L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es resol sancionar un Ajuntament com a responsable de 2 infraccions previstes a la normativa policial (LO 7/2021), produïdes amb ocasió del trasllat de la comissaria a noves dependències municipals: 1) manca de col·locació de cartells informatius de càmeres de videovigilància; i 2) manca de mesures de seguretat, pel fet de tenir a la vista de tothom un panell de pantalles en què es reproduïen imatges en temps real captades a través de càmeres instal·lades en espais públics.
La persona reclamant, en qualitat de titular de la potestat parental, va exercir el dret d'accés a la documentació que havia presentat la seva filla menor d'edat, que contenia dades de terceres persones afectades que es van oposar al tractament de dades derivat de la sol·licitud d'accés, motiu pel qual el Departament va desestimar la petició d'accés formulada per la persona reclamant. S'estima parcialment la reclamació atès que el Departament va respondre la sol·licitud de forma extemporània.
L’adreça de correu corporatiu d’un Ajuntament, atès que permet la identificació del titular del compte, és una dada de caràcter personal protegida per la normativa de protecció de dades. El tractament de dades personals que es produeixi arran de l’enviament de missatges de correu electrònic per part d’un treballador públic, en concret, la inclusió d’adreces de correu corporatives de tercers i la tramesa a un destinatari extern, pot ser lícit si concorre una base jurídica (art. 6.1 RGPD) i es dona compliment al principi de finalitat (art. 5.1.b) RGPD). Segons el sistema de responsabilitat previst a l’RGPD, la responsabilitat per les infraccions a la normativa de protecció de dades recau en els responsables del tractament, sens perjudici que se’n puguin derivar conseqüències de tipus disciplinari.
Per la informació de què es disposa, en el cas concret examinat, des del punt de vista de la normativa de protecció de dades, no planteja problemes facilitar a la persona regidora l’accés a l’expedient del procés d’estabilització dels treballadors municipals, sempre que sigui informació estrictament necessària per assolir les seves funcions. Ara bé, pel que fa a les dades personals d’especial protecció (article 9 de l’RGPD) que hi puguin constar, caldrà limitar-ne l’accés, per tal que no es comuniquin més dades de les estrictament necessàries per assolir la finalitat legítima que justifica l’accés, això és el desenvolupament de les funcions que corresponen als regidors. En qualsevol cas, un cop el regidor accedeixi a la informació municipal per raó de les funcions legalment encomanades, aquest s’ha de regir pel deure de reserva imposat per la normativa de règim local, pel principi de limitació de finalitat (article 5.1.b) RGPD) i el deure de integritat i confidencialitat (article 5.1.f) RGPD).
La persona reclamant demana la rectificació de les dades de salut que figuren en un informe mèdic, però no aporta cap documentació acreditativa de l'error, la facultativa que va elaborar l'informe (i la seva superior) confirmen que l'informe és correcte, exacte i adequat, i l'Autoritat considera que la informació consignada a l'informe no està mancada de tota lògica o sentit, ni resulta incongruent a la vista de la resta d'informació consignada. Desestimació.
S'estima parcialment la reclamació atès que el Departament de Salut no va donar resposta en termini a la sol·licitud que presentà la part reclamant i que tenia per objecte l'accés a la traçabilitat i a la HC3 d'un període de temps concret. Tanmateix, no escau requerir que el Departament dugui a terme cap actuació atès que aquest va respondre de manera extemporània la sol·licitud i va proporcionar a la part reclamant tota la documentació que obrava al seu poder.
Pel que fa a la petició d’accés a la informació sobre al llistat de les persones treballadores, des de l’1 de gener de 2020 i fins l’actualitat, per anys, indicant noms i cognoms, lloc de treball i equipament on realitza l’activitat, nombre de jornades de matí i tarda fetes presencialment i a distància, i si s’ha abonat o no tiquet restaurant, està justificat només si aquesta informació es facilita sense identificar per lloc de treball i equipament on realitza la seva activitat i substituint el nom i cognoms de les persones treballadores per un codi que no permeti identificar-les.
La normativa de protecció de dades no impedeix l’accés a la informació sol·licitada consistent en el nom i cognoms de la persona que es va reunir amb la cap de l’Àrea de Territori de l’Ajuntament en el context d’un expedient de protecció de la legalitat urbanística, sempre que aquesta persona hagi participat com a tècnic col·legiat a l’esmentat expedient. Fora d’aquest supòsit caldria denegar l’accés a la informació sol·licitada.
L'Ajuntament va desar a una carpeta comú electrònica, a la qual hi podien accedir tots els agents i personal administratiu de la Policia Local, una queixa que va presentar la persona denunciant sobre el còmput d'hores de les jornades de serveis realitzades.
Desestimació de la reclamació de tutela per dret de supressió d'un informe i altres dades de la història clínica en motiu de la persona facultativa.