Seu Electrònica

Als efectes de la normativa de protecció de dades, no sembla que un tercer, que no té la condició de persona afectada (art. 4.1 RGPD), hagi de tenir accés a informació sobre el tractament de dades que du a terme un responsable, en uns termes més amplis o amb major grau de detall del que podria tenir una persona que sí té aquesta condició. Entre d’altres, sobre l’accés a informació elaborada pel DPD i informació sobre procediments, protocols i instruccions de gestió de dades personals, no es desprèn de la normativa una obligació específica de donar accés a la documentació elaborada pel DPD ni, per extensió, a altra documentació relativa a procediments o protocols de gestió en matèria de protecció de dades, tenint en compte que la reclamant no seria persona afectada als efectes de la normativa de protecció de dades. Sobre l’accés a la informació relativa a les TID, tenint en compte la naturalesa, funcions i estructura organitzativa de l’entitat, aquesta podria indicar quines garanties o instruments dels previstos a l’RGPD (arts. 44 i seg.) habiliten les TID en funció del país de destinació, sense que sembli necessari ni exigible concretar amb major detall aquesta qüestió.

Es declara que l'Ajuntament ha comès 3 infraccions: 1) Una infracció per fer ús d'algunes galetes que tracten dades personals, sense haver-ne informat prèviament; 2) Una altra infracció per fer ús de galetes no necessàries, sense haver recollit el consentiment; i 3) Una tercera infracció per no publicar al web tota la informació del RAT.

D'altra banda, a l'acord d'iniciació es van arxivar els fets denunciats relatius a: 1) Manca de política de privacitat: es va arxivar perquè la informació figurava publicada al web, tot i que amb un terme diferent, però vàlid; 2) Manca d'avís legal: es va arxivar perquè, en aquest apartat d'un web, no s'inclou la informació que requereix la normativa de protecció de dades; i 3) Omissió de la informació del RAT en el portal de transparència: es va arxivar, atès que la norma només obliga a fer-ho públic per mitjans electrònics; 4) Omissió de la informació referent al delegat de protecció de dades: es va arxivar atès que no cal publicar-hi el nom i cognoms.

En aquest Dictamen s’analitza el contingut de la documentació aportada sobre un projecte de recerca europeu, en particular, en relació amb les següents qüestions: Determinació de la responsabilitat o, si escau, corresponsabilitat del tractament; Els fluxos informatius previstos; Les transferències internacionals de dades (TID); La seguretat; La utilització de dades anònimes o de la seudonimització. Pel que fa al tractament de les imatges captades amb càmeres per l’Ajuntament, aquest, com a responsable, ha de disposar de base jurídica suficient i ha d’assegurar el compliment de la resta d’exigències de la normativa de protecció de dades. També cal facilitar un consentiment informat en els termes de l’article 4.11, i informar els afectats (art. 13 RGPD).

La transferència internacional de dades a les oficines exteriors de l’entitat sobre la base de les clàusules tipus de protecció de dades adoptades per la Comissió estaria legitimada per l’article 46.2.c) de l’RGPD, si bé és necessari que els instruments en què s’incorporen aquestes clàusules s’adeqüin a la Decisió 2001/497/CE, de 15 de juny de 2001, i a l’RGPD.

Per la informació oferta per les mateixes empreses gestores de les solucions de SMI analitzades, i dels informes i estudis que s’han pogut consultar, es desprèn que les aplicacions analitzades compleixen certs aspectes dels previstos a la Resolució 280/XI del Parlament de Catalunya, si bé en alguns aspectes, com a mínim pel que fa a la informació que s’ofereix al respecte, podria ser clarament millorable. L’anàlisi dels diferents aspectes feta respecte les tres solucions analitzades (Whatsapp, Telegram i Nepcom), en el marc de l’anàlisi general que ja s’havia fet en el Dictamen CNS 55/2016, pot ser un element a tenir en compte a l’hora d’escollir una determinada aplicació per part de les administracions públiques catalanes. Un pronunciament més precís sobre el compliment o incompliment per part d’alguna d’aquestes entitats, requeriria dur a terme un procés d’investigació o auditoria sobre aquestes entitats, que, en tot cas no correspondria fer a aquesta Autoritat sinó a l’Agència Espanyola de Protecció de Dades.

Deixant de banda les comunicacions de dades destinades a països de la UE, així com aquelles efectuades a Argentina i Israel, les transferències preteses per l’entitat només es podran efectuar si s’aporten garanties adequades sobre la protecció que les dades rebran a la seva destinació en els termes establerts a l’article 46 de l’RGPD, atès que no s’ha declarat que els països que en seran destinataris ofereixen un nivell adequat de protecció i atès que a priori no resultaria d’aplicació cap dels supòsits excepcionals de l’article 49.1 de l’RGPD. Això, sens perjudici del compliment de la resta de principis i obligacions establerts en matèria de protecció de dades.

Deixant de banda les comunicacions de dades destinades a països de la UE, les transferències preteses per l’entitat només es podran efectuar si s’aporten garanties adequades sobre la protecció que les dades rebran a la seva destinació en els termes establerts a l’article 46 de l’RGPD, atès que no s’ha declarat que els països que en seran destinataris ofereixen un nivell adequat de protecció i atès que a priori no resultaria d’aplicació cap dels supòsits excepcionals de l’article 49.1 de l’RGPD. Això, sens perjudici del compliment de la resta de principis i obligacions establerts en matèria de protecció de dades.