Cercador de resolucions, dictàmens i informes

Es declara que l'Ajuntament ha comès 3 infraccions: 1) Una infracció per fer ús d'algunes galetes que tracten dades personals, sense haver-ne informat prèviament; 2) Una altra infracció per fer ús de galetes no necessàries, sense haver recollit el consentiment; i 3) Una tercera infracció per no publicar al web tota la informació del RAT.

D'altra banda, a l'acord d'iniciació es van arxivar els fets denunciats relatius a: 1) Manca de política de privacitat: es va arxivar perquè la informació figurava publicada al web, tot i que amb un terme diferent, però vàlid; 2) Manca d'avís legal: es va arxivar perquè, en aquest apartat d'un web, no s'inclou la informació que requereix la normativa de protecció de dades; i 3) Omissió de la informació del RAT en el portal de transparència: es va arxivar, atès que la norma només obliga a fer-ho públic per mitjans electrònics; 4) Omissió de la informació referent al delegat de protecció de dades: es va arxivar atès que no cal publicar-hi el nom i cognoms.

En aquest Dictamen s’analitza el contingut de la documentació aportada sobre un projecte de recerca europeu, en particular, en relació amb les següents qüestions: Determinació de la responsabilitat o, si escau, corresponsabilitat del tractament; Els fluxos informatius previstos; Les transferències internacionals de dades (TID); La seguretat; La utilització de dades anònimes o de la seudonimització. Pel que fa al tractament de les imatges captades amb càmeres per l’Ajuntament, aquest, com a responsable, ha de disposar de base jurídica suficient i ha d’assegurar el compliment de la resta d’exigències de la normativa de protecció de dades. També cal facilitar un consentiment informat en els termes de l’article 4.11, i informar els afectats (art. 13 RGPD).

La transferència internacional de dades a les oficines exteriors de l’entitat sobre la base de les clàusules tipus de protecció de dades adoptades per la Comissió estaria legitimada per l’article 46.2.c) de l’RGPD, si bé és necessari que els instruments en què s’incorporen aquestes clàusules s’adeqüin a la Decisió 2001/497/CE, de 15 de juny de 2001, i a l’RGPD.

Per la informació oferta per les mateixes empreses gestores de les solucions de SMI analitzades, i dels informes i estudis que s’han pogut consultar, es desprèn que les aplicacions analitzades compleixen certs aspectes dels previstos a la Resolució 280/XI del Parlament de Catalunya, si bé en alguns aspectes, com a mínim pel que fa a la informació que s’ofereix al respecte, podria ser clarament millorable. L’anàlisi dels diferents aspectes feta respecte les tres solucions analitzades (Whatsapp, Telegram i Nepcom), en el marc de l’anàlisi general que ja s’havia fet en el Dictamen CNS 55/2016, pot ser un element a tenir en compte a l’hora d’escollir una determinada aplicació per part de les administracions públiques catalanes. Un pronunciament més precís sobre el compliment o incompliment per part d’alguna d’aquestes entitats, requeriria dur a terme un procés d’investigació o auditoria sobre aquestes entitats, que, en tot cas no correspondria fer a aquesta Autoritat sinó a l’Agència Espanyola de Protecció de Dades.

Deixant de banda les comunicacions de dades destinades a països de la UE, així com aquelles efectuades a Argentina i Israel, les transferències preteses per l’entitat només es podran efectuar si s’aporten garanties adequades sobre la protecció que les dades rebran a la seva destinació en els termes establerts a l’article 46 de l’RGPD, atès que no s’ha declarat que els països que en seran destinataris ofereixen un nivell adequat de protecció i atès que a priori no resultaria d’aplicació cap dels supòsits excepcionals de l’article 49.1 de l’RGPD. Això, sens perjudici del compliment de la resta de principis i obligacions establerts en matèria de protecció de dades.

Deixant de banda les comunicacions de dades destinades a països de la UE, les transferències preteses per l’entitat només es podran efectuar si s’aporten garanties adequades sobre la protecció que les dades rebran a la seva destinació en els termes establerts a l’article 46 de l’RGPD, atès que no s’ha declarat que els països que en seran destinataris ofereixen un nivell adequat de protecció i atès que a priori no resultaria d’aplicació cap dels supòsits excepcionals de l’article 49.1 de l’RGPD. Això, sens perjudici del compliment de la resta de principis i obligacions establerts en matèria de protecció de dades.

El contracte examinat d'encàrrec del tractament per a la posada en marxa d'una plataforma de participació ciutadana es pot adequar a la normativa de protecció de dades si es tenen en compte les consideracions fetes en el dictamen, en especial, les relatives a la necessitat de concretar les mesures de seguretat a implementar per l'encarregat i el destí de les dades vinculades a la prestació del servei, així com d'informar als usuaris dels aspectes relatius al tractament de les seves dades, sobretot, pel que fa a la publicació prevista. Correspon a l'ajuntament vetllar perquè les transferències internacionals de dades que puguin tenir lloc s'adeqüin a la normativa de protecció de dades.

Tenint en compte la Decisió de la Comissió de 5 de febrer de 2010, la Resolució de l'AEPD de 9 de maig de 2014, així com l'adhesió de Microsoft a l'Escut de Privacitat, es pot considerar que el contracte d'encàrrec del tractament que podria subscriure la Universitat amb Microsoft en relació amb els serveis "Microsoft 365" i "Microsoft Azure", seguiria en principi ajustant-se a les exigències de la normativa de protecció de dades (LOPD, RLOPD i RGPD). Pel que fa a les mesures de seguretat tècniques i organitzatives per garantir la seguretat de les dades, es pot considerar que les previsions de Microsoft en relació amb els serveis "Microsoft 365" i "Microsoft Azure" poden ser, a priori, adequades al que preveu la normativa de protecció de dades tenint en compte que la implantació de les mesures previstes és objecte de certificació i auditoria per part d'un tercer independent.

Les administracions públiques han d'assegurar-se que els tercers prestadors de serveis i de sistemes de comunicació compleixen llurs responsabilitats, ja sigui com a encarregats del tractament o, si escau, com a responsables del tractament de les dades dels usuaris (en el cas dels SMI), atès que el tractament es troba sotmès a les exigències dels principis i garanties de la normativa europea de la protecció de dades (LOPD, RLOPD, i RGPD). Quan considerin l'elecció d'un determinat sistema de missatgeria instantània (SMI) haurien de tenir en compte, especialment, la finalitat de la comunicació, la informació personal que cal tractar; el consentiment dels afectats; el model de seguretat i l'avaluació d'impacte i les concretes mesures de seguretat aplicades; els mecanismes de certificació; les transferències internacionals de dades i la ubicació dels servidors; el dret d'informació i la transparència, en atenció a les previsions de la normativa europea de protecció de dades.

Quan les dades no es recullen de la persona interessada sinó que les facilita una tercera persona, el cessionari no té l'obligació d'informar les persones afectades si la comunicació està expressament prevista en una llei. La STJUE de 6 d'octubre de 2015 ha declarat invàlida la Decisió 2000/520/CE, sobre l'adequació de la protecció conferida pels principis de Port Segur, per a les transferències internacionals de dades des de la Unió Europea cap als Estats Units. Fins que la Comissió Europea no aprovi l'adequació d'un nou marc per a la transferència internacional de dades entre Europa i els Estats Units (EU-US Privacy Shield), cal estar a la resta de supòsits habilitants per a les transferències internacionals de dades.