L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La inexistència de base jurídica suficient que habiliti el tractament de les dades personals dels treballadors en un procediment electoral mitjançant el vot electrònic impedeix donar resposta a les qüestions plantejades, ja que caldria estar a les previsions concretes de l’habilitació legal i l’eventual desplegament reglamentari, per avaluar els aspectes concrets referits al compliment de la normativa de protecció de dades.
La normativa de protecció de dades no impedeix lliurar a la persona reclamant l’inventari de llicències d’obres majors que han estat transferides a l’Arxiu de Districte i a l’Arxiu Històric de l’Ajuntament amb les metadades de nom i número del carrer, peticionari, tipus i any de l’obra i arquitecte, sense perjudici d’ometre aquelles dades personals dels titulars de les llicències d’obres que no siguin necessàries per assolir la finalitat perseguida com seria la dada del DNI d’aquestes persones.
La normativa de protecció de dades no impedeix l’accés i còpia del Protocol d’Assetjament Laboral per part de la persona reclamant. Pel que fa a l’accés de la persona reclamant a l’expedient reclamat, es podria donar accés a les seves pròpies dades personals i, en principi, a la identitat dels testimonis que hagin intervingut aportant informació sobre la persona reclamant que constin a la documentació, llevat que respecte d’aquestes terceres persones concorrin circumstàncies concretes que en justifiquin la limitació, en els termes exposats al fonament jurídic IV. Així mateix, la normativa de protecció de dades no impedeix l’accés a identitat dels empleats o càrrecs públics encarregats de la tramitació i resolució de l’expedient, ja que es tracta d’actuacions realitzades en l’exercici de les seves funcions. Finalment, s’ha de tenir present que caldria ometre aquella informació que contingui categories especials de dades de terceres persones així com altra informació de terceres persones que puguin constar a l’expedient i que no tingui una relació directa amb la persona reclamant i la denúncia per assetjament que va presentar.
Prenent en consideració els termes en què es formula la reclamació i els elements que concorren, la normativa de protecció de dades impedeix l’accés de la persona reclamant al contingut íntegre dels expedients de responsabilitat patrimonial tramitats per l’Ajuntament entre els anys 2007 i 2022 que afecten una persona concreta, i a la informació relativa a les actuacions judicials que s’hagin pogut derivar. Ara bé, es podria lliurar informació relativa al nombre d’expedients de responsabilitat patrimonial als quals es refereix la consulta, el sentit de la resolució i, si escau, la indemnització, així com si s’han derivat actuacions judicials.
D’acord amb els termes en què es formula la reclamació, la normativa de protecció de dades no impedeix al delegat sindical accedir a la informació individualitzada relativa a l’import del complement de destinació definitiu d’alts càrrecs que impliquin alts nivells retributius. Pel que fa a la resta de personal funcionari només es pot facilitar de manera agregada, sense identificar amb noms i cognoms els treballadors afectats.
Es resol amonestar l'ICS com a responsable de la infracció del principi de confidencialitat, atès que personal d'infermeria hauria accedit a diferents històries clíniques de manera injustificada, i es resol arxivar els fets relacionats amb determinats accessos que es consideren justificats. Així mateix, es proposa a l'entitat que adopti actuacions disciplinàries contra la persona responsable dels accessos indeguts.
La persona denunciant es queixa que l'estació d'ITV va facilitar a un tercer la targeta d'ITV del seu vehicle. Aquest fet es va produir per error humà i, a més, l'entitat imputada va procedir a adoptar mesures per corregir la situació. Malgrat això, la matrícula d'un vehicle és dada personal i, per tant, constitueix una vulneració de la normativa de protecció de dades. Vulneració del principi de confidencialitat.
No s'acredita l'accés indegut a l'HC3 de la persona denunciant. Es resol l'arxivament de la denúncia perquè l'entitat denunciada ha acreditat que les dades que feien referència a l'HC3 de la persona denunciant es van extreure d'un dictamen que els havia tramés l'INSS.
S'arxiva la denúncia, referida a la comunicació per part d'un inspector MMEE al seu superior d'una instància i d'un correu-e presentats davant l'Ajuntament, així com a la seva incorporació a un expedient disciplinari, atès que dita comunicació s'emmarca en les funcions de control de l'activitat policial de l'inspector, que inclouen posar en coneixement del seu superior eventuals infraccions estatutàries detectades en la seva àrea competencial.
D'altra banda, s'arxiva una altra denúncia vinculada, referida al fet que la persona instructora del procediment disciplinari va acordar la pràctica d'una prova que el denunciant considerava il·lícita per no justificada, consistent en la realització d'una auditoria informàtica dels accessos efectuats per la persona denunciant a les dades de les persones ocupes que figuraven en les bases de dades policials, ja que s'aprecia una relació entre aquesta prova i els fets que motivaren l'acord d'iniciació del procediment disciplinari, que impedeix considerar-la un tractament injustificat, en el sentit de no fonamentat en la finalitat d'aclariment dels fets i de determinació de les responsabilitats susceptibles de sanció.
L'entitat no ha comunicat a l'Autoritat Catalana de Protecció de Dades la designació d'un delegat/ada de protecció de dades que, d'acord amb l'article 37.1 de l'RGPD, és de designació obligatòria per l'entitat.