El RGPD és una de les parts on més gent suspèn l'ACTIC Mittjà (C2). No per dificultat conceptual, sinó perquè hi ha terminis, articles i terminologia molt específica que cal conèixer amb precisió. Aquí els 20 conceptes que apareixen quasi sempre a l'examen.

⚠️ Recorda: Al C2 cal superar el 65% de la competència C1 (Cultura digital i civisme) on entra tot el RGPD. Si no estudies el RGPD en profunditat, pots suspendre aquesta competència fins i tot sabent bé la resta.

1. El termini de 72 hores per a bretxes de dades

L'article 33 del RGPD estableix que el responsable del tractament ha de notificar una bretxa de seguretat a l'autoritat de control (AEPD a Espanya) en un termini màxim de 72 hores des que en tingui coneixement. Si s'incompleix el termini cal justificar el retard. Si la bretxa suposa un risc elevat per als afectats, també cal notificar-los directament (art. 34).

2. Les 6 bases legals del RGPD

L'art. 6 estableix que el tractament és lícit si es basa en una d'aquestes bases: consentiment, execució d'un contracte, obligació legal, interès vital de l'interessat, interès públic, o interès legítim del responsable. El consentiment és una base legal més, no l'única. Aquesta és una pregunta trampa habitual.

3. Els drets ARCO+ i els seus terminis

El RGPD reconeix els drets d'Accés, Rectificació, Supressió (dret a l'oblit), Oposició, Limitació del tractament i Portabilitat. El termini de resposta és d'1 mes, prorrogable a 2 mesos addicionals en casos complexos. Si no s'atén la sol·licitud, l'interessat pot reclamar a l'AEPD.

4. Categories especials de dades

L'art. 9 prohibeix tractar dades d'origen racial o ètnic, opinions polítiques, creences religioses o filosòfiques, afiliació sindical, dades genètiques, biomètriques, de salut, vida sexual o orientació sexual. Requereixen una base legal explícita addicional al consentiment.

💡 Pregunta trampa freqüent: El nom, cognoms i adreça NO son categories especials. Les dades de menors d'edat tampoc son categories especials (tot i que requereixen protecció especial). Únicament son les 9 categories llistades a l'art. 9.

5. El Delegat de Protecció de Dades (DPD/DPO)

La designació del DPD és obligatòria per a: autoritats i organismes públics, organitzacions que realitzen tractaments a gran escala de categories especials, i organitzacions que monitoritzen sistemàticament persones a gran escala. El DPD ha de tenir coneixements especialitzats i no pot rebre instruccions en l'exercici de les seves funcions.

6. L'Avaluació d'Impacte de Protecció de Dades (DPIA)

L'art. 35 obliga a realitzar una DPIA abans d'iniciar tractaments d'alt risc, com: videovigilància a gran escala, tractament de categories especials a gran escala, elaboració de perfils amb efectes jurídics, i tractaments innovadors. La DPIA no és una auditoria posterior, sinó una avaluació preventiva.

7. Sancions: dos nivells

L'art. 83 estableix dos nivells de sancions. Infraccions menys greus: fins a 10.000.000€ o el 2% de la facturació mundial anual. Infraccions greus (incompliment dels principis bàsics, vulneració de drets): fins a 20.000.000€ o el 4% de la facturació mundial anual (el que sigui més gran).

8. Privacitat des del disseny i per defecte

L'art. 25 estableix el principi de Privacy by Design: les mesures de protecció de dades s'han d'incorporar des del disseny del sistema, no afegir-les posteriorment. I Privacy by Default: per defecte només s'han de tractar les dades mínimes necessàries.

9. El Registre d'Activitats de Tractament (RAT)

L'art. 30 obliga les organitzacions de més de 250 treballadors (i en alguns casos de menys) a mantenir un RAT que documenti tots els tractaments: responsable, finalitat, base legal, categories de dades, destinataris, terminis de conservació i mesures de seguretat.

10. Transferències internacionals de dades

Transferir dades fora de l'EEE requereix garanties: decisió d'adequació de la Comissió Europea, clàusules contractuals tipus, o normes corporatives vinculants. Per als EUA s'aplica el Data Privacy Framework (2023). En absència de garanties, cal el consentiment explícit.

11. Consentiment vàlid: 4 requisits

El consentiment ha de ser lliure (sense pressió), específic (per a una finalitat concreta), informat (l'usuari sap per a què) i inequívoc (acció afirmativa clara). Una casella pre-marcada NO és consentiment vàlid. El silenci tampoc.

12. Dret a l'oblit (supressió)

L'art. 17 reconeix el dret a sol·licitar l'eliminació de dades personals quan ja no son necessàries, es retira el consentiment, s'oposa al tractament, o les dades s'han tractat il·lícitament. El dret a l'oblit als cercadors (Google, Bing) és una aplicació pràctica molt coneguda d'aquest dret.

🎯 Consell: A SimulACTIC tens 5 simuladors específics sobre RGPD i administració electrònica (M-T5, M-T10, M-T11) amb més de 60 preguntes sobre aquests temes. És la millor manera de fixar tots aquests conceptes.
Practica les preguntes de RGPD gratis →