L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
El rol del DPD dins l’organització del responsable (art. 4.7 RGPD) ve determinat per l’RGPD, sense que la seva adscripció orgànica o la coexistència i col·laboració amb d’altres figures, com ara la dels “referents en protecció de dades”, o d’altres òrgans (singularment, el responsable de seguretat), pugui desvirtuar les funcions que la normativa li atribueix o la seva independència funcional. Tenint en compte la normativa aplicable, i seguint les Directrius del Grup de Treball de l’Article 29, podria ser recomanable que el Departament, en compliment del principi de responsabilitat proactiva (art. 5.2 RGPD), estableixi els casos en què cal consultar al DPD, a efectes de claredat i en els termes que s’exposen en aquest dictamen, als efectes de garantir les funcions assessores i supervisores pròpies del DPD. Atès que el Departament ha de garantir la participació del DPD en totes les qüestions relatives a la protecció de dades de forma adequada i en el temps oportú, que el DPD és l’interlocutor amb les Autoritats de protecció de dades i que té atribuïdes funcions específiques, s’hauria d’interpretar la Resolució de concurs específic en els termes apuntats en el Fonament Jurídic V d’aquest dictamen.
La implantació de sistemes de votació electrònica no és contrària a la normativa de protecció de dades. Ara bé, cal que el sistema de votació electrònica emprat en el cas particular no permeti la visualització del nom i cognom, i sentit del vot, de les persones afectades en la pantalla quan el sistema de votació sigui secret.
Pel que fa al sistema de vot equiparable al vot a ma alçada, el fet de què es visualitzi uns segons el sentit del vot de cadascun dels votants es podria entendre que s’adequa a la normativa de protecció de dades, sempre que l’aplicatiu corresponent no conservi aquesta dada, d’acord amb l’exposat al fonament jurídic III.
En qualsevol cas, respecte de cada sistema de votació, cal que el responsable del tractament determini i apliqui mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc, tenint en compte l'estat de la tècnica, els costos d'aplicació i la naturalesa, l'abast, el context i les finalitats del tractament, així com els riscos de probabilitat i gravetat variables per als drets i les llibertats de les persones físiques. En aquest sentit, es traslladen algunes consideracions generals que poden ser tingudes en compte.
Es planteja una consulta sobre la possibilitat de facilitar als regidors de govern i de l'oposició un informe emès per OAC, i un altre complementari, en relació a la tramitació d'un expedient de persona protegida.
En aquest cas, d’acord amb la informació de què es disposa, s’hauria de denegar l’accés a la informació sobre els dos informes de l’OAC indicats ja que, en principi, no serien pertinents ni necessaris pel desenvolupament de les funcions com a membres de la Comissió especial d’informació pel que fa a les irregularitats en la contractació de personal i, al mateix temps, podria comportar un perjudici per a la persona denunciant, informant o alertadora i tercers, que tenen dret a preservar la seva identitat d’acord amb la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció.
Un Consorci formula una consulta sobre la licitud de facilitar la dada de telèfon fix de les persones objecte d’un estudi sobre la bretxa digital a l’empresa encarregada del tractament.
D’acord amb la normativa de protecció de dades el Consorci podrà facilitar a l’empresa externa la dada de telèfon fix per a la realització d’un estudi sobre la bretxa digital de (...) persones majors de 65 anys empadronades a (...), sempre que aquesta finalitat sigui compatible amb la finalitat o finalitats inicials que van justificar el tractament d’aquesta dada o la seva publicació en un fons d’accés públic.
En cas que les finalitats no siguin compatibles caldrà el previ consentiment de les persones interessades en els termes de l’article 7 de l’RGPD.
L'escola va publicar les imatges d'una alumna menor d'edat, en obert, al web de l'escola i a la plataforma d'emmagatzematge de fotos que gestiona l'escola, sense comptar amb el consentiment previ dels seus progenitors.
Es canvia el criteri inicial (en què es considerava el CTTI corresponsable) i es declara que el CTTI, com a encarregat del tractament, ha comès una infracció molt greu per no haver seguit les instruccions del responsable (els departaments, etc.). També per no haver vetllat perquè, en les trucades del SAU, les entitats subencarregades informessin sobre protecció de dades, cosa que incloïa informar que la trucada podia ser gravada.
La història clínica de la fundació denunciada està configurada de manera que, des del disseny i per defecte, els metges propis i externs de la fundació poden accedir-hi, a través dels sistemes d'informació de la fundació. Aquest fet va provocar que un metge extern que va atendre la persona denunciant en el marc d'una assistència sanitària privada accedís a la seva història clínica, sense el seu consentiment explícit ni cap altra base jurídica que legitimés aquest tractament. En aquest cas, no s'imputa la vulneració del deure de la protecció de dades des del disseny i per defecte, atès que hi ha un concurs ideal d'infraccions i només s'imputa la infracció més greu; és a dir, la vulneració del principi de licitud (qualificada com a molt greu). Tampoc s'imputa la vulneració del principi de limitació de la finalitat, perquè queda subsumida en la infracció relativa al principi de licitud.
En l’escenari plantejat en la consulta no resulta d’aplicació l’article 22.8 de la LOPDGDD en relació amb l’article 89.1 del mateix text legal, que fa referència al tractament per part de l’ocupador de dades obtingudes a través de sistemes de càmeres o videocàmeres. En concret no aplicaria l’excepció prevista en aquest article 89.1 quan estableix: “ En el supuesto de que se haya captado la comisión flagrante de un acto ilícito por los trabajadores o los empleados públicos se entenderá cumplido el deber de informar cuando existiese al menos el dispositivo al que se refiere el artículo 22.4 de esta ley orgánica”, ja que el responsable del tractament no és l’ocupador i els possibles afectats pel sistema de videovigilància no són els seus treballadors.
En canvi, la base jurídica de l’interès legítim (article 6.1.f) RGPD, podria habilitar la comunicació de les imatges del sistema de videovigilància de la primera entitat a la segona per tal que aquest adopti les mesures oportunes en relació amb els fets enregistrats.
Igualment, pel que fa a l’obertura d’un expedient disciplinari en base a dites imatges, des del punt de vista procedimental, ha d’existir una actuació prèvia, com podria ser la incoació d’una informació reservada per part de l’òrgan competent, que habiliti i documenti els termes concrets de la petició de comunicació.
Si es fes un acord de corresponsabilitat, entre les dues entitats, que complís amb tots els requisits normatius, inclòs el dret d’informació, de manera que la primera, fos responsable del tractament amb la finalitat de videovigilància previst a l’article 22 LOPDGDD (seguretat) i la segona, fos responsable del tractament amb la
finalitat prevista a l’article 89 LOPDGDD (control laboral) es podria considerar que el tractament s’adequa a la normativa de protecció de dades.