L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es desestima la reclamació atès que, en el present cas, manca el requisit principal per tal de poder exigir al responsable del tractament que dugui a terme la supressió de les dades personals, doncs la persona que sol·licitava aquesta supressió no constava com la titular de la dada personal a suprimir. En aquest sentit, B:SM ha acreditat que ha estat en tot moment proactiva, perquè va requerir a la persona sol·licitant que acredités la seva identitat, i ha donat una resposta ajustada a les circumstàncies del cas.
Un club esportiu de futbol de nova creació va contactar amb la Federació Catalana de Futbol atès que quan intentava vincular setze jugadors al seu club, la Intranet federativa li mostrava un missatge mitjançant el qual se l'informava que els esmentats jugadors estaven vinculats a un altre club esportiu. Al respecte, la persona denunciant es queixava pel fet que, des de l'FCF s'havia enviat a l'esmentat club de nova creació unes impressions de pantalla que contenien les dades personals dels 16 jugadors que, en aquell moment, estaven vinculats a un altre club. Doncs bé, per la seva banda, l'entitat denunciada ha reconegut haver enviat les impressions de pantalla - amb informació personal dels jugadors (nom, cognoms i DNI) - al club de nova creació, als efectes de mostrar-li els passos que havia de seguir per poder inscriure als jugadors, i ha argumentat que aquest fet no constitueix una comunicació il·lícita de dades personals atès que el receptor de la informació, ja era coneixedor d'aquestes informació. Al respecte, afegia que, la Intranet mostra l'esmentat missatge després que el club hagi introduït les dades personals dels jugadors. En aquests termes, escau l'arxivament dels fets denunciats atès que, quan l'FCF va trametre les dades personals dels jugadors al Club que els intentava inscriure, aquest ja disposava de la informació.
S'amonesta l'Ajuntament per vulnerar el principi de licitud, atès que consta acreditat que va publicar els resultats dels aspirants, -identificats amb nom i cognoms-, que no havien superat les proves psicotècniques i els exercicis realitzats en el marc d'un procés selectiu de promoció interna.
L'entitat denunciada va enviar les factures impagades per l'arrendatària d'un immoble propietat de la persona denunciant, a la persona denunciant atès que aquesta era la titular de la pòlissa contractada per al subministrament de l'aigua i, per tant, l'obligada al pagament de les factures. En aquest cas, amb independència del que les parts estipulessin al contracte de lloguer, l'obligada al pagament davant AGISSA era la persona propietària de l'immoble. Al respecte, val a dir que, amb posterioritat, la persona denunciant va canviar la titularitat de la pòlissa en favor d'una tercera persona que va arrendar el seu immoble i, quan aquesta va marxar de l'immoble, va demanar que se li retornés la facturació al seu nom. En aquest segon cas, la persona denunciant també va demanar a AGISSA saber el deute pendent de l'arrendatària atès que la cessió de drets i obligacions de l'esmentada pòlissa només es podia dur a terme si la denunciant assumia els imports no satisfets. Així mateix, també va al·legar que necessitava saber els imports pendents per tal de poder-los reclamar judicialment a la persona arrendatària del seu immoble, per incomplir les clàusules del contracte de lloguer. D'acord amb l'exposat, l'Autoritat va considerar que l'enviament de l'esmentada informació restava emparat per l'article 6.1 f) RGPD atès que es dugué a terme per a la satisfacció dels interessos legítims de la persona denunciant. En concret, per satisfer l'interès legítim de la denunciant d'obtenir les proves necessàries, per reclamar a la persona arrendatària de l'immoble els imports que no va satisfer.
Correus va notificar una documentació procedent del Jutjat Social núm. 16 de Barcelona a una persona que no era la destinatària de la informació, per error. Durant la fase d'investigació que va iniciar aquesta Autoritat, es va constatar que la notificació s’havia dut a terme en el marc d'un contracte de serveis, celebrat amb el Departament de Justícia, que tenia per objecte els serveis postals universals. Entre aquesta tipologia de serveis, s'hi inclouen la notificació d'actes administratius i judicials. En aquests casos, Correus actua com a responsable del tractament, i no com a encarregat. Per consegüent, escau arxivar la denúncia i traslladar-la a l'Agència Espanyola de Protecció de Dades (AEPD), atès que no és competència d'aquesta Autoritat.
Procedeix l'arxivament dels fets atès que, d'una banda, l'accés a l'HC3 de les persones usuàries del sistema de salut públic català només es pot dur a terme per part de persones que disposin d'un número de col·legiació, excloent per tant el personal auxiliar administratiu. Al respecte, pel que fa l'accés a la història clínica, la normativa sanitària habilita l'accés al personal auxiliar administratiu quan aquest es dugui a terme en l'exercici de les seves funcions. Així mateix, també s'arxiva el fet relatiu a l'ús d'eines de comunicació interna com ara el whatsapp atès que no ha quedat provat que el personal de l'HUVH empri l'esmentada aplicació com a eina de treball. Al fil de l'anterior, tampoc ha quedat provat que el RAT sigui inadequat atès que l'HUVH ha aportat l'esmentat document elaborat per l'ICS, així com un document intitulat "SubRAT" que s'actualitza anualment i que conté els tractaments de dades personals que duu a terme l'hospital. En aquest sentit, l'Autoritat també considera que l'AIPD elaborada, en relació amb el tractament de dades personals vinculat al SAP, recull els extrems previstos a l'article 35 RGPD. En darrer terme, s'arxiva el fet denunciat relatiu a la manca de formació del personal de l'HUVH, en la mesura en què l'entitat ha acreditat oferir cursos en matèria de privacitat regularment al seus treballadors.
La persona denunciant es queixava d'un accés indegut a la seva història clínica. Es resol arxivar les actuacions en la mesura que en el marc de la informació prèvia no s'ha constatat que s'hagi produït cap acte que pugui ser constitutiu d'infracció, en tant s'ha justificat suficientment que el controvertit accés es va dur a terme en el marc de les tasques assignades a la professional que el va efectuar.
El responsable del tractament hauria de revisar l’AIPD efectuada per tal de garantir que aquesta recull tant la informació prevista a l’article 10 de la Instrucció 1/2009, de 10 de febrer, sobre el tractament de dades de caràcter personal mitjançant càmeres amb fins de videovigilància, així com la resta de requisits establerts per l’article 35.7 de l’RGPD. La consulta prèvia a aquesta Autoritat únicament és preceptiva quan l’AIPD mostri que el tractament comporta un alt risc si el responsable del tractament no pren mesures per a mitigar-lo.
La persona reclamant interna en un centre penitenciari es queixa de que el centre no li facilita el document "Fitxa resum de l'intern". S'estima la reclamació, atès que el Departament de Justícia, Drets i Memòria no va respondre en termini a la sol·licitud de la persona reclamant. No s'efectua cap pronunciament sobre el fons, atès que el Departament de Justícia ha estimat la sol·licitud d'accés.