APDCAT

La Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial (d’ara endavant, la Direcció) va examinar la problemàtica plantejada sobre qui és l’autoritat de control competent en els tractaments de dades personals que duen a terme els Instituts de Medicina Legal (IML) en l’exercici de les seves funcions.

Concretament, va ser la Comunitat Autònoma de Galícia qui va elevar la consulta a l’Oficina de Govern de Ciberseguretat del Comitè Tècnic Estatal de l’Administració Judicial Electrònica (CTEAJE). En aquesta consulta es planteja el dubte sobre si la competència correspon a la Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial o, si escau, a la Unitat de Supervisió i Control de Protecció de Dades de la Fiscalia General de l’Estat (FGE).

La Direcció informa de les seves competències i funcions atribuïdes per la Llei orgànica 6/1985, d’1 de juliol, del Poder Judicial (LOPJ), el Reglament General de Protecció de Dades 2016/679 (RGPD) i la Llei orgànica 7/2021, de 26 de maig, de protecció de dades personals tractades amb finalitats de prevenció, detecció, investigació i enjudiciament d’infraccions penals i d’execució de sancions penals. Aquestes funcions es duen a terme sense perjudici que, en casos concrets, sigui necessari recórrer a un marc de col·laboració amb altres autoritats de control, com l’Autoritat Catalana de Protecció de Dades (APDCAT) o el Consell de Transparència i Protecció de Dades d’Andalusia (CTPDA), entre d’altres.

D’altra banda, s’analitzen dos pronunciaments:

• El primer, de l’APDCAT, en què es va declarar incompetent per resoldre una sol·licitud de cancel·lació de dades personals davant un IML que havia realitzat una valoració pericial i social a instàncies d’un jutjat de primera instància. L’APDCAT va considerar que l’adequació o l’excés de l’informe pericial, en el context d’un procés judicial, excedia el seu àmbit competencial.
• El segon, del CTPDA, es refereix a una reclamació sobre el dret d’accés a informes forenses i entrevistes de valoració realitzats per l’IML de Huelva en el marc de diversos processos judicials. Aquesta resolució sosté que les dades personals tractades pels IML en aquests casos s’incorporen als fitxers jurisdiccionals de dades de l’Administració de Justícia, dels quals és responsable l’òrgan jurisdiccional. A més, emfatitza la funció d’auxili judicial dels IML, segons l’article 479.1 de la LOPJ, i el seu paper com a encarregats del tractament, subjectes a les instruccions de l’òrgan judicial.

Aquests exemples demostren la tendència de les autoritats de control a declinar la seva competència en aquells casos en què els tractaments de dades dels IML es realitzen en el context de la funció jurisdiccional, reconeixent el paper predominant dels òrgans judicials en la determinació dels fins i mitjans del tractament.

La sentència del Tribunal de Justícia de la Unió Europea del 24 de març de 2022 especifica la definició dels conceptes de “tractaments i fins jurisdiccionals”. Segons el TJUE, en el context de l’article 55.3 del RGPD, aquests conceptes no només fan referència als tractaments de dades personals efectuats pels òrgans jurisdiccionals en assumptes concrets, sinó també, de manera més àmplia, al conjunt d’operacions de tractament realitzades pels òrgans jurisdiccionals en l’exercici de la seva activitat jurisdiccional. D’aquesta manera, queden excloses de la competència de l’autoritat de control aquelles operacions de tractament la supervisió de les quals podria influir, directament o indirectament, en la independència dels seus membres o condicionar-ne les decisions.

Pel que fa a la naturalesa dels IML, d’acord amb la LOPJ i el Reial decret 144/2023, de 28 de febrer, pel qual s’aprova el Reglament dels Instituts de Medicina Legal i Ciències Forenses, es destaca la seva condició d’òrgans tècnics al servei de l’Administració de Justícia, amb la funció principal d’auxiliar els jutjats, tribunals i fiscalies dins el seu àmbit científic i tècnic. També se subratlla la seva dependència funcional respecte dels òrgans jurisdiccionals en l’exercici d’aquestes funcions d’auxili.

A més, pel que fa a la protecció de dades, l’informe conclou que, en el context de la seva relació amb els òrgans jurisdiccionals, els IML actuen com a encarregats del tractament, mentre que els òrgans jurisdiccionals tenen la condició de responsables del tractament. Aquesta distinció es fonamenta en la naturalesa de les funcions dels IML, la seva dependència funcional i el fet que són els òrgans jurisdiccionals els que determinen els fins i mitjans del tractament. Així mateix, l’exercici dels drets s’ha de canalitzar davant l’òrgan jurisdiccional corresponent i no davant l’IML, ja que, en cas contrari, es podria veure compromès el desenvolupament del procediment judicial.

Finalment, l’informe determina que l’autoritat de control de protecció de dades competent per supervisar els tractaments de dades personals realitzats pels IML en l’exercici de les seves funcions d’auxili judicial és la Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial. Aquesta conclusió es basa en el fet que aquests tractaments es duen a terme amb finalitats jurisdiccionals, ja que estan directament vinculats a l’activitat dels òrgans jurisdiccionals dins dels processos judicials.

Aquesta anàlisi resulta de gran utilitat per als professionals del dret, els operadors jurídics i les autoritats de control, ja que proporciona un marc de referència clar i fonamentat per aplicar la normativa de protecció de dades en aquest àmbit específic.

L’Autoritat Catalana de Protecció de Dades (APDCAT) ha anunciat una disminució en el nombre anual de notificacions de violacions de seguretat durant l’any 2024 en comparació amb l’any anterior. Aquesta reducció trenca, per primer cop, la tendència a l’increment del 20% anual que es portava observant des de l’any 2018.

Concretament, l’APDCAT va rebre un total de 182 notificacions de violacions de seguretat al llarg del 2024, una xifra que suposa una lleugera disminució en relació amb les 183 notificacions registrades el 2023. Tot i tractar-se d’un descens modest –d’un 0,5%-, el nombre d’afectats s’ha vist reduït en més de la meitat, amb un total de 230.000 persones, en comparació amb el milió i mig que es van registrar al llarg del 2023.

L’Autoritat atribueix aquesta millora tan pronunciada en el nombre d’afectats, principalment, a la disminució de ciberatacs, que passen del 31 % l’any 2023 al 17 % l’any 2024, en especial dels de tipus ransomware, que han passat del 19 % al 3 %. Aquests ransomware, amb un funcionament basat en el segrest de les dades, són els que tenen un nombre més elevat de persones afectades. En conseqüència, el 41% de violacions de seguretat que ha rebut l’APDCAT durant l’any 2024 només han tingut impacte en un nombre d’entre 1 i 10 persones.

Tot i així, cal destacar la manera en què, malgrat la notable disminució en l’impacte d’aquestes violacions, el nombre de notificacions a les autoritats s’ha mantingut en línia amb les del 2023. Això posa de manifest que els responsables de realitzar aquestes notificacions no han fet decaure la seva tasca de vigilància i han continuat complint rigorosament amb la seva obligació de reportar els incidents de manera adequada.

Pel que fa a l’origen de les violacions de seguretat, l’error humà passa a ser la primera causa dels incidents (creix del 43 % al 59 %), mentre que l’acte extern malintencionat se situa en segon lloc (baixa del 52 % al 33 %). En última instància, trobem l’acte intern malintencionat (e.g. abusos de privilegis d’accés per part d’empleats que extreuen, copien o reenvien dades sense autorització), que es manté en tercer lloc amb lleugeres variacions a l’alça.

En la mateixa línia del 2023, en la gran majoria dels incidents (92 %) s’hi veu afectada la confidencialitat de les dades, mentre que les violacions que afecten la disponibilitat baixen (fins al 7%), en coherència amb el descens del nombre d’atacs ransomware, que funcionen mitjançant l’encriptació de les dades per posteriorment demanar-ne el rescat, limitant la seva accessibilitat quan es necessitin.

Finalment, com és habitual, la majoria de les violacions afecten dades identificatives bàsiques (nom i cognoms i, en alguns casos, data de naixement) i dades de contacte, en un alt percentatge combinades amb dades de documents d’identitat (com ara DNI, NIE o passaport), l’accés i ús incorrecte de les quals pot suposar, com sabem, un risc important de dany per als seus titulars de les dades compromeses, com ho són el risc de patir una suplantació d’identitat o ser víctima de frau.

Aquestes notícies són especialment rellevants per al sector sanitari, un àmbit especialment vulnerable a aquest tipus d’incidents a causa de la naturalesa sensible de les dades que gestiona, configurades per l’article 9.1 RGPD com dades de categoria especial que requereixen l’aplicació de mesures específiques de seguretat que garanteixin la seva integritat i confidencialitat davant d’intents d’accés no autoritzats i tractaments il·lícits que puguin comprometre la privacitat dels seus titulars.

Tot i així, és important mantenir el nivell d’alerta. Com recordava l’Informe de prospectives de ciberseguretat per al 2024 de l’Agència de Ciberseguretat de Catalunya, el sector salut es manté com a objectiu principal en la matèria, de manera que continua sent primordial l’adopció i el manteniment d’estratègies de ciberseguretat proactiva, flexibles i adaptables àgilment als canvis dinàmics i a la evolució d’aquest tipus d’amenaces cibernètiques.

En aquest sentit, és important recordar que, com estableix l’article 33 del RGPD, en cas que es doni una violació de seguretat de dades personals, el responsable del tractament ho haurà de notificar a l’Autoritat “sense dilació indeguda” i, per regla general, en un termini màxim de 72 hores des que se n’ha pres constància. En aquest sentit, el RGPD considera violació de seguretat aquell incident que ocasioni la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.

Així doncs, quan el responsable de protecció de les dades consideri, en base a criteris com el tipus de violació, la categoria i tipologia de les dades o el volum i tipus d’afectats, que la violació suposa un risc de que es produeixin perjudicis (danys físics, materials o immaterials) per a les persones titulars de les dades afectades, ho haurà de comunicar a l’autoritat competent -en el cas de Catalunya, a l’APDCAT- en els termes exposats.

A mode il·lustratiu, l’Autoritat ha considerat violacions de seguretat que han de ser comunicades aquelles que comportin pèrdua de control sobre les dades, restricció de drets dels titulars de les dades, discriminació, suplantació d’identitat, pèrdues financeres, dany per a la reputació, reversió no autoritzada de la pseudonimització o pèrdua de confidencialitat de dades subjectes a secret professional.

En definitiva, tot i la clara millora, seguirem amb interès aquesta evolució en les dades que registren les Autoritats en matèria de violacions de seguretat i en el seu impacte sobre la protecció de les dades personals dels afectats, en especial en aquells sectors especialment crítics com ho és el sector sanitari.

L’Autoritat Catalana de Protecció de Dades (APDCAT) ja va constatar en la seva Memòria de 2022 que la gran majoria de delegats de protecció de dades (DPD) nomenats al sector públic són externs, cosa que implica que, en molts casos, s’han contractat a través de processos de contractació pública. Ara, a través de la Recomanació 2/2023, publicada recentment, l’APDCAT recorda que el DPD és una figura d’obligat nomenament a l’administració pública i que aquest nomenament ha de tenir en compte determinats aspectes qualitatius, com ara la necessitat que tingui coneixements jurídics, sobretot relatius a protecció de dades, o el fet que ha de poder dur a terme determinades funcions d’informació, assessorament, supervisió i cooperació.

Aquesta recomanació ve per la constatació que, en molts processos de licitació pública d’un contracte de serveis de DPD extern, només s’ha tingut en compte el factor preu o s’ha estimat un valor de preu molt baix, sense tenir en compte la dedicació real i els aspectes qualitatius que ha de tenir necessàriament la figura del DPD i la seva feina. (more…)

El passat 13 de juliol, l’Autoritat Catalana de Protecció de Dades (ADPCAT) va fer la presentació oficial a la sala de les cotxeres del Palau Robert del nou projecte que ha impulsat: “DPD en xarxa”. Es tracta de crear una comunitat d’aprenentatge i col·laboració de delegats i delegades de protecció de dades a Catalunya, per tal de generar coneixements i debat.

Malgrat que l’objectiu de l’APDCAT és que la xarxa sigui una eina viva, que anirà evolucionant amb el treball mutu, les inquietuds i necessitats que se’n vagin derivant, a continuació enumerem quins recursos estaran actius en un inici. Els DPDs inscrits a la xarxa disposaran d’accés a les següents pestanyes:

1. Actualitat
2. Formacions. Tant formacions impartides per l’APDCAT, com per tercers, com per usuaris de la mateixa xarxa. La primera sessió formativa publicada a la xarxa és un taller d’introducció a les Avaluacions d’Impacte en matèria de Protecció de Dades (AIPD).
3. Biblioteca APDCAT. Es publicaran tant documents d’interès (resolucions, dictàmens, consultes); com documents treballats conjuntament amb les entitats que conformen la xarxa; com aportacions d’entitats, com processos normatius en marxa, etc.
4. Àgora. Es tracta d’un espai per a grups de treball sobre temes específics. Per exemple, un dels grups de treball creat és relatiu a les orientacions en la metodologia de les AIPD. En aquest espai l’APDCAT invitarà també a experts de protecció de dades.
5. Esdeveniments tant virtuals com presencials.

(more…)

L’Autoritat Catalana de Protecció de Dades ha publicat l‘Informe de conclusions de l’auditoria sobre la publicació del registre de les activitats de tractament (inventari d’activitats de tractament). El principal objectiu d’aquesta auditoria ha sigut verificar si les entitats incloses en l’àmbit de competència de l’APDCAT que estan legalment obligades a publicar, per mitjans electrònics, un inventari de les activitats de tractament que duen a terme, compleixen aquesta obligació i, si ho fan en els termes previstos a l’article 30 de l’RGPD i a l’article 31.2 de la LOPDGDD. Tanmateix, a través d’aquest informe es pretén oferir directrius i recomanacions que permetin publicar l’inventari adequadament. (more…)

El passat 14 de juliol la nova directora de l’Autoritat Catalana de Protecció de Dades (APDCAT), Meritxell Borràs i Solé, va comparèixer davant de la Comissió d’Afers Institucionals del Parlament de Catalunya per a presentar la memòria anual.

En la memòria 2021 s’hi recullen totes les actuacions dutes a terme, de les quals en destaquem les més rellevants referents a: l’atenció al públic i consultes, la funció inspectora, les notificacions de violacions de seguretat i els plans d’auditoria. (more…)

El centre escolar té un paper fonamental en la garantia del dret de protecció de dades personals, no només com a subjecte responsable del correcte tractament de les dades personals que tracten en el seu dia a dia, sinó també com figura essencial per conscienciar els alumnes sobre l’ús responsable d’internet, xarxes socials, etc. (more…)

El fet que ens trobem en situació excepcional de pandèmia no pot aturar la tasca que tenen atribuïda les autoritats de control a l’hora de salvaguardar el dret a la protecció de dades. Per això, continuant amb la seva política d’elaboració de guies sectorials, l’Autoritat Catalana de Protecció de Dades (APDCAT) ha publicat aquest juny passat una Guia de Protecció de Dades per a Pacients i Usuaris dels Serveis de Salut. No cal dir que, per la transcendència social i la sensibilitat de les dades de salut, que no parem de generar d’ençà que naixem i fins al dia de la nostra mort, aquesta guia està destinada a captar tota la nostra atenció.

De seguida que comencem a llegir, comprovem que, en contra de les expectatives, no conté sorpreses ni solucions a dubtes d’interpretació. De fet, la guia no es planteja introduir canvis o abordar qüestions doctrinals complicades, sinó simplement recordar de forma entenedora i sistemàtica un seguit d’aspectes claus relatius als drets dels pacients i usuaris dels serveis de salut i sobre les dades de salut en general. Per això, el format és el de preguntes i respostes, com en unes FAQs, amb una redacció apta per a no juristes.

Des d’un primer moment, la guia ens explica què és una dada de salut, i ens aclareix que el CIP (el codi del pacient) també ho és. També apareix la qüestió de la història clínica, que es planteja també com a un dret del pacient, que és el veritable titular de les dades que s’hi consignen i no pas el centre o el professional. Perquè el dret a la protecció de dades del pacient s’expressa en una multiplicitat de drets: el dret a ser informats sobre el tractament de les dades, però també el dret d’accés a les dades i a la història clínica (llevat les anotacions subjectives dels professionals) i els drets de portabilitat, limitació, oposició, rectificació i supressió. Per al cas que no s’atenguin aquests drets, el pacient o usuari dels serveis de salut sempre podrà adreçar-se directament al Delegat/da de Protecció de Dades de l’entitat o a l’APDCAT.

Com a novetat més significativa, l’APDCAT aborda per primer cop en un sol apartat aquelles comunicacions de dades realitzades com a conseqüència de les mesures i regulacions extraordinàries adoptades en la lluita contra la COVID-19. Són casos vinculats a la declaració obligatòria de malaltia i als brots epidèmics, i preveuen comunicacions al centre de treball o escolar o a persones relacionades, sense haver de comptar amb el consentiment de la persona afectada. L’APDCAT declara que totes aquestes comunicacions són necessàries i estan legitimades, com també és lícit que la Generalitat de Catalunya faci servir una app per recollir dades de la ciutadania en relació amb la COVID-19. No seria legal, però, que s’establís una obligació ciutadana de contestar aquestes enquestes.

Finalment, la guia respon algunes qüestions bàsiques relatives a tractaments de dades de salut en l’àmbit administratiu, de la recerca, de la docència i de la salut laboral. Són qüestions totes elles que no podem obviar. 

Com a anècdota, val a dir que la guia es pronuncia sobre un tema antic i relativament polèmic, que és el de si el centre assistencial pot proporcionar informació sobre el número d’habitació a les visites dels pacients. En aquest cas, l’APDCAT adopta una solució força de sentit comú i no gaire diferent al que ja havien dit d’altres autoritats: a menys que hi hagi una autorització expressa del pacient, només es podrà donar aquesta informació a les persones que acompanyin el pacient durant el procés assistencial.

En definitiva, ens trobem amb una guia escrita amb llenguatge planer i fàcil comprensió adreçada a la ciutadania en general (més enllà dels professionals del sector) que pot contribuir a caracteritzar el dret de la protecció de dades en l’àmbit sanitari.