Cercador de resolucions, dictàmens i informes

En atenció a la informació disponible, la formalització d’un contracte d’encarregat del tractament per a la prestació de certs serveis socials en el municipi consultant hauria d’efectuar-se entre l’entitat religiosa i el consorci. En el cas que la prestació del servei fos per compte i interès del consell comarcal però, aquest contracte hauria de formalitzar-se entre el dit consell comarcal i l’entitat religiosa.

El COMB, en el marc de la tramitació d'un dret d'accés a un expedient, va facilitar còpia de certificats de notificació de correus, que contenien dades personals dels receptors de les notificacions.

Es resol que l'Ajuntament de La Canonja ha vulnerat l'article 5.1.a de l'RGPD, atès que l'entitat no disposa de cap base jurídica que legitimi el tractament de dades biomètriques dels seus treballadors. També la vulneració de l'article 35 de l'RGPD, perquè no havia fet una avaluació d'impacte en matèria de protecció de dades. A més, es requereix a l'entitat que posi a disposició del seu personal un sistema alternatiu de control horari, que no comporti el tractament de categories especials de dades.

Arran d'una pregunta, feta a través d'un programa radiofònic, l'alcalde va revelar que el denunciant és deutor de l'ajuntament. L'entitat defensa que la informació era pública, atès que consta a la sentència publicada al Centre de Documentació Judicial, que és accessible pel públic. Tanmateix, es constata que les sentències que fan referència al cas no esmenten en cap moment el denunciant (amb nom i cognoms), sinó a dos partits polítics, que són els deutors reals de l'ajuntament. S'imputa vulneració del principi d'exactitud.

Es resol que l'Ajuntament ha vulnerat el principi de licitud, atès que una treballadora de l'entitat va facilitar les seves claus personals d'accés a diferents aplicacions a una tercera treballadora, que es va incorporar a l'Ajuntament i que necessitava accedir als programes per exercir les seves funcions. Aquest tractament és il·lícit, atès que no hi havia cap base jurídica que legitimés que una treballadora fes ús de l'usuari i contrasenya d’una altra.

La informació disponible no permet determinar amb precisió si podrien concórrer els elements previstos a l’article 37.1 de l’RGPD, o a l’article 34.1 LOPDGDD, que comporten l’obligatorietat del nomenament d’un DPD. En principi no sembla que hagi de concórrer l’obligatorietat del nomenament d’un DPD en base a les previsions de l’article 37.1, apartats a) i b). Pel que fa a la concurrència del supòsit previst a l’article 37.1.c) RGPD, l’exigència del nomenament del DPD vindria fonamentada, si escau, en el tractament de dades de categories especials (art. 9.1 RGPD), sempre que aquest tractament es dugui a terme com a part de l’activitat principal de la societat mercantil, i a gran escala. Si l’entitat mercantil o bé no tracta dades de categories especials (art. 9.1 RGPD), o no les tracta en els termes que preveu l’article 37.1.c) RGPD, tampoc no sembla que resulti obligatori el nomenament d’un DPD en aquest cas. Qüestió diferent és que es pugui nomenar un DPD com a bona pràctica, com apunta el Grup de Treball de l’Article 29 en les Directrius sobre el DPD, en atenció al tractament que s’hagi de dur a terme.

La implantació de sistemes de votació electrònica no és contrària a la normativa de protecció de dades. Ara bé, cal que el sistema de votació electrònica emprat en el cas particular no permeti la visualització del nom i cognom, i sentit del vot, de les persones afectades en la pantalla quan el sistema de votació sigui secret.

Pel que fa al sistema de vot equiparable al vot a ma alçada, el fet de què es visualitzi uns segons el sentit del vot de cadascun dels votants es podria entendre que s’adequa a la normativa de protecció de dades, sempre que l’aplicatiu corresponent no conservi aquesta dada, d’acord amb l’exposat al fonament jurídic III. 

En qualsevol cas, respecte de cada sistema de votació, cal que el responsable del tractament determini i apliqui mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc, tenint en compte l'estat de la tècnica, els costos d'aplicació i la naturalesa, l'abast, el context i les finalitats del tractament, així com els riscos de probabilitat i gravetat variables per als drets i les llibertats de les persones físiques. En aquest sentit, es traslladen algunes consideracions generals que poden ser tingudes en compte.

El rol del DPD dins l’organització del responsable (art. 4.7 RGPD) ve determinat per l’RGPD, sense que la seva adscripció orgànica o la coexistència i col·laboració amb d’altres figures, com ara la dels “referents en protecció de dades”, o d’altres òrgans (singularment, el responsable de seguretat), pugui desvirtuar les funcions que la normativa li atribueix o la seva independència funcional. Tenint en compte la normativa aplicable, i seguint les Directrius del Grup de Treball de l’Article 29, podria ser recomanable que el Departament, en compliment del principi de responsabilitat proactiva (art. 5.2 RGPD), estableixi els casos en què cal consultar al DPD, a efectes de claredat i en els termes que s’exposen en aquest dictamen, als efectes de garantir les funcions assessores i supervisores pròpies del DPD. Atès que el Departament ha de garantir la participació del DPD en totes les qüestions relatives a la protecció de dades de forma adequada i en el temps oportú, que el DPD és l’interlocutor amb les Autoritats de protecció de dades i que té atribuïdes funcions específiques, s’hauria d’interpretar la Resolució de concurs específic en els termes apuntats en el Fonament Jurídic V d’aquest dictamen.

Es planteja una consulta sobre la possibilitat de facilitar als regidors de govern i de l'oposició un informe emès per OAC,  i un altre complementari, en relació a la tramitació d'un expedient de persona protegida.

En aquest cas, d’acord amb la informació de què es disposa, s’hauria de  denegar l’accés a la informació sobre els dos informes de l’OAC indicats ja que, en principi, no serien  pertinents ni necessaris  pel desenvolupament de les funcions com a membres de la Comissió especial d’informació pel que fa a les irregularitats en la contractació de personal i, al mateix temps, podria  comportar un perjudici per a la persona denunciant, informant o alertadora i tercers, que tenen dret a  preservar la seva identitat d’acord amb la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció.

La persona reclamant tindria dret a accedir a la identitat de les persones que han prestat declaració com a testimonis en el si dels expedients sancionadors sol·licitats, en virtut del seu dret a conèixer l’origen de les seves dades personals i atesa la rellevància de tal informació per a l’exercici del seu dret de defensa.