L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
El denunciant es queixa que una tercera persona que no el coneixia de res va rebre un correu electrònic del seu gimnàs, que contenia un enllaç per mitjà del qual, sense posar cap contrasenya de seguretat, va poder accedir a una fitxa personal amb totes les seves dades. Es declara la vulneració del principi d'exactitud i de l'article 25 de l'RGPD.
Se sanciona per vulnerar el principi de confidencialitat, per l'enviament d’un correu electrònic a múltiples destinataris sense utilitzar l'opció de còpia oculta, que duia adjunt un llistat amb el nom i cognoms de voluntaris de l'Special Olympics.
El denunciant es queixa que un treballador municipal (un bidell) va fer unes fotos del seu fill, que s'havia fet mal entrenant en el camp esportiu municipal, i les havia difós. S’arxiven les actuacions, atès que no ha quedat acreditat que l’autoria de la fotografia del menor lesionat i la seva difusió posterior recaigui en el bidell de l’ajuntament.
Un club esportiu de futbol de nova creació va contactar amb la Federació Catalana de Futbol atès que quan intentava vincular setze jugadors al seu club, la Intranet federativa li mostrava un missatge mitjançant el qual se l'informava que els esmentats jugadors estaven vinculats a un altre club esportiu. Al respecte, la persona denunciant es queixava pel fet que, des de l'FCF s'havia enviat a l'esmentat club de nova creació unes impressions de pantalla que contenien les dades personals dels 16 jugadors que, en aquell moment, estaven vinculats a un altre club. Doncs bé, per la seva banda, l'entitat denunciada ha reconegut haver enviat les impressions de pantalla - amb informació personal dels jugadors (nom, cognoms i DNI) - al club de nova creació, als efectes de mostrar-li els passos que havia de seguir per poder inscriure als jugadors, i ha argumentat que aquest fet no constitueix una comunicació il·lícita de dades personals atès que el receptor de la informació, ja era coneixedor d'aquestes informació. Al respecte, afegia que, la Intranet mostra l'esmentat missatge després que el club hagi introduït les dades personals dels jugadors. En aquests termes, escau l'arxivament dels fets denunciats atès que, quan l'FCF va trametre les dades personals dels jugadors al Club que els intentava inscriure, aquest ja disposava de la informació.
La persona denunciant considerava que, per mitjà de la publicació dels resultats de les competicions d'escacs, organitzades per l'FCE, es difonien i conservaven dades de salut dels participants tota vegada que, per participar en la competició, calia exhibir el Passaport Covid-19. Al respecte, la informació relativa a si una persona està vacunada o ha sofert una malaltia, constitueix dades de salut de conformitat amb l'article 4 RGPD. Tanmateix, en aquest cas, l'FCE ha argumentat de manera suficient que, d'una banda, per complir amb la legalitat vigent, havia d'exigir l'exhibició del Passaport Covid-19 als participants en les competicions i, d'altra banda, que hi havia persones que mostraven un test d'antígens, PCR o document d'exempció de vacunació. En aquestes circumstàncies, no es pot afirmar que la publicació de les referides actes, permetessin a terceres persones relacionar les persones identificades a les actes, amb el fet que s'haguessin vacunat contra la Covid-19, tota vegada que, hi havia persones que podien no estar vacunades, i haver presentat una PCR o un test d'antígen, i d'altres que disposaven d'un document d'exempció de vacunació. Per aquests motius, escau arxivar els fets denunciats.
L'FCF posava a disposició dels clubs esportius de futbol un formulari a través del qual, els clubs havien d'identificar els membres amb llicència federativa que eren positius de Covid-19 i les persones federades amb qui havien estat contacte estret. Així mateix, també havien d'informar de la data d'inici de símptomes i del seu estat vacunal. Al respecte, l'FCF ha argumentat que la recollida de dades es va dur a terme en compliment del Pla d'Acció per al Desconfinament Esportiu de la Generalitat de Catalunya, en el marc del qual, l'FCF elaborà el seu Protocol per a minimitzar els contagis per Covid-19. Així les coses, cal assenyalar que, la Resolució SLT/3652/2021, de 7 de desembre, vigent en el moment dels fets denunciats, es remetia al contingut del Pla d'acció pel desconfinament esportiu en tot allò que no la contradigués. En relació amb l'anterior, cal fer avinent que, conèixer quines persones eren positives de Covid-19, la data de presentació de símptomes, i el seu estat vacunal, era informació necessària per a l'adopció de decisions relacionades amb l'organització de la competició esportiva. A la vista de l'exposat, cal concloure que el tractament denunciat restava habilitat per l'article 6.1 c) RGPD, concorrent les excepcions previstes a l'article 9.2 g) i i), en connexió amb la normativa vigent en matèria de salut pública i de prevenció del contagi de la Covid-19.