L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es resol sancionar un Ajuntament com a responsable de 2 infraccions previstes a la normativa policial (LO 7/2021), produïdes amb ocasió del trasllat de la comissaria a noves dependències municipals: 1) manca de col·locació de cartells informatius de càmeres de videovigilància; i 2) manca de mesures de seguretat, pel fet de tenir a la vista de tothom un panell de pantalles en què es reproduïen imatges en temps real captades a través de càmeres instal·lades en espais públics.
Es resol sancionar l'Ajuntament com a responsable de tres infraccions: 1) manca de contracte d'encarregat o document equivalent, 2) manca d'informació dels extrems previstos a l'art. 13 RGPD, i 3) impediment de l'exercici del dret de supressió.
Per la informació de què es disposa, en el cas concret examinat, des del punt de vista de la normativa de protecció de dades, no planteja problemes facilitar a la persona regidora l’accés a l’expedient del procés d’estabilització dels treballadors municipals, sempre que sigui informació estrictament necessària per assolir les seves funcions. Ara bé, pel que fa a les dades personals d’especial protecció (article 9 de l’RGPD) que hi puguin constar, caldrà limitar-ne l’accés, per tal que no es comuniquin més dades de les estrictament necessàries per assolir la finalitat legítima que justifica l’accés, això és el desenvolupament de les funcions que corresponen als regidors. En qualsevol cas, un cop el regidor accedeixi a la informació municipal per raó de les funcions legalment encomanades, aquest s’ha de regir pel deure de reserva imposat per la normativa de règim local, pel principi de limitació de finalitat (article 5.1.b) RGPD) i el deure de integritat i confidencialitat (article 5.1.f) RGPD).
L’adreça de correu corporatiu d’un Ajuntament, atès que permet la identificació del titular del compte, és una dada de caràcter personal protegida per la normativa de protecció de dades. El tractament de dades personals que es produeixi arran de l’enviament de missatges de correu electrònic per part d’un treballador públic, en concret, la inclusió d’adreces de correu corporatives de tercers i la tramesa a un destinatari extern, pot ser lícit si concorre una base jurídica (art. 6.1 RGPD) i es dona compliment al principi de finalitat (art. 5.1.b) RGPD). Segons el sistema de responsabilitat previst a l’RGPD, la responsabilitat per les infraccions a la normativa de protecció de dades recau en els responsables del tractament, sens perjudici que se’n puguin derivar conseqüències de tipus disciplinari.
S'estima parcialment la reclamació atès que el Departament de Salut no va donar resposta en termini a la sol·licitud que presentà la part reclamant i que tenia per objecte l'accés a la traçabilitat i a la HC3 d'un període de temps concret. Tanmateix, no escau requerir que el Departament dugui a terme cap actuació atès que aquest va respondre de manera extemporània la sol·licitud i va proporcionar a la part reclamant tota la documentació que obrava al seu poder.
La persona reclamant demana la rectificació de les dades de salut que figuren en un informe mèdic, però no aporta cap documentació acreditativa de l'error, la facultativa que va elaborar l'informe (i la seva superior) confirmen que l'informe és correcte, exacte i adequat, i l'Autoritat considera que la informació consignada a l'informe no està mancada de tota lògica o sentit, ni resulta incongruent a la vista de la resta d'informació consignada. Desestimació.
La normativa de protecció de dades no impedeix l’accés a la informació sol·licitada consistent en el nom i cognoms de la persona que es va reunir amb la cap de l’Àrea de Territori de l’Ajuntament en el context d’un expedient de protecció de la legalitat urbanística, sempre que aquesta persona hagi participat com a tècnic col·legiat a l’esmentat expedient. Fora d’aquest supòsit caldria denegar l’accés a la informació sol·licitada.
Pel que fa a la petició d’accés a la informació sobre al llistat de les persones treballadores, des de l’1 de gener de 2020 i fins l’actualitat, per anys, indicant noms i cognoms, lloc de treball i equipament on realitza l’activitat, nombre de jornades de matí i tarda fetes presencialment i a distància, i si s’ha abonat o no tiquet restaurant, està justificat només si aquesta informació es facilita sense identificar per lloc de treball i equipament on realitza la seva activitat i substituint el nom i cognoms de les persones treballadores per un codi que no permeti identificar-les.
Desestimació de la reclamació de tutela per dret de supressió d'un informe i altres dades de la història clínica en motiu de la persona facultativa.
La persona reclamant va demanar la supressió de determinats antecedents de la seva història clínica els quals considerava incorrectes. Escau estimar parcialment la reclamació, atès que l'entitat donar una resposta incompleta, ja que només feia referència a la supressió de les eventuals dades que poguessin constar a la història clínica de la persona sol·licitant, sense fer referència a les manifestacions sobre la suposada falsedat/incorrecció d'aquestes. Es requereix l'entitat que demani l'esmena de la sol·licitud a la fi que la persona sol·licitant pugui aportar la documentació justificativa de les presumptes incorreccions en els dits antecedents.