L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es denunciava que la Policia de la Generalitat havia vulnerat el principi de finalitat, per haver utilitzat la informació de dos atestats policials referits a una mossa d'esquadra per incoar-li dos expedients disciplinaris. La denúncia s'arxiva, per considerar que resulta aplicable el supòsit de l'article 6.4 de l'RGPD, que permet el tractament per a una finalitat diferent de la que va justificar la recollida de les dades quan aquest nou tractament i finalitat està previst en el Dret dels estats membres (en aquest cas, a la normativa policial que regula el règim disciplinari), i es considera necessari i proporcional en una societat democràtica per salvaguardar els objectius assenyalats a l'article 23.1 de l'RGPD. En aquest cas, un objectiu important d'interès públic (art. 23.1.e RGPD) com és controlar l'actuació dels empleats públics a un codi de conducta, a fi d'assegurar un funcionament correcte de l'Administració pública i fer efectiu el dret dels ciutadans a una bona administració.
Es denunciava que un ajuntament havia comunicat il·lícitament a la Policia de la Generalitat dos atestats policials referits a una mossa d'esquadra, alhora que els havia revelat la condició de mossa d'esquadra. La denúncia s'arxiva, en considerar que les comunicacions estaven emparades per les bases jurídiques de l'article 6.1.e i c de l'RGPD, ja que l'Ajuntament va comunicar aquesta informació d’acord amb: els principis de cooperació recíproca, coordinació i col·laboració mútua entre els cossos policials; al fet que en l'àmbit de la seguretat pública ambdós cossos policials tenen l'obligació de facilitar-se mútuament la informació que sigui rellevant; que la Policia de la Generalitat és la competent en matèria de seguretat ciutadana; i que han de cooperar en el compliment del règim estatutari.
No ha quedat acreditada la comunicació de les adreces electròniques dels empleats públics a un sindicat, que en aquell moment no tenia representació en cap òrgan de representació sindical de l'ICS o de l'administració de la Generalitat de Catalunya, ni del seu sector públic.
La part denunciant exposava que la publicació del nom i cognoms i les quatre xifres del DNI, en el marc dels actes administratius d'un procés de selecció, contravé la normativa de protecció de dades personals i vulnera l'Ordre JUS/177/2004, de 27 de maig. Es resol arxivar les actuacions, atès que aquesta Ordre disposa l'obligatorietat d'emprar el NIP quan els funcionaris de presons actuen en l'exercici de les seves funcions i interactuen amb població reclusa. Per contra, no disposa que s'hagi d'emprar aquest sistema d'identificació en aspectes de selecció de personal. És més, l'article 45 LPAC preveu aquest sistema d'identificació, quan els actes administratius afectin una pluralitat de persones, com és el cas. També s'arxiva el fet que la publicació inclogui informació referida als mèrits dels aspirants, atès que es considera que han de prevaldre els principis de publicitat i transparència.
S'arxiva la denúncia contra l'ajuntament, perquè les dades que va donar l'alcalde sobre la denunciant no són dades personals, ja que per si soles no permetien identificar la denunciant (art.4.1 RGPD).
L’Administració reclamada hauria de denegar l’accés a la informació sol·licitada, tret que es disposés del consentiment exprés i per escrit de les persones afectades, ja que aquesta conté dades personals especialment protegides de les persones participants en un procés de selecció de personal.
L’Ajuntament pot utilitzar les dades del Padró municipal en exercici de les competències municipals per dur a terme comunicacions amb els seus veïns per a l’exercici de les competències que té encomanades. Per tant, l’Ajuntament pot enviar les cartes informatives.
Ara bé, d’acord amb el principi de qualitat, s’han de tractar exclusivament aquelles dades que siguin necessàries per assolir la finalitat pretesa. Per tant, les dades necessàries per l’enviament de les cartes informatives son el nom, cognoms, domicili i data de naixement.
Per a que el consentiment atorgat pels participants es consideri vàlid, caldrà que aquest compleixi amb els requisits establerts a l’LOPDGDD i l’RGPD segons amb l’exposat al fonament de dret IV d’aquest informe.
S'estima la reclamació, atès que l'ICS va respondre la sol·licitud d'exercici del dret de supressió fora del termini previst legalment. Tanmateix, pel que fa al fons, no escau requerir a l'ICS la supressió reclamada atès que, d'acord amb la legislació sanitària, la informació clínica s'ha de conservar durant un termini de 5 o 15 anys, segons la informació de què es tracti. En aquest cas, el termini no ha transcorregut.
S'estima la reclamació, atès que l'ICS va respondre la sol·licitud d'exercici del dret de supressió fora del termini previst legalment. Tanmateix, pel que fa al fons, no escau requerir a l'ICS la supressió reclamada atès que, d'acord amb la legislació sanitària, la informació clínica s'ha de conservar durant un termini de 5 o 15 anys, segons la informació de què es tracti. En aquest cas, el termini no ha transcorregut.