L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es resol declarar que l'Ajuntament de Vilassar de Mar ha infringit el principi de licitud (art. 5 RGPD) atès que empra un sistema de control horari per mitjà de l'empremta dactilar, que implica el tractament de dades biomètriques del seu personal funcionari i laboral, sense disposar d'una base jurídica legitima. Així mateix, també es declara que l'Ajuntament ha infringit l'art 35 RGPD, per no haver realitzat una avaluació d'impacte de protecció de dades (AIPD) amb motiu de la implantació del sistema de control horari, per mitjà de l'empremta dactilar; i perquè va vulnerar l'art. 37 RGPD atès que no disposava d'un delegat de protecció de dades personals.
Es resol que l'Ajuntament de La Canonja ha vulnerat l'article 5.1.a de l'RGPD, atès que l'entitat no disposa de cap base jurídica que legitimi el tractament de dades biomètriques dels seus treballadors. També la vulneració de l'article 35 de l'RGPD, perquè no havia fet una avaluació d'impacte en matèria de protecció de dades. A més, es requereix a l'entitat que posi a disposició del seu personal un sistema alternatiu de control horari, que no comporti el tractament de categories especials de dades.
L'entitat va cometre 2 infraccions de caràcter molt greu, previstes a l'article 86.5.b en relació amb l'article 13 RGPD, ja que va posar en funcionament el sistema de videovigilància del centre sense instal·lar prèviament els cartells informatius obligatoris. A més, un dels cartells està ubicat de manera que n'impedeix la lectura. Pel que fa a un llistat telefònic en paper que tenen a la porteria del centre, no s'informava del tractament.
Les dades biomètriques sotmeses a tractaments tècnics específics adreçats a fins de reconeixement biomètric, ja sigui en forma d’identificació o d’autenticació biomètrica, han de considerar-se com a categoria especial de dades. Per tant, tindrien aquesta consideració tant l’empremta dactiloscòpica, a la qual s’aplica un tractament tècnic específic, quan s’utilitzi amb la finalitat d’autenticar la identitat d’una persona física, com la signatura biomètrica obtinguda sobre una tauleta, mesurant la formació de les lletres, la direcció dels trets, pressió i altres característiques dinàmiques úniques, en la mesura que se sotmet a un tractament tècnic específic amb la finalitat de confirmar-ne l’autoria.
La inclusió de les dades biomètriques, entre elles les de l’empremta dactilar, entre les categories especials de dades previstes per l’RGPD no permet concloure de manera automàtica que la implantació d’un sistema de control horari basat en la recollida d’aquest tipus de dades pugui considerar-se proporcionat i, per tant, conforme amb el principi de minimització. Cal fer una avaluació de l’impacte sobre la protecció de dades a la vista de les circumstàncies concretes en què es dugui a terme el tractament per determinar-ne la legitimitat i la proporcionalitat, inclosa l’anàlisi de l’existència d’alternatives menys intrusives, i establir les garanties adequades.
El sistema de control d’accés biomètric examinat no s’adequaria al principi de proporcionalitat, per la qual cosa seria recomanable implantar un sistema alternatiu que doni resposta adequada a la finalitat pretesa pel col·legi professional sense posar en risc el correcte compliment dels principis i garanties de la normativa de protecció de dades personals.