L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La normativa de protecció de dades personals no impedeix l’accés de la persona reclamant a les dades merament identificatives de les persones que han comunicat a l’empresa de consultoria contractada la informació necessària per a la valoració de llocs de treball de l’Ajuntament, així com també a les diferents propostes d’organigrama o l’RLT de l’Ajuntament.
El Departament de Salut ha atès extemporàniament el dret d'accés a la història clínica compartida de la persona sol·licitant, motiu pel qual es declara extemporània la resposta del Departament, sense entrar en altres consideracions, atès que el dret ha quedat satisfet en el marc d'aquest procediment de tutela de drets.
S'estima el dret d'accés als correus electrònics que continguin dades personals del reclamant o del seu representat (fill), perquè es considera que la petició recollida a la sol·licitud presentada encaixaria dins el marc d'una sol·licitud de dret d'accés de l'art. 15 de l'RGPD. La persona reclamant tenia dret a rebre una resposta del responsable del tractament des del prisma de la normativa de protecció de dades, resposta que no es va emetre en aquest sentit. Tot això, sens perjudici que, si escau, en la resposta que finalment es doni, siguin d'aplicació les limitacions que es puguin derivar de l'article 23 de l'RGPD.
Consta acreditat que el CSMA no va fer efectiu el dret d'accés exercit per la persona reclamant, atès que davant la seva petició es va limitar a lliurar-li un informe del psiquiatra que el visitava, que no feia referència a cap dels extrems sol·licitats, relatius al mes d'agost de 2018: informació relativa a la comunicació de les seves dades mèdiques als seus progenitors, a la sol·licitud d'ingrés involuntari i a l'entrevista que hauria mantingut el seu psiquiatra amb els seus progenitors. En aquest sentit, cal tenir present que forma part del dret d'accés configurat a l'article 15 RGPD, el dret a conèixer si el responsable disposa o no de les dades respecte les quals s'exerceix dit dret, i el dret a conèixer les comunicacions de dades efectuades a tercers. Per l'exposat, s'estima la reclamació i es declara el dret del reclamant a obtenir la informació sol·licitada de què disposi el CSMA als seus arxius, així com, en cas que no es disposi de dita informació, a què se li indiqui expressament, especificant-ne el motiu, i a què se l'informi sobre la comunicació de dades a tercers.
Les mesures de seguretat, s'han de determinar tenint en compte els riscos derivats de la pèrdua o l'accés no autoritzat a les dades (entre d'altres). En el present cas, ha quedat acreditat que el responsable de tractament de les dades afectades, no va adoptar les mesures tècniques i organitzatives apropiades per garantir la seva seguretat (tendents a evitar que a aquestes dades hi poguessin accedir persones no autoritzades).
S'amonesta l'ICS com a responsable d'una infracció molt greu per vulneració del principi d'exactitud, per haver publicat erròniament a l'HC3 d'una persona un informe mèdic referit a una altra persona, que contenia dades de salut d'aquesta altra persona.
L’informe raonat examinat pot encaixar en el concepte de resolució administrativa amb rellevància pública a efectes de transparència. L’LTC n’exigeix l’anonimització de les dades personals en la publicació i atès que, en aquest cas, malgrat fer-ho, les persones afectades podrien ser identificables, resultaria acceptable substituir-la per un resum anonimitzat del seu objecte.
La Fundació va contribuir a verificar si els noms i telèfons de membres integrants de famílies acollidores que es trobaven inclosos en una llista elaborada per una tercera persona, eren correctes.
Malgrat ser una entitat privada a la resolució se sanciona amb una Amonestació tenint en compte la manca d'entitat del fet imputat (verificació de dades) i la resta d'atenuants referenciats a la Resolució (categoria de les dades afectades, manca intencionalitat, la 1a vegada, manca de beneficis, entitat sense ànim de lucre..)
La persona denunciant es queixava que una treballadora social havia accedit a la informació referent a que era titular de la renda garantida de ciutadania (RGC), sense el seu consentiment. L'accés va tenir lloc durant la tramitació d'un ajut individual de menjador escolar, que havia sol·licitat la seva exparella. Atès que l'Ajuntament tenia obert un expedient de risc social d'aquesta unitat familiar, en la tramitació de l'ajut de menjador l'Ajuntament havia d'emetre un informe social amb diversa informació, entre la qual havia de figurar els ingressos percebuts per la unitat familiar en concepte de RGC. En el sistema de RGC constava que l'exparella era beneficiària de RGC, i la persona denunciant era la titular de l'ajut (qui l'havia sol·licitat). La denúncia s'arxiva en considerar que la treballadora social va accedir a aquesta dada del denunciant, en exercici i per al compliment de les funcions encomanades.
La persona reclamant va sol·licitar, mitjançant burofax, l'accés a la seva història clínica i la seva traçabilitat. l'ICS no va tramitar la sol·licitud per no haver emplenat i signat el formulari previst a tal efecte. La reclamació s'estima, atès que l'art. 12 RGPD no permet denegar la sol·licitud per aquest motiu, i quant al fons es reconeix el dret d'accés als documents de la història clínica, amb determinats límits, i pel que fa a la traçabilitat es reconeix només el dret d'accés a la informació sobre els destinataris o categories de destinataris a qui s'hagin comunicat o es prevegin comunicar dades de la reclamant.