L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La informació disponible no permet determinar amb precisió si podrien concórrer els elements previstos a l’article 37.1 de l’RGPD, o a l’article 34.1 LOPDGDD, que comporten l’obligatorietat del nomenament d’un DPD. En principi no sembla que hagi de concórrer l’obligatorietat del nomenament d’un DPD en base a les previsions de l’article 37.1, apartats a) i b). Pel que fa a la concurrència del supòsit previst a l’article 37.1.c) RGPD, l’exigència del nomenament del DPD vindria fonamentada, si escau, en el tractament de dades de categories especials (art. 9.1 RGPD), sempre que aquest tractament es dugui a terme com a part de l’activitat principal de la societat mercantil, i a gran escala. Si l’entitat mercantil o bé no tracta dades de categories especials (art. 9.1 RGPD), o no les tracta en els termes que preveu l’article 37.1.c) RGPD, tampoc no sembla que resulti obligatori el nomenament d’un DPD en aquest cas. Qüestió diferent és que es pugui nomenar un DPD com a bona pràctica, com apunta el Grup de Treball de l’Article 29 en les Directrius sobre el DPD, en atenció al tractament que s’hagi de dur a terme.
La informació disponible no permet determinar amb precisió si podrien concórrer els elements previstos a l’article 37.1 de l’RGPD, o a l’article 34.1 LOPDGDD, que comporten l’obligatorietat del nomenament d’un DPD. En principi no sembla que hagi de concórrer l’obligatorietat del nomenament d’un DPD en base a les previsions de l’article 37.1, apartats a) i b). Pel que fa a la concurrència del supòsit previst a l’article 37.1.c) RGPD, l’exigència del nomenament del DPD vindria fonamentada, si escau, en el tractament de dades de categories especials (art. 9.1 RGPD), sempre que aquest tractament es dugui a terme com a part de l’activitat principal de la societat mercantil, i a gran escala. Si l’entitat mercantil o bé no tracta dades de categories especials (art. 9.1 RGPD), o no les tracta en els termes que preveu l’article 37.1.c) RGPD, tampoc no sembla que resulti obligatori el nomenament d’un DPD en aquest cas. Qüestió diferent és que es pugui nomenar un DPD com a bona pràctica, com apunta el Grup de Treball de l’Article 29 en les Directrius sobre el DPD, en atenció al tractament que s’hagi de dur a terme.
El rol del DPD dins l’organització del responsable (art. 4.7 RGPD) ve determinat per l’RGPD, sense que la seva adscripció orgànica o la coexistència i col·laboració amb d’altres figures, com ara la dels “referents en protecció de dades”, o d’altres òrgans (singularment, el responsable de seguretat), pugui desvirtuar les funcions que la normativa li atribueix o la seva independència funcional. Tenint en compte la normativa aplicable, i seguint les Directrius del Grup de Treball de l’Article 29, podria ser recomanable que el Departament, en compliment del principi de responsabilitat proactiva (art. 5.2 RGPD), estableixi els casos en què cal consultar al DPD, a efectes de claredat i en els termes que s’exposen en aquest dictamen, als efectes de garantir les funcions assessores i supervisores pròpies del DPD. Atès que el Departament ha de garantir la participació del DPD en totes les qüestions relatives a la protecció de dades de forma adequada i en el temps oportú, que el DPD és l’interlocutor amb les Autoritats de protecció de dades i que té atribuïdes funcions específiques, s’hauria d’interpretar la Resolució de concurs específic en els termes apuntats en el Fonament Jurídic V d’aquest dictamen.
Es planteja una consulta sobre si el delegat de protecció de dades pot ser alhora el director dels serveis jurídics i membre de l’òrgan col·legiat de l’equip de gestió del sistema intern d’informació que es vol implantar a l’empara de la llei 2/2023, si es considera que és independent i si pot existir conflicte d’interessos.
Tenint en compte que el DPD actua com assessor i supervisor intern del compliment de l’RGPD i l’LOPDGDD, a més de servir com a punt de contacte i interlocutor entre l’organització, les autoritats de protecció de dades i les persones interessades (articles 38.4 i 39.1 RGPD, i article 36 LOPDGDD), sembla clar que no pot alhora desenvolupar altres funcions incompatibles, en el sentit que comporti participar en la presa de decisions sobre l’existència de tractaments de dades o sobre la manera en què aquestes dades han de tractar-se.
Cal recorda que la decisió última sobre com dur a terme una determinada activitat del tractament correspon, sempre, al responsable o a l'encarregat del tractament, però és essencial que el DPD pugui assessorar i donar la seva opinió lliurement i sobre la base dels fets i dels seus coneixements especialitzats, sense cap classe de condicionant.
En aquest cas, per tal d’evitar conflictes d’interessos, convindria que la persona designada com a delegada de protecció de dades no acumulés alhora el càrrec de Director dels serveis jurídics ni de membre de l’òrgan col·legiat del responsable del sistema intern d’informació, per tal d’evitar conflictes d’interessos en l’exercici de les seves funcions o intervenir en la determinació dels fins i els mitjans del tractament de les dades personals de l’entitat pública, o que tingui atribuïdes funcions o altres responsabilitats que afectessin la seva independència en les seves funcions com a delegat de protecció de dades.
Es resol declarar que l'Ajuntament de Riudaura ha infringit l'article 13 RGPD, atès que en la implantació d'un nou sistema de gestió de residus va recollir dades personals dels usuaris del servei i no ha pogut acreditar que hagués informat prèviament. Així mateix, es declara que l'entitat ha vulnerat l'obligació de disposar d'un delegat de protecció de dades personals, atès que en data 11/12/2023 la corporació no tenia cap persona que fes aquestes funcions.
L'ajuntament va cometre 2 infraccions: 1. Manca de contracte d'encarregat del tractament amb l'entitat contractada per prestar servei de DPD. 2. Vulneració del principi d'exactitud, perquè a la seu electrònica de l'Ajuntament van publicar de forma inexacta les dades de contacte del DPD. D'altra banda, s'arxiva el fet denunciat sobre els vicis en la tramitació del contracte d'externalització del servei de DPD, perquè es considera acreditat que, amb independència que la contractació del servei pogués incomplir algun requisit de forma previst a la normativa de contractació, la relació contractual entre l'ajuntament i l'empresa existia des d'un inici.
La persona denunciant posava de manifest que des del CAP Centelles es va accedir a la seva HC3 en quatre ocasions, durant els mesos de maig de 2022, malgrat no haver estat visitada en aquell centre sanitari. En resposta, el DPD de l'entitat denunciada ha confirmat ser l'autor material dels accessos i els ha justificat argumentant que eren necessaris per tal de poder donar resposta a un requeriment d'informació que aquesta Autoritat va notificar a l'esmentada entitat, en el marc d'una altra denúncia presentada per la mateixa persona denunciant. En relació amb això, durant la fase d'informació prèvia s'ha pogut constatar que, els accessos que va dur a terme el delegat de protecció de dades personals a l'HC3 de la denunciant estaven justificats, atès que es van dur a terme en l'exercici de les seves funcions, i per donar resposta a un requeriment d'aquesta Autoritat. Per tot això, escau l'arxivament de les presents actuacions.