L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
El denunciant es queixava que una incidència en el funcionament del canal previst per l'entitat per exercir els drets ARSOPOL impedia exercir-lo. S'arxiven les actuacions, perquè l'entitat ha acreditat que la incidència detectada no afectava els usuaris del canal, sinó al reenviament automatitzat dels missatges que rebia l'entitat al seu DPD extern. L'entitat va solucionar la incidència quan en va tenir coneixement.
Es resol amonestar l'Ajuntament de Vic, com a responsable de la infracció prevista a l'article 83.5 a), en relació amb el principi de confidencialitat, atès que ha quedat acreditada la comunicació de dades mèdiques del denunciant a la Comissaria de Mossos d'Esquadra de Vic, com a conseqüència d'una errada humana.
En el marc de la informació prèvia no s'ha acreditat, en relació als fets que s'han abordat, cap fet que pugui ser constitutiu d'alguna de les infraccions previstes a la legislació sobre protecció de dades. Doncs, la funcionària que va llegir el document registrat, ho va fer en exercici de les seves funcions, als efectes d'incloure una descripció del document al gestor d'expedients corporatiu.
L’ajuntament podria crear la base de dades de contacte o base de dades de tercers per recollir les dades identificatives i de contacte de les persones físiques amb qui es relaciona. La incorporació en aquesta base de dades de tercers de les dades del Registre d’entrada i sortida de documents no resultaria compatible a efectes d’emprar les dades que hi consten per a notificacions ulteriors, però en canvi sí que ho podria ser per emprar les dades identificatives i de contacte en altres procediments de naturalesa anàloga. En aplicació del principi d’exactitud l’ajuntament ha de prendre les mesures oportunes per recollir les diferents adreces o mitjans electrònics que el ciutadà hagi triat per a cada tràmit per rebre notificacions administratives o el que sigui pertinent d’acord amb la normativa aplicable. Les dades que integrin la base de dades de tercers no es poden conservar més enllà del termini de conservació aplicable a la finalitat per a la qual es van recollir, s’han de mantenir actualitzades i se n’ha d’informar les persones afectades.
La normativa de protecció de dades impedeix l’accés de la persona reclamant a tota la informació que consti al registre d’entrada i sortida de documents, en un període determinat, per tractar-se d’un accés generalitzat i indiscriminat a tota la informació. Això sens perjudici que es pugui donar accés a la informació de manera anonimitzada o que, respecte de peticions concretes, es pugui donar accés després d’una ponderació.
La petició pels empleats de correus i altres empreses de missatgeria de les dades identificatives del personal del SAC (nom i cognoms i número de DNI), als efectes de fer-les constar en els acusaments de recepció de la documentació lliurada, seria legítima d’acord amb la normativa de protecció de dades. No serà necessari facilitar les dades identificatives esmentades, en el cas de notificacions d’òrgans administratius i judicials de documentació presentada en el Registre General apta per ser registrada, en quin cas serà suficient fer-hi constar el segell de l’Ajuntament.
La normativa de protecció de dades impedeix l’accés de la persona reclamant a la informació que consti al registre d’entrada i sortida de documents, per tractar-se d’un accés generalitzat i indiscriminat a tota la informació. Això sens perjudici que es pugui donar accés a la informació de manera dissociada, o que respecte de peticions concretes es pugui donar accés després d’una ponderació de la qual en resulti la justificació de la mesura.
La legislació de règim local reconeix un dret d’accés als regidors a informació que pugui resultar necessària per al desenvolupament de les seves funcions (article 164 TRLMRLC). L’aplicació del principi de minimització de dades (article 5.1 c) RGPD) exigeix fer una ponderació respecte les dades personals incloses en el conjunt de la informació sol·licitada, per tal que no es comuniquin més dades de les estrictament necessàries per assolir la finalitat legítima que justifica l’accés, això és el desenvolupament de les funcions que corresponen als regidors. Facilitar als regidors l’accés al Registre d’entrada i sortida de documents podria forçar aquest principi de minimització de dades i suposar un risc per a la correcta protecció de la informació personal dels afectats, atès el volum d’informació sol·licitada, l’elevat nombre de possibles persones afectades i la diversa naturalesa de la informació personal que s’hi podria contenir, entre la qual, no seria possible descartar dades de categories especials, o que requereixen una especial protecció. En qualsevol cas, aquests s’han de regir pel deure de reserva imposat per la normativa de règim local, pel principi de limitació de finalitat (article 5.1.b) RGPD) i el deure de integritat i confidencialitat (article 5.1.f) RGPD)
No sembla que es pugui concloure, en el present cas, que un accés generalitzat i indiscriminat a tota la informació que consti al Registre d’entrada i sortida de documents de l’Ajuntament resulta justificat des del punt de vista del dret a la protecció de dades. Això sens perjudici que es pugui donar accés a la informació de manera dissociada o que, respecte de peticions concretes, es pugui donar accés prèvia ponderació.