L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es resol declarar que el Consorci d'Atenció Primària de Salut Barcelona Esquerra (CAPSBE), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que va ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades personals.
Estimació parcial de la reclamació. Escau estimar la reclamació pel que fa a la forma, atès que l'entitat no va respondre en termini la sol·licitud del reclamant. Escau desestimar la reclamació pel que fa al fons, atès que l'entitat reclamada va fer efectiu el dret d'accés exercit pel reclamant, en la mesura que li va entregar la informació sobre la seva persona, que no estava afectada per cap causa legal de denegació.
Es resol declarar que la Fundació de Recerca Clínic Barcelona-Institut d'Investigacions Biomèdiques August Pi i Sunyer (FRCB-IDIBAPS), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que van ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades.
La informació disponible no permet determinar amb precisió si podrien concórrer els elements previstos a l’article 37.1 de l’RGPD, o a l’article 34.1 LOPDGDD, que comporten l’obligatorietat del nomenament d’un DPD. En principi no sembla que hagi de concórrer l’obligatorietat del nomenament d’un DPD en base a les previsions de l’article 37.1, apartats a) i b). Pel que fa a la concurrència del supòsit previst a l’article 37.1.c) RGPD, l’exigència del nomenament del DPD vindria fonamentada, si escau, en el tractament de dades de categories especials (art. 9.1 RGPD), sempre que aquest tractament es dugui a terme com a part de l’activitat principal de la societat mercantil, i a gran escala. Si l’entitat mercantil o bé no tracta dades de categories especials (art. 9.1 RGPD), o no les tracta en els termes que preveu l’article 37.1.c) RGPD, tampoc no sembla que resulti obligatori el nomenament d’un DPD en aquest cas. Qüestió diferent és que es pugui nomenar un DPD com a bona pràctica, com apunta el Grup de Treball de l’Article 29 en les Directrius sobre el DPD, en atenció al tractament que s’hagi de dur a terme.
El rol del DPD dins l’organització del responsable (art. 4.7 RGPD) ve determinat per l’RGPD, sense que la seva adscripció orgànica o la coexistència i col·laboració amb d’altres figures, com ara la dels “referents en protecció de dades”, o d’altres òrgans (singularment, el responsable de seguretat), pugui desvirtuar les funcions que la normativa li atribueix o la seva independència funcional. Tenint en compte la normativa aplicable, i seguint les Directrius del Grup de Treball de l’Article 29, podria ser recomanable que el Departament, en compliment del principi de responsabilitat proactiva (art. 5.2 RGPD), estableixi els casos en què cal consultar al DPD, a efectes de claredat i en els termes que s’exposen en aquest dictamen, als efectes de garantir les funcions assessores i supervisores pròpies del DPD. Atès que el Departament ha de garantir la participació del DPD en totes les qüestions relatives a la protecció de dades de forma adequada i en el temps oportú, que el DPD és l’interlocutor amb les Autoritats de protecció de dades i que té atribuïdes funcions específiques, s’hauria d’interpretar la Resolució de concurs específic en els termes apuntats en el Fonament Jurídic V d’aquest dictamen.
La implantació de sistemes de votació electrònica no és contrària a la normativa de protecció de dades. Ara bé, cal que el sistema de votació electrònica emprat en el cas particular no permeti la visualització del nom i cognom, i sentit del vot, de les persones afectades en la pantalla quan el sistema de votació sigui secret.
Pel que fa al sistema de vot equiparable al vot a ma alçada, el fet de què es visualitzi uns segons el sentit del vot de cadascun dels votants es podria entendre que s’adequa a la normativa de protecció de dades, sempre que l’aplicatiu corresponent no conservi aquesta dada, d’acord amb l’exposat al fonament jurídic III.
En qualsevol cas, respecte de cada sistema de votació, cal que el responsable del tractament determini i apliqui mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc, tenint en compte l'estat de la tècnica, els costos d'aplicació i la naturalesa, l'abast, el context i les finalitats del tractament, així com els riscos de probabilitat i gravetat variables per als drets i les llibertats de les persones físiques. En aquest sentit, es traslladen algunes consideracions generals que poden ser tingudes en compte.
La informació disponible no permet determinar amb precisió si podrien concórrer els elements previstos a l’article 37.1 de l’RGPD, o a l’article 34.1 LOPDGDD, que comporten l’obligatorietat del nomenament d’un DPD. En principi no sembla que hagi de concórrer l’obligatorietat del nomenament d’un DPD en base a les previsions de l’article 37.1, apartats a) i b). Pel que fa a la concurrència del supòsit previst a l’article 37.1.c) RGPD, l’exigència del nomenament del DPD vindria fonamentada, si escau, en el tractament de dades de categories especials (art. 9.1 RGPD), sempre que aquest tractament es dugui a terme com a part de l’activitat principal de la societat mercantil, i a gran escala. Si l’entitat mercantil o bé no tracta dades de categories especials (art. 9.1 RGPD), o no les tracta en els termes que preveu l’article 37.1.c) RGPD, tampoc no sembla que resulti obligatori el nomenament d’un DPD en aquest cas. Qüestió diferent és que es pugui nomenar un DPD com a bona pràctica, com apunta el Grup de Treball de l’Article 29 en les Directrius sobre el DPD, en atenció al tractament que s’hagi de dur a terme.
Un Consorci formula una consulta sobre la licitud de facilitar la dada de telèfon fix de les persones objecte d’un estudi sobre la bretxa digital a l’empresa encarregada del tractament.
D’acord amb la normativa de protecció de dades el Consorci podrà facilitar a l’empresa externa la dada de telèfon fix per a la realització d’un estudi sobre la bretxa digital de (...) persones majors de 65 anys empadronades a (...), sempre que aquesta finalitat sigui compatible amb la finalitat o finalitats inicials que van justificar el tractament d’aquesta dada o la seva publicació en un fons d’accés públic.
En cas que les finalitats no siguin compatibles caldrà el previ consentiment de les persones interessades en els termes de l’article 7 de l’RGPD.