Cercador de resolucions, dictàmens i informes

S'imputa vulneració del principi de licitud per manca de base jurídica de l'article 6.1 RGPD. L'Institut va enviar un comunicat amb document adjunt, a tots els progenitors, informant sobre les assignatures optatives que cursaran els alumnes, identificats amb el número de DNI, i amb la finalitat que comprin el material escolar. El número de DNI és dada personal, tot i ser tractada aïlladament.

La persona denunciant es queixava pel fet que determinats agents de la GU li van demanar que s'identifiqués, sense que aquesta actuació - segons la persona denunciant - estigués habilitada per cap norma. Tanmateix, l'informe policial aportat per l'Ajuntament, subscrit per tres agents, descriu els fets ocorreguts i justifica la identificació per a la prevenció d'un conflicte major a la via pública. Al respecte, escau concloure que el tractament fou necessari per a l'exercici de poders públics conferits al responsable del tractament (art. 6.1 e) RGPD) en consonància amb la Llei orgànica de protecció de la seguretat ciutadana, i per tant procedeix l'arxiu de la denúncia. La persona denunciant també es queixava pel fet que l'Ajuntament de Lleida disposa d'un registre d'activistes socials. No obstant això, davant la manca d'indicis suficients, i donat que l'entitat denunciada ha negat aquests fets, es procedeix al seu arxiu.

Atès que la normativa insta l’Administració pública a facilitar l’ús del “nom sentit” per part de les persones trans (art. 23.1 Llei 11/2014),  el tractament d’aquesta dada no resulta excessiu als efectes del principi de minimització, i pot resultar lícit si es du a terme sobre la base jurídica del consentiment de la persona afectada. El tractament del “nom sentit”, com a dada identificativa relativa a la identitat o expressió de gènere d’una persona física no implica, en principi, el tractament dades de categories especials. Cal tractar també la informació identificativa de la persona afectada que consta en documents oficials (DNI/NIE o passaport), per tal d’assegurar la identificació i, entre d’altres, el principi d’exactitud de la informació i la seva traçabilitat.

Difusió per part d'un regidor de l'oposició, d'un document que conté el càrrec i la signatura electrònica on es visualitzen el nom i cognoms i núm. de DNI d'una empleada pública.

L'Ajuntament va publicar en la seva Seu Electrònica les actes del Ple de dates 22/11/2017 i 02/04/2019 amb dades personals de les persones escollides per formar part d'una mesa electoral vulnerant el principi de minimització. A efectes d'identificar qui havia resultat elegit en el sorteig de les meses electorals, era suficient fer-hi constar el nom i els cognoms de la persona escollida, i només per al cas que coincidís el nom i cognoms amb una altra persona, es podria afegir les quatre xifres numèriques aleatòries del DNI.

No correspon a aquesta Autoritat definir els mitjans a través dels quals es realitzi la identificació dels ciutadans per mitjans electrònics en la tramitació administrativa, ni determinar si un sistema d’identificació pot garantir fefaentment la identitat de la persona sol·licitant. Un sistema d’identificació dels interessats que reculli juntament amb les dades del DNI o document identificatiu de l’interessat la seva imatge i veu, pot tenir com a base jurídica l’exercici de poders públics conferits al responsable del tractament en relació a les funcions d’identificació dels interessats en el procediment previst a la normativa de procediment administratiu. Si s’utilitza mitjans tècnics específics que permetin la identificació o l’autenticació unívoques d’una persona física, comportarà el tractament de dades biomètriques i, per tant, categories especials de dades. Per tal que aquest tractament de dades sigui lícit i adequat a la normativa de protecció de dades ha de comptar amb el consentiment vàlid de l’interessat i adequar-se a la resta de principis de l’RGPD entre els quals el principi de minimització, de manera que ateses les circumstàncies concretes del tràmit o tràmits en els quals es pretengui aplicar, superi el judici de proporcionalitat.

La Mancomunitat pot efectuar els tractaments de les dades personals que siguin pertinents i adequades a les finalitats per a les quals s’han obtingut en exercici de les seves competències i, d’acord amb les bases jurídiques en què es fonamentin. Quan la finalitat de la publicació tingui els efectes de notificació, la identificació de la persona afectada s’ha de fer mitjançant el nombre complet del seu document nacional d’identitat, número d’identitat d’estranger, passaport o document equivalent. Quan la finalitat de la publicació dels actes administratius sigui donar publicitat general al mateix i també quan a aquesta finalitat s’hi afegeixi la notificació a les persones afectades, la identificació de les persones afectades s’ha de fer mitjançant el nom i cognoms afegint quatre xifres numèriques aleatòries del seu document nacional d’identitat o equivalent. Per a la determinació d’aquestes quatre xifres, com a criteri provisional mentre no hi hagi un desplegament reglamentari d’aquest aspecte que permeti aplicar les previsions d’aquest paràgraf amb unes plenes garanties per al dret a la protecció de dades, aquesta Autoritat considera que es pot garantir el dret aplicant l’orientació que, de forma conjunta, han adoptat l’Agencia Española de Protección de Datos, l’Agencia Vasca de Protección de Datos, el Consejo de Transparència y Protección de Datos de Andalucia i aquesta Autoritat. Aquesta orientació es pot consultar al web de l’Autoritat en el següent enllaç: http://apdcat.gencat.cat/web/.content/01-autoritat/normativa/documentos/VAR-9-2019-orientacio-disposicio-addicional-7-cat.pdf.

La identificació dels participants en els procediments de selecció de personal s’efectuarà mitjançant el nom i cognoms de l’afectat afegint quatre xifres numèriques aleatòries del número del document nacional d’identitat, el número d’identitat d’estranger, el passaport o un document equivalent. Per a la determinació d’aquestes quatre xifres, com a criteri provisional mentre no hi hagi un desplegament reglamentari d’aquest aspecte que permeti aplicar les previsions d’aquest paràgraf amb unes plenes garanties per al dret a la protecció de dades, aquesta Autoritat considera que es pot garantir el dret aplicant l’orientació que, de forma conjunta, han adoptat l’Agencia Española de Protección de Datos, l’Agencia Vasca de Protección de Datos, el Consejo de Transparència y Protección de Datos de Andalucia i aquesta Autoritat. Aquesta orientació es pot consultar al web de l’Autoritat en el següent enllaç: http://apdcat.gencat.cat/web/.content/01-autoritat/normativa/documentos/VAR-9-2019-orientacio-disposicio-addicional-7-cat.pdf.