L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Prenent en consideració els termes en què es formula la reclamació i els elements que concorren, la normativa de protecció de dades no impedeix l’accés de la persona reclamant a la informació relativa a les entitats en les quals l’alumnat ha realitzat les pràctiques universitàries.
Es dicta resolució definitiva imputant licitud en relació amb l'article 9.2, en els mateixos termes que la resolució que resolia el recurs de reposició previ. L'Ajuntament ha tractat les dades de salut d'un funcionari de carrera sense donar compliment a l'article 9.2 RGPD (que ho prevegi una norma amb rang de llei o es disposi d'un acord laboral que compleixi amb totes les garanties de l'interessat). L'Ajuntament aporta un acord laboral però aquest no té valor normatiu ni efectes erga omnes atès que no s'ha publicat.
Partint de la base que el supòsit plantejat no es referiria, per la informació disponible, a alts càrrecs o llocs directius, de confiança, de lliure designació, d’especial responsabilitat o que impliquin alts nivells retributius, des del punt de vista de la finalitat general de transparència, i tenint en compte el principi de minimització (art. 5.1.c) RGPD), no sembla justificat donar accés a la identitat dels treballadors afectats.
Es declara extemporània la resolució de la DGP, atès que el dret de supressió es va resoldre i notificar superat el termini d'1 mes establert a l'efecte, sense entrar en altres consideracions respecte el fons, ja que la DGP ha resolt suprimir les dades de la persona reclamant.
Un centre privat va comunicar el resultat d'un test d'antígens al Departament de Salut i aquest, va facilitar la dita informació al centre educatiu on la persona denunciant prestava els seus serveis. Al respecte, l'article 23 de la Llei 2/2021, de 29 de març, de mesures urgents de prevenció, contenció i coordinació per fer front a la crisi sanitària ocasionada per la Covid-19 obliga als establiments que realitzen proves de diagnòstic Covid-19 a remetre, diàriament, a l'autoritat sanitària els resultats de les proves que realitzen i, al seu torn, l'article 8.4 del Decret Llei 41/2020, de mesures extraordinàries en l'àmbit de l'educació per fer front a les conseqüències de la Covid-19, determina que el Departament de Salut ha de comunicar als directors o directores dels centres educatius, les dades de salut corresponents als resultats de les proves diagnòstiques. Així les coses, procedeix l'arxiu dels fets imputats atès que les referides comunicacions es van dur a terme emparades per l'article 6.1 de l'RGPD, en compliment d'una obligació legal (en el cas del laboratori privat), i en l'exercici de poders públics (en el cas del Departament de Salut). Així mateix, escau assenyalar que, malgrat es van comunicar dades de salut, concorrien les excepcions previstes als apartats g) i i) de l'article 9.2 de l'RGPD, que permeten aixecar la prohibició de l'article 9.1 RGPD.
S'estima parcialment la reclamació en constatar, pel que fa a la sol·licitud sobre traçabilitat, que no calia informar sobre la identitat de les persones físiques que van accedir a la HC; i pel que fa a la còpia de la HC, que si bé l'ICS li havia lliurat còpia del curs clínic, li mancava lliurar un informe mèdic, així com comunicar al reclamant que no disposaven de la resta de documentació mèdica citada en la documentació lliurada.
Notificació d'un recurs a terceres persones sense suprimir les dades de la persona recurrent.
L'entitat ha de respondre de forma clara i precisa si les dades personals de la persona reclamant han estat cedides o no a tercers, i en tal cas, identificar els destinataris de les dades personals. L'entitat ha d'informar la persona reclamant dels motius concrets pels quals es decideix no donar curs a una de les peticions formulades per la persona reclamant.
Es declara extemporània la resolució de la Direcció General de la Policia que estima la sol·licitud de supressió de les dades personals contingudes al fitxer SIP PF de la persona reclamant, sense entrar en altres consideracions respecte el fons, ja que la DGP ha resolt suprimir les seves dades.