L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La persona denunciant manifestava que al Centre de Control de Metro es gravaven totes les trucades i que supervisors i caps de línia hi podien accedir, sense justificació ni control. La denúncia s'arxiva un cop verificat que, tant la gravació com l'accés a les trucades, es duen a terme de conformitat amb la normativa de protecció de dades.
Un treballador de l'empresa RENFE Viajeros va publicar la sol·licitud d'alta de la T-Mobilitat d'una tercera persona, a l'àrea privada del denunciant del web de l'ATM. Aquest fet va propiciar que el denunciant pogués accedir a dades personals d'un tercer, fet que va vulnerar el principi de confidencialitat. Així mateix, també es constata que, en el moment dels fets, l'ATM i Renfe no disposaven d'un contracte d'encarregat del tractament. Per l'exposat, es resol declarar que l'ATM ha vulnerat el principi de confidencialitat atès que com a responsable del tractament no va vetllar per la protecció de les dades; i l'article 28 RGPD, atès que no disposava d'un contracte d'encarregat del tractament amb l'empresa que publicava les sol·licituds d'alta a la T-Mobilitat
El reclamant es queixava que l'entitat no havia atès la seva sol·licitud d'exercici del dret de supressió del número de telèfon mòbil particular i d'oposició a rebre trucades o missatges de feina en aquest telèfon. Es resol estimar parcialment la reclamació perquè l'entitat va admetre que va respondre i atendre els drets del reclamant fora de termini. No hi ha pronunciament sobre el fons perquè l'entitat ja va resoldre la reclamació.
Tant la persona reclamant com l'entitat reclamada han informat i han aportat documentació per acreditar que TÜV SÜD ATISAE SAU va respondre la sol·licitud de supressió objecte d'aquesta reclamació en el termini d'un mes, però que per l'error descrit no el va fer efectiu en aquell moment. Correspon desestimar la reclamació, atès que el dret es va atendre en termini i s'ha fet efectiu abans de presentar la reclamació.
La normativa de protecció de dades habilitaria la comunicació de l’expedient administratiu a les persones interessades en el procediment administratiu sobre la base de l’article 6.1.c) i e) de l’RGPD en relació amb la normativa del procediment administratiu. En el cas que entre la informació que consti a l’expedient estiguin afectades dades de salut, la comunicació pot estar habilitada sobre la circumstància de l’article 9.1.f) de l’RGPD, si la informació és necessària per formular, exercir o defensar reclamacions. En qualsevol cas, la informació que es comuniqui s’ha de limitar al mínim necessari per a la defensa dels drets o interessos legítims de les persones interessades.
Correspon al responsable del tractament aplicar les mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc del tractament, incloent-hi en el cas que ens ocupa les mesures que corresponguin de les que preveu l’Esquema Nacional de Seguretat, com ara, la pseudonimització o xifratge de les dades personals.
La denunciant es queixa d'una violació de seguretat que podria haver compromès les seves dades bancàries, perquè va rebre un càrrec a la seva targeta bancària corresponent a la compra d'un títol de transport que no havia fet. No s'ha acreditat que TMB hagi patit una violació de seguretat que hagi compromès les dades de les persones usuàries, en el període comprès entre el mes de febrer de 2023 i el 02/06/2023. Tampoc ha aparegut cap element probatori que les dades bancàries de la denunciant, que es van utilitzar per adquirir un bitllet senzill de bus el 02/06/2023, s'haguessin obtingut a partir de les dades facilitades quan va comprar un altre títol de transport a través de TMB App.
La denunciant es queixa que en les targetes de transport personalitzades inclouen el nom i cognoms, DNI i fotografia de la persona usuària. Es considera que incloure aquestes dades està justificat per evitar el frau, ja que es tracta de títols de transport bonificats, i per agilitzar la identificació dels titulars per part de les persones inspectores i conductores de l'entitat. Per consegüent, s'arxiven les actuacions perquè no s'infringeix el principi de minimització.
La instal·lació de càmeres a l’interior dels taxis, la gravació de les quals s’activi per la persona conductora en situacions de perill amb l’objecte de prevenir i, si escau perseguir agressions i altres conductes delictives perpetrades a l’interior del mateix, podria ser lícit a l’empara de l’interès legítim, previst a l’article 6.1.f) RGPD en relació amb l’article 22 LPDGDD, sempre que es dugui a terme d’acord amb els principis i garanties de la normativa de protecció de dades i les consideracions efectuades en aquest dictamen.
En atenció a la finalitat pretesa en el present cas amb la utilització de càmeres frontals exteriors en els trens, consistent en garantir la seguretat del trànsit ferroviari i la conservació de la infraestructura, es considera que la seva utilització no hauria de comportar la captació d’imatges de persones físiques o d’altra informació que les faci identificables, per la qual cosa l’entitat hauria d’adoptar els mecanismes escaients per evitar aquesta captació en aquells espais, com les estacions i zones adjacents, en què resulti probable.