L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La persona reclamant es queixava de la manca d'atenció del Departament de Justícia, en relació amb la seva petició de supressió de les dades relatives al seu segon ingrés en un centre penitenciari. El Departament va estimar la seva sol·licitud mitjançant la limitació del tractament de les seves dades, atès que amb caràcter general s'han de conservar per un període màxim de 20 anys. S'estima parcialment la reclamació, atès que el Departament de Justícia no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que el departament ha estimat la sol·licitud de supressió mitjançant la limitació de les dades. Es requereix el Departament perquè en el termini de 10 dies, comptadors a partir de l'endemà de la notificació del seu escrit, acrediti que ha notificat o intentat notificar per segona vegada el seu escrit de resposta a la persona reclamant.
Es resol declarar que el Consorci d'Atenció Primària de Salut Barcelona Esquerra (CAPSBE), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que va ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades personals.
La denunciant es queixava que en la resolució dictada en el context de la revocació d'una mesura de protecció d'acolliment simple d'un menor s'hi ha inclòs informació innecessària per a la seva finalitat. La resolució es va notificar íntegrament als progenitors del menor i aquests van conèixer la informació controvertida, de caràcter psicosocial, referida a la denunciant. Es declara que s'ha vulnerat el principi de minimització de dades (art. 83.5.a RGPD).
L'Ajuntament va lliurar còpia d'un expedient a un interessat, en el qual per error s'adjuntaven dues nòmines d'una tercera persona. S'imputa una infracció de l'article 83.5.a de l'RGPD, per vulneració del principi establert a l'article 5.1.f del mateix RGPD.
Vulneració del principi de confidencialitat per part de l'ajuntament, per revelar a una entitat una queixa contra ella juntament amb la identificació de la persona que la va interposar.
La persona reclamant demanava la supressió de les seves dades personals que consten a la publicació de la llista definitiva de persones aspirants excloses d'un procés selectiu. Escau estimar la reclamació, perquè el Departament no va resoldre i notificar en forma i en termini la sol·licitud. Escau requerir al Departament que retiri la publicació de la llista definitiva de persones aspirants excloses, a l'efecte de satisfer el dret de supressió exercit i complir el principi de limitació del termini de conservació (art. 5.1.e RGPD).
La informació disponible no permet determinar amb precisió si podrien concórrer els elements previstos a l’article 37.1 de l’RGPD, o a l’article 34.1 LOPDGDD, que comporten l’obligatorietat del nomenament d’un DPD. En principi no sembla que hagi de concórrer l’obligatorietat del nomenament d’un DPD en base a les previsions de l’article 37.1, apartats a) i b). Pel que fa a la concurrència del supòsit previst a l’article 37.1.c) RGPD, l’exigència del nomenament del DPD vindria fonamentada, si escau, en el tractament de dades de categories especials (art. 9.1 RGPD), sempre que aquest tractament es dugui a terme com a part de l’activitat principal de la societat mercantil, i a gran escala. Si l’entitat mercantil o bé no tracta dades de categories especials (art. 9.1 RGPD), o no les tracta en els termes que preveu l’article 37.1.c) RGPD, tampoc no sembla que resulti obligatori el nomenament d’un DPD en aquest cas. Qüestió diferent és que es pugui nomenar un DPD com a bona pràctica, com apunta el Grup de Treball de l’Article 29 en les Directrius sobre el DPD, en atenció al tractament que s’hagi de dur a terme.
La implantació de sistemes de votació electrònica no és contrària a la normativa de protecció de dades. Ara bé, cal que el sistema de votació electrònica emprat en el cas particular no permeti la visualització del nom i cognom, i sentit del vot, de les persones afectades en la pantalla quan el sistema de votació sigui secret.
Pel que fa al sistema de vot equiparable al vot a ma alçada, el fet de què es visualitzi uns segons el sentit del vot de cadascun dels votants es podria entendre que s’adequa a la normativa de protecció de dades, sempre que l’aplicatiu corresponent no conservi aquesta dada, d’acord amb l’exposat al fonament jurídic III.
En qualsevol cas, respecte de cada sistema de votació, cal que el responsable del tractament determini i apliqui mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc, tenint en compte l'estat de la tècnica, els costos d'aplicació i la naturalesa, l'abast, el context i les finalitats del tractament, així com els riscos de probabilitat i gravetat variables per als drets i les llibertats de les persones físiques. En aquest sentit, es traslladen algunes consideracions generals que poden ser tingudes en compte.
El rol del DPD dins l’organització del responsable (art. 4.7 RGPD) ve determinat per l’RGPD, sense que la seva adscripció orgànica o la coexistència i col·laboració amb d’altres figures, com ara la dels “referents en protecció de dades”, o d’altres òrgans (singularment, el responsable de seguretat), pugui desvirtuar les funcions que la normativa li atribueix o la seva independència funcional. Tenint en compte la normativa aplicable, i seguint les Directrius del Grup de Treball de l’Article 29, podria ser recomanable que el Departament, en compliment del principi de responsabilitat proactiva (art. 5.2 RGPD), estableixi els casos en què cal consultar al DPD, a efectes de claredat i en els termes que s’exposen en aquest dictamen, als efectes de garantir les funcions assessores i supervisores pròpies del DPD. Atès que el Departament ha de garantir la participació del DPD en totes les qüestions relatives a la protecció de dades de forma adequada i en el temps oportú, que el DPD és l’interlocutor amb les Autoritats de protecció de dades i que té atribuïdes funcions específiques, s’hauria d’interpretar la Resolució de concurs específic en els termes apuntats en el Fonament Jurídic V d’aquest dictamen.