L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La persona denunciant explicava que l'Ajuntament de Lleida hauria facilitat a una tercera persona (el nou adquirent d'una llicència) el document relatiu a la "Declaració conjunta de canvi de titularitat d'activitats", que contindria les dades personals (nom, cognoms, adreça i número de DNI) del denunciant. Tanmateix, atès que durant la fase d'informació prèvia no s'ha pogut acreditar que la comunicació de dades personals sigui atribuïble a l'Ajuntament de Lleida, tal com manifestava el denunciant, procedeix arxivar la present denúncia.
Vigilant municipal fotografia un vehicle amb què presumptament es comet una infracció de trànsit, en què es visualitza la imatge de la persona asseguda a dins.
Escau arxivar la denúncia en la mesura que els accessos a la HC3, realitzats durant l'any 2020, estaven justificats perquè obeïen a raons assistencials i de vigilància epidemiològica. Pel que fa als presumptes accessos indeguts a la HC3, realitzats durant l'any 2019, escau arxivar les actuacions per causa de prescripció.
Revelació de dades de salut al pare de la persona denunciant, major d'edat en el moment dels fets.
La persona reclamant es queixava per la desatenció de tres sol·licituds d'exercici del dret d'accés que va presentar els anys 2016 i 2017 davant el COAC. Es declara que el COAC ha desatès el dret d'accés exercit per la persona reclamant atès que només ha acreditat haver donat resposta a la primera de les tres sol·licituds, essent aquesta resposta extemporània. El dret d'accés objecte de la present resolució es va exercir quan estava en vigor l'antiga Llei orgànica 15/1999, de 13 de desembre, (LOPD) i el Reial decret 1720/2007, de 21 de desembre, (RLOPD), essent aquestes les normes aplicables en l'anàlisi de l'eventual desatenció del dret d'accés exercit per la persona reclamant.
Es resol sancionar Badalona Serveis Assistencials per la infracció del principi de confidencialitat, atès que l'entitat denunciada ha confirmat que una treballadora de l'Hospital Municipal de Badalona, gestionat per Badalona Serveis Assistencials S.A, hauria accedit indegudament a la història clínica d'una tercera persona. La sanció proposada és de 2.000 euros.
La normativa de protecció de dades no impedeix l’accés de la persona reclamant a la informació relativa a les persones jurídiques o als informes que no continguin informació personal. Tampoc impedeix l’accés a la informació merament identificativa del compliance officer i dels advocats externs que han redactat els informes. Ara bé, respecte a la informació relativa a les persones presumptament responsables, la persona denunciant i, si escau, testimonis, s’ha de facilitar de manera anònima. I en la mesura que no sigui possible l’anonimització efectiva, l’accés s’ha de facilitar a través d’un resum de les actuacions practicades, de manera que no siguin identificables les persones físiques afectades.
La normativa de protecció de dades no impediria l’accés de la persona reclamant a la informació continguda a l’expedient de l'aplicació del protocol contra l'assetjament escolar, relativa a la seva persona i la seva filla menor en la mesura que sigui titular de la potestat parental. Tampoc hauria inconvenient en facilitar l’accés a les dades merament identificatives dels empleats públics o càrrecs públics encarregats de la tramitació de l’expedient d’assetjament, ni dels mestres, tutors o la directora del centre en el que es van produir els fets, que hi puguin constar. Així mateix, es podria facilitar accés a les dades identificatives de les persones que han facilitat informació sobre la filla del reclamant i a la informació que sobre aquella van aportar a l’expedient, llevat que arran el tràmit d’audiència en resulti algun motiu que justifiqui la seva limitació. En el cas que l’expedient contingui categories especials de dades d’altres persones diferents de la filla del reclamant caldria denegar l’accés a aquesta informació.
Es resol arxivar la present denúncia atès que l'Ajuntament denunciat i, en concret, l'Inspector en Cap de la Policia Local, va incloure referències a les dades de salut de la persona denunciant - que ostenta la condició d'agent local - atès que aquestes eren necessàries per a dirimir la conveniència d'iniciar un expedient disciplinari contra la seva persona, per un presumpte abandonament de servei per motius de salut. Així doncs, aquesta Autoritat conclou que el tractament de dades personals controvertit restava emparat per l'article 6.1 e) - tractament realitzat en l'exercici de poders públics - i que hi concorrien les circumstàncies previstes als apartats f) i g) de l'article 9.2 RGPD, que aixequen la prohibició de tractar dades de salut de l'article 9.1 RGPD.
Es constata un accés indegut a HC per part d'una persona professional sanitària, fet que vulnera el principi de confidencialitat de les dades. Responsabilitat de l'entitat per actes materialment comesos pel seu personal