L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Una mare denuncià que l'escola havia demanat que el primer dia del curs escolar 2021-2022 aportessin el certificat de vacunació de covid-19 del seu fill menor d'edat (de 12 anys o més); que el dit certificat també es demanava al personal de l'escola, i que l'escola tenia accés a l'aplicació informàtica Traçacovid. La denúncia s'arxiva perquè, si bé es cert que inicialment l'escola els ho va demanar, abans d'iniciar el curs escolar va comunicar a les mares i pares d'alumnes que no l'aportessin (en base a una modificació de darrera hora del Pla d'actuació per al curs 2021‐2022 per a centres educatius en el marc de la pandèmia); d'altra banda, també s'arxiva perquè no hi ha constància que l'escola hagués recollit cap certificat de vacunació, i que l'escola va negar tant que requerís el certificat al seu personal, com haver accedit a la Traçacovid, i tampoc hi consten indicis. A banda dels motius d'arxiu, es conclou que el tractament de dades de salut per part dels centres educatius per motiu de la gestió dels casos positius de covid-19, estaria emparada pels 6.1.e) i 9.2.g) i i) de l'RGPD.
La normativa de protecció de dades no impedeix l’accés de la regidora a la informació sobre les altes i baixes del Padró ocorregudes en el període especificat, incloent la data d’alta o baixa, sense que, a la vista del que s’exposa a la consulta, resulti justificat incloure el nom i cognoms, ni el número de DNI o l’adreça de les persones empadronades, ni cap altra dada que permeti relacionar la informació amb persones identificades o identificables. Pel que fa als regidors i regidores de l’equip de govern es poden identificar amb el seu nom i cognoms indicant la data en que s’ha produït l’alta o baixa, però no seria ajustat a la normativa de protecció de dades facilitar l’accés als certificats de convivència.
Es declara que la Direcció General de la Policia, en relació amb la part de la sol·licitud de la persona reclamant que fa referència a l'exercici del dret d'accés a les dades contingudes al fitxer SIP PF, no ha atès dins de termini el dret exercit, sense entrar en altres consideracions respecte el fons, ja que la DGP ha resolt facilitar-li l'accés a les seves dades. S'estima parcialment la reclamació pel que fa a la part de la sol·licitud de la persona reclamant que fa referencia a l'exercici del dret d'accés a les dades contingudes al fitxer SIP PFMEN, per desatenció del dret d'accés a les dites dades.
Un Ajuntament va publicar en diversos diaris oficials i al web municipal, un anunci de notificació d'un decret d'alcaldia a una pluralitat de persones, que contenia un llistat de 381 immobles que inicialment l'Ajuntament considerava desocupats permanentment, i que identificava amb la referència cadastral i l'adreça exacta de cada immoble, junt amb el número complet del DNI de les persones subjectes passius de l'IBI corresponent en cada cas. Es sanciona a l'Ajuntament amb amonestació, com a responsable de la infracció molt greu per vulneració del principi de licitud, per haver efectuat la publicació sense la concurrència de cap base jurídica. La publicació de l'adreça dels immobles junt amb la resta de dades publicades (ref. cadastral i núm. DNI) es considera excessiva per a la finalitat prevista (notificació de l'acte), però la infracció corresponent a aquest fet, referida a la vulneració del principi de minimització, queda subsumida en la infracció per vulneració del principi de licitud.
S'imputa el principi de licitud. El trasllat de la resolució va suposar comunicar la identitat de les persones pressuptament assetjadora i assetjada; i, a més, algunes dades de salut de la persona assetjada al president del sindicat. Es vulnera l'article 5.1.a) i 6.1 RGPD, al no existir cap base jurídica legitimadora. A més, pel que fa a la comunicació de dades de salut, també es vulnera l'article 9.2 RGPD.
L' Ajuntament va enviar un correu electrònic a tots els treballadors municipals informant d'un enllaç que els permetia accedir al contingut de tots els recursos de reposició que s'havien presentat contra l'Acord d'aprovació de la RLT, sense la prèvia anonimització de les dades personals allà contingudes. En relació amb aquests fets, l'Ajuntament no va notificar la violació de seguretat a l'Apdcat.
L'entitat no ha comunicat a l'Autoritat Catalana de Protecció de Dades la designació d'un delegat/ada de protecció de dades que, d'acord amb l'article 37.1 de l'RGPD, és de designació obligatòria per l'entitat.
Es resol amonestar l'Ajuntament atès que durant un temps indeterminat que, com a mínim, comprèn els mesos de novembre de 2020 fins gener de 2021, no disposava d'un anàlisi de riscos de les dades personals que tractava, ni havia implementat totes les mesures de seguretat i tècniques, de conformitat amb l'Esquema Nacional de Seguretat, tal com exigeix l'article 32 RGPD, en relació amb la gravació de trucades telefòniques mantingudes per la policia local. D'altra banda, la difusió per part d'un agent de la Policia Local a altres agents del cos, del contingut d'una conversa telefònica que va mantenir la persona denunciant amb una treballadora del Servei d'Emergències Mèdiques, va contravenir el principi de confidencialitat.
S'arxiva la denúncia, atès que les úniques dades personals que contenia el document que va publicar el regidor del govern municipal a través del mur de Facebook sobre temes veïnals, era el nom i cognoms del denunciant com a representant d'una entitat del municipi. Una informació que els veïns del poble, usuaris de dita xarxa social, ja coneixien. A més, aquesta mateixa informació era accessible a través d'internet, on consta publicat que la persona denunciant és el president de dita entitat.
Es declara que la DGP, en relació amb la part de la sol·licitud de la persona reclamant que fa referencia a l'exercici del dret d'accés a les dades contingudes al fitxer SIP PF, no ha atès dins de termini el dret exercit, sense entrar en altres consideracions respecte el fons pel que fa a l'accés a les dades contingudes al fitxer SIP PF, ja que per mitjà de la resolució de la DGP s' ha resolt facilitar-li les seves dades; i s'estima parcialment la reclamació pel que fa a la part de la sol·licitud de la persona reclamant que fa referencia a l'exercici del dret d'accés a les dades contingudes al fitxer SIP PFMEN, per desatenció del dret d'accés a les dites dades.