L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
S'han trobat 7 resultats
Implantació de Google Workspace for Education en una escola pública de Primària.
31/10/2025 10:49
-
Registre de publicació
PS 77/2024
La persona denunciant es queixava que l'escola on estava matriculat el seu fill menor de 14 anys havia decidit implantar l'eina Google Workspace for Education (GWE) perquè la utilitzessin els alumnes, sense el seu consentiment ni informació suficient.
L'APDCAT resol declarar que l'escola ha comès cinc infraccions, referides a tractaments de dades dels alumnes de 5è i 6è de Primària i del personal docent, derivats de l'ús de GWE:
1) Infracció molt greu per vulneració del principi de lleialtat i transparència (les clàusules reguladores de Google estan disperses pel seu web) i infracció molt greu per proporcionar informació parcial i errònia.
2) Infracció greu per manca d'una anàlisi de riscos.
3) Infracció greu per manca d'avaluació d'impacte (AIPD).
4) Infracció greu per manca d'un contracte d'encarregat vàlid (Google s'atribueix el poder de decisió en qüestions essencials i pot modificar unilateralment les clàusules que regulen l'encàrrec).
5) Infracció greu per manca de participació del DPD en la decisió d'utilitzar GWE.
28/02/2025
Documents:
Computació núvol
CONCEPTE DADA PERSONAL
ÀMBIT SECTORIAL
Societats mercantils
Educació
OBLIGACIONS
CESSIÓ O COMUNICACIÓ DE DADES
Dades menor
Avaluació impacte
ENCARREGAT TRACTAMENT
Registre d’activitats de tractament (RAT)
Principi licitud
Centre educatiu
Centre educatiu
DELEGAT PROTECCIÓ DADES
Missió en interès públic o exercici de poders públics
PRINCIPIS
TRANSFERÈNCIES INTERNACIONALS DADES
ENTITATS
Consentiment
Encarregat tractament
Encàrrec del tractament per a la posada en marxa d'una plataforma de participació ciutadana
04/11/2024 10:41
-
Registre de publicació
CNS 82/2016
El contracte examinat d'encàrrec del tractament per a la posada en marxa d'una plataforma de participació ciutadana es pot adequar a la normativa de protecció de dades si es tenen en compte les consideracions fetes en el dictamen, en especial, les relatives a la necessitat de concretar les mesures de seguretat a implementar per l'encarregat i el destí de les dades vinculades a la prestació del servei, així com d'informar als usuaris dels aspectes relatius al tractament de les seves dades, sobretot, pel que fa a la publicació prevista. Correspon a l'ajuntament vetllar perquè les transferències internacionals de dades que puguin tenir lloc s'adeqüin a la normativa de protecció de dades.
29/01/2017
Documents:
Utilització del producte Microsoft Office 365 amb els col·lectius d'una Universitat
04/11/2024 10:40
-
Registre de publicació
CNS 60/2016
Tenint en compte la Decisió de la Comissió de 5 de febrer de 2010, la Resolució de l'AEPD de 9 de maig de 2014, així com l'adhesió de Microsoft a l'Escut de Privacitat, es pot considerar que el contracte d'encàrrec del tractament que podria subscriure la Universitat amb Microsoft en relació amb els serveis "Microsoft 365" i "Microsoft Azure", seguiria en principi ajustant-se a les exigències de la normativa de protecció de dades (LOPD, RLOPD i RGPD). Pel que fa a les mesures de seguretat tècniques i organitzatives per garantir la seguretat de les dades, es pot considerar que les previsions de Microsoft en relació amb els serveis "Microsoft 365" i "Microsoft Azure" poden ser, a priori, adequades al que preveu la normativa de protecció de dades tenint en compte que la implantació de les mesures previstes és objecte de certificació i auditoria per part d'un tercer independent.
28/11/2016
Documents:
Ús dels sistemes de missatgeria instantània
04/11/2024 10:40
-
Registre de publicació
CNS 55/2016
Les administracions públiques han d'assegurar-se que els tercers prestadors de serveis i de sistemes de comunicació compleixen llurs responsabilitats, ja sigui com a encarregats del tractament o, si escau, com a responsables del tractament de les dades dels usuaris (en el cas dels SMI), atès que el tractament es troba sotmès a les exigències dels principis i garanties de la normativa europea de la protecció de dades (LOPD, RLOPD, i RGPD). Quan considerin l'elecció d'un determinat sistema de missatgeria instantània (SMI) haurien de tenir en compte, especialment, la finalitat de la comunicació, la informació personal que cal tractar; el consentiment dels afectats; el model de seguretat i l'avaluació d'impacte i les concretes mesures de seguretat aplicades; els mecanismes de certificació; les transferències internacionals de dades i la ubicació dels servidors; el dret d'informació i la transparència, en atenció a les previsions de la normativa europea de protecció de dades.
09/11/2016
Documents:
Contractació dels sistemes de correu al núvol de Google Apps i de Microsoft Office 365
04/11/2024 10:35
-
Registre de publicació
CNS 27/2014
L'adhesió de les empreses Google i Microsoft a l'acord "U.S.-E.U. Safe Harbor" pressuposa, a data d'avui, que les dades personals trameses per l'entitat en virtut de la contractació dels serveis Google Apps for Business o Microsoft Office 365 seran tractades amb determinades garanties i condicions de seguretat. Particularment, aquest tractament restarà plenament garantit en el cas de l'empresa Microsoft, atesa la Resolució TI/00032/2014 de l'Agència Espanyola de Protecció de Dades. Ara bé, caldrà tenir present que les actuacions previstes en les respectives condicions d'ús d'aquests serveis, especialment de Google Apps for Business, poden excedir la finalitat principal per la qual l'entitat encarregaria el tractament de les dades. Així mateix, per tal de considerar adequades les mesures de seguretat global implementades en aquests serveis, serà necessari dur a terme la auditoria prevista a la normativa de protecció de dades. Pel que fa, específicament, a l'ús del servei de correu electrònic, aquest no presenta riscos addicionals per a la seguretat de la informació sempre que s'adoptin les recomanacions fetes al respecte.
16/07/2014
Documents:
Utilització per part dels advocats dels serveis de cloud storage
04/11/2024 10:33
-
Registre de publicació
CNS 57/2013
Els riscos que suposa l'ús dels serveis "Google Drive", "Microsoft Onedrive" i "Dropbox" per a l'advocat que decideix emmagatzemar-hi documentació relativa als seus clients estarien relacionats, tant amb el funcionament propi d'aquests serveis, com amb les diferents aplicacions i plataformes que permeten l'accés i la gestió dels arxius emmagatzemats. L'adhesió de les empreses proveïdores d'aquests serveis als principis de l'acord Safe Harbor pressuposa, a data d'avui, que les dades personals emmagatzemades per l'advocat seran tractades amb determinades garanties i condicions de seguretat, tot i que podria resultar insuficient. Així mateix, disposar de la certificació ISO/IEC/27001, o de qualsevol altra certificació o estàndard internacional en matèria de seguretat, no és garantia suficient del compliment de les mesures de seguretat del RLOPD. Caldria acompanyar-la de l'auditoria prevista a la normativa de protecció de dades.
27/03/2014
Documents:
Col·legis professionals
Computació núvol
ÀMBIT SECTORIAL
DRETS FONAMENTALS
Administració pública
Dret informació
MESURES SEGURETAT
Principi finalitat
Xarxes socials
ENCARREGAT TRACTAMENT
Principi licitud
RESPONSABLE TRACTAMENT
PRINCIPIS
TRANSFERÈNCIES INTERNACIONALS DADES
ENTITATS
Principi qualitat
Consentiment
DRETS HABEAS DATA
Administració corporativa
Contractació d'una empresa de serveis que opera en el "núvol"
04/11/2024 10:30
-
Registre de publicació
CNS 24/2012
La contractació dels serveis Google Apps for Business per un consell comarcal requereix la realització d’una anàlisi prèvia dels riscos que per a la seguretat i integritat de la informació personal pot comportar el seu tractament en entorns que operen en el “núvol”. En la mesura que Google Ireland Limited efectuï un tractament de dades per compte del responsable, la contractació dels seus serveis requereix, d’entrada, la signatura d’un contracte d’encarregat del tractament. No obstant això, ateses les condicions a què se sotmet el servei Google Apps for Business, l’existència d’aquest contracte d’encarregat per si sol no pressuposa que el tractament de les dades per Google Ireland Limited es dugui a terme sempre amb totes les garanties exigides per la normativa espanyola de protecció de dades de caràcter personal.
03/07/2012
Documents: