L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La normativa de protecció de dades no impedeix comunicar a la persona reclamant la informació relativa a la traçabilitat dels accessos a la seva informació personal, en concret, conèixer el nom i cognoms i el rang de les persones que hi han accedit. Tampoc hi ha impediment en accedir a la informació relativa a si una determinada persona forma part del personal del col·legi professional i, en el cas que hi hagi accedit, si tenia permisos d’accés a la informació relativa a la persona reclamant.
La persona reclamant té dret a accedir a tota la informació que sobre la seva persona contingui la documentació reclamada, incloent-hi la identitat de les persones que haurien facilitat dita informació, llevat que respecte d’aquestes terceres persones concorrin circumstàncies concretes que en justifiquin la limitació.
D’acord amb la normativa de protecció de dades, les hores extraordinàries realitzades pels agents de la Policia Local de l’Ajuntament al qual es refereix la consulta, les quanties anuals percebudes i els motius de la seva realització només es poden comunicar de manera agregada per a tots els agents integrants de la plantilla, excepte en el cas del cap de la policia local, respecte del qual es pot facilitar la informació sol·licitada.
A banda de les manifestacions de l'ara denunciant, no es disposa de cap altre element que permeti corroborar el caràcter indegut de l'accés a la història clínica objecte de denúncia. Per contra, tal com s'ha avançat, el CSI ha argumentat de manera raonada i suficient que l'accés es va dur a terme, per part d'una persona autoritzada, amb la finalitat d'actualitzar informació relativa a la vacunació contra la Covid-19 del seu personal, del qual havia format part la persona denunciant fins a dates recents, motiu pel qual procedeix l'arxiu de les actuacions de referència.
S'estima el dret de la persona reclamant d'obtenir, en relació amb la traçabilitat de la història clínica, la informació relativa a les comunicacions efectuades a entitats o persones fora de l'àmbit del responsable del tractament, així com a obtenir la informació relativa a la inexistència d'aquestes comunicacions, si és el cas. Així mateix, també s'estima el dret d'obtenir la informació via correu electrònic, tal i com s'havia demanat. En canvi, es desestimen les al·legacions que va presentar la persona reclamant segons les quals el PSSJD no li hauria facilitat tot el contingut de la història clínica, atès que, d'una banda, no ha aportat cap prova que permeti obtenir indicis racionals sobre aquest fet, i d'altra banda, la part reclamada ha argumentat de manera suficient que ha facilitat tota la informació que té al seu poder.
El tractament dut a terme pel grup municipal denunciat és lícit perquè la informació difosa a les seves xarxes socials, en virtut de l'article 6.1 f) RGPD - sobre la satisfacció d'interessos legítims, com ho és la llibertat d'informació - havia estat publicada prèviament al Portal de Transparència de l'Ajuntament en compliment de l'article 57.1 LTC. A més cal tenir en compte que, si bé el denunciant també es queixava pel fet que no es publiqués tot el contingut del seu currículum, sinó que només es publiquessin determinats extractes, aquest fet no suposa una vulneració del principi d'exactitud de les dades, en la mesura que la informació publicada era actual i veraç.
Es resol sancionar el Col·legi oficial d'infermeres i infermers de Barcelona atès que els fets imputats són constitutius d'una vulneració del principi de licitud, atesa la manca de base jurídica que empari la publicació, i se'l requereix perquè suprimeixi el nom i cognoms del denunciant del referit document, publicat al web institucional
El reclamant exercia el seu dret d'accés per saber quines persones havien accedit a les seves dades durant el darrer any. L'ajuntament va denegar l'accés emparant-se en el dictament d'aquesta autoritat 8/2019 (sobre el contingut i límits del dret d'accés). Té raó l'ajuntament quan diu que no forma part del dret accés saber les persones de la pròpia organització que han accedit. Però, no així respecte de tercers destinataris als quals es poden haver comunicat les dades (o no), extrem respecte del qual estimem parcialment la reclamació.