió i interrupció dels terminis per a la tramitació dels procediments de les entitats del sector públic.
El còmput es reprendrà en el moment en què perdi vigència el Reial Decret 463/2020, de 14 de març o, en el seu cas, les seves pròrrogues.

El Reial decret considera entitats del sector públic les següents:

a) Qualssevol organisme públic i entitats de dret públic vinculats o dependents de les administracions públiques.

b) Les entitats de dret privat vinculades o dependents de les administracions públiques, que estan subjectes al que disposen les normes d’aquesta Llei que s’hi refereixin específicament, i en tot cas, quan exerceixin potestats administratives.

c) Les universitats públiques, que es regeixen per la seva normativa específica i, supletòriament, per les previsions d’aquesta Llei.

L’afectació d’aquestes previsions en l’àmbit de la tramitació de procediments en matèria de protecció de dades és la següent:

Notificació de violacions de seguretat a l’autoritat de control

L’article 33 RGPD preveu un termini de 72 hores per a la notificació a l’autoritat de control de les violacions de seguretat de les dades personals que constitueixin un risc per als drets i les llibertats de les persones físiques. Si la notificació no es produeix en el termini de 72 hores, s’ha d’acompanyar amb la indicació dels motius de la dilació.
En aquest aspecte i a falta d’un criteri específic de l’Autoritat Catalana de Protecció de Dades al respecte, l’Agència Espanyola de Protecció de Dades ha emès un comunicat en data 2 d’abril de 2020, en què considera que la suspensió de terminis prevista a la disposició addicional tercera del Reial decret 463/2020 no afecta a l’obligació de notificar les violacions de seguretat que afectin a dades personals. D’acord amb això, els responsables i encarregats de tractament, en compliment de l’article 33 RGPD, estan obligats a notificar a l’autoritat de control en el termini de 72 hores, les violacions de seguretat de les dades personals que constitueixin un risc per als drets i les llibertats de les persones físiques, sense perjudici que en cas de no disposar en aquest termini de tota la informació necessària, puguin posteriorment ampliar-la mitjançant una notificació addicional.
Així mateix, els responsables han de prendre les mesures necessàries que calguin per evitar perjudicis greus en els drets i llibertats de les persones afectades per la vulneració, incloent, si escau, la comunicació d’una violació de la seguretat de les dades personals als interessats prevista en l’article 34 RGPD, quan la violació suposi un alt risc pels drets i llibertats dels interessats.

Tramitació d’exercici de drets dels interessats

La suspensió no afecta al dret dels ciutadans a comunicar-se amb l’Administració, els quals podran efectuar les peticions, comunicacions o tramitacions que estiguin disponibles, inclosa la sol·licitud d’exercici dels drets d’accés, rectificació, supressió, limitació del tractament, portabilitat i oposició.
Tanmateix, d’acord amb les previsions de la disposició addicional 3a del Reial decret 463/2020, de 14 de març, amb caràcter general es poden considerar suspesos els terminis per resoldre aquestes sol·licituds, sense perjudici que, d’acord amb la interpretació donada a l’apartat tercer de la disposició addicional 3a del Reial decret 463/2020 pel Gabinet Jurídic de la Generalitat en data 30 de març de 2020, seria possible que es rehabilités la suspensió dels terminis previstos en aquests supòsits mitjançant resolució motivada de l’òrgan competent, de la qual cosa, des de l’Oficina del DPD n’informaríem en cas que es produís.
En qualsevol cas, caldrà tenir present que les entitats hauran de prendre les mesures necessàries per garantir que no es produeixi un perjudici greu dels drets o interessos dels afectats.

Tramitació de procediments en relació amb l’APDCAT

Finalment, cal indicar que els terminis previstos per a la tramitació dels diferents procediments que efectua l’APDCAT en exercici de les funcions que té atribuïdes, ja siguin procediments sancionadors, de tutela de drets, d’informació prèvia, de sol·licitud d’un pronunciament, o de control, també es poden considerar suspesos en virtut de l’aplicació de la disposició addicional 3a del Reial decret 463/2020, de 14 de març, sense perjudici de la possibilitat de rehabilitació
esmentada en l’apartat anterior.

Per qualsevol dubte o aclariment addicional podeu adreçar-vos al DPD de salut al correu dpd@ticsalutsocial.cat o consultar https://ticsalutsocial.cat/oficina-dpd/ at/oficina-dpd/

Referències

AEPD. (2020). [Online]: Notificación de brechas de seguridad de los datos personales durante el estado de alarma. Extret el 7 d’abril de 2020 de https://www.aepd.es/es/prensa-y-comunicacion/blog/notificacion-de-brechas-deseguridad-de-los-datos-personales-durante-el
Departament de la Presidència. (2020). [Online]: Instruccions i informes jurídics en relació a la situació generada pel COVID-19. Extret el 7 d’abril de 2020 de https://presidencia.gencat.cat/ca/ambits_d_actuacio/organsconsultius/gabinet_juridic/instruccions-i-informes-juridics-covid-19/

Terminis per la notificació de violacions de seguretat i a la tramitació d'altres procediments

Cookie	Duració	Descripció
cookielawinfo-checkbox-advertisement	1 any	La galeta la defineix el complement de consentiment de galetes del RGPD , aquesta galeta s’utilitza per registrar el consentiment de l’usuari per les galetes de la categoria "Publicitat" .
cookielawinfo-checkbox-analytics	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD, aquesta galeta s’utilitza per registrar el consentiment de l’usuari per a les cookies de la categoria “Analítiques”.
cookielawinfo-checkbox-functional	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD per registrar el consentiment de l’usuari per les galetes en la categoria "Funcional".
cookielawinfo-checkbox-necessary	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD. Les galetes s’utilitzen per emmagatzemar el consentiment de l’usuari per les galetes en la categoria “Necessari”.
cookielawinfo-checkbox-others	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD. La galeta s'utilitza per emmagatzemar el consentiment de l'usuari per a les galetes de la categoria "Altres".
cookielawinfo-checkbox-performance	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD. La galeta s'utilitza per emmagatzemar el consentiment de l'usuari per a les galetes de la categoria "Rendiment".
PHPSESSID	sessió	Aquesta galeta és originària d’aplicacions PHP. La galeta s’utilitza per emmagatzemar i identificar l’identificador de sessió únic dels usuaris amb la finalitat de gestionar la sessió d’usuari al lloc web. La galeta és una galeta de sessió i s’elimina quan es tanquen totes les finestres del navegador.
viewed_cookie_policy	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD i s’utilitza per emmagatzemar si l’usuari ha consentit o no l’ús de galetes. No emmagatzema cap dada personal .
VISITOR_INFO1_LIVE	5 mesos 27 dies	Una galeta configurada per YouTube per mesurar l’amplada de banda que determina si l’usuari obté la interfície de reproductor nova o antiga.
YSC	sessió	La galeta YSC la defineix Youtube i s’utilitza per fer un seguiment de les visualitzacions de vídeos incrustats a les pàgines de YouTube.

Cookie	Duració	Descripció
__sharethis_cookie_test__	sessió	Aquesta galeta la defineix ShareThis, per comprovar si el navegador accepta galetes
yt-remote-connected-devices	never	YouTube defineix aquesta galeta per emmagatzemar les preferències de vídeo de l'usuari mitjançant un vídeo de YouTube incrustat.
yt-remote-device-id	never	YouTube defineix aquesta galeta per emmagatzemar les preferències de vídeo de l'usuari mitjançant un vídeo de YouTube incrustat.

Cookie	Duració	Descripció
_ga	2 anys	La galeta _ga, instal·lada per Google Analytics, calcula les dades de visitants, sessions i campanyes i també fa un seguiment de l’ús del lloc per a l’informe d’anàlisi del lloc. La galeta emmagatzema informació de forma anònima i assigna un número generat aleatòriament per reconèixer els visitants únics.
_gat_gtag_UA_12072629_1	1 minut	Aquesta galeta la defineix Google i s’utilitza per distingir els usuaris.
_gid	1 dia	Instal·lada per Google Analytics, la galeta _gid emmagatzema informació sobre l’ús que fan els visitants d’un lloc web, alhora que crea un informe d’anàlisi del rendiment del lloc web. Algunes de les dades que es recopilen inclouen el nombre de visitants, la seva font i les pàgines que visiten de forma anònima.
CONSENT	16 anys 3 mesos 14 dies 13 hores	Aquestes galetes s’estableixen mitjançant vídeos de youtube incrustats. Registren dades estadístiques anònimes sobre, per exemple, quantes vegades es mostra el vídeo i quins paràmetres s’utilitzen per a la reproducció. No es recopilen dades confidencials tret que inicieu sessió al vostre compte de Google, en aquest cas les vostres opcions estan vinculades amb el vostre compte, per exemple. si feu clic a "m'agrada" en un vídeo.
vuid	2 anys	Vimeo instal·la aquesta galeta per recopilar informació de seguiment establint un identificador únic per incrustar vídeos al lloc web.

Cookie	Duració	Descripció
IDE	1 any 24 dies	Les galetes IDE de Google DoubleClick s’utilitzen per emmagatzemar informació sobre com l’usuari utilitza el lloc web per presentar-los anuncis rellevants i segons el perfil de l’usuari.
test_cookie	15 minuts	El test_cookie el defineix doubleclick.net i s’utilitza per determinar si el navegador de l’usuari admet cookies.

Subscriu-te i rep novetats i notícies

Butlletí TICSS

Sobre la Fundació

Patronat

Xarxes nacionals i internacionals

Ofertes de feina

Transparència

Actius digitals per la ciutadania

Àmbit social

Atenció digital personalitzada

Competències digitals

eHealth

Imatge mèdica digital

Integració social i sanitària

Intel·ligència artificial

Interoperabilitat

Actius

Finalitzats

Nosaltres

Entitats adherides

Documentació

Eina AIPD

Aula Virtual

Contacte

Notícies

Agenda

Sala de premsa

Butlletí