L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
L'Ajuntament va publicar al web municipal la relació d'ajuts i subvencions que, per error del programa comptable, incloïa la relació de beneficiaris identificats amb nom i cognoms.
La persona denunciant posava de manifest que l'Ajuntament obliga als i les usuàries del servei de piscines municipals a sotmetre's a l'eina del reconeixement facial per obtenir l'abonament d'accés. Tanmateix, consultat per aquesta Autoritat, l'Ajuntament ha exposat que el registre a l'eina no és obligatori i que es pot obtenir l'abonament imprès, després de presentar la fotocòpia del DNI. En aquests termes, a banda de les manifestacions del denunciant, no es disposa de més elements que permetin sostenir que el reconeixement facial és obligatori, motiu pel qual s'arxiva la denúncia.
La normativa de protecció de dades no impedeix comunicar a la persona reclamant la informació que sol·licita, relativa als accessos a la seva història clínica, inclosa la identitat dels professionals, rang i categoria professional, que hi han accedit.
Amb la informació que es disposa es pot concloure que la normativa de protecció de dades no impediria l’accés a la informació sobre les persones que ocupen llocs de responsabilitat del Parlament amb indicació del temps que fa que les ocupen, la condició de funcionària del Parlament o d’una altra administració amb indicació de quina. Pel que fa als expedients dels processos de provisió sol·licitats, la normativa de protecció de dades no impediria l’accés a determinada informació continguda en els mateixos corresponents a les persones finalment seleccionades, en concret la informació relativa a les convocatòries, els requisits i els barems de puntuació, la resolució del procediment, així com els currículums presentats per aquests. En canvi cal denegar l’accés a aquella informació que contingui categories especials de dades en els termes de l’article 23 LTC, així com la informació relativa als candidats no seleccionats que han participat en els processos de provisió corresponents.
La Sentència del Tribunal de Justícia de la Unió Europea a què fa referència la consulta no afecta al criteri d’aquesta Autoritat segons el qual l’accés a la identitat de les persones que presten serveis al responsable del tractament que han accedit a la història clínica, no forma part del contingut del dret d’accés reconegut per l’article 15 de l’RGPD. Sense perjudici que, a partir de l’article 6.1.c) RGPD i la normativa de transparència, es puguin comunicar als pacients que ho sol·licitin la informació relativa als accessos a la seva HC, inclosa la identitat, el càrrec o la categoria dels professionals que hi han accedit, així com la informació que resulti pertinent sobre l’accés (data i hora de l’accés, i/o centre, mòdul o unitat des de la que s’ha produït i motiu), sense que sigui necessari el consentiment dels professionals afectats.
El consentiment pot ser una base jurídica habilitant del tractament de dades biomètriques amb finalitat de control horari sempre que aquest constitueixi una manifestació de voluntat lliure, específica, informada i inequívoca per part de l’interessat d’acceptar el tractament, en els termes que s’han exposat. En qualsevol cas, abans de dur a terme un tractament com el que planteja la consulta, cal fer una avaluació de l’impacte sobre la protecció de dades a la vista de les circumstàncies concretes en què es dugui a terme el tractament on s’analitzi, entre altres qüestions, la licitud del tractament.
S'imputa a la Residència les següents infraccions: vulneració del principi de licitud per publicar imatges a les xarxes socials sense disposar d'un consentiment vàlid a tal efecte, vulneració de l'obligació prevista a l'article 30 de l'RGPD i vulneració del deure d'informació previst a l'article 13 de l'RGPD. Per contra, s'arxiven la resta de conductes també denunciades, en concret la queixa relativa a la manca d'elaboració d'una AIPD, atès que la Residència va iniciar l'activitat abans de l'entrada en vigor de l'RGPD, i en la mesura que no van quedar acreditats canvis substancials en els tractaments duts a terme per la Residència, i la queixa relativa al fet que els servidors del web de la Residència es trobarien fora de la Unió Europea, atès que s'ha pogut constatar que aquests es troben dins l'àmbit europeu.
S'estima la reclamació per la desatenció del dret de supressió de dades contingudes en carpetes compartides en l'àmbit laboral, a les quals la persona reclamant ara no té accés, i que inclouen correus electrònics de caràcter personal.
Escau estimar la reclamació, atès que l'ICS no va respondre en termini la sol·licitud de la persona reclamant. Respecte del fons, no escau efectuar cap pronunciament ni requerir cap actuació, ja que l'ICS ha acreditat que ha entregat la documentació a la persona reclamant en els termes sol·licitats, és a dir, ha fet efectiu el dret exercit per la persona reclamant, tot i que extemporàniament.