L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La persona reclamant demanava la supressió de les dades que figuraven al fitxer de l'àmbit dels sistemes d'informació de la DGP (SIP PF) en relació a unes diligències policials que van derivar en un procediment abreujat tramitat per un Jutjat penal. S'estima la reclamació, atès que aquesta es fonamentava en la manca de resposta a la sol·licitud de supressió, però es requereix a la DGP perquè doni resposta a la sol·licitud de supressió formulada per la persona reclamant, encara que sigui en sentit denegatori de la seva petició.
La persona reclamant demanava la supressió de les seves dades de la seu electrònica de l'Ajuntament, atès que ja s'havia superat amb escreix el fi pel qual van ser inicialment autoritzades, recollides i tractades, i a aquest efecte demanava la retirada de les seves dades de qualsevol suport físic o digital del que fos responsable l'entitat. S'estima la reclamació de tutela formulada per la persona reclamant contra l'Ajuntament, sense efectuar cap altre pronunciament ni cap requeriment respecte el fons en haver-se fet efectiu el dret de la persona reclamant.
Es resol declarar que l'Ajuntament de Sant Andreu de Llavaneres ha infringit l'article 83.4, en relació amb l'article 35; ambdós de l'RGPD, atès que no ha dut a terme l'avaluació d'impacte necessària per valorar els riscos associats al tractament de dades personals dut a terme en el marc de la prestació del servei de recollida de residus "porta a porta".
Es resol amonestar l'Ajuntament de La Garriga atès que no ha dut a terme l'avaluació d'impacte necessària en relació amb el tractament de dades personals que duu a terme en el marc de la prestació del servei de recollida de residus "porta a porta"; no té el RAT actualitzat; i no va facilitar el dret d'informació a les persones usuàries de l'esmentat servei de conformitat amb l'article 11 LOPDGDD.
Una persona va denunciar que, en el marc d'una assistència sanitària privada, va rebre una carta en què se li comunicava la programació d'una prova mèdica on figurava el seu número de CIP i el seu domicili, tot i no haver-los facilitat a l'entitat privada. L'Autoritat va sancionar la fundació imputada amb una multa, per haver vulnerat el principi de licitud, en haver tractat dades provinents de l'assistència pública en el marc de la prestació d'assistència privada. També es van imputar dues infraccions més: una, per vulneració del principi de limitació de la finalitat, que no es va sancionar perquè queda subsumida en la vulneració del principi de licitud; i una altra per vulneració del deure de protecció de dades des del disseny i per defecte, que tampoc es va sancionar per concurs ideal d'infraccions.
S'estima el dret d'accés perquè l'Ajuntament va respondre de forma extemporània i incomplerta. De totes maneres, en relació a l'accés a les dades que permetrien identificar a les persones que van donar el seu testimoni en un cas de prevenció de riscos obert contra la persona reclamant, es proposa que abans de donar l'accés a aquesta informació, l'Ajuntament pugui traslladar la petició del dret d'accés a les persones afectades perquè, si escau, puguin exercir el seu dret d'oposició al tractament de les seves dades personals.
Es desestima la reclamació atès que, en el present cas, manca el requisit principal per tal de poder exigir al responsable del tractament que dugui a terme la supressió de les dades personals, doncs la persona que sol·licitava aquesta supressió no constava com la titular de la dada personal a suprimir. En aquest sentit, B:SM ha acreditat que ha estat en tot moment proactiva, perquè va requerir a la persona sol·licitant que acredités la seva identitat, i ha donat una resposta ajustada a les circumstàncies del cas.
Un club esportiu de futbol de nova creació va contactar amb la Federació Catalana de Futbol atès que quan intentava vincular setze jugadors al seu club, la Intranet federativa li mostrava un missatge mitjançant el qual se l'informava que els esmentats jugadors estaven vinculats a un altre club esportiu. Al respecte, la persona denunciant es queixava pel fet que, des de l'FCF s'havia enviat a l'esmentat club de nova creació unes impressions de pantalla que contenien les dades personals dels 16 jugadors que, en aquell moment, estaven vinculats a un altre club. Doncs bé, per la seva banda, l'entitat denunciada ha reconegut haver enviat les impressions de pantalla - amb informació personal dels jugadors (nom, cognoms i DNI) - al club de nova creació, als efectes de mostrar-li els passos que havia de seguir per poder inscriure als jugadors, i ha argumentat que aquest fet no constitueix una comunicació il·lícita de dades personals atès que el receptor de la informació, ja era coneixedor d'aquestes informació. Al respecte, afegia que, la Intranet mostra l'esmentat missatge després que el club hagi introduït les dades personals dels jugadors. En aquests termes, escau l'arxivament dels fets denunciats atès que, quan l'FCF va trametre les dades personals dels jugadors al Club que els intentava inscriure, aquest ja disposava de la informació.
Procedeix l'arxivament dels fets atès que, d'una banda, l'accés a l'HC3 de les persones usuàries del sistema de salut públic català només es pot dur a terme per part de persones que disposin d'un número de col·legiació, excloent per tant el personal auxiliar administratiu. Al respecte, pel que fa l'accés a la història clínica, la normativa sanitària habilita l'accés al personal auxiliar administratiu quan aquest es dugui a terme en l'exercici de les seves funcions. Així mateix, també s'arxiva el fet relatiu a l'ús d'eines de comunicació interna com ara el whatsapp atès que no ha quedat provat que el personal de l'HUVH empri l'esmentada aplicació com a eina de treball. Al fil de l'anterior, tampoc ha quedat provat que el RAT sigui inadequat atès que l'HUVH ha aportat l'esmentat document elaborat per l'ICS, així com un document intitulat "SubRAT" que s'actualitza anualment i que conté els tractaments de dades personals que duu a terme l'hospital. En aquest sentit, l'Autoritat també considera que l'AIPD elaborada, en relació amb el tractament de dades personals vinculat al SAP, recull els extrems previstos a l'article 35 RGPD. En darrer terme, s'arxiva el fet denunciat relatiu a la manca de formació del personal de l'HUVH, en la mesura en què l'entitat ha acreditat oferir cursos en matèria de privacitat regularment al seus treballadors.