Protecció de dades

La Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial (d’ara endavant, la Direcció) va examinar la problemàtica plantejada sobre qui és l’autoritat de control competent en els tractaments de dades personals que duen a terme els Instituts de Medicina Legal (IML) en l’exercici de les seves funcions.

Concretament, va ser la Comunitat Autònoma de Galícia qui va elevar la consulta a l’Oficina de Govern de Ciberseguretat del Comitè Tècnic Estatal de l’Administració Judicial Electrònica (CTEAJE). En aquesta consulta es planteja el dubte sobre si la competència correspon a la Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial o, si escau, a la Unitat de Supervisió i Control de Protecció de Dades de la Fiscalia General de l’Estat (FGE).

La Direcció informa de les seves competències i funcions atribuïdes per la Llei orgànica 6/1985, d’1 de juliol, del Poder Judicial (LOPJ), el Reglament General de Protecció de Dades 2016/679 (RGPD) i la Llei orgànica 7/2021, de 26 de maig, de protecció de dades personals tractades amb finalitats de prevenció, detecció, investigació i enjudiciament d’infraccions penals i d’execució de sancions penals. Aquestes funcions es duen a terme sense perjudici que, en casos concrets, sigui necessari recórrer a un marc de col·laboració amb altres autoritats de control, com l’Autoritat Catalana de Protecció de Dades (APDCAT) o el Consell de Transparència i Protecció de Dades d’Andalusia (CTPDA), entre d’altres.

D’altra banda, s’analitzen dos pronunciaments:

• El primer, de l’APDCAT, en què es va declarar incompetent per resoldre una sol·licitud de cancel·lació de dades personals davant un IML que havia realitzat una valoració pericial i social a instàncies d’un jutjat de primera instància. L’APDCAT va considerar que l’adequació o l’excés de l’informe pericial, en el context d’un procés judicial, excedia el seu àmbit competencial.
• El segon, del CTPDA, es refereix a una reclamació sobre el dret d’accés a informes forenses i entrevistes de valoració realitzats per l’IML de Huelva en el marc de diversos processos judicials. Aquesta resolució sosté que les dades personals tractades pels IML en aquests casos s’incorporen als fitxers jurisdiccionals de dades de l’Administració de Justícia, dels quals és responsable l’òrgan jurisdiccional. A més, emfatitza la funció d’auxili judicial dels IML, segons l’article 479.1 de la LOPJ, i el seu paper com a encarregats del tractament, subjectes a les instruccions de l’òrgan judicial.

Aquests exemples demostren la tendència de les autoritats de control a declinar la seva competència en aquells casos en què els tractaments de dades dels IML es realitzen en el context de la funció jurisdiccional, reconeixent el paper predominant dels òrgans judicials en la determinació dels fins i mitjans del tractament.

La sentència del Tribunal de Justícia de la Unió Europea del 24 de març de 2022 especifica la definició dels conceptes de “tractaments i fins jurisdiccionals”. Segons el TJUE, en el context de l’article 55.3 del RGPD, aquests conceptes no només fan referència als tractaments de dades personals efectuats pels òrgans jurisdiccionals en assumptes concrets, sinó també, de manera més àmplia, al conjunt d’operacions de tractament realitzades pels òrgans jurisdiccionals en l’exercici de la seva activitat jurisdiccional. D’aquesta manera, queden excloses de la competència de l’autoritat de control aquelles operacions de tractament la supervisió de les quals podria influir, directament o indirectament, en la independència dels seus membres o condicionar-ne les decisions.

Pel que fa a la naturalesa dels IML, d’acord amb la LOPJ i el Reial decret 144/2023, de 28 de febrer, pel qual s’aprova el Reglament dels Instituts de Medicina Legal i Ciències Forenses, es destaca la seva condició d’òrgans tècnics al servei de l’Administració de Justícia, amb la funció principal d’auxiliar els jutjats, tribunals i fiscalies dins el seu àmbit científic i tècnic. També se subratlla la seva dependència funcional respecte dels òrgans jurisdiccionals en l’exercici d’aquestes funcions d’auxili.

A més, pel que fa a la protecció de dades, l’informe conclou que, en el context de la seva relació amb els òrgans jurisdiccionals, els IML actuen com a encarregats del tractament, mentre que els òrgans jurisdiccionals tenen la condició de responsables del tractament. Aquesta distinció es fonamenta en la naturalesa de les funcions dels IML, la seva dependència funcional i el fet que són els òrgans jurisdiccionals els que determinen els fins i mitjans del tractament. Així mateix, l’exercici dels drets s’ha de canalitzar davant l’òrgan jurisdiccional corresponent i no davant l’IML, ja que, en cas contrari, es podria veure compromès el desenvolupament del procediment judicial.

Finalment, l’informe determina que l’autoritat de control de protecció de dades competent per supervisar els tractaments de dades personals realitzats pels IML en l’exercici de les seves funcions d’auxili judicial és la Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial. Aquesta conclusió es basa en el fet que aquests tractaments es duen a terme amb finalitats jurisdiccionals, ja que estan directament vinculats a l’activitat dels òrgans jurisdiccionals dins dels processos judicials.

Aquesta anàlisi resulta de gran utilitat per als professionals del dret, els operadors jurídics i les autoritats de control, ja que proporciona un marc de referència clar i fonamentat per aplicar la normativa de protecció de dades en aquest àmbit específic.

Els que parlem de protecció de dades volem dir sempre protecció de les persones, ja que les dades personals són l’expressió de la persona en tots els àmbits de la seva vida. D’altra banda, tant l’elaboració com la interpretació del dret és sempre una qüestió de sentit comú. Tenint en compte totes dues premisses és com hem d’interpretar la multa de 120.000 euros que l’Agència Espanyola de Protecció de Dades (AEPD), en l’expedient EXP202411409, ha acabat imposant a una empresa per incompliment de l’article 5.1.f) del Reglament General de Protecció de Dades. I què diu l’article 5.1.f)? Doncs una cosa tan simple com que les dades personals s’han de tractar aplicant-hi una “seguretat adequada”. (more…)

El Ministeri de Treball de la República Francesa ha publicat els resultats de l’estudi anual de la professió de delegat de Protecció de Dades (DPD), realitzat amb el suport de la CNIL Commission nationale de l’informatique et des libertés (Comissió nacional d’informàtica i llibertats de França), que és l’autoritat de control en matèria de protecció de dades a França. L’estudi s’ha dut a terme mitjançant enquestes als mateixos DPDs entre els anys 2019-2021.

Destaca el resultat de la formació dels DPDs consultats que un terç dels mateixos responen que no ha fet cap formació en tecnologies de la informació, així com tampoc del Reglament General de Protecció de Dades (RGPD) des de l’any 2016, el que suposa més de 7 punts respecte a l’esmentat any. S’assenyala que la CNIL ho estudiarà particularment perquè els responsables i encarregats del tractament que hagin designat un DPD han de proporcionar-li els recursos necessaris per mantenir els coneixements especialitats conforme l’article 38.2 del RGPD. (more…)

S’ha publicat l’informe jurídic de l’Agència Espanyola de Protecció de Dades número de referència 0037/2022 en el qual es dona resposta a aspectes crucials de la figura del delegat de protecció de dades (en endavant, DPD), com són els criteris de formació tècnica i pràctica per a la correcta designació de DPD, o els dubtes sobre la validesa legal de designar persones vinculades amb la mateixa organització com a DPD o designar un DPD extern.

En efecte, la figura del DPD s’incorpora al nostre ordenament jurídic en virtut del que es disposa en el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en el referent al tractament de dades personals i a la lliure circulació d’aquestes dades pel que es deroga la Directiva 95/46/CE (RGPD), concretament en els articles 37 a 39, en els que es defineix aquesta figura, així com la seva posició i funcions. A més, en la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades i garantia de drets digitals (LOPDGDD) es desenvolupen alguns aspectes en els articles 34 a 37, dels quals es destaca la concreció de les entitats que en tot cas han de designar un DPD. També, quant al règim sancionador, ja que en l’article 73 es tipifica com a infracció greu “L’incompliment de l’obligació de designar un delegat de protecció de dades quan sigui exigible el seu nomenament”, o “No possibilitar l’efectiva participació del delegat de protecció de dades en totes les qüestions relatives a la protecció de dades personals, no recolzar-lo o interferir en el desenvolupament de les seves funcions”, així com una infracció lleu, segons l’article 74, en “No publicar les dades de contacte del delegat de protecció de dades, o no comunicar-les a l’autoritat de protecció de dades, quan el seu nomenament sigui exigible”. (more…)

Coincidint amb el Dia de la Protecció de Dades a Europa, el passat 28 de gener, l’Agència Espanyola de Protecció de dades (AEPD) va publicar els guanyadors dels premis Protecció de dades 2021.

Els premis pretenen ser un reconeixement als treballs que promouen la difusió i el coneixement del dret fonamental a la protecció de dades i la seva aplicació pràctica en diferents entorns. Aquest any els premiats segons categories han estat els següents:

En la categoria de comunicació s’ha premiat a Atresmedia per la difusió de campanyes i iniciatives compromeses amb la protecció de dades. Podeu consultar el Pacto Digital para la Protección de las Personas, I Foro de Privacidad, Innovación i sostenibilidad, un solo clic puede arruinarte la vida, lo pares o lo pasas, així com la difusió de continguts específics del canal prioritari de l’AEPD. (more…)

Hem iniciat l’any amb la presentació dels Serveis de Protecció de Dades del curs 2022 a la Unió Catalana d’Hospitals. Els passats dies 11 i 14 de gener es van realitzar les sessions adreçades a les entitats adherides i es va explicar el programa previst, serveis que s’ofereixen i els reptes de futur. Les sessions van ser moderades per Vanessa Massó, Josep Maria Bosch i Caterina Bartrons, gerent dels Serveis Jurídics de Faura-Casas, i van aplegar a més de 80 representants d’entitats del sector sanitari i social.

Ha quedat aprovada a Andorra la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, que entrarà en vigor el maig de 2022.

Aquesta Llei té per objecte actualitzar la normativa relativa al tractament que, tant persones o entitats privades com l’Administració pública andorrana, duen a terme de les dades corresponents a persones físiques acollint-se a la nova regulació europea, continguda al Reglament general de protecció de dades i modernitzant el marc jurídic existent basat en la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals. En efecte, han transcorregut divuit anys d’ençà que el Consell General va aprovar la primera Llei qualificada de protecció de dades personals i la seva revisió era necessària. (more…)

Fruit de l’acord entre el PSOE i PP, el  passat divendres 21 d’octubre es donaren a conèixer els noms de les persones que rellevaran la direcció de l’Agència Espanyola de Protecció de Dades (AEPD), així com la nova composició d’organismes com el Tribunal de Comptes, el Tribunal Constitucional i el Defensor del Poble.

La nova directora de l’AEPD serà Belén Cardona Rubert que rellevarà en el càrrec a Mar España Martí, que liderava l’entitat des de juliol de 2015. (more…)

Ben entrat l’any 2021 arriba el moment en què l’Agència Espanyola de Protecció de Dades publica la seva memòria anual sobre l’any anterior, un any -no cal dir-ho- marcat per una pandèmia sense precedents que ho ha condicionat tot. Com no podia ser altrament, l’activitat de l’AEPD durant l’any 2020 s’ha centrat en bona part a garantir i compatibilitzar el dret a la protecció de dades amb les mesures destinades a minimitzar els estralls de la COVID-19. (more…)

El proppassat dia 27 de gener i 9 de febrer, Caterina Bartrons, la nostra gerent de Serveis Jurídics va participar en les corresponents presentacions de la FUCH ( Fundació Unió Catalana d’Hospitals) sobre el procés d’acreditació del Nou Codi de Conducta i els Serveis de Protecció de Dades per a entitats adherides dintre i també fora de Catalunya.

Tot just coincidint amb el Dia Europeu de la Protecció de Dades sacompanyant-nos en la gestió ètica de les dades sanitàries i socials amb el Codi Tipus i el nou Codi de Conducta.

Infografia: http://bit.ly/PdD2021